Regulación Fintech · Open banking

AISP vs PISP: qué son los proveedores del open banking (PSD2)

La PSD2 obligó a los bancos a abrir tus cuentas a terceros. De ahí nacen dos figuras que se confunden: el que lee tu información (AISP) y el que ordena pagos por ti (PISP).

Fig. 1 — El AISP lee información de tus cuentas; el PISP ordena pagos. Ninguno custodia tu dinero.

AISP y PISP son las dos caras del open banking. Suenan parecido y a menudo conviven en la misma app, pero hacen cosas distintas, asumen riesgos distintos y, sobre todo, tienen un régimen jurídico distinto: uno se autoriza, el otro se registra.

La PSD2 cambió las reglas del juego al obligar a los bancos a abrir el acceso a las cuentas de pago a terceros proveedores. Sobre esa apertura se construyó el open banking, y de ahí nacieron dos figuras nuevas: el proveedor de información sobre cuentas (AISP) y el de iniciación de pagos (PISP). Entender la diferencia es el primer paso para saber qué licencia necesita tu proyecto.

Qué es el open banking

El open banking (banca abierta) es el modelo que permite que terceros autorizados accedan, con el consentimiento del usuario, a la información y a la operativa de sus cuentas de pago. Lo hizo posible la PSD2, la directiva europea de servicios de pago transpuesta en España por el Real Decreto-ley 19/2018, que obligó a los bancos —los llamados gestores de cuenta o ASPSP— a permitir ese acceso a través de interfaces técnicas (API), sin poder cobrar por ello al tercero.

El usuario sigue teniendo el control: nada ocurre sin su consentimiento expreso y cada acceso o pago exige autenticación reforzada del cliente (SCA). El banco no desaparece; sigue custodiando el dinero. Lo que cambia es que ahora otras empresas pueden construir servicios sobre esas cuentas.

Qué es un AISP (información sobre cuentas)

Un AISP (Account Information Service Provider) o proveedor de servicios de información sobre cuentas es un tercero que accede a la información de las cuentas de pago del usuario —aunque estén en bancos distintos— y la presenta de forma agregada. Son los típicos agregadores financieros: apps que reúnen en una sola pantalla todos tus saldos y movimientos.

La clave es que el AISP solo lee información: no mueve dinero ni custodia fondos. Por eso su régimen es más ligero, como detallamos al hablar de la figura del proveedor de servicios de información sobre cuentas (AISP).

Qué es un PISP (iniciación de pagos)

Un PISP (Payment Initiation Service Provider) o proveedor de servicios de iniciación de pagos es un tercero que ordena un pago desde la cuenta del usuario, por instrucción de este, sin necesidad de tarjeta. Es lo que permite pagar una compra online "directamente desde tu banco" mediante un botón de pago, en lugar de introducir los datos de una tarjeta.

El PISP tampoco custodia los fondos —el dinero va de cuenta a cuenta—, pero como interviene activamente en la operación de pago, su régimen es más exigente. Es la base del servicio de iniciación de pagos que tantas fintech ofrecen hoy, y que desarrollamos en la página del PISP.

Fuente legal Real Decreto-ley 19/2018, de servicios de pago

Norma que transpone la PSD2 (Directiva (UE) 2015/2366) y regula en España los servicios de pago, los terceros proveedores y la autenticación reforzada. Texto consolidado oficial: boe.es — RDL 19/2018 (texto consolidado) .

AISP vs PISP: la diferencia clave

Ambos son terceros proveedores que operan sobre tu cuenta con tu consentimiento, pero hacen cosas distintas: el AISP mira, el PISP actúa. Esta es la foto comparativa:

Fig. 2 · AISP vs PISP
Los dos operan sobre tu cuenta con tu consentimiento y ninguno custodia tu dinero; la diferencia está en qué hacen y en cómo se regulan.

Autorización vs registro: el régimen de cada uno

Aquí está la diferencia jurídica que más confunde. Porque el AISP solo lee información y no toca el dinero, se somete a un régimen de registro más ligero, sin el capital mínimo de una entidad de pago, aunque debe contar con un seguro de responsabilidad civil profesional (o garantía equivalente). El PISP, en cambio, interviene en la operación de pago y necesita autorización como entidad de pago, con un capital inicial de 50.000 € si solo presta ese servicio, y también seguro de responsabilidad civil.

Aspecto AISP PISP
Qué hace Lee y agrega información de cuentas Inicia pagos desde la cuenta del usuario
¿Custodia fondos? No No
Régimen Registro (más ligero) Autorización como entidad de pago
Capital inicial Sin capital mínimo de entidad de pago 50.000 € (si solo presta iniciación)
Seguro de responsabilidad civil Sí (o garantía equivalente) Sí (o garantía equivalente)
Supervisor en España Banco de España Banco de España

Esa asimetría tiene una lectura práctica directa: un proyecto que solo agrega información (un comparador, una app de finanzas personales) puede arrancar como AISP con un coste regulatorio menor. Si además quiere mover dinero, entra en el terreno del PISP y del régimen de las entidades de pago, que tratamos al comparar la entidad de pago frente a la entidad de dinero electrónico.

Cómo funciona un pago iniciado por un PISP

El servicio de iniciación de pagos parece magia, pero el flujo es sencillo y siempre pasa por la autenticación del usuario en su propio banco:

Fig. 3 · Flujo PISP
El PISP nunca toca el dinero: solo transmite la orden. La transferencia la ejecuta el banco del usuario tras la autenticación reforzada.

Autenticación reforzada del cliente (SCA)

Tanto el acceso de un AISP como la orden de un PISP exigen autenticación reforzada del cliente (SCA): el usuario debe identificarse combinando al menos dos factores independientes (algo que sabe, algo que tiene y/o algo que es). Es la pieza de seguridad que evita que un tercero opere sobre la cuenta sin que el titular lo confirme activamente.

Las reglas técnicas de la SCA y de la comunicación segura entre bancos y terceros se detallan en las normas técnicas de regulación de la PSD2, recogidas en el Reglamento Delegado (UE) 2018/389. Para el AISP, además, hay límites en la frecuencia con que puede acceder a la información sin una solicitud activa del usuario.

§ § §

Supervisión, registro y pasaporte europeo

En España, el supervisor de los servicios de pago es el Banco de España (con informe del SEPBLAC en materia de prevención de blanqueo). Conviene insistir en esto porque circula información errónea que atribuye la competencia a la CNMV: no es así para AISP y PISP. El AISP debe inscribirse en el registro correspondiente y el PISP obtener autorización como entidad de pago, ambos ante el Banco de España.

Una vez registrados o autorizados, los terceros proveedores disfrutan del pasaporte europeo: pueden operar en el resto de la Unión Europea comunicándolo a través del Banco de España. Es lo que permite a una fintech española ofrecer agregación o iniciación de pagos en varios países con una sola licencia.

Fuente normativa Directiva (UE) 2015/2366 (PSD2) y Reglamento Delegado (UE) 2018/389

Marco europeo de los servicios de pago y normas técnicas de autenticación reforzada y comunicación segura, disponibles en el Diario Oficial de la Unión Europea: eur-lex.europa.eu — PSD2 .

¿AISP, PISP o ambos? Cómo elegir

La decisión depende de qué hace tu producto, no de qué suena mejor:

  • Solo muestras información (agregador, finanzas personales, scoring): te encaja la figura de AISP, con su régimen de registro más ligero.
  • Quieres mover dinero (botón de pago, cobros desde cuenta): necesitas ser PISP, con autorización de entidad de pago.
  • Haces las dos cosas: puedes solicitar ambas habilitaciones; muchas fintech operan como AISP y PISP a la vez.

Y conviene recordar que estos servicios pueden combinarse con otros del régimen de pagos. Quien quiera, por ejemplo, custodiar saldo de los usuarios ya no está en el terreno del AISP o el PISP, sino en el de la entidad de pago o el dinero electrónico, como vimos al analizar el conjunto de la regulación fintech.

Errores frecuentes con AISP y PISP

  1. Creer que el AISP necesita el mismo capital que una entidad de pago. El AISP puro se registra y aporta seguro de responsabilidad civil; no soporta el capital mínimo del PISP.
  2. Lanzar iniciación de pagos bajo un registro de AISP. Iniciar pagos exige autorización de PISP: hacerlo con la habilitación equivocada es operar sin título suficiente.
  3. Pensar que el supervisor es la CNMV. En servicios de pago la autoridad competente en España es el Banco de España.
  4. Olvidar la SCA y el consentimiento. Sin autenticación reforzada y sin consentimiento expreso y trazable del usuario, el acceso a la cuenta no es válido.

Acertar con la figura desde el diseño del producto evita rehacer contratos, compliance y arquitectura técnica más adelante. La calificación correcta —AISP, PISP o entidad de pago— es la decisión que ordena todo lo demás.

Regulación Fintech

¿Tu proyecto es un AISP, un PISP o ambos?

Calificamos tu producto bajo PSD2, determinamos si necesitas registro o autorización, preparamos el expediente ante el Banco de España, el seguro de responsabilidad civil y el encaje de la autenticación reforzada y el consentimiento del usuario.

Solicitar asesoramiento

Seguir profundizando

Fintech

Open banking

Marco de la banca abierta bajo PSD2: acceso a cuentas vía API, consentimiento del usuario y servicios de los terceros proveedores.

Fintech

AISP · información sobre cuentas

Régimen del proveedor de servicios de información sobre cuentas: registro, seguro de responsabilidad civil y consentimiento.

Fintech

PISP · iniciación de pagos

Autorización como entidad de pago para iniciar pagos, capital, seguro y operativa del servicio de iniciación de pagos.