AISP vs PISP: qué son los proveedores del open banking (PSD2)
La PSD2 obligó a los bancos a abrir tus cuentas a terceros. De ahí nacen dos figuras
que se confunden: el que lee tu información (AISP) y el que ordena pagos por ti (PISP).
AutorMolina Law Boutique
PublicadoJunio 2026
Lectura11 min
CategoríaRegulación Fintech
Fig. 1 — El AISP lee información de tus cuentas; el PISP ordena pagos. Ninguno custodia tu dinero.
AISP y PISP son las dos caras del open banking. Suenan parecido y a menudo conviven
en la misma app, pero hacen cosas distintas, asumen riesgos distintos y, sobre todo,
tienen un régimen jurídico distinto: uno se autoriza, el otro se registra.
La PSD2 cambió las reglas del juego al obligar a los bancos a abrir el acceso a las
cuentas de pago a terceros proveedores. Sobre esa apertura se construyó el
open banking,
y de ahí nacieron dos figuras nuevas: el proveedor de información sobre cuentas (AISP)
y el de iniciación de pagos (PISP). Entender la diferencia es el primer paso para
saber qué licencia necesita tu proyecto.
Qué es el open banking
El open banking (banca abierta) es el modelo que permite que terceros
autorizados accedan, con el consentimiento del usuario, a la información y a la
operativa de sus cuentas de pago. Lo hizo posible la
PSD2, la
directiva europea de servicios de pago transpuesta en España por el Real Decreto-ley
19/2018, que obligó a los bancos —los llamados gestores de cuenta o ASPSP— a permitir
ese acceso a través de interfaces técnicas (API), sin poder cobrar por ello al tercero.
El usuario sigue teniendo el control: nada ocurre sin su consentimiento expreso y cada
acceso o pago exige autenticación reforzada del cliente (SCA). El
banco no desaparece; sigue custodiando el dinero. Lo que cambia es que ahora otras
empresas pueden construir servicios sobre esas cuentas.
Qué es un AISP (información sobre cuentas)
Un AISP (Account Information Service Provider) o proveedor de
servicios de información sobre cuentas es un tercero que accede a la información de las
cuentas de pago del usuario —aunque estén en bancos distintos— y la presenta de forma
agregada. Son los típicos agregadores financieros: apps que reúnen en una sola pantalla
todos tus saldos y movimientos.
Un PISP (Payment Initiation Service Provider) o proveedor de
servicios de iniciación de pagos es un tercero que ordena un pago desde la
cuenta del usuario, por instrucción de este, sin necesidad de tarjeta. Es lo
que permite pagar una compra online "directamente desde tu banco" mediante un botón de
pago, en lugar de introducir los datos de una tarjeta.
El PISP tampoco custodia los fondos —el dinero va de cuenta a cuenta—, pero como
interviene activamente en la operación de pago, su régimen es más exigente. Es la base
del servicio de iniciación de pagos
que tantas fintech ofrecen hoy, y que desarrollamos en la página del
PISP.
Fuente legalReal Decreto-ley 19/2018, de servicios de pago
Norma que transpone la PSD2 (Directiva (UE) 2015/2366) y regula en España los
servicios de pago, los terceros proveedores y la autenticación reforzada. Texto
consolidado oficial:
boe.es — RDL 19/2018 (texto consolidado)
.
AISP vs PISP: la diferencia clave
Ambos son terceros proveedores que operan sobre tu cuenta con tu consentimiento, pero
hacen cosas distintas: el AISP mira, el PISP actúa. Esta es la foto
comparativa:
Fig. 2 · AISP vs PISP
Los dos operan sobre tu cuenta con tu consentimiento y ninguno custodia tu dinero;
la diferencia está en qué hacen y en cómo se regulan.
Autorización vs registro: el régimen de cada uno
Aquí está la diferencia jurídica que más confunde. Porque el AISP solo lee información
y no toca el dinero, se somete a un régimen de registro más ligero,
sin el capital mínimo de una entidad de pago, aunque debe contar con un
seguro de responsabilidad civil profesional (o garantía equivalente).
El PISP, en cambio, interviene en la operación de pago y necesita
autorización como entidad de pago, con un capital inicial de 50.000 €
si solo presta ese servicio, y también seguro de responsabilidad civil.
Aspecto
AISP
PISP
Qué hace
Lee y agrega información de cuentas
Inicia pagos desde la cuenta del usuario
¿Custodia fondos?
No
No
Régimen
Registro (más ligero)
Autorización como entidad de pago
Capital inicial
Sin capital mínimo de entidad de pago
50.000 € (si solo presta iniciación)
Seguro de responsabilidad civil
Sí (o garantía equivalente)
Sí (o garantía equivalente)
Supervisor en España
Banco de España
Banco de España
Esa asimetría tiene una lectura práctica directa: un proyecto que solo agrega
información (un comparador, una app de finanzas personales) puede arrancar como AISP
con un coste regulatorio menor. Si además quiere mover dinero, entra en el terreno del
PISP y del régimen de las entidades de pago, que tratamos al comparar la
entidad de pago frente a la entidad de dinero electrónico.
Cómo funciona un pago iniciado por un PISP
El servicio de iniciación de pagos parece magia, pero el flujo es sencillo y siempre
pasa por la autenticación del usuario en su propio banco:
Fig. 3 · Flujo PISP
El PISP nunca toca el dinero: solo transmite la orden. La transferencia la ejecuta
el banco del usuario tras la autenticación reforzada.
Autenticación reforzada del cliente (SCA)
Tanto el acceso de un AISP como la orden de un PISP exigen
autenticación reforzada del cliente (SCA): el usuario debe
identificarse combinando al menos dos factores independientes (algo que sabe, algo que
tiene y/o algo que es). Es la pieza de seguridad que evita que un tercero opere sobre
la cuenta sin que el titular lo confirme activamente.
Las reglas técnicas de la SCA y de la comunicación segura entre bancos y terceros se
detallan en las normas técnicas de regulación de la PSD2, recogidas en el Reglamento
Delegado (UE) 2018/389. Para el AISP, además, hay límites en la frecuencia con que
puede acceder a la información sin una solicitud activa del usuario.
§ § §
Supervisión, registro y pasaporte europeo
En España, el supervisor de los servicios de pago es el Banco de España
(con informe del SEPBLAC en materia de prevención de blanqueo). Conviene insistir en
esto porque circula información errónea que atribuye la competencia a la CNMV: no es así
para AISP y PISP. El AISP debe inscribirse en el registro correspondiente y el PISP
obtener autorización como entidad de pago, ambos ante el Banco de España.
Una vez registrados o autorizados, los terceros proveedores disfrutan del
pasaporte europeo: pueden operar en el resto de la Unión Europea
comunicándolo a través del Banco de España. Es lo que permite a una fintech española
ofrecer agregación o iniciación de pagos en varios países con una sola licencia.
Fuente normativaDirectiva (UE) 2015/2366 (PSD2) y Reglamento Delegado (UE) 2018/389
Marco europeo de los servicios de pago y normas técnicas de autenticación reforzada
y comunicación segura, disponibles en el Diario Oficial de la Unión Europea:
eur-lex.europa.eu — PSD2
.
¿AISP, PISP o ambos? Cómo elegir
La decisión depende de qué hace tu producto, no de qué suena mejor:
Solo muestras información (agregador, finanzas personales,
scoring): te encaja la figura de AISP, con su régimen de registro más ligero.
Quieres mover dinero (botón de pago, cobros desde cuenta): necesitas
ser PISP, con autorización de entidad de pago.
Haces las dos cosas: puedes solicitar ambas habilitaciones; muchas
fintech operan como AISP y PISP a la vez.
Y conviene recordar que estos servicios pueden combinarse con otros del régimen de
pagos. Quien quiera, por ejemplo, custodiar saldo de los usuarios ya no está en el
terreno del AISP o el PISP, sino en el de la entidad de pago o el dinero electrónico,
como vimos al analizar el conjunto de la
regulación fintech.
Errores frecuentes con AISP y PISP
Creer que el AISP necesita el mismo capital que una entidad de pago.
El AISP puro se registra y aporta seguro de responsabilidad civil; no soporta el
capital mínimo del PISP.
Lanzar iniciación de pagos bajo un registro de AISP. Iniciar pagos
exige autorización de PISP: hacerlo con la habilitación equivocada es operar sin
título suficiente.
Pensar que el supervisor es la CNMV. En servicios de pago la
autoridad competente en España es el Banco de España.
Olvidar la SCA y el consentimiento. Sin autenticación reforzada y
sin consentimiento expreso y trazable del usuario, el acceso a la cuenta no es válido.
Acertar con la figura desde el diseño del producto evita rehacer contratos, compliance
y arquitectura técnica más adelante. La calificación correcta —AISP, PISP o entidad de
pago— es la decisión que ordena todo lo demás.
Regulación Fintech
¿Tu proyecto es un AISP, un PISP o ambos?
Calificamos tu producto bajo PSD2, determinamos si necesitas registro o autorización,
preparamos el expediente ante el Banco de España, el seguro de responsabilidad civil y
el encaje de la autenticación reforzada y el consentimiento del usuario.