La norma que trajo la PSD2 a España y abrió el mercado de pagos al open banking. Te explicamos
qué regula, a quién aplica y qué cambió para bancos y fintech.
AutorMolina Law Boutique
PublicadoJunio 2026
Lectura10 min
CategoríaRegulación Fintech
Fig. 1 — Los cuatro ejes del RDL 19/2018.
El RDL 19/2018 es la norma que trajo a España la segunda directiva europea de pagos (PSD2). Su
huella se nota cada vez que pagas online con un doble factor o usas una app que agrega tus
cuentas de varios bancos.
Aquí lo explicamos por bloques, para que veas qué cambió y dónde encajan las figuras fintech
que regula. Es una de las normas de referencia de nuestra práctica en
regulación fintech.
Ficha de la normaRDL 19/2018, de 23 de noviembre
Real Decreto-ley de servicios de pago y otras medidas urgentes en materia financiera.
Transpone parcialmente la PSD2 (Directiva (UE) 2015/2366) y se desarrolla por el RD 736/2019.
Texto consolidado en el
BOE.
Bloque 1 · Qué es y qué transpone
El RDL 19/2018 es la forma en que España incorporó la PSD2, la segunda
directiva europea de servicios de pago. Su objetivo era doble: abrir el mercado
a más competencia e innovación, y a la vez reforzar la seguridad de los pagos.
No reguló todo desde cero: actualizó el marco anterior, incorporó nuevas figuras y trasladó al
Banco de España la autorización de las entidades de pago, que antes correspondía al Ministerio.
Bloque 2 · Servicios de pago y entidades de pago
La norma define qué se considera servicio de pago —transferencias, adeudos
domiciliados, operaciones con tarjeta, ingresos y retiradas de efectivo, emisión y adquisición
de instrumentos de pago, envíos de dinero…— y fija las reglas de transparencia, plazos de
ejecución y derechos de los usuarios.
Para prestarlos profesionalmente sin ser banco existe la entidad de pago, una
figura con licencia propia. El paso a paso de su autorización lo vemos en
licencia de entidad de pago,
y los distintos servicios, en
los tipos de servicio de pago.
No confundir con el dinero electrónico
La entidad de pago no es lo mismo que la entidad de dinero electrónico: la primera mueve
pagos; la segunda, además, emite dinero electrónico. Las separamos en
entidad de pago vs dinero electrónico.
Bloque 3 · El open banking: AISP, PISP y TPP
La novedad que más cambió el mercado fue abrir el acceso a las cuentas a terceros autorizados
—los TPP (proveedores terceros)—, siempre con el consentimiento del usuario.
De ahí nacen dos servicios:
Servicio de información sobre cuentas (AISP): agrega en un solo sitio la información de las cuentas que el usuario tiene en distintas entidades. No mueve dinero.
Servicio de iniciación de pagos (PISP): ordena un pago desde la cuenta del usuario, a petición suya, sin custodiar sus fondos.
Fig. 2 · Dos servicios, dos lógicas
La diferencia esencial: el AISP solo lee información; el PISP ordena pagos. Los comparamos en
detalle en la guía de la rama.
Esta apertura es la base del open banking. La diferencia entre ambas figuras
la desarrollamos en
AISP vs PISP.
Bloque 4 · Seguridad: autenticación reforzada
El otro gran pilar es la autenticación reforzada de cliente (SCA). Para
muchas operaciones, el usuario debe acreditarse con al menos dos de estos
tres factores independientes:
Algo que posee (el móvil, una tarjeta).
Algo que sabe (una contraseña, un código).
Algo que es (huella, rostro, voz).
Junto a ello, la norma ajustó el reparto de responsabilidad en operaciones no
autorizadas: en caso de pérdida o extravío del instrumento de pago, la franquicia a cargo del
usuario se redujo a 50 € (antes eran 150 €), salvo actuación fraudulenta o
negligencia grave.
Hacia dónde va: PSD3 y el reglamento de pagos
El marco no está congelado. La UE trabaja en una reforma —conocida como PSD3,
acompañada de un reglamento de servicios de pago (PSR)— que actualizará la
PSD2: más open banking, más medidas antifraude y reglas más homogéneas entre países.
Es un proyecto en tramitación, así que conviene seguirlo sin darlo aún por
cerrado. Vamos actualizando su estado en
PSD3.
§ § §
Errores frecuentes
Confundir entidad de pago con banco o con EDE. Cada figura tiene su licencia
y sus límites; elegir mal encarece o bloquea el proyecto.
Creer que AISP y PISP son lo mismo. Uno lee información; el otro ordena
pagos. Las obligaciones difieren.
Tratar la SCA como opcional. Es exigible para gran parte de las operaciones
electrónicas, con excepciones tasadas.
Olvidar el desarrollo reglamentario. El detalle operativo está en el RD
736/2019, no solo en el RDL.
En síntesis, el RDL 19/2018 responde a cuatro preguntas: ¿qué es un servicio de pago?, ¿quién
puede prestarlo?, ¿cómo se abre el acceso a las cuentas? y ¿cómo se asegura la operación?
Entenderlas es el primer paso para encajar cualquier proyecto fintech de pagos.
AvisoInformación general, no asesoramiento
Este resumen tiene fines divulgativos y se basa en la normativa vigente
(RDL 19/2018,
RD 736/2019 y PSD2). No sustituye a la lectura del texto oficial ni al asesoramiento jurídico
personalizado.
Regulación Fintech · Pagos
¿Montas un proyecto de pagos?
Te ayudamos a elegir la figura adecuada (entidad de pago, AISP, PISP) y a tramitar la
autorización ante el Banco de España, con el cumplimiento PSD2 —y la vista puesta en PSD3—
desde el diseño.