Regulación Fintech · Norma explicada

RDL 19/2018 de servicios de pago, explicado

La norma que trajo la PSD2 a España y abrió el mercado de pagos al open banking. Te explicamos qué regula, a quién aplica y qué cambió para bancos y fintech.

Fig. 1 — Los cuatro ejes del RDL 19/2018.

El RDL 19/2018 es la norma que trajo a España la segunda directiva europea de pagos (PSD2). Su huella se nota cada vez que pagas online con un doble factor o usas una app que agrega tus cuentas de varios bancos.

Aquí lo explicamos por bloques, para que veas qué cambió y dónde encajan las figuras fintech que regula. Es una de las normas de referencia de nuestra práctica en regulación fintech.

Ficha de la norma RDL 19/2018, de 23 de noviembre

Real Decreto-ley de servicios de pago y otras medidas urgentes en materia financiera. Transpone parcialmente la PSD2 (Directiva (UE) 2015/2366) y se desarrolla por el RD 736/2019. Texto consolidado en el BOE.

Bloque 1 · Qué es y qué transpone

El RDL 19/2018 es la forma en que España incorporó la PSD2, la segunda directiva europea de servicios de pago. Su objetivo era doble: abrir el mercado a más competencia e innovación, y a la vez reforzar la seguridad de los pagos.

No reguló todo desde cero: actualizó el marco anterior, incorporó nuevas figuras y trasladó al Banco de España la autorización de las entidades de pago, que antes correspondía al Ministerio.

Bloque 2 · Servicios de pago y entidades de pago

La norma define qué se considera servicio de pago —transferencias, adeudos domiciliados, operaciones con tarjeta, ingresos y retiradas de efectivo, emisión y adquisición de instrumentos de pago, envíos de dinero…— y fija las reglas de transparencia, plazos de ejecución y derechos de los usuarios.

Para prestarlos profesionalmente sin ser banco existe la entidad de pago, una figura con licencia propia. El paso a paso de su autorización lo vemos en licencia de entidad de pago, y los distintos servicios, en los tipos de servicio de pago.

No confundir con el dinero electrónico

La entidad de pago no es lo mismo que la entidad de dinero electrónico: la primera mueve pagos; la segunda, además, emite dinero electrónico. Las separamos en entidad de pago vs dinero electrónico.

Bloque 3 · El open banking: AISP, PISP y TPP

La novedad que más cambió el mercado fue abrir el acceso a las cuentas a terceros autorizados —los TPP (proveedores terceros)—, siempre con el consentimiento del usuario. De ahí nacen dos servicios:

  • Servicio de información sobre cuentas (AISP): agrega en un solo sitio la información de las cuentas que el usuario tiene en distintas entidades. No mueve dinero.
  • Servicio de iniciación de pagos (PISP): ordena un pago desde la cuenta del usuario, a petición suya, sin custodiar sus fondos.
Fig. 2 · Dos servicios, dos lógicas
La diferencia esencial: el AISP solo lee información; el PISP ordena pagos. Los comparamos en detalle en la guía de la rama.

Esta apertura es la base del open banking. La diferencia entre ambas figuras la desarrollamos en AISP vs PISP.

Bloque 4 · Seguridad: autenticación reforzada

El otro gran pilar es la autenticación reforzada de cliente (SCA). Para muchas operaciones, el usuario debe acreditarse con al menos dos de estos tres factores independientes:

  • Algo que posee (el móvil, una tarjeta).
  • Algo que sabe (una contraseña, un código).
  • Algo que es (huella, rostro, voz).

Junto a ello, la norma ajustó el reparto de responsabilidad en operaciones no autorizadas: en caso de pérdida o extravío del instrumento de pago, la franquicia a cargo del usuario se redujo a 50 € (antes eran 150 €), salvo actuación fraudulenta o negligencia grave.

Hacia dónde va: PSD3 y el reglamento de pagos

El marco no está congelado. La UE trabaja en una reforma —conocida como PSD3, acompañada de un reglamento de servicios de pago (PSR)— que actualizará la PSD2: más open banking, más medidas antifraude y reglas más homogéneas entre países.

Es un proyecto en tramitación, así que conviene seguirlo sin darlo aún por cerrado. Vamos actualizando su estado en PSD3.

§ § §

Errores frecuentes

  • Confundir entidad de pago con banco o con EDE. Cada figura tiene su licencia y sus límites; elegir mal encarece o bloquea el proyecto.
  • Creer que AISP y PISP son lo mismo. Uno lee información; el otro ordena pagos. Las obligaciones difieren.
  • Tratar la SCA como opcional. Es exigible para gran parte de las operaciones electrónicas, con excepciones tasadas.
  • Olvidar el desarrollo reglamentario. El detalle operativo está en el RD 736/2019, no solo en el RDL.

En síntesis, el RDL 19/2018 responde a cuatro preguntas: ¿qué es un servicio de pago?, ¿quién puede prestarlo?, ¿cómo se abre el acceso a las cuentas? y ¿cómo se asegura la operación? Entenderlas es el primer paso para encajar cualquier proyecto fintech de pagos.

Aviso Información general, no asesoramiento

Este resumen tiene fines divulgativos y se basa en la normativa vigente (RDL 19/2018, RD 736/2019 y PSD2). No sustituye a la lectura del texto oficial ni al asesoramiento jurídico personalizado.

Regulación Fintech · Pagos

¿Montas un proyecto de pagos?

Te ayudamos a elegir la figura adecuada (entidad de pago, AISP, PISP) y a tramitar la autorización ante el Banco de España, con el cumplimiento PSD2 —y la vista puesta en PSD3— desde el diseño.

Solicitar asesoramiento

Seguir profundizando

Regulación Fintech

Licencia de entidad de pago

La autorización ante el Banco de España para prestar servicios de pago.

Regulación Fintech

Los tipos de servicio de pago

Qué operaciones son servicios de pago según la PSD2.

Regulación Fintech

AISP vs PISP

Información de cuentas frente a iniciación de pagos en el open banking.