Pasarela de pago: ¿necesita licencia?

Analizamos si tu pasarela de pago es un proveedor de servicios técnicos exento o presta un servicio de pago sujeto a autorización conforme a la PSD2 y al Real Decreto-ley 19/2018: posesión de fondos, encaje como entidad de pago o PISP, operar como agente de una entidad autorizada, autenticación reforzada (SCA) y prevención del blanqueo.

Consulta gratuita

Te respondemos en menos de 24 h

Cada modelo de pasarela tiene un encaje distinto

No todas las pasarelas son iguales ante la norma: una cosa es dar soporte técnico y otra tocar los fondos o iniciar pagos. El encaje regulatorio depende de qué hace exactamente tu plataforma.

Pasarela técnica

Soporte tecnológico sin tocar fondos

"La pasarela puramente técnica transmite datos y conecta al comercio con el adquirente sin poseer en ningún momento los fondos. Queda excluida de la autorización, pero el límite hay que documentarlo."

Agregador

Facilitador que puede tocar fondos

"El agregador o facilitador de pagos que recibe los fondos y luego los liquida al comercio presta un servicio de pago: necesita autorización y salvaguarda de los fondos de clientes."

PISP

Iniciación de pagos regulada

"Si la pasarela inicia pagos desde la cuenta del cliente (open banking), es un servicio de iniciación de pagos: está regulado aunque no llegue a poseer los fondos."

Entidad de pago

Licencia propia y perímetro amplio

"Cuando el modelo exige gestionar fondos y prestar varios servicios de pago, la vía es la licencia de entidad de pago propia, con su capital, gobierno y compliance."

¿Por qué el encaje de tu pasarela es crítico?

Asumir que una pasarela nunca necesita licencia es un error frecuente: en cuanto toca fondos o inicia pagos entra en el perímetro de PSD2, y operar sin autorización bloquea la actividad y expone a sanciones.

El error más habitual: dar por hecho que una pasarela es "solo tecnología". El límite está en si se poseen los fondos en algún momento; si se cruza sin autorización, el problema aparece cuando el negocio ya está en marcha.

La iniciación de pagos está regulada aunque no toques fondos: confundir una pasarela técnica con un PISP lleva a operar sin el registro necesario ante el Banco de España.

La salvaguarda y el PBC no son opcionales: si la pasarela presta un servicio de pago, debe salvaguardar los fondos de clientes y cumplir prevención del blanqueo desde el primer día.

Servicio de pago sin licencia Cese

Prestar servicios de pago sin la autorización previa del Banco de España puede suponer la paralización de la actividad.

Sanciones Cuantiosas

El régimen sancionador del RD-ley 19/2018 alcanza a quien presta servicios de pago sin autorización, con responsabilidad de los administradores.

Riesgo comercial Bloqueo

Adquirentes, bancos y esquemas de tarjeta exigen un encaje regulatorio claro antes de integrar una pasarela: sin él, las integraciones se bloquean.

¿Tu pasarela de pago necesita licencia?

Antes de lanzar o escalar conviene validar el perímetro regulatorio: si tu modelo toca fondos, inicia pagos o agrega, y qué vía de autorización o de agente te conviene.

Pasarela de pago: dudas habituales

¿Qué es una pasarela de pago?

Una pasarela de pago (payment gateway) es la tecnología que conecta un comercio con el ecosistema de pago —adquirente, esquemas de tarjeta, bancos— para autorizar y procesar operaciones. En su versión más básica, transmite y protege datos sin llegar a poseer los fondos.

La pregunta clave no es tecnológica sino regulatoria: si en algún momento tiene los fondos o inicia el pago, deja de ser un simple soporte técnico.

¿Una pasarela de pago necesita licencia?

Depende. Si es un proveedor de servicios técnicos que da soporte sin poseer en ningún momento los fondos, queda excluida de la autorización conforme a la PSD2 y al Real Decreto-ley 19/2018.

Si toca los fondos, los agrega o inicia pagos, presta un servicio de pago y necesita autorización (entidad de pago), registro (PISP) u operar como agente de una entidad autorizada.

¿Cuándo es un simple proveedor de servicios técnicos?

Cuando su función se limita al soporte tecnológico —procesamiento y almacenamiento de datos, autenticación, redes, terminales— y no entra en posesión de los fondos a transferir. Esta exclusión está prevista en la PSD2 y en el RD-ley 19/2018.

Importante: la exclusión no cubre la iniciación de pagos ni la información sobre cuentas, que están reguladas aunque el proveedor no posea los fondos.

¿Qué diferencia hay entre pasarela, agregador y entidad de pago?

Se distinguen por si tocan los fondos y por su autorización:

  • La pasarela técnica transmite datos sin poseer fondos: excluida de autorización.
  • El agregador o facilitador recibe los fondos y luego los liquida al comercio: presta un servicio de pago.
  • La entidad de pago tiene licencia propia del Banco de España para prestar servicios de pago y gestionar fondos con salvaguarda.
¿Qué es un PISP y en qué se diferencia de una pasarela?

Un PISP (proveedor de servicios de iniciación de pagos) inicia una orden de pago desde la cuenta bancaria del cliente en el marco del open banking. A diferencia de una pasarela técnica, está regulado —requiere registro ante el Banco de España— aunque no llegue a poseer los fondos.

Muchas pasarelas modernas incorporan iniciación de pagos, lo que las sitúa dentro del perímetro regulado.

¿Qué es la autenticación reforzada de cliente (SCA)?

La autenticación reforzada de cliente (SCA) es la exigencia de PSD2 de verificar al usuario con al menos dos factores independientes (algo que sabe, tiene o es) en los pagos electrónicos. Se desarrolla en el Reglamento Delegado (UE) 2018/389 y admite ciertas exenciones.

La pasarela debe soportar SCA y gestionar correctamente las exenciones para no incrementar la fricción ni asumir responsabilidad por fraude.

¿Tengo que cumplir prevención del blanqueo?

Si la pasarela presta un servicio de pago, es sujeto obligado conforme a la Ley 10/2014: debe implantar evaluación de riesgos, diligencia debida (KYC), monitorización, designar representante ante el SEPBLAC y reportar operaciones sospechosas.

Un proveedor puramente técnico que no presta servicios de pago no tiene, por esa actividad, la condición de sujeto obligado.

¿Puedo operar como agente de una entidad de pago?

Sí. Una alternativa a obtener licencia propia es operar como agente de una entidad de pago ya autorizada, inscribiéndose en el registro correspondiente y bajo la responsabilidad de esa entidad.

Es una vía habitual para lanzar antes o validar el modelo, pero exige un contrato sólido y controles que la entidad principal supervisará.

PCI DSS, RD-ley 19/2018, red limitada, PSD3 y supervisor

¿Qué es PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) es el estándar de seguridad de datos de la industria de tarjetas que deben cumplir quienes almacenan, procesan o transmiten datos de tarjeta. No es una licencia, sino una exigencia contractual de los esquemas de tarjeta, pero es imprescindible para operar una pasarela de forma segura.

¿Qué es el Real Decreto-ley 19/2018?

Es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone en España la PSD2 (Directiva (UE) 2015/2366). Regula quién puede prestar servicios de pago, las entidades de pago, la iniciación de pagos, la información sobre cuentas y las exclusiones del ámbito de aplicación.

¿Qué es la excepción de red limitada?

Es una exclusión de PSD2 para instrumentos que solo sirven para adquirir bienes o servicios en una red limitada de proveedores o una gama muy concreta de productos (por ejemplo, tarjetas regalo de una cadena). Superados ciertos umbrales, debe notificarse al Banco de España. Es distinta de la exención de agente comercial.

¿Qué cambia con PSD3 y el PSR?

PSD3 y el Reglamento de Servicios de Pago (PSR) están en fase final de tramitación (acuerdo político a finales de 2025 y texto de compromiso en 2026, con aplicación práctica previsiblemente hacia 2027). Sustituirán a PSD2, unificarán entidades de pago y de dinero electrónico en una única categoría, reforzarán la SCA y la responsabilidad por fraude y ampliarán el open banking. Conviene diseñar el proyecto con este horizonte.

¿La pasarela llega a tocar los fondos del cliente?

Es la pregunta que define todo. Si el dinero pasa por cuentas de la pasarela antes de llegar al comercio, o esta lo agrega y liquida, entonces posee los fondos y presta un servicio de pago. Si el flujo va directo del pagador al adquirente/comercio y la pasarela solo transmite datos, no los posee.

¿Qué supervisor interviene y dónde se registra?

El supervisor de los servicios de pago en España es el Banco de España, que autoriza y mantiene el registro de entidades de pago, agentes y proveedores de iniciación e información sobre cuentas. Un proveedor puramente técnico no se registra por esa actividad, pero conviene documentar por qué queda fuera del perímetro.

¿Necesita licencia? Comparativa de modelos de pasarela

La necesidad de autorización y el capital exigido dependen de si la pasarela toca los fondos y de qué servicio de pago presta. Te ayudamos a situar tu modelo antes de empezar.

Árbol de decisión: ¿tu pasarela de pago necesita licencia? Proveedor técnico exento, iniciación de pagos (PISP), agregador o entidad de pago, con su autorización y supervisor

Qué determina si necesitas licencia

Dos preguntas ordenan el encaje: si la pasarela posee los fondos en algún momento y qué servicio de pago presta exactamente.

Posesión de fondos
Si el dinero pasa por la pasarela antes de llegar al comercio, hay servicio de pago.
Iniciación de pagos
Iniciar pagos desde la cuenta del cliente está regulado aunque no se toquen los fondos.
Servicios prestados
Adquirencia, ejecución, envío de dinero o solo información sobre cuentas.
Vía de acceso
Licencia propia, registro como PISP/AISP o agente de una entidad autorizada.

Cómo trabajamos el encaje

Antes de comprometer honorarios cerramos el perímetro regulatorio y la vía adecuada. Así evitas pedir una licencia que no necesitas o, peor, operar sin la que sí necesitas.

  1. Diagnóstico del flujo de fondos y de los servicios prestados.
  2. Definición de la vía: exclusión, registro, agente o licencia.
  3. Hoja de ruta con requisitos, plazos y compliance asociado.

Solicita el análisis de tu pasarela →

Comparativa entre pasarela técnica, agregador, PISP y entidad de pago
Modelo Pasarela técnica Agregador / facilitador PISP Entidad de pago
¿Necesita licencia? No (excluida) Registro específico
¿Toca los fondos? No No Sí, con salvaguarda
Autorización Ninguna (documentar exclusión) Entidad de pago Registro PISP ante BdE Autorización de entidad de pago
Capital inicial (orientativo) No aplica 125.000 € 50.000 € 20.000 € a 125.000 € según servicios
Supervisor Banco de España (perímetro) Banco de España Banco de España Banco de España

Cifras orientativas a efectos comparativos. El capital exacto y el encaje regulatorio dependen de los servicios de pago concretos que preste la pasarela y de si posee los fondos; deben validarse caso a caso conforme al Real Decreto-ley 19/2018 y a la PSD2.

Cómo encajar tu pasarela de pago: guía práctica

El encaje de una pasarela no es una etiqueta: es el resultado de analizar el flujo de fondos, los servicios prestados y la seguridad. La clave es decidir bien la vía antes de construir el producto.

Perímetro

Primero el flujo de fondos

Antes que nada hay que mapear si el dinero pasa por la pasarela y qué servicio presta. Esa decisión determina si necesita licencia, registro o queda excluida.

Seguridad

SCA y datos de tarjeta

La autenticación reforzada, las exenciones y el cumplimiento PCI DSS deben resolverse pronto: afectan a la fricción, al fraude y a la relación con adquirentes y esquemas.

Compliance

PBC y contratos desde el inicio

Si hay servicio de pago, la prevención del blanqueo y los contratos con adquirente y proveedores deben diseñarse desde el principio, no como apéndice.

Checklist: encaje de la pasarela en 10 pasos

  1. Mapear el flujo de fondos: ¿pasa el dinero por la pasarela en algún momento?
  2. Identificar los servicios prestados: adquirencia, ejecución, iniciación o información sobre cuentas.
  3. Comprobar exclusiones: proveedor de servicios técnicos, red limitada o agente comercial.
  4. Determinar la figura: exclusión, PISP/AISP, agente o entidad de pago.
  5. Dimensionar el capital inicial y la salvaguarda si hay posesión de fondos.
  6. Diseñar la SCA y las exenciones conforme al Reglamento Delegado (UE) 2018/389.
  7. Acreditar el cumplimiento PCI DSS y la seguridad de datos de tarjeta.
  8. Implantar el bloque PBC/FT: KYC, monitorización y representante ante el SEPBLAC.
  9. Ordenar contratos: adquirente, esquemas de tarjeta, proveedores técnicos y outsourcing.
  10. Definir la vía de lanzamiento: licencia propia o agente de una entidad autorizada.

Si quieres validar el encaje de tu pasarela o preparar la autorización, consulta nuestros servicios de regulación fintech y la licencia de entidad de pago.

Pasarela en modo operativo

Del flujo de fondos al encaje regulatorio

Encajar una pasarela no es ponerle una etiqueta: es un conjunto de decisiones coherentes (flujo de fondos, servicios de pago, seguridad y compliance) que determinan si necesita licencia. Aquí tienes un panel para entender cómo se aterriza.

Flujo de una pasarela de pago: pagador, pasarela, adquirente y comercio, mostrando cuándo se poseen los fondos y cuándo se cruza el perímetro regulatorio de PSD2
Flujo de fondos pasarela de pago perímetro PSD21) Flujo

Flujo de fondos: primero mapear, luego calificar

El objetivo no es etiquetar la pasarela cuanto antes, sino ver si el dinero pasa por ella. Esa decisión condiciona todo el encaje.

  • ¿Posee los fondos en algún momento?
  • ¿Los agrega y liquida al comercio?
  • ¿Solo transmite datos?
Servicio de pago iniciación de pagos PISP entidad de pago2) Servicio

Servicio: qué presta exactamente

Adquirencia, ejecución, iniciación o información sobre cuentas. Cada servicio tiene su autorización o registro y su capital.

  • Exclusión de proveedor técnico
  • Registro PISP/AISP
  • Licencia de entidad de pago
Autenticación reforzada SCA PCI DSS seguridad de pagos3) Seguridad

Seguridad: SCA y datos de tarjeta

Autenticación reforzada, exenciones y PCI DSS. Cuando se descuidan, aumentan el fraude, la fricción y el riesgo con los esquemas.

  • SCA y exenciones (RTS)
  • Cumplimiento PCI DSS
  • Resiliencia operativa (DORA)
Mapa de decisión licencia pasarela de pagoDecisión rápida

Mapa práctico: ¿qué necesita tu pasarela?

Solo datos

No posees fondos ni inicias pagos: proveedor de servicios técnicos, excluido de autorización.

Inicia pagos

Inicias pagos desde la cuenta del cliente: registro como PISP ante el Banco de España.

Toca fondos

Recibes y liquidas fondos: licencia de entidad de pago o agente de una autorizada.

Ver regulación fintech Licencia de entidad de pago
Playbook de encaje

El encaje de la pasarela en la práctica

Bloque del análisis
Qué se espera
Evidencia típica

Flujo de fondos

Análisis claro de si la pasarela posee los fondos en algún momento del circuito.

Diagrama de flujo de fondos, esquema de cuentas y descripción del circuito de liquidación.

Servicios de pago

Identificación de los servicios prestados (adquirencia, ejecución, iniciación, información).

Descripción funcional del servicio y mapeo con los servicios de pago del RD-ley 19/2018.

Exclusión aplicable

Justificación, en su caso, de la exclusión de proveedor técnico, red limitada o agente comercial.

Informe de encaje regulatorio y, si procede, notificación al Banco de España.

SCA y PCI DSS

Autenticación reforzada, gestión de exenciones y seguridad de datos de tarjeta.

Política de SCA, matriz de exenciones y certificación o cuestionario PCI DSS.

PBC/FT

Marco de prevención del blanqueo proporcional cuando se presta un servicio de pago.

Manual PBC, evaluación de riesgos, expedientes KYC y designación de representante SEPBLAC.

Contratos y outsourcing

Reparto claro de responsabilidades con adquirente, esquemas y proveedores técnicos.

Contratos con adquirente, acuerdos con proveedores, SLA y marco de continuidad.

Errores frecuentes al encajar una pasarela de pago

Detéctalos antes de lanzar para evitar operar fuera del perímetro o pedir una licencia innecesaria.

  • Dar por hecho que la pasarela es "solo tecnología" sin analizar el flujo de fondos.
  • Confundir una pasarela técnica con un PISP, que sí está regulado.
  • Diseñar la salvaguarda y el PBC/FT como apéndices cuando hay servicio de pago.
  • No documentar por qué se aplica una exclusión, sin soporte ante adquirentes ni supervisor.
  • Contratos con adquirente y proveedores sin reparto claro de responsabilidades.
Diccionario operativo

Conceptos clave: pasarelas y servicios de pago

Si estás definiendo el encaje de una pasarela de pago, estos términos aparecen en el análisis regulatorio, en los contratos y en la relación con el Banco de España y los esquemas de tarjeta.

GatewayBase

Pasarela de pago

Tecnología que conecta al comercio con el adquirente y los esquemas para autorizar y procesar pagos. Su encaje depende de si posee los fondos o inicia pagos.

Marco: PSD2 / RD-ley 19/2018.
PSTExclusión

Proveedor de servicios técnicos

Prestador de soporte tecnológico a los servicios de pago que no posee en ningún momento los fondos. Está excluido de la autorización, salvo iniciación e información sobre cuentas.

Base: exclusiones de la PSD2 y del RD-ley 19/2018.
EPLicencia

Entidad de pago

Entidad autorizada por el Banco de España para prestar servicios de pago y gestionar fondos de clientes con salvaguarda. Capital inicial entre 20.000 € y 125.000 € según servicios.

Supervisor: Banco de España.
PISPOpen banking

Iniciación de pagos

Servicio que inicia una orden de pago desde la cuenta bancaria del cliente. Está regulado —requiere registro— aunque no llegue a poseer los fondos. Capital inicial de 50.000 €.

Introducido por PSD2.
AgregadorFacilitador

Agregador de pagos

Facilitador que recibe los fondos de las operaciones y luego los liquida al comercio. Al poseer los fondos, presta un servicio de pago y necesita autorización.

Suele requerir licencia de entidad de pago.
SCASeguridad

Autenticación reforzada

Verificación del usuario con al menos dos factores independientes en pagos electrónicos, exigida por PSD2 y desarrollada en el Reglamento Delegado (UE) 2018/389, con exenciones tasadas.

Clave: gestión correcta de las exenciones.
PCI DSSEstándar

Seguridad de datos de tarjeta

Estándar de la industria de tarjetas para quienes almacenan, procesan o transmiten datos de tarjeta. No es una licencia, sino una exigencia contractual de los esquemas.

Imprescindible para operar con seguridad.
RDL 19/2018Norma

Real Decreto-ley 19/2018

Norma que transpone la PSD2 en España. Regula los servicios de pago, las entidades de pago, la iniciación e información sobre cuentas y las exclusiones del ámbito.

Transpone la Directiva (UE) 2015/2366.
SalvaguardaFondos

Safeguarding de fondos

Obligación de mantener segregados y protegidos los fondos de clientes recibidos para ejecutar operaciones de pago. Aplica cuando la pasarela llega a poseer los fondos.

Evidencia: cuentas segregadas y política de salvaguarda.

Guía: ¿tu pasarela de pago necesita licencia?

Descarga nuestra guía con el marco completo: cuándo una pasarela queda excluida, cuándo necesita licencia, qué figura elegir y qué seguridad y compliance exige.

  • Proveedor técnico exento frente a servicio de pago regulado
  • Entidad de pago, PISP o agente: cómo elegir la vía
  • SCA, PCI DSS y salvaguarda de fondos
  • Horizonte PSD3/PSR y qué cambia para las pasarelas
Descargar guía (PDF)

Reserva una llamada

Cuéntanos cómo funciona tu pasarela y te explicamos si necesita licencia y cuál es la vía más eficiente para tu proyecto.

Marco regulatorio de las pasarelas de pago: PSD2 y Real Decreto-ley 19/2018

El encaje de una pasarela de pago se decide a partir de la Directiva (UE) 2015/2366 (PSD2) y de su transposición en España, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. La supervisión y autorización corresponde al Banco de España, que evalúa si la actividad constituye un servicio de pago y qué figura le corresponde.

La exclusión de proveedor de servicios técnicos

El RD-ley 19/2018 excluye de su ámbito a los proveedores de servicios técnicos que dan soporte a los servicios de pago —procesamiento y almacenamiento de datos, autenticación, redes, terminales— sin entrar en ningún momento en posesión de los fondos a transferir. Una pasarela que se limita a esa función queda fuera del perímetro, pero la exclusión no alcanza a la iniciación de pagos ni a la información sobre cuentas.

Entidad de pago, iniciación de pagos e información sobre cuentas

Si la pasarela posee o agrega los fondos, presta un servicio de pago y necesita autorización de entidad de pago (capital inicial de 20.000 € a 125.000 € según los servicios). Si inicia pagos desde la cuenta del cliente es un PISP (registro específico), y si agrega información de cuentas, un AISP. También cabe operar como agente de una entidad de pago ya autorizada.

Autenticación reforzada (SCA), salvaguarda y PBC

Cuando hay servicio de pago se aplican la autenticación reforzada de cliente del Reglamento Delegado (UE) 2018/389, la salvaguarda de los fondos de clientes y las obligaciones de prevención del blanqueo de la Ley 10/2014. A ello se añade, en el plano contractual, el estándar de seguridad de datos de tarjeta (PCI DSS) exigido por los esquemas.

Horizonte PSD3 y PSR

La PSD3 y el Reglamento de Servicios de Pago (PSR), en fase final de tramitación, sustituirán a la PSD2, unificarán las entidades de pago y de dinero electrónico en una única categoría y reforzarán la autenticación, la responsabilidad por fraude y el open banking, con aplicación práctica previsiblemente hacia 2027. Conviene diseñar la pasarela teniendo en cuenta este horizonte.

PSD2 RD-ley 19/2018 Entidad de pago PISP / AISP SCA Banco de España PSD3 / PSR