Soporte tecnológico sin tocar fondos
"La pasarela puramente técnica transmite datos y conecta al comercio con el adquirente sin poseer en ningún momento los fondos. Queda excluida de la autorización, pero el límite hay que documentarlo."
Analizamos si tu pasarela de pago es un proveedor de servicios técnicos exento o presta un servicio de pago sujeto a autorización conforme a la PSD2 y al Real Decreto-ley 19/2018: posesión de fondos, encaje como entidad de pago o PISP, operar como agente de una entidad autorizada, autenticación reforzada (SCA) y prevención del blanqueo.
Consulta gratuita
Te respondemos en menos de 24 h
Seis bloques para determinar si tu pasarela necesita licencia y, en su caso, cuál: desde el análisis del perímetro regulatorio hasta la autorización, la seguridad y el cumplimiento.
Analizamos si tu pasarela encaja en la exclusión de proveedor de servicios técnicos —soporte tecnológico sin poseer en ningún momento los fondos— o si presta un servicio de pago sujeto a autorización conforme a la PSD2 y al Real Decreto-ley 19/2018.
Si hay servicio de pago, definimos la vía: solicitar licencia de entidad de pago, registrarse como proveedor de iniciación de pagos (PISP) o operar como agente de una entidad ya autorizada mientras se tramita la licencia propia.
El punto clave: si la pasarela llega a tener los fondos del pagador o los agrega antes de liquidarlos al comercio, cruza el perímetro regulatorio y necesita autorización y salvaguarda.
Revisamos la autenticación reforzada de cliente exigida por PSD2, las exenciones aplicables y el estándar de seguridad de datos de tarjeta (PCI DSS), además del marco de resiliencia operativa (DORA) cuando aplica.
Si la pasarela presta un servicio de pago, es sujeto obligado: implantamos evaluación de riesgos, KYC, monitorización, representante ante el SEPBLAC y reporting.
Ordenamos los contratos con la entidad adquirente, los esquemas de tarjeta, los proveedores técnicos y el reparto de responsabilidades para que el modelo funcione en la práctica.
No todas las pasarelas son iguales ante la norma: una cosa es dar soporte técnico y otra tocar los fondos o iniciar pagos. El encaje regulatorio depende de qué hace exactamente tu plataforma.
"La pasarela puramente técnica transmite datos y conecta al comercio con el adquirente sin poseer en ningún momento los fondos. Queda excluida de la autorización, pero el límite hay que documentarlo."
"El agregador o facilitador de pagos que recibe los fondos y luego los liquida al comercio presta un servicio de pago: necesita autorización y salvaguarda de los fondos de clientes."
"Si la pasarela inicia pagos desde la cuenta del cliente (open banking), es un servicio de iniciación de pagos: está regulado aunque no llegue a poseer los fondos."
"Cuando el modelo exige gestionar fondos y prestar varios servicios de pago, la vía es la licencia de entidad de pago propia, con su capital, gobierno y compliance."
Asumir que una pasarela nunca necesita licencia es un error frecuente: en cuanto toca fondos o inicia pagos entra en el perímetro de PSD2, y operar sin autorización bloquea la actividad y expone a sanciones.
El error más habitual: dar por hecho que una pasarela es "solo tecnología". El límite está en si se poseen los fondos en algún momento; si se cruza sin autorización, el problema aparece cuando el negocio ya está en marcha.
La iniciación de pagos está regulada aunque no toques fondos: confundir una pasarela técnica con un PISP lleva a operar sin el registro necesario ante el Banco de España.
La salvaguarda y el PBC no son opcionales: si la pasarela presta un servicio de pago, debe salvaguardar los fondos de clientes y cumplir prevención del blanqueo desde el primer día.
Prestar servicios de pago sin la autorización previa del Banco de España puede suponer la paralización de la actividad.
El régimen sancionador del RD-ley 19/2018 alcanza a quien presta servicios de pago sin autorización, con responsabilidad de los administradores.
Adquirentes, bancos y esquemas de tarjeta exigen un encaje regulatorio claro antes de integrar una pasarela: sin él, las integraciones se bloquean.
Antes de lanzar o escalar conviene validar el perímetro regulatorio: si tu modelo toca fondos, inicia pagos o agrega, y qué vía de autorización o de agente te conviene.
Una pasarela de pago (payment gateway) es la tecnología que conecta un comercio con el ecosistema de pago —adquirente, esquemas de tarjeta, bancos— para autorizar y procesar operaciones. En su versión más básica, transmite y protege datos sin llegar a poseer los fondos.
La pregunta clave no es tecnológica sino regulatoria: si en algún momento tiene los fondos o inicia el pago, deja de ser un simple soporte técnico.
Depende. Si es un proveedor de servicios técnicos que da soporte sin poseer en ningún momento los fondos, queda excluida de la autorización conforme a la PSD2 y al Real Decreto-ley 19/2018.
Si toca los fondos, los agrega o inicia pagos, presta un servicio de pago y necesita autorización (entidad de pago), registro (PISP) u operar como agente de una entidad autorizada.
Cuando su función se limita al soporte tecnológico —procesamiento y almacenamiento de datos, autenticación, redes, terminales— y no entra en posesión de los fondos a transferir. Esta exclusión está prevista en la PSD2 y en el RD-ley 19/2018.
Importante: la exclusión no cubre la iniciación de pagos ni la información sobre cuentas, que están reguladas aunque el proveedor no posea los fondos.
Se distinguen por si tocan los fondos y por su autorización:
Un PISP (proveedor de servicios de iniciación de pagos) inicia una orden de pago desde la cuenta bancaria del cliente en el marco del open banking. A diferencia de una pasarela técnica, está regulado —requiere registro ante el Banco de España— aunque no llegue a poseer los fondos.
Muchas pasarelas modernas incorporan iniciación de pagos, lo que las sitúa dentro del perímetro regulado.
La autenticación reforzada de cliente (SCA) es la exigencia de PSD2 de verificar al usuario con al menos dos factores independientes (algo que sabe, tiene o es) en los pagos electrónicos. Se desarrolla en el Reglamento Delegado (UE) 2018/389 y admite ciertas exenciones.
La pasarela debe soportar SCA y gestionar correctamente las exenciones para no incrementar la fricción ni asumir responsabilidad por fraude.
Si la pasarela presta un servicio de pago, es sujeto obligado conforme a la Ley 10/2014: debe implantar evaluación de riesgos, diligencia debida (KYC), monitorización, designar representante ante el SEPBLAC y reportar operaciones sospechosas.
Un proveedor puramente técnico que no presta servicios de pago no tiene, por esa actividad, la condición de sujeto obligado.
Sí. Una alternativa a obtener licencia propia es operar como agente de una entidad de pago ya autorizada, inscribiéndose en el registro correspondiente y bajo la responsabilidad de esa entidad.
Es una vía habitual para lanzar antes o validar el modelo, pero exige un contrato sólido y controles que la entidad principal supervisará.
PCI DSS (Payment Card Industry Data Security Standard) es el estándar de seguridad de datos de la industria de tarjetas que deben cumplir quienes almacenan, procesan o transmiten datos de tarjeta. No es una licencia, sino una exigencia contractual de los esquemas de tarjeta, pero es imprescindible para operar una pasarela de forma segura.
Es el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, que transpone en España la PSD2 (Directiva (UE) 2015/2366). Regula quién puede prestar servicios de pago, las entidades de pago, la iniciación de pagos, la información sobre cuentas y las exclusiones del ámbito de aplicación.
Es una exclusión de PSD2 para instrumentos que solo sirven para adquirir bienes o servicios en una red limitada de proveedores o una gama muy concreta de productos (por ejemplo, tarjetas regalo de una cadena). Superados ciertos umbrales, debe notificarse al Banco de España. Es distinta de la exención de agente comercial.
PSD3 y el Reglamento de Servicios de Pago (PSR) están en fase final de tramitación (acuerdo político a finales de 2025 y texto de compromiso en 2026, con aplicación práctica previsiblemente hacia 2027). Sustituirán a PSD2, unificarán entidades de pago y de dinero electrónico en una única categoría, reforzarán la SCA y la responsabilidad por fraude y ampliarán el open banking. Conviene diseñar el proyecto con este horizonte.
Es la pregunta que define todo. Si el dinero pasa por cuentas de la pasarela antes de llegar al comercio, o esta lo agrega y liquida, entonces posee los fondos y presta un servicio de pago. Si el flujo va directo del pagador al adquirente/comercio y la pasarela solo transmite datos, no los posee.
El supervisor de los servicios de pago en España es el Banco de España, que autoriza y mantiene el registro de entidades de pago, agentes y proveedores de iniciación e información sobre cuentas. Un proveedor puramente técnico no se registra por esa actividad, pero conviene documentar por qué queda fuera del perímetro.
La necesidad de autorización y el capital exigido dependen de si la pasarela toca los fondos y de qué servicio de pago presta. Te ayudamos a situar tu modelo antes de empezar.

Dos preguntas ordenan el encaje: si la pasarela posee los fondos en algún momento y qué servicio de pago presta exactamente.
Antes de comprometer honorarios cerramos el perímetro regulatorio y la vía adecuada. Así evitas pedir una licencia que no necesitas o, peor, operar sin la que sí necesitas.
| Modelo | Pasarela técnica | Agregador / facilitador | PISP | Entidad de pago |
|---|---|---|---|---|
| ¿Necesita licencia? | No (excluida) | Sí | Registro específico | Sí |
| ¿Toca los fondos? | No | Sí | No | Sí, con salvaguarda |
| Autorización | Ninguna (documentar exclusión) | Entidad de pago | Registro PISP ante BdE | Autorización de entidad de pago |
| Capital inicial (orientativo) | No aplica | 125.000 € | 50.000 € | 20.000 € a 125.000 € según servicios |
| Supervisor | Banco de España (perímetro) | Banco de España | Banco de España | Banco de España |
Cifras orientativas a efectos comparativos. El capital exacto y el encaje regulatorio dependen de los servicios de pago concretos que preste la pasarela y de si posee los fondos; deben validarse caso a caso conforme al Real Decreto-ley 19/2018 y a la PSD2.
El encaje de una pasarela no es una etiqueta: es el resultado de analizar el flujo de fondos, los servicios prestados y la seguridad. La clave es decidir bien la vía antes de construir el producto.
Antes que nada hay que mapear si el dinero pasa por la pasarela y qué servicio presta. Esa decisión determina si necesita licencia, registro o queda excluida.
La autenticación reforzada, las exenciones y el cumplimiento PCI DSS deben resolverse pronto: afectan a la fricción, al fraude y a la relación con adquirentes y esquemas.
Si hay servicio de pago, la prevención del blanqueo y los contratos con adquirente y proveedores deben diseñarse desde el principio, no como apéndice.
Si quieres validar el encaje de tu pasarela o preparar la autorización, consulta nuestros servicios de regulación fintech y la licencia de entidad de pago.
Encajar una pasarela no es ponerle una etiqueta: es un conjunto de decisiones coherentes (flujo de fondos, servicios de pago, seguridad y compliance) que determinan si necesita licencia. Aquí tienes un panel para entender cómo se aterriza.

1) FlujoEl objetivo no es etiquetar la pasarela cuanto antes, sino ver si el dinero pasa por ella. Esa decisión condiciona todo el encaje.
2) ServicioAdquirencia, ejecución, iniciación o información sobre cuentas. Cada servicio tiene su autorización o registro y su capital.
3) SeguridadAutenticación reforzada, exenciones y PCI DSS. Cuando se descuidan, aumentan el fraude, la fricción y el riesgo con los esquemas.
4) CompliancePBC/FT, salvaguarda de fondos si aplica, y contratos con adquirente y proveedores. Es lo que convierte el encaje en un modelo operativo y defendible.
Decisión rápidaNo posees fondos ni inicias pagos: proveedor de servicios técnicos, excluido de autorización.
Inicias pagos desde la cuenta del cliente: registro como PISP ante el Banco de España.
Recibes y liquidas fondos: licencia de entidad de pago o agente de una autorizada.
Análisis claro de si la pasarela posee los fondos en algún momento del circuito.
Diagrama de flujo de fondos, esquema de cuentas y descripción del circuito de liquidación.
Identificación de los servicios prestados (adquirencia, ejecución, iniciación, información).
Descripción funcional del servicio y mapeo con los servicios de pago del RD-ley 19/2018.
Justificación, en su caso, de la exclusión de proveedor técnico, red limitada o agente comercial.
Informe de encaje regulatorio y, si procede, notificación al Banco de España.
Autenticación reforzada, gestión de exenciones y seguridad de datos de tarjeta.
Política de SCA, matriz de exenciones y certificación o cuestionario PCI DSS.
Marco de prevención del blanqueo proporcional cuando se presta un servicio de pago.
Manual PBC, evaluación de riesgos, expedientes KYC y designación de representante SEPBLAC.
Reparto claro de responsabilidades con adquirente, esquemas y proveedores técnicos.
Contratos con adquirente, acuerdos con proveedores, SLA y marco de continuidad.
Detéctalos antes de lanzar para evitar operar fuera del perímetro o pedir una licencia innecesaria.
Si estás definiendo el encaje de una pasarela de pago, estos términos aparecen en el análisis regulatorio, en los contratos y en la relación con el Banco de España y los esquemas de tarjeta.
Tecnología que conecta al comercio con el adquirente y los esquemas para autorizar y procesar pagos. Su encaje depende de si posee los fondos o inicia pagos.
Prestador de soporte tecnológico a los servicios de pago que no posee en ningún momento los fondos. Está excluido de la autorización, salvo iniciación e información sobre cuentas.
Entidad autorizada por el Banco de España para prestar servicios de pago y gestionar fondos de clientes con salvaguarda. Capital inicial entre 20.000 € y 125.000 € según servicios.
Servicio que inicia una orden de pago desde la cuenta bancaria del cliente. Está regulado —requiere registro— aunque no llegue a poseer los fondos. Capital inicial de 50.000 €.
Facilitador que recibe los fondos de las operaciones y luego los liquida al comercio. Al poseer los fondos, presta un servicio de pago y necesita autorización.
Verificación del usuario con al menos dos factores independientes en pagos electrónicos, exigida por PSD2 y desarrollada en el Reglamento Delegado (UE) 2018/389, con exenciones tasadas.
Estándar de la industria de tarjetas para quienes almacenan, procesan o transmiten datos de tarjeta. No es una licencia, sino una exigencia contractual de los esquemas.
Norma que transpone la PSD2 en España. Regula los servicios de pago, las entidades de pago, la iniciación e información sobre cuentas y las exclusiones del ámbito.
Obligación de mantener segregados y protegidos los fondos de clientes recibidos para ejecutar operaciones de pago. Aplica cuando la pasarela llega a poseer los fondos.
Descarga nuestra guía con el marco completo: cuándo una pasarela queda excluida, cuándo necesita licencia, qué figura elegir y qué seguridad y compliance exige.
El encaje de una pasarela de pago se decide a partir de la Directiva (UE) 2015/2366 (PSD2) y de su transposición en España, el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago. La supervisión y autorización corresponde al Banco de España, que evalúa si la actividad constituye un servicio de pago y qué figura le corresponde.
El RD-ley 19/2018 excluye de su ámbito a los proveedores de servicios técnicos que dan soporte a los servicios de pago —procesamiento y almacenamiento de datos, autenticación, redes, terminales— sin entrar en ningún momento en posesión de los fondos a transferir. Una pasarela que se limita a esa función queda fuera del perímetro, pero la exclusión no alcanza a la iniciación de pagos ni a la información sobre cuentas.
Si la pasarela posee o agrega los fondos, presta un servicio de pago y necesita autorización de entidad de pago (capital inicial de 20.000 € a 125.000 € según los servicios). Si inicia pagos desde la cuenta del cliente es un PISP (registro específico), y si agrega información de cuentas, un AISP. También cabe operar como agente de una entidad de pago ya autorizada.
Cuando hay servicio de pago se aplican la autenticación reforzada de cliente del Reglamento Delegado (UE) 2018/389, la salvaguarda de los fondos de clientes y las obligaciones de prevención del blanqueo de la Ley 10/2014. A ello se añade, en el plano contractual, el estándar de seguridad de datos de tarjeta (PCI DSS) exigido por los esquemas.
La PSD3 y el Reglamento de Servicios de Pago (PSR), en fase final de tramitación, sustituirán a la PSD2, unificarán las entidades de pago y de dinero electrónico en una única categoría y reforzarán la autenticación, la responsabilidad por fraude y el open banking, con aplicación práctica previsiblemente hacia 2027. Conviene diseñar la pasarela teniendo en cuenta este horizonte.