Fintech
Licencia PISP en España
"Gestionamos el proceso completo de autorización como PISP ante el Banco de España: expediente regulatorio, documentación técnica, plan de negocio y política de seguridad."
PISP: Proveedor de Servicios de Iniciación de Pagos
Obtén tu licencia y opera como PISP (Payment Initiation Service Provider) con todas las garantías: asesoramiento regulatorio PSD2, registro ante el Banco de España, estructuración jurídica, cumplimiento PBC/FT y documentación técnica para entidades de pago y fintech.
PSD2
Cumplimiento regulatorio PSD2
"Diseñamos el marco de cumplimiento PSD2 para tu PISP: autenticación reforzada (SCA), interfaces de acceso a cuentas (API), gestión del consentimiento y protección del usuario."
AML/CTF
PBC/FT para entidades de pago PISP
"Implantamos el sistema de prevención de blanqueo adaptado al modelo de negocio PISP: KYC de usuarios, monitorización de transacciones y reporte al SEPBLAC."
Pasaporte UE
Pasaportización y expansión europea
"Asesoramos la notificación de pasaporte europeo para operar como PISP en otros Estados miembro de la UE desde la licencia española, con mínima carga regulatoria adicional."
Servicios legales para PISP
Licencia PISP ante el Banco de España
Gestión integral del expediente de autorización como entidad de pago PISP: memoria descriptiva, plan de negocio, políticas de seguridad y documentación regulatoria completa.
Marco de cumplimiento PSD2/PSD3
Diseño e implantación del marco regulatorio PSD2 para PISP: autenticación reforzada de clientes (SCA), acceso a cuentas vía API, gestión del consentimiento y notificación de incidentes.
Sistema PBC/FT para PISP
Implantación del sistema de prevención de blanqueo adaptado al modelo PISP: evaluación de riesgos, KYC de usuarios, monitorización de operaciones y obligaciones de reporte al SEPBLAC.
Documentación contractual y términos de servicio
Redacción de condiciones generales, contratos marco de servicios de pago, acuerdos con bancos y TPPs, y documentación de información precontractual exigida por PSD2.
Política de seguridad y gestión de riesgos operativos
Elaboración de la política de seguridad de la información, plan de continuidad de negocio, gestión de incidentes graves y comunicación al Banco de España conforme a PSD2.
Pasaportización y expansión europea
Notificación del pasaporte europeo para operar como PISP en otros Estados miembro: procedimiento de notificación, requisitos locales y coordinación con autoridades competentes.
¿Por qué es imprescindible el asesoramiento legal para un PISP?
Autorización denegada o retirada: operar como PISP sin la preceptiva autorización del Banco de España constituye una infracción muy grave que puede derivar en multas y el cese inmediato de la actividad.
Incumplimiento PSD2: la ausencia de autenticación reforzada (SCA), la falta de interfaces de acceso adecuadas o la gestión incorrecta del consentimiento exponen al PISP a sanciones regulatorias y reclamaciones de usuarios.
Riesgos de seguridad y responsabilidad: los PISP son responsables de las pérdidas derivadas de operaciones de pago no autorizadas si no pueden demostrar que el usuario autenticó la operación correctamente.
Obligaciones PBC/FT incumplidas: los PISP están sujetos a la normativa de prevención de blanqueo. La ausencia de controles KYC y monitorización de transacciones puede derivar en sanciones de SEPBLAC.
Bloqueo de la expansión europea: sin una pasaportización correctamente notificada, el PISP no puede ofrecer sus servicios de iniciación de pagos en otros Estados miembro de la UE de forma legal.
Todo sobre el PISP
¿Qué es un PISP?
Un PISP (Payment Initiation Service Provider, o proveedor de servicios de iniciación de pagos) es una categoría de proveedor de servicios de pago regulada por la Directiva PSD2 (Directiva 2015/2366/UE) que permite a terceros iniciar pagos desde la cuenta bancaria del usuario, con su consentimiento expreso, sin necesidad de que el usuario acceda directamente a su banco.
El PISP actúa como intermediario entre el usuario pagador y el banco donde se mantiene la cuenta: inicia la orden de pago a través de las interfaces de acceso abiertas (APIs) que los bancos deben poner a disposición de terceros bajo el marco Open Banking de PSD2.
Los PISP son una figura clave en el ecosistema fintech europeo, habilitando pagos instantáneos, checkout sin tarjeta, soluciones de pago B2B y nuevos modelos de negocio basados en el acceso a datos de pago.
¿Qué diferencia hay entre PISP y AISP?
El PISP (Payment Initiation Service Provider) inicia órdenes de pago desde la cuenta del usuario, mientras que el AISP (Account Information Service Provider) solo accede a la información de las cuentas del usuario para agregación, análisis o presentación de datos, sin ejecutar pagos.
Ambas figuras están reguladas por PSD2 y requieren autorización o registro ante el supervisor competente, pero sus obligaciones difieren: los PISP tienen una responsabilidad mayor en materia de seguridad y autenticación al ejecutar transacciones que mueven fondos, mientras que los AISP operan en un entorno de solo lectura.
Una misma entidad puede obtener la doble habilitación PISP + AISP si su modelo de negocio combina iniciación de pagos con agregación de cuentas, lo que es habitual en soluciones de open banking completas.
¿Cómo se obtiene la licencia PISP en España?
En España, la autorización como PISP se obtiene a través del Banco de España, que es la autoridad competente para supervisar las entidades de pago conforme a la Ley 21/2011 de dinero electrónico y el Real Decreto-ley 19/2018 de servicios de pago.
Documentación exigida para la licencia PISP:
- Programa de actividades detallando los servicios de iniciación de pagos previstos.
- Plan de negocio con proyecciones financieras a tres años.
- Descripción de la estructura organizativa y de gobierno corporativo.
- Política de seguridad de la información y plan de gestión de riesgos operativos.
- Procedimientos de gestión de incidentes graves y notificación al Banco de España.
- Mecanismos de control interno y auditoría, y política PBC/FT.
El proceso de autorización suele tardar entre tres y seis meses desde la presentación del expediente completo, dependiendo de la complejidad del modelo de negocio y la calidad de la documentación aportada.
PISP y autenticación reforzada de clientes (SCA)
La autenticación reforzada de clientes (SCA) es uno de los requisitos más exigentes para los PISP bajo PSD2. Antes de iniciar un pago, el PISP debe asegurarse de que el usuario ha sido autenticado por su banco mediante al menos dos factores de los tres posibles: algo que el usuario sabe (PIN, contraseña), algo que posee (dispositivo móvil, tarjeta) y algo que es (biometría).
Los PISP no almacenan credenciales de acceso bancario del usuario: acceden a la interfaz del banco (API de producción) utilizando el token de autenticación generado en el proceso SCA, lo que garantiza la seguridad de la transacción sin comprometer las credenciales del usuario.
El cumplimiento correcto de la SCA es fundamental para la exoneración de responsabilidad del PISP ante reclamaciones por operaciones de pago no autorizadas.
Obligaciones PBC/FT de los PISP
Los PISP están incluidos entre los sujetos obligados por la Ley 10/2010 de prevención de blanqueo de capitales y financiación del terrorismo, lo que implica una serie de obligaciones específicas adaptadas al modelo de negocio de iniciación de pagos.
Entre las obligaciones más relevantes se encuentran la identificación y verificación de la identidad de los clientes (KYC), la identificación del beneficiario efectivo cuando el ordenante sea una persona jurídica, la monitorización continua de las transacciones iniciadas para detectar patrones anómalos y la comunicación de operaciones sospechosas al SEPBLAC.
El sistema PBC/FT del PISP debe adaptarse a su posición en la cadena de pagos: aunque el PISP no mantiene fondos del cliente, tiene acceso a información transaccional valiosa que debe ser gestionada con rigor y confidencialidad.
PISP bajo PSD3 y el nuevo reglamento de servicios de pago
La Comisión Europea publicó en junio de 2023 las propuestas de PSD3 y el nuevo Reglamento de Servicios de Pago (PSR), que introducirán cambios relevantes para los PISP: refuerzo de los derechos de acceso a las interfaces bancarias, mejora del marco de responsabilidad ante fraudes, nuevas obligaciones de información al usuario y mayores exigencias de interoperabilidad.
PSD3 también amplía el ámbito de aplicación del open banking y refuerza la posición competitiva de los PISP frente a las entidades bancarias, que deberán poner a disposición interfaces de mayor calidad y con mejores garantías de disponibilidad.
Las entidades que ya operan como PISP bajo PSD2 deberán revisar su documentación regulatoria y sus sistemas técnicos para adaptarse a los nuevos requisitos de PSD3 una vez sea transpuesto al ordenamiento jurídico español.
¿Cuánto tarda y cuánto cuesta obtener la licencia PISP?
El plazo para obtener la autorización como PISP en España oscila entre tres y seis meses desde la presentación del expediente completo ante el Banco de España, aunque puede extenderse si la autoridad solicita documentación adicional o aclaraciones sobre el modelo de negocio.
El coste del asesoramiento legal para la obtención de la licencia PISP depende de la complejidad del modelo de negocio, el número de servicios de pago solicitados y el grado de preparación previa de la entidad. A esto se suman las tasas regulatorias del Banco de España y los costes de implementación técnica de los sistemas de seguridad exigidos.
Contar con asesoramiento especializado desde el inicio del proceso reduce significativamente el riesgo de requerimientos adicionales por parte del Banco de España y acorta los plazos de obtención de la licencia PISP.
Explora más servicios relacionados
La regulación PISP se cruza con otras áreas clave de cumplimiento normativo, fintech y regulación financiera. Descubre los servicios que complementan tu proyecto.
Servicios PBC/FT
Catálogo completo de servicios de prevención de blanqueo para entidades de pago: evaluación de riesgos, manual, formación y auditorías adaptadas al sector fintech.
Criptoactivos y Blockchain
Asesoramiento para PISP que integran pagos con criptoactivos o tecnología blockchain: regulación MiCA, registro VASP y cumplimiento normativo.
Informe Experto Externo
Informe independiente de cumplimiento regulatorio para expedientes PISP: validación del marco PBC/FT, políticas de seguridad y documentación para el Banco de España.
Corporate Compliance
Programas de cumplimiento corporativo para entidades de pago PISP: canal de denuncias, código ético y controles internos adaptados al entorno regulatorio financiero.
Consultoría en blanqueo de capitales
Diseño e implantación de sistemas PBC/FT para PISP: KYC de usuarios, monitorización de transacciones y preparación para inspecciones de SEPBLAC.
Manual de PBC/FT
Documento obligatorio adaptado al modelo de negocio PISP: procedimientos, roles, flujos de aprobación y medidas de diligencia debida conforme a la Ley 10/2010.
Secondary Sale
Estructuración legal de la venta secundaria de participaciones en fintech y entidades PISP: SPA, restricciones de transferencia y cumplimiento regulatorio.
Medidas de prevención de delitos
Programa de compliance penal para entidades de pago: canal de denuncias, código ético y evidencias de cumplimiento ante inspecciones del Banco de España.
Checklist: ¿tu proyecto necesita licencia PISP?
Marca los supuestos que aplican a tu modelo de negocio. Cuantos más coincidan, mayor es la necesidad de obtener autorización como PISP y contar con asesoramiento regulatorio especializado.
0 de 10 supuestos
Marca los supuestos que aplican a tu modelo de negocio.
Guía completa sobre el PISP
Todo lo que necesitas saber sobre la figura del PISP: concepto, marco regulatorio en España y la UE, proceso de autorización, requisitos técnicos, obligaciones PBC/FT y adaptación a PSD3.
01
¿Qué es exactamente un PISP y cómo funciona?
Un PISP (Payment Initiation Service Provider) es un proveedor de servicios de pago regulado que, con el consentimiento expreso del usuario, accede a la interfaz de acceso a cuentas (API) del banco del pagador para enviar una orden de transferencia en nombre de dicho usuario, generalmente para completar una compra o un pago B2B.
El flujo de una operación PISP es el siguiente: el usuario elige pagar mediante el servicio del PISP, el PISP redirige al usuario a su banco para autenticarse mediante SCA, una vez autenticado el PISP envía la orden de pago a través de la API del banco, y el banco ejecuta la transferencia confirmando al comerciante o beneficiario que el pago ha sido iniciado. Todo el proceso puede completarse en segundos, sin necesidad de tarjeta de crédito ni de que el usuario acceda manualmente a su banca online.
02
Marco regulatorio: PSD2, RD-ley 19/2018 y supervisión del Banco de España
En España, el marco regulatorio del PISP se articula principalmente a través del Real Decreto-ley 19/2018 de servicios de pago y otras medidas urgentes en materia financiera, que transpuso la Directiva PSD2 al ordenamiento jurídico español. Este texto establece los requisitos de autorización, las obligaciones de transparencia, las normas de responsabilidad y el régimen sancionador aplicable a las entidades de pago, incluidos los PISP.
El Banco de España es la autoridad supervisora competente para autorizar y supervisar a los PISP en España. Las Normas Técnicas de Regulación (RTS) de la ABE complementan el marco regulatorio estableciendo los requisitos técnicos de seguridad, las especificaciones de la SCA y las condiciones de acceso a las interfaces bancarias.
03
Proceso de autorización como PISP ante el Banco de España
El proceso de autorización como entidad de pago PISP en España consta de varias etapas. La fase previa es la de preparación del expediente: elaboración del programa de actividades, plan de negocio, políticas de seguridad, procedimientos PBC/FT, estructura organizativa y documentación de los accionistas significativos y directivos.
La segunda etapa es la presentación ante el Banco de España: el expediente se presenta de forma telemática a través del registro del Banco de España. La autoridad dispone de tres meses para resolver desde que el expediente está completo, aunque en la práctica el proceso incluye rondas de preguntas y solicitudes de aclaraciones que pueden extender el plazo.
Una vez obtenida la autorización, el PISP queda inscrito en el Registro de Entidades del Banco de España y en el registro europeo de la ABE (EBA Register), lo que habilita la pasaportización para operar en toda la UE.
04
PISP y Open Banking: acceso a APIs bancarias
El Open Banking es el ecosistema habilitador del modelo PISP. Bajo PSD2, los bancos y otras entidades que mantienen cuentas de pago (denominadas ASPSPs, Account Servicing Payment Service Providers) están obligados a poner a disposición de los PISP interfaces de acceso dedicadas —típicamente APIs REST conformes a estándares como Berlin Group o STET— a través de las cuales los PISP pueden iniciar pagos con el consentimiento del usuario.
Los PISP deben certificarse ante cada banco para acceder a su API de producción, utilizando certificados eIDAS cualificados (QWAC y QSealC) emitidos por un prestador de servicios de confianza cualificado. Esta certificación técnica es un requisito previo indispensable para la operativa real del PISP, independientemente de la autorización regulatoria ya obtenida.
05
Responsabilidad del PISP ante operaciones no autorizadas
El régimen de responsabilidad del PISP es uno de los aspectos más relevantes de su regulación. Cuando una operación de pago iniciada por un PISP resulta ser no autorizada o se ejecuta incorrectamente, la responsabilidad primaria recae en el banco del pagador (ASPSP), que debe reembolsar al usuario de forma inmediata. Sin embargo, si el PISP es responsable de la operación no autorizada o incorrecta, deberá compensar al banco.
Para quedar exonerado de responsabilidad, el PISP debe demostrar que actuó de forma correcta dentro de su ámbito de competencia y que la autenticación del usuario se realizó conforme a los requisitos SCA. Por este motivo, la documentación técnica y el registro de cada operación son críticos para la defensa del PISP ante reclamaciones.
06
Errores frecuentes al constituir un PISP
El error más habitual es iniciar la operación sin licencia bajo la creencia de que el modelo de negocio queda amparado por alguna exención de PSD2. Muchas fintech descubren tardíamente que su actividad requiere autorización expresa como PISP, acumulando un período de operación irregular que puede derivar en sanciones del Banco de España.
Otro error frecuente es subestimar los requisitos técnicos: la obtención de certificados eIDAS, la integración con las APIs bancarias y la implementación de la SCA requieren tiempo y recursos técnicos considerables que deben planificarse en paralelo al proceso regulatorio, no después.
Finalmente, descuidar el sistema PBC/FT desde el inicio es un riesgo grave: el Banco de España y el SEPBLAC exigen que los PISP tengan operativos sus controles de cumplimiento desde el primer día de actividad, y la ausencia de estos sistemas puede impedir la obtención de la licencia o derivar en sanciones posteriores.