PSD2 y Servicios de Pago

La PSD2 es la segunda Directiva de Servicios de Pago de la Unión Europea. Regula la prestación de servicios de pago, refuerza la seguridad de las operaciones electrónicas y abre el ecosistema financiero a terceros mediante el modelo de open banking.

En la práctica, la PSD2 afecta a bancos, fintech, entidades de pago, entidades de dinero electrónico y a cualquier modelo que intervenga en iniciación de pagos, acceso a cuentas, autenticación del cliente o infraestructura operativa vinculada al servicio.

No es solo una norma técnica: es un marco de autorización, seguridad, gobierno y cumplimiento continuo.

La PSD2 afecta directamente a entidades de pago, entidades de dinero electrónico, bancos, proveedores de iniciación de pagos (PISP), proveedores de información de cuentas (AISP) y proyectos fintech que estructuran servicios en torno a pagos o acceso a cuentas.

También puede afectar indirectamente a proveedores tecnológicos, procesadores, agregadores, white labels y partners operativos cuyo modelo contractual y funcional debe analizarse con precisión para evitar entrar en actividad reservada sin haberlo previsto.

La clave no es cómo llamas al producto, sino qué hace realmente tu operativa.

Un AISP presta servicios de información sobre cuentas: agrega o presenta información financiera de una o varias cuentas del usuario. Un PISP inicia pagos por cuenta del usuario desde su cuenta bancaria hacia un comercio o beneficiario.

Ambos modelos exigen analizar autorización, seguridad, contratos, tratamiento de datos, controles operativos y relación con las entidades que mantienen la cuenta. No basta con tener una integración técnica.

Si tu negocio toca acceso a cuenta o iniciación de pago, el análisis PSD2 debe hacerse desde el diseño del producto.

La autenticación reforzada del cliente (SCA) exige que determinadas operaciones se autentiquen con dos o más elementos de distintas categorías, con reglas específicas sobre seguridad y comunicación.

Además de implantar la capa técnica, hay que revisar exenciones, flujos de pago, incidencias, tasas de fraude, experiencia de cliente y evidencias de funcionamiento real. Un enfoque solo “de producto” suele quedarse corto.

La SCA no se defiende con una explicación comercial: se defiende con arquitectura, proceso y registros.

Depende del servicio real que prestas. Si ejecutas pagos, emites dinero electrónico, inicias pagos o accedes a cuentas como tercero regulado, puede existir necesidad de autorización o registro específico.

El error más costoso es presentar un expediente sin haber validado antes el encaje regulatorio o, peor aún, operar creyendo que eres solo un proveedor tecnológico cuando en realidad realizas actividad reservada.

Antes de invertir en desarrollo, partners o marketing, conviene cerrar el perímetro regulatorio y la estrategia de autorización.

En PSD2, el outsourcing no elimina responsabilidad. Externalizar tecnología, atención operativa, onboarding, fraude o soporte de pagos exige gobierno, controles, SLA, supervisión, continuidad y documentación contractual sólida.

El supervisor mira tanto la cadena operativa como la capacidad de la entidad para controlar a sus terceros críticos. Cuando el contrato no refleja la realidad operativa, aparecen los problemas.

Externalizar mal no abarata el cumplimiento: lo multiplica.

El coste depende del tipo de actividad, del grado de madurez del proyecto, de si ya existe operativa en marcha y de si hablamos de un diagnóstico, una autorización completa o cumplimiento continuo.

Lo importante es no medir solo el coste jurídico inicial: una mala clasificación regulatoria, una SCA mal resuelta o un expediente incoherente salen mucho más caros que hacer bien el trabajo desde el principio.

En PSD2, el ahorro aparente al inicio suele convertirse en retraso, requerimientos y fricción cuando más duele.