PSD3: Tercera Directiva de Servicios de Pago

Prepárate para la PSD3 y el nuevo Reglamento PSR: open banking, SCA, prevención de fraude, licencias y acceso a sistemas de pago. Te ayudamos a adaptar tu entidad antes de la entrada en vigor.

Contactar

Consulta gratuita PSD3

Te respondemos en menos de 24 h

Impacto sectorial

¿Cómo afecta la PSD3 a cada tipo de entidad?

Bancos, fintech, entidades de pago, proveedores de open banking y neobancos: cada perfil tiene implicaciones distintas.

Entidades de pago

Nuevo régimen de autorización y salvaguarda

"La PSD3 unifica requisitos de licencia, refuerza la salvaguarda de fondos de clientes y exige planes de resolución para entidades de pago."

Fintech / TPPs

Acceso mejorado a cuentas y datos

"Los proveedores de terceros (AISP/PISP) obtienen mejores garantías de acceso a APIs bancarias, pero también nuevas obligaciones de transparencia y seguridad."

Banca

Obligaciones de interfaz y responsabilidad en fraude

"Los bancos deben garantizar APIs funcionales, asumir responsabilidad compartida en casos de fraude por suplantación y adaptar sus sistemas de SCA."

E-commerce

Impacto en checkout y conversión

"Las nuevas reglas de SCA y excepciones afectan directamente al flujo de pago: equilibrio entre seguridad y experiencia de usuario."

Riesgos

¿Qué pasa si no te preparas para la PSD3?

El incumplimiento del nuevo marco de pagos puede suponer sanciones, pérdida de licencia y exclusión competitiva.

Pérdida de licencia o denegación de autorización: las entidades que no cumplan los nuevos requisitos de gobernanza, capital y salvaguarda pueden perder su habilitación para operar.

Responsabilidad ampliada en fraude: la PSD3 introduce responsabilidad compartida en fraudes por suplantación (spoofing), lo que eleva el coste de no tener controles antifraude eficaces.

Exclusión del ecosistema de pagos: las entidades de pago podrán acceder a sistemas de pago como TARGET; no adaptarse implica quedarse fuera de la infraestructura europea de pagos.

Open Banking APIs obligatorias

Los bancos que no ofrezcan interfaces dedicadas funcionales podrán ser sancionados y obligados a mantener acceso vía screen scraping.

SCA Nuevas exenciones

No adaptar los flujos de autenticación a las nuevas excepciones (bajo riesgo, recurrentes) genera fricción innecesaria y pérdida de clientes.

Sanciones Régimen armonizado

El PSR establece un régimen sancionador unificado a nivel europeo con multas proporcionales al volumen de negocio de la entidad.

¿Tu entidad está lista para la PSD3?

Analizamos tu situación actual, identificamos gaps regulatorios y diseñamos un plan de adaptación al nuevo marco europeo de pagos: licencias, open banking, SCA, fraude y compliance.

Regulación Fintech →
Preguntas frecuentes

PSD3: dudas habituales

¿Qué es la PSD3?

La PSD3 (Payment Services Directive 3) es la propuesta de la Comisión Europea para sustituir a la PSD2. Se acompaña del PSR (Payment Services Regulation), un reglamento de aplicación directa que armoniza las normas de pagos en toda la UE.

El objetivo es mejorar la protección del usuario, reforzar la lucha contra el fraude, impulsar el open banking y crear un mercado de pagos más competitivo e integrado.

¿Cuál es la diferencia entre PSD3 y PSR?

La PSD3 es una directiva que regula principalmente la autorización y supervisión de entidades de pago y de dinero electrónico (licencias, gobernanza, capital). Debe transponerse a cada legislación nacional.

El PSR es un reglamento de aplicación directa en todos los Estados miembros que cubre las normas operativas: derechos de los usuarios, transparencia, SCA, acceso a cuentas, responsabilidad en fraude y prevención.

¿Cuándo entra en vigor la PSD3?

La propuesta legislativa se presentó en junio de 2023. Se espera que el texto final se adopte entre 2025 y 2026, con un periodo de transposición (PSD3) e implementación (PSR) que podría situarse en torno a 2027-2028.

El calendario depende de las negociaciones del trílogo europeo (Comisión, Parlamento, Consejo).

¿Qué cambia en open banking con la PSD3?

La PSD3/PSR introduce mejoras significativas para el acceso a cuentas de pago:

  • Obligación de interfaces dedicadas (APIs) funcionales y con un dashboard de rendimiento.
  • Eliminación progresiva del screen scraping como mecanismo de acceso principal.
  • Mayor claridad en los derechos de los TPPs (AISP/PISP) y tiempos de respuesta.
  • Coordinación con el futuro reglamento FIDA (Financial Data Access) para open finance.
¿Cómo afecta la PSD3 a la prevención de fraude?

Novedades antifraude en PSD3/PSR

  • Verificación de coincidencia IBAN-nombre del beneficiario antes de ejecutar transferencias.
  • Responsabilidad compartida: los PSPs pueden ser responsables en fraudes por suplantación (spoofing/social engineering).
  • Derecho de reembolso ampliado para el usuario en ciertos escenarios de fraude.
  • Obligación de compartir información sobre fraude entre PSPs a través de mecanismos dedicados.
  • Refuerzo de la SCA con nuevas exenciones y delegación mejorada.
¿Qué entidades necesitan adaptarse a la PSD3?

Todas las entidades que prestan servicios de pago en la UE están afectadas:

  • Entidades de pago autorizadas (PIs).
  • Entidades de dinero electrónico (EMIs) — la PSD3 fusiona ambos regímenes.
  • Proveedores de servicios de iniciación de pagos (PISPs).
  • Proveedores de servicios de información de cuentas (AISPs).
  • Bancos y entidades de crédito que prestan servicios de pago.
  • Grandes plataformas y marketplaces con flujos de pago integrados.
¿La PSD3 unifica entidades de pago y dinero electrónico?

Sí. Una de las novedades más relevantes de la PSD3 es la fusión de los regímenes de autorización de entidades de pago (PIs) y entidades de dinero electrónico (EMIs) en una única categoría regulatoria.

Esto simplifica el marco de licencias y elimina incoherencias entre ambos regímenes, aunque implica adaptar estatutos, requisitos de capital y procesos de supervisión.

¿Qué relación tiene la PSD3 con DORA y MiCA?

La PSD3 se integra en un ecosistema regulatorio más amplio:

  • DORA (Digital Operational Resilience Act): establece requisitos de resiliencia digital para entidades financieras, incluidas las de pago.
  • MiCA: regula los criptoactivos y los tokens de dinero electrónico, con intersecciones en la emisión de e-money tokens.
  • FIDA: el futuro reglamento de acceso a datos financieros amplía el open banking a open finance.
Guía operativa

Guía práctica PSD3/PSR

La PSD3 no es solo una actualización de la PSD2: es un cambio de modelo. Reglamento de aplicación directa (PSR), fusión de licencias, responsabilidad en fraude y open banking reforzado. Aquí tienes los pilares del nuevo marco.

Estructura

Directiva + Reglamento: doble instrumento

La PSD3 (directiva) regula licencias y supervisión. El PSR (reglamento) es de aplicación directa y cubre normas operativas: derechos de usuarios, SCA, acceso a cuentas y fraude. Esto elimina las divergencias nacionales que generó la PSD2.

Licencias

Fusión PI/EMI y acceso a sistemas de pago

Un solo régimen de autorización para entidades de pago y de dinero electrónico. Además, las entidades de pago podrán acceder directamente a sistemas de pago (como TARGET), eliminando la dependencia de bancos intermediarios.

Fraude

Responsabilidad compartida y protección al usuario

Verificación IBAN-nombre, responsabilidad de los PSPs en fraudes por suplantación, reembolso ampliado y obligación de compartir datos de fraude entre entidades. Un cambio de paradigma en la protección del consumidor.

Checklist PSD3: 10 pasos para preparar tu entidad

  1. Evaluar el encaje regulatorio: ¿eres PI, EMI, AISP, PISP? Determinar cómo te afecta la fusión de regímenes.
  2. Revisar requisitos de capital y salvaguarda de fondos de clientes bajo el nuevo marco.
  3. Adaptar la gobernanza interna: estructura, comités, funciones clave y planes de contingencia.
  4. Auditar las APIs de acceso a cuentas: funcionalidad, disponibilidad, tiempos de respuesta y dashboard.
  5. Implementar verificación IBAN-nombre del beneficiario en transferencias salientes.
  6. Revisar los flujos de SCA: nuevas exenciones, delegación y equilibrio con la experiencia de usuario.
  7. Diseñar mecanismos de detección y prevención de fraude, incluida la responsabilidad por spoofing.
  8. Actualizar la política de transparencia y derechos de los usuarios (comisiones, plazos, reclamaciones).
  9. Coordinar con DORA: resiliencia operativa, gestión de riesgos TIC y notificación de incidentes.
  10. Planificar la transición: calendario, gap analysis, formación del equipo y reporting al supervisor.

Si necesitas asesoramiento para la transición PSD2 → PSD3, consulta nuestros servicios de regulación fintech o solicita una consulta gratuita.

PSD3 en modo operativo

PSD3: de la propuesta al impacto real en tu entidad

La PSD3 y el PSR transforman el marco de pagos europeo. Estas tarjetas resumen los bloques operativos que debes revisar: licencias, open banking, fraude, SCA y gobernanza.

PSD3: licencias y autorización1) Licencia

Autorización única PI/EMI

La PSD3 fusiona los regímenes de entidad de pago y dinero electrónico en una única licencia, simplificando requisitos pero exigiendo adaptación a las entidades existentes.

  • Requisitos de capital unificados
  • Salvaguarda reforzada
  • Acceso directo a sistemas de pago
PSD3: open banking y APIs2) Open Banking

APIs obligatorias y acceso garantizado

Los bancos deben ofrecer interfaces dedicadas funcionales. Los TPPs obtienen derechos de acceso más claros y herramientas para medir el rendimiento de las APIs.

  • Dashboard de disponibilidad
  • Fin del screen scraping como fallback
  • Coordinación con FIDA
PSD3: prevención de fraude y SCA3) Fraude

Antifraude y SCA: nuevo paradigma

Verificación IBAN-nombre, responsabilidad por suplantación, reembolso ampliado y obligación de compartir datos de fraude entre PSPs.

  • IBAN-name check obligatorio
  • Responsabilidad en spoofing
  • Nuevas exenciones SCA
PSD3: gobernanza y supervisión4) Gobernanza

Supervisión reforzada y resiliencia

Requisitos de gobernanza más exigentes, coordinación con DORA para resiliencia operativa y planes de resolución para entidades de pago significativas.

Tip: la EBA publicará directrices y normas técnicas (RTS/ITS) que concretarán muchos de estos requisitos.
PSD3: mapa de impacto por tipo de entidadMapa de impacto

Impacto PSD3 según tu perfil

Banco

APIs obligatorias + responsabilidad en fraude por suplantación + SCA adaptada.

Fintech / PI

Licencia unificada + acceso a sistemas de pago + nuevos requisitos de capital.

TPP (AISP/PISP)

Mejor acceso a APIs + mayor transparencia + obligaciones de seguridad reforzadas.

Regulación Fintech Licencia entidad de pago
Playbook PSD3

PSD3 vs PSD2: qué cambia en la práctica

Aspecto
PSD2 (actual)
PSD3/PSR (nuevo)

Instrumento legal

Directiva única transpuesta de forma divergente en cada Estado miembro.

Directiva (PSD3) + Reglamento (PSR) de aplicación directa: normas uniformes en toda la UE.

Licencias PI / EMI

Regímenes separados para entidades de pago y de dinero electrónico (DME2).

Fusión en una única licencia. EMIs pasan a regularse bajo PSD3.

Open Banking

APIs opcionales con fallback de screen scraping. Problemas de funcionalidad y acceso.

APIs obligatorias con dashboard de rendimiento. Screen scraping solo como último recurso regulado.

Fraude

Responsabilidad limitada del PSP. Sin verificación IBAN-nombre.

IBAN-name check obligatorio. Responsabilidad compartida en spoofing. Reembolso ampliado.

SCA

Exenciones limitadas. Delegación poco clara.

Nuevas exenciones, mejor delegación y reglas proporcionales al riesgo de la transacción.

Señales de que necesitas actuar ya

Si alguna de estas situaciones aplica a tu entidad, conviene iniciar el gap analysis antes de la aprobación del texto final.

  • Operas como entidad de dinero electrónico y deberás migrar al nuevo régimen unificado.
  • Tus APIs de acceso a cuentas no cumplen los estándares de funcionalidad y disponibilidad previstos.
  • No tienes mecanismos de verificación IBAN-nombre en transferencias salientes.
  • Tu modelo de SCA no contempla las nuevas exenciones ni la delegación mejorada.
  • No has evaluado el impacto de la responsabilidad compartida en fraude por suplantación.
Diccionario operativo

Conceptos clave PSD3

Si estás preparando la transición a la PSD3, estos términos aparecen constantemente en los textos legislativos, en la supervisión y en la operativa diaria de pagos.

PSD3Directiva

Payment Services Directive 3

Tercera directiva europea de servicios de pago. Regula la autorización, supervisión y gobernanza de entidades de pago y dinero electrónico.

Instrumento: directiva (requiere transposición nacional).
PSRReglamento

Payment Services Regulation

Reglamento de aplicación directa que unifica las normas operativas de pagos: derechos de usuarios, SCA, acceso a cuentas y prevención de fraude.

Instrumento: reglamento (aplicación directa en toda la UE).
SCASeguridad

Strong Customer Authentication

Autenticación reforzada del cliente basada en dos o más factores (posesión, conocimiento, inherencia). La PSD3 amplía las exenciones y mejora la delegación.

Clave: equilibrio entre seguridad y conversión.
AISPOpen Banking

Account Information Service Provider

Proveedor que accede a datos de cuentas de pago del usuario (con su consentimiento) para agregar información financiera. Regulado bajo PSD2 y reforzado en PSD3.

Ejemplo: agregadores bancarios, apps de finanzas personales.
PISPOpen Banking

Payment Initiation Service Provider

Proveedor que inicia pagos desde la cuenta del usuario en otro PSP. Con la PSD3, obtiene mayor seguridad jurídica y mejor acceso a las APIs bancarias.

Ejemplo: pago directo desde cuenta sin tarjeta.
FIDAOpen Finance

Financial Data Access Regulation

Propuesta de reglamento que amplía el open banking a open finance: acceso a datos de seguros, inversión, pensiones y crédito, no solo cuentas de pago.

Complementa la PSD3 hacia un ecosistema de datos financieros abierto.
IBAN CheckFraude

Verificación IBAN-nombre

Comprobación de que el IBAN del beneficiario coincide con el nombre proporcionado antes de ejecutar la transferencia. Obligatoria bajo el PSR.

Objetivo: reducir fraudes por error o suplantación.
DORAResiliencia

Digital Operational Resilience Act

Reglamento sobre resiliencia operativa digital para entidades financieras: gestión de riesgos TIC, pruebas de resistencia y notificación de incidentes.

Aplica a entidades de pago bajo PSD3.
SalvaguardaCapital

Safeguarding de fondos

Obligación de proteger los fondos de los clientes mediante segregación en cuentas separadas o garantías equivalentes. Reforzada en la PSD3.

Clave para la confianza del usuario y la estabilidad de la entidad.

REGULATORY CONTROL CENTER · PSD3/PSR

Panel de preparación PSD3: gap analysis y roadmap

Para entidades de pago, fintech y bancos, la transición a la PSD3 requiere un plan estructurado: licencias, open banking, SCA, fraude y gobernanza. Este panel resume las áreas de impacto y su nivel de urgencia.

Matriz de impacto PSD3 por área regulatoria

Prioriza las áreas de mayor impacto y urgencia para tu tipo de entidad.

Área
Banco
PI / EMI
TPP
Licencia
BajoYa autorizado
AltoFusión PI/EMI
MedioNuevo registro
Open Banking
AltoAPIs obligatorias
BajoConsumidor
MedioMejor acceso
Fraude
AltoIBAN check
MedioCompartir datos
BajoAdaptación
Contacto

Reserva una llamada

Cuéntanos tu situación y te explicamos cómo preparar tu entidad para la PSD3 y el nuevo PSR.

PSD3 y PSR: el nuevo marco europeo de servicios de pago

La Tercera Directiva de Servicios de Pago (PSD3) y el Reglamento de Servicios de Pago (PSR) representan la mayor reforma del marco regulatorio de pagos en la Unión Europea desde la aprobación de la PSD2 en 2015. La propuesta, publicada por la Comisión Europea en junio de 2023, responde a las deficiencias detectadas en la aplicación de la PSD2 y a la evolución acelerada del mercado de pagos digitales.

¿Por qué se necesita la PSD3?

La PSD2 introdujo el open banking y la autenticación reforzada (SCA), pero su implementación reveló problemas: transposición nacional divergente, APIs bancarias de baja calidad, aumento del fraude online (especialmente por suplantación de identidad) y un régimen de licencias fragmentado entre entidades de pago y de dinero electrónico. La PSD3 y el PSR abordan estos problemas mediante un doble instrumento legislativo: una directiva para la supervisión y licencias, y un reglamento de aplicación directa para las normas operativas.

Principales novedades de la PSD3/PSR

Entre los cambios más relevantes destacan: la fusión de los regímenes de entidades de pago y dinero electrónico en una única categoría regulatoria; el acceso de entidades de pago a sistemas de pago como TARGET; la mejora del open banking con APIs obligatorias y dashboards de rendimiento; la verificación IBAN-nombre obligatoria; la responsabilidad compartida en fraudes por suplantación; y un régimen sancionador armonizado a nivel europeo.

Coordinación con DORA, MiCA y FIDA

La PSD3 no actúa de forma aislada. Se integra con el Reglamento DORA (resiliencia operativa digital), el Reglamento MiCA (criptoactivos y tokens de dinero electrónico) y la propuesta de Reglamento FIDA (acceso a datos financieros para open finance). Las entidades reguladas deben evaluar el impacto combinado de estas normas en su modelo de negocio, gobernanza y sistemas tecnológicos.

Calendario estimado y preparación

Se espera que el texto definitivo se apruebe entre 2025 y 2026, con entrada en vigor efectiva entre 2027 y 2028. Las entidades que anticipen la adaptación —gap analysis, revisión de licencias, adecuación de APIs, protocolos antifraude y formación— partirán con ventaja competitiva y regulatoria.

PSD3 PSR PSD2 SCA Open Banking FIDA DORA MiCA

Servicios relacionados

Regulación Fintech Licencia de entidad de pago Prevención de Blanqueo (PBC/FT) Corporate Compliance

Regulación financiera

MiCA y criptoactivos Regulación Mercado de Valores Criptoactivos y Blockchain Bancarización de criptomonedas

Recursos y blog

Blog: artículos sobre regulación y compliance Auditoría PBC/FT Informe de Experto Externo