Regulación Fintech y Licencias de Pago

Asesoramiento legal para empresas fintech que necesitan operar con respaldo regulatorio: licencias de entidad de pago o dinero electrónico, autorización ante el Banco de España, cumplimiento PSD2, open banking y DORA.

Contactar

Consulta gratuita Fintech

Te respondemos en menos de 24 h

Perfiles

Regulación adaptada a cada modelo fintech

Entidades de pago, EMIs, PISPs, AISPs o fintechs en fase de lanzamiento: cada modelo tiene requisitos, plazos y evidencias distintas ante el Banco de España.

Entidades de pago

Licencia de entidad de pago paso a paso

"Acompañamos desde la definición del modelo hasta la autorización: estructura societaria, capital, manual de control interno y programa de actividades."

EMI / Dinero electrónico

Autorización como entidad de dinero electrónico

"Diseñamos el expediente completo para la licencia EMI: capital, salvaguarda de fondos, política AML, DORA y estructura de gobierno adecuada al regulador."

PSD2 / Open banking

PISP, AISP y open banking

"Estructuramos el encaje regulatorio de servicios de iniciación de pagos y agregación de cuentas: registro, requisitos técnicos y contratos con bancos."

Compliance fintech

Cumplimiento regulatorio continuo

"Implantamos y mantenemos el sistema de cumplimiento: AML/PBC, DORA, políticas internas, órgano de control y soporte ante inspecciones."

Consecuencias

¿Por qué actuar ahora en regulación fintech?

Operar sin licencia, incumplir PSD2 o no adaptarse a DORA tiene consecuencias regulatorias directas: cese de actividad, sanciones y pérdida de partners.

Operar servicios de pago sin licencia del Banco de España es infracción muy grave: paralización inmediata y sanciones millonarias.

DORA es obligatorio desde enero 2025: las entidades financieras y proveedores TIC críticos deben acreditar resiliencia operativa o afrontar medidas supervisoras.

Bancos y partners exigen licencia activa antes de integrar una fintech: sin ella, los acuerdos comerciales se bloquean indefinidamente.

PSD2 / Banco de España Cese de actividad

Operación sin licencia: infracción muy grave con cese inmediato, multas cuantiosas y responsabilidad personal de administradores.

SCA / Incidentes Bloqueo de integraciones

El incumplimiento técnico de PSD2 (SCA, gestión de incidentes) tiene consecuencias regulatorias directas y bloquea integraciones con bancos.

Venture Capital Ronda acelerada

Los inversores valoran el estado regulatorio como criterio de inversión: una licencia en trámite o activa acelera la ronda y mejora la valoración.

¿Quieres lanzar tu fintech con la licencia adecuada?

Te ayudamos a identificar la licencia correcta, tramitar la autorización ante el Banco de España, implantar el cumplimiento PSD2/DORA y operar con total seguridad regulatoria.

Quiero mi presupuesto fintech
Preguntas frecuentes

Regulación fintech: dudas habituales

¿Qué es una entidad de pago y cuándo necesito licencia?

Una entidad de pago es una persona jurídica autorizada para prestar servicios de pago de forma profesional: transferencias, domiciliaciones, pagos con tarjeta, remesas o servicios de iniciación de pagos.

Si tu fintech gestiona fondos de terceros o procesa pagos en la UE de forma habitual, necesitas licencia del Banco de España antes de operar.

¿Cuál es la diferencia entre entidad de pago y dinero electrónico?

La entidad de dinero electrónico (EMI) puede emitir dinero electrónico además de prestar servicios de pago. La entidad de pago (EP) solo presta servicios de pago.

Si tu modelo incluye wallets, tarjetas prepago o saldos almacenados en nombre del cliente, necesitas licencia EMI.

¿Qué obliga PSD2 a las fintechs?

PSD2 establece el marco regulatorio de los servicios de pago en Europa:

  • Autenticación reforzada del cliente (SCA) en accesos y pagos.
  • Acceso a cuentas bancarias a través de APIs abiertas (open banking).
  • Notificación de incidentes operativos y de seguridad al Banco de España.
  • Contratos con entidades de crédito para acceso a sistemas de pago.
  • Transparencia informativa a usuarios sobre condiciones y comisiones.
¿Qué es DORA y a quién afecta?

El Reglamento DORA (Digital Operational Resilience Act) es obligatorio desde enero de 2025 para todas las entidades financieras reguladas en la UE y sus proveedores TIC críticos.

Exige un marco de gestión del riesgo TIC, política de continuidad, registro y notificación de incidentes, pruebas de resiliencia y supervisión de proveedores tecnológicos externos.

¿Qué son PISP y AISP en open banking?

Son dos figuras reguladas bajo PSD2:

  • PISP (Payment Initiation Service Provider): inicia pagos desde la cuenta bancaria del cliente hacia un beneficiario, sin pasar por tarjeta.
  • AISP (Account Information Service Provider): agrega información de múltiples cuentas bancarias para ofrecer una visión financiera consolidada.

Ambas requieren registro ante el Banco de España y cumplimiento de requisitos técnicos y contractuales específicos.

¿Cuánto tarda y qué cuesta obtener una licencia de entidad de pago?

El plazo legal es de 3 meses desde el expediente completo, aunque en la práctica puede extenderse entre 6 y 12 meses.

El capital mínimo requerido oscila entre 20.000 € y 125.000 € según los servicios a prestar. Un expediente bien preparado reduce significativamente los tiempos y requerimientos adicionales.

¿Puedo operar mientras tramito la licencia?

Con carácter general, no. La prestación de servicios de pago sin autorización previa es una infracción muy grave.

La alternativa habitual mientras se tramita la licencia propia es operar bajo el paraguas de una entidad de pago ya autorizada mediante un acuerdo de agente o distribución regulada.

¿Qué ventajas tiene obtener la licencia propia frente a operar como agente?

Con licencia propia controlas tu operativa, relación con el regulador, expansión europea (pasaporte) y valoración ante inversores. Como agente, dependes de las políticas, tiempos y decisiones de la entidad principal.

La licencia propia es un activo estratégico: mejora la posición negociadora con bancos, partners y en rondas de inversión.

Guía operativa

Guía práctica de regulación fintech

Obtener una licencia fintech no es solo "presentar papeles": es un proceso que requiere modelo de negocio definido, estructura regulatoria sólida y un programa de cumplimiento que funcione desde el día uno.

Licencia

Qué persigue la regulación fintech

Garantizar que las empresas que gestionan fondos de terceros, procesan pagos o emiten dinero electrónico operan con controles adecuados, protección del usuario y supervisión continua.

PSD2 / DORA

Controles mínimos exigibles

Salvaguarda de fondos, autenticación reforzada (SCA), gestión de incidentes, resiliencia TIC (DORA), AML/PBC, reporting al regulador y transparencia al usuario.

Evidencias

Lo que marca la diferencia

Un expediente bien preparado, políticas aplicables desde el día uno, gobierno interno real y evidencias de cumplimiento son lo que acelera la autorización y sostiene la operativa.

Checklist de autorización fintech en 8 pasos

  1. Definir modelo de negocio: servicios de pago a prestar y figura regulatoria (EP, EMI, PISP, AISP, agente).
  2. Constituir la sociedad y desembolsar el capital mínimo según tipología de licencia.
  3. Elaborar programa de actividades, manual de control interno y políticas de salvaguarda de fondos.
  4. Diseñar el sistema AML/PBC: KYC, monitorización, reporting y órgano de control interno.
  5. Preparar cumplimiento PSD2: SCA, gestión de incidentes, contratos con entidades de crédito.
  6. Implantar DORA: gestión del riesgo TIC, política de continuidad, proveedores críticos y pruebas de resiliencia.
  7. Presentar expediente ante el Banco de España y gestionar el proceso de revisión.
  8. Operar con cumplimiento continuo: auditorías periódicas, reporting y mejora del sistema.

Si necesitas licencia fintech o cumplimiento regulatorio, consulta nuestros servicios fintech o solicita un presupuesto.

Playbook Fintech

Regulación fintech en la práctica

Obligación
Qué se espera
Evidencia típica

Autorización / Registro

Obtener licencia EP, EMI o registro PISP/AISP antes de operar servicios de pago.

Expediente completo, resolución del Banco de España, inscripción en registro oficial.

Salvaguarda de fondos

Segregar y proteger los fondos de clientes según el régimen aplicable (EP o EMI).

Cuenta segregada, póliza de seguro o garantía bancaria, reporting periódico.

PSD2 / SCA

Autenticación reforzada, gestión de incidentes, transparencia y acceso a APIs bancarias.

Política SCA, registro de incidentes, contratos con bancos, reporting al regulador.

DORA

Resiliencia operativa digital: gestión del riesgo TIC, continuidad y proveedores críticos.

Marco TIC, política de continuidad, registro de incidentes, evaluación de proveedores, pruebas.

AML/PBC + auditoría

KYC, monitorización, reporting y gobierno del sistema de prevención de blanqueo.

Manual AML, expedientes KYC, alertas, actas OCI, auditorías periódicas.

Señales de riesgo típicas en fintechs

Indicadores que pueden derivar en bloqueo de la autorización o medidas supervisoras.

  • Prestar servicios de pago sin licencia o registro previo ante el Banco de España.
  • Fondos de clientes no segregados o sin mecanismo de salvaguarda formalizado.
  • Ausencia de política SCA o gestión de incidentes no documentada.
  • Proveedores TIC críticos sin evaluación ni contratos adecuados (DORA).
  • Modelo de negocio sin encaje regulatorio claro: operar "en gris" retrasa todo.
Diccionario operativo

Conceptos clave en regulación fintech

Si estás lanzando o escalando tu fintech, estos términos aparecen en expedientes, auditorías y en la relación con el Banco de España.

EPLicencia

Entidad de pago

Persona jurídica autorizada para prestar servicios de pago: transferencias, domiciliaciones, pagos con tarjeta, remesas e iniciación de pagos.

Capital mínimo: 20.000 € – 125.000 € según servicios.
EMILicencia

Entidad de dinero electrónico

Puede emitir dinero electrónico (valor monetario almacenado digitalmente) además de prestar servicios de pago. Requiere licencia con requisitos de capital superiores.

Capital mínimo: 350.000 €.
PSD2Directiva UE

Directiva de Servicios de Pago 2

Marco regulatorio europeo de servicios de pago: SCA, open banking, transparencia, gestión de incidentes y acceso a sistemas de pago.

Clave: SCA + APIs + reporting.
SCASeguridad

Strong Customer Authentication

Autenticación reforzada del cliente exigida por PSD2 para accesos y pagos: al menos dos factores de autenticación independientes.

Evidencia: política + implementación técnica.
PISPOpen banking

Payment Initiation Service Provider

Proveedor que inicia pagos desde la cuenta bancaria del cliente hacia un beneficiario, sin pasar por tarjeta. Requiere registro ante el Banco de España.

Útil para: pagos directos, e-commerce, B2B.
AISPOpen banking

Account Information Service Provider

Proveedor que agrega información de múltiples cuentas bancarias para ofrecer una visión financiera consolidada al usuario.

Útil para: PFM, scoring, agregación financiera.
DORAResiliencia

Digital Operational Resilience Act

Reglamento UE obligatorio desde 2025: gestión del riesgo TIC, continuidad, incidentes, pruebas de resiliencia y supervisión de proveedores críticos.

Aplica a: EP, EMI, ESI y proveedores TIC.
SalvaguardaFondos

Protección de fondos de clientes

Obligación de segregar y proteger los fondos recibidos de clientes mediante cuenta segregada, póliza de seguro o garantía bancaria.

Evidencia: cuenta + contrato + reporting.
PasaporteExpansión UE

Pasaporte europeo

Con licencia EP o EMI en un Estado miembro, la entidad puede operar en toda la UE mediante notificación al regulador de destino, sin nueva autorización.

Clave: notificación + requisitos locales.
Contacto

Reserva una llamada

Cuéntanos tu modelo de negocio fintech y te explicamos qué licencia necesitas y cómo obtenerla.

Marco normativo fintech en España y la UE: PSD2, DORA y licencias de pago

La regulación de las empresas fintech en España se articula a través de la Ley 16/2009 de servicios de pago, el Real Decreto-ley 19/2018 (transposición de PSD2), la normativa de dinero electrónico y, desde 2025, el Reglamento DORA sobre resiliencia operativa digital. El Banco de España es el supervisor que autoriza y registra a las entidades de pago, entidades de dinero electrónico, PISPs y AISPs.

Licencias de entidad de pago y dinero electrónico

Las entidades de pago (EP) necesitan autorización del Banco de España para prestar servicios de pago de forma profesional. Las entidades de dinero electrónico (EMI) requieren licencia adicional para emitir dinero electrónico. Ambas figuras están sujetas a requisitos de capital, salvaguarda de fondos, gobierno interno y cumplimiento AML/PBC.

PSD2 y open banking

La Directiva PSD2 establece el marco regulatorio de los servicios de pago en Europa, incluyendo la autenticación reforzada (SCA), el acceso a cuentas bancarias vía APIs abiertas (open banking) y la creación de nuevas figuras como PISP y AISP. Su cumplimiento es condición necesaria para operar y mantener integraciones con entidades de crédito.

DORA: resiliencia operativa digital

El Reglamento DORA exige desde enero de 2025 que todas las entidades financieras reguladas (incluidas EP y EMI) y sus proveedores TIC críticos acrediten un marco de gestión del riesgo TIC, política de continuidad, registro de incidentes y supervisión de proveedores tecnológicos externos.

PSD2 DORA Banco de España Ley 16/2009 RD-ley 19/2018 SCA Open banking PISP / AISP

Servicios fintech

Licencia de entidad de pago Licencia de dinero electrónico (EMI) Cumplimiento PSD2 Open banking: PISP y AISP Compliance fintech integral Resiliencia operativa DORA

Temas relacionados

¿Qué licencia fintech necesito? Licencia bancaria Banco digital Licencia PSP Crear fintech Abogado fintech Asesoría fintech Autorización bancaria Autorización Banco de España Crear banco en España PISP AISP

Áreas relacionadas

Prevención de Blanqueo (AML/PBC) Criptoactivos y Blockchain Regulación Mercado de Valores Corporate Compliance Blog