PSD3 i PSR: Implicacions Clau per a Fintechs i PSPs (CA)

La Segona Directiva de Serveis de Pagament (PSD2) de la UE va transformar els pagaments europeus. La PSD3 —i la seva regulació complementària, la Regulació de Serveis de Pagament (PSR)— va més enllà: trasllada la responsabilitat per frau de manera més directa als proveïdors de serveis de pagament (PSP), endureix l'Autenticació Reforçada de Client (SCA), exigeix la verificació IBAN-nom i formalitza l'intercanvi de dades de frau entre sectors. Per a les fintechs, neobancs i PSPs, és alhora una càrrega de compliment i una barrera competitiva.

La PSD3 és una directiva (els estats membres la transposen); la PSR és una regulació (aplicable directament a tota la UE). Juntes substitueixen la PSD2 i creen un marc legal més uniforme: la majoria de les normes operatives es troben a la PSR, que s'aplica directament un cop entra en vigor, mentre que els estats membres tenen un període de transposició per a la PSD3. Tracteu els terminis com a indicatius i seguiu-los a través de les fonts oficials de la UE.

Què canvia realment

1. Responsabilitat per frau — frau APP i el PSP del beneficiari

Un canvi estructural significatiu és l'extensió de la responsabilitat al PSP del beneficiari (la institució que rep el pagament fraudulent) en casos de frau APP. Sota la PSD2, l'enfocament era gairebé exclusivament en el PSP de l'ordenant; el nou marc introdueix la compartició de responsabilitat: si el PSP del beneficiari no va actuar davant els senyals que el compte receptor s'utilitzava per a frau, assumeix una part de la pèrdua. Els PSP de totes dues parts necessiten ara millors senyals de frau, no només l'autenticació per part de l'ordenant.

2. Autenticació Reforçada de Client — normes més clares, abast més estricte

Les normes SCA de la PSD2 eren correctes en principi, però complicades en la pràctica. La PSD3/PSR aclareix:

• Delegació d'autenticació: un PSP pot delegar l'SCA a un tercer de manera més neta — important per als fluxos integrats en comerços i proveïdors de carteres.
• Marc d'exempció: les exempcions d'anàlisi de risc de transacció (TRA) i els llindars de baix valor s'endureixen — les exempcions requereixen models de risc documentats, i els enfocaments generals de baixa fricció són objecte d'escrutini.
• Comptes corporatius: les grans corporacions que utilitzen protocols de pagament dedicats obtenen una via d'exempció més definida.
• SCA per a l'accés al compte: el requisit de reautenticació silenciosa de 90 dies que frustrava els fluxos de banca oberta de la PSD2 es racionalitza.

La definició tècnica no ha canviat; el que sí que canvia és qui és responsable quan l'SCA falla o s'eximeix incorrectament.

3. Verificació del Beneficiari — IBAN-nom obligatori

La Verificació del Beneficiari requereix que el PSP de l'ordenant comprovi que el nom associat a una instrucció de pagament coincideix amb el nom registrat a l'IBAN de destinació abans de l'execució. En cas de no coincidència, el PSP ha d'advertir l'ordenant; si l'ordenant procedeix de totes maneres, la responsabilitat recau sobre ell. La PSR mou la VoP d'una opció nacional a un requisit paneuropeu amb APIs i codis de resposta estandarditzats — de manera que un PSP d'un ordenant a Espanya pot verificar un IBAN d'un beneficiari a Polònia. Per als PSPs, això significa una cerca en temps real del nom del beneficiari abans de l'execució.

4. Intercanvi de dades de frau — interoperabilitat obligatòria

Sota la PSD3, els PSPs estaran obligats a participar en marcs d'intercanvi d'intel·ligència sobre frau. Els acords bilaterals voluntaris se substitueixen per un requisit d'interoperabilitat regulat: les institucions han de poder rebre i actuar sobre els senyals de frau d'altres PSPs. Els estàndards tècnics de l'EBA concretaran els detalls.

5. Accés a la banca oberta — menys obstacles per als TPPs

La PSD2 va crear el dret legal perquè els proveïdors de tercers (TPPs) accedissin als comptes de pagament mitjançant APIs; la PSD3 l'amplia i el fa complir. Les interfícies dedicades han de complir els estàndards de rendiment (disponibilitat, latència, completesa de dades), s'elimina el recurs al screen-scraping per a interfícies conformes i els TPPs obtenen fluxos de consentiment més clars.

Què significa operativament la PSD3 per a fintechs i PSPs

Les disposicions es tradueixen en requisits concrets al llarg del cicle de vida. En l'onboarding, les comprovacions d'identitat febles minven la posició de responsabilitat del PSP receptor; un KYC robust és la primera línia de defensa. En l'autenticació, un PIN de quatre dígits amb un OTP per SMS és compatible, però cada vegada més arriscat; la biometria facial proporciona una major seguretat. En l'execució del pagament, la VoP implica una trucada a l'API de concordança de noms abans d'enviar — bloqueig, no post-hoc. En el seguiment continu, les disposicions del PSP del beneficiari fan que el seguiment d'entrada sigui tan important com el de sortida — concordança de patrons en temps real, no revisions per lots.

Com ajuda Didit

Didit és una infraestructura per a la identitat i el frau — una API que cobreix l'autenticació, la verificació i el seguiment. Els mòduls que s'ajusten als requisits de la PSD3/PSR ja estan operatius.

Autenticació biomètrica de grau SCA

L'SCA requereix “inherència” com un factor. El mòdul de Biometric Authentication de Didit (0,10 $) ofereix concordança facial en viu amb la biometria KYC original, no només una cara amb si mateixa. Combinat amb l'enllaç de dispositius, satisfà la inherència a un nivell que l'SCA passiva basada en PIN no fa. La mateixa pila està disponible com a Active Liveness (0,15 $) o Passive Liveness (0,10 $).

Verificació d'identitat en l'onboarding

El flux central de KYC — Verificació d'ID + Liveness Passiva + Concordança Facial + Anàlisi d'IP/Dispositiu — s'executa a 0,33 $ per comprovació, cobreix més de 14.000 tipus de documents en més de 220 països i es completa en menys de 2 segons. Proporciona una identitat verificada per ancorar la reautenticació, a més d'un registre d'auditoria de la diligència deguda. Didit és l'únic proveïdor d'identitat formalment certificat per un govern d'un estat membre de la UE — Tresor, Banc d'Espanya (BdE) i SEPBLAC — com a més segur que la verificació presencial, la qual cosa és important per demostrar el compliment als supervisors. La Lectura NFC (0,15 $) afegeix la verificació de xips per a documents amb NFC — el nivell de màxima seguretat.

Filtratge AML

La PSD3 accentua les conseqüències d'incorporar clients o empreses vinculades a delictes financers. El Filtratge AML de Didit (0,20 $) s'executa en temps real contra més de 1.300 llistes de sancions, PEP i mitjans adversos. El Seguiment AML Continu (0,07 $/usuari/any) torna a filtrar la població inscrita de manera continuada — si un perfil de risc canvia després de l'onboarding, ho sabeu abans de la pròxima transacció.

Seguiment de Transaccions

Les disposicions del PSP del beneficiari fan que el seguiment continu dels fluxos d'entrada sigui un requisit de la PSD3 en tots els sentits. El Seguiment de Transaccions de Didit (0,02 $ per transacció) executa un motor de regles en temps real — 11 paquets de regles predefinides que cobreixen velocitat, anomalies de quantitat, geografia i patrons de comportament — amb gestió de casos, flux de treball SAR i un bucle d'autoremediació AWAITING_USER que sol·licita proves d'identitat addicionals sense intervenció manual. El filtratge AML en transaccions marcades es factura a 0,20 $ quan s'activa, mantenint el cost base baix per a fluxos nets.

Anàlisi de Dispositius i IP

El frau APP i la suplantació de comptes es basen en contextos de dispositius falsificats. L'Anàlisi de Dispositius i IP de Didit (0,03 $) s'executa automàticament en cada sessió de verificació, retornant l'empremta digital del dispositiu, senyals de duplicitat de dispositius, detecció de VPN/proxy/Tor i advertències de no coincidència geo-document — un senyal de comportament que complementa la comprovació de credencials d'identitat.

Casos d'ús

Onboarding de neobancs. Executeu el flux central de KYC durant el registre — document + liveness + concordança facial + anàlisi de dispositius — per a una identitat verificada, referència biomètrica i enllaç de dispositius abans que s'obri el compte. La biometria inscrita esdevé el factor d'inherència SCA per a l'autenticació posterior.

Prevenció de frau APP — PSP del beneficiari. Executeu un paquet de regles de seguiment de transaccions en pagaments entrants per sobre d'un llindar; els comptes que reben múltiples transferències de diferents remitents en una finestra curta es mostren per a revisió, amb Linked KYB afegint context AML d'entitat en comptes empresarials.

Elevació d'SCA per a pagaments d'alt valor. Quan TRA marca un pagament per a elevació, activeu una comprovació de Biometric Authentication — concordança facial amb la identitat inscrita — en lloc d'un OTP per SMS, per a una major seguretat i un registre d'auditoria. El mateix flux re-verifica comptes inactius abans de la reactivació, comparats amb la biometria d'onboarding original.

Preguntes freqüents

Quan s'aplica la PSD3?

La PSD3 és una directiva — els estats membres han de transposar-la a la legislació nacional dins d'un període definit després de l'adopció formal. La PSR, com a regulació, s'aplica directament un cop entra en vigor. El procés encara està en marxa a les institucions de la UE a mitjans de 2026; consulteu les publicacions oficials de la Comissió Europea i l'EBA per als terminis actuals en lloc de fonts secundàries.

Quina diferència hi ha entre la PSD3 i la PSR?

La PSD3 és una directiva que estableix el marc — llicències, passaportació, drets d'accés — i requereix que els estats membres aprovin legislació nacional. La PSR és una regulació que s'aplica directament i uniformement sense transposició, i conté la majoria de les normes operatives (SCA, responsabilitat per frau, VoP, intercanvi de dades).

La PSD3 s'aplica als PSPs de criptoactius?

Els serveis de pagament que involucren criptoactius estan dins de l'abast quan la transacció implica una conversió a fiat o un compte de pagament regulat. Les transferències pures de cripto a cripto que no afecten comptes de pagament regulats es troben sota MiCA (Regulació dels Mercats de Criptoactius). Les empreses que abasten ambdós han d'avaluar les obligacions sota ambdues.

Què es considera SCA sota la PSD3?

L'SCA requereix almenys dos factors independents de diferents categories: coneixement (PIN, contrasenya), possessió (dispositiu, testimoni) i inherència (biometria). Un escaneig facial confirma la inherència; un testimoni vinculat al dispositiu confirma la possessió. Un PIN i una contrasenya memoritzada són ambdós coneixement — això no és SCA.

Hem d'implementar la Verificació del Beneficiari abans que la PSD3 entri en vigor?

Per a les Transferències de Crèdit Instantànies sota la Regulació de Pagaments Instantanis de la UE, els requisits de verificació IBAN-nom ja s'apliquen abans del calendari complet de la PSD3/PSR. Si processeu transferències de crèdit instantànies a beneficiaris de la UE, les obligacions de VoP ja podrien estar actives — consulteu la guia de la vostra autoritat competent nacional.

Preparat per començar?

El compliment de la PSD3 és multicapa — identitat en l'onboarding, autenticació biomètrica en l'elevació, AML i seguiment de transaccions post-aprovació. Didit cobreix tota la pila des d'una única API, amb preus públics i sense mínims.

• Coneix la plataforma → Didit docs
• Veure el producte → Verificació d'Usuaris · Seguiment de Transaccions
• Comprova el preu → Preus — Flux central de KYC a 0,33 $, TM a 0,02 $/transacció, 500 verificacions gratuïtes/mes
• Comença gratis → business.didit.me