PSD3 y PSR: Cambios Clave para Fintechs y PSPs (ES)

La Segunda Directiva de Servicios de Pago (PSD2) de la UE transformó los pagos europeos. La PSD3 —y su regulación complementaria, la Regulación de Servicios de Pago (PSR)— va más allá: traslada la responsabilidad por fraude de manera más directa a los proveedores de servicios de pago (PSP), endurece la Autenticación Reforzada de Clientes (SCA), exige la verificación de IBAN-nombre y formaliza el intercambio de datos de fraude entre industrias. Para las fintechs, neobancos y PSPs, esto representa tanto una carga de cumplimiento como una ventaja competitiva.

La PSD3 es una directiva (los estados miembros la transponen); la PSR es una regulación (directamente aplicable en toda la UE). Juntas, reemplazan la PSD2 y crean un marco legal más uniforme —la mayoría de las reglas operativas se encuentran en la PSR, que se aplica directamente una vez que entra en vigor, mientras que los estados miembros tienen un período de transposición para la PSD3. Considere los plazos como indicativos y sígalos a través de las fuentes oficiales de la UE.

Qué cambia realmente

1. Responsabilidad por fraude — fraude APP y el PSP del beneficiario

Un cambio estructural significativo es la extensión de la responsabilidad al PSP del beneficiario (la institución que recibe el pago fraudulento) en casos de fraude APP (Authorized Push Payment). Bajo la PSD2, el enfoque estaba casi completamente en el PSP del ordenante; el nuevo marco introduce el reparto de responsabilidad —donde el PSP del beneficiario no actuó ante las señales de que la cuenta receptora estaba siendo utilizada para fraude, asume una parte de la pérdida. Los PSP de ambos lados ahora necesitan mejores señales de fraude, no solo autenticación por parte del ordenante.

2. Autenticación Reforzada de Clientes — reglas más claras, alcance más estricto

Las reglas de SCA de la PSD2 eran correctas en principio pero complicadas en la práctica. PSD3/PSR clarifica:

• Delegación de autenticación: un PSP puede delegar la SCA a un tercero de manera más limpia —importante para flujos integrados en comercios y proveedores de billeteras.
• Marco de exención: las exenciones por análisis de riesgo de transacciones (TRA) y los umbrales de bajo valor se endurecen —las exenciones requieren modelos de riesgo documentados, y los enfoques generalizados de baja fricción son objeto de escrutinio.
• Cuentas corporativas: las grandes corporaciones que utilizan protocolos de pago dedicados obtienen una ruta de exención más definida.
• SCA para el acceso a cuentas: el requisito de reautenticación silenciosa de 90 días que frustró los flujos de banca abierta de la PSD2 se racionaliza.

La definición técnica no ha cambiado; lo que cambia es quién es responsable cuando la SCA falla o se exime incorrectamente.

3. Verificación del Beneficiario — IBAN-nombre obligatorio

La Verificación del Beneficiario requiere que el PSP del ordenante verifique que el nombre asociado a una instrucción de pago coincide con el nombre registrado en el IBAN de destino antes de la ejecución. En caso de discrepancia, el PSP debe advertir al ordenante; si el ordenante procede de todos modos, la responsabilidad recae en él. La PSR transforma la VoP de una opción nacional a un requisito paneuropeo con APIs y códigos de respuesta estandarizados —así, un PSP del ordenante en España puede verificar un IBAN de beneficiario en Polonia. Para los PSPs, esto significa una búsqueda en tiempo real del nombre del beneficiario antes de la ejecución.

4. Intercambio de datos de fraude — interoperabilidad obligatoria

Bajo la PSD3, los PSPs deberán participar en marcos de intercambio de inteligencia de fraude. Los acuerdos bilaterales voluntarios se reemplazan por un requisito de interoperabilidad regulado: las instituciones deben poder recibir y actuar sobre las señales de fraude de otros PSPs. Los estándares técnicos de la EBA detallarán esta disposición.

5. Acceso a la banca abierta — menos obstáculos para los TPPs

La PSD2 creó el derecho legal para que los proveedores de servicios de terceros (TPPs) accedieran a las cuentas de pago a través de APIs; la PSD3 lo extiende y lo hace cumplir. Las interfaces dedicadas deben cumplir con los estándares de rendimiento (tiempo de actividad, latencia, completitud de datos), se elimina el respaldo de screen-scraping para interfaces conformes, y los TPPs obtienen flujos de consentimiento más claros.

Qué significa operativamente la PSD3 para fintechs y PSPs

Las disposiciones se traducen en requisitos concretos a lo largo del ciclo de vida. En la incorporación, las comprobaciones de identidad débiles debilitan la posición de responsabilidad del PSP receptor; un KYC robusto es la primera línea de defensa. En la autenticación, un PIN de cuatro dígitos con un OTP por SMS es compatible pero cada vez más arriesgado; la coincidencia biométrica facial proporciona una mayor seguridad. En la ejecución del pago, la VoP implica una llamada a la API de coincidencia de nombres antes del envío —bloqueo, no post-hoc. En la monitorización continua, las disposiciones del PSP del beneficiario hacen que la monitorización de entrada sea tan importante como la de salida —coincidencia de patrones en tiempo real, no revisiones por lotes.

Cómo ayuda Didit

Didit es infraestructura para identidad y fraude —una API que cubre autenticación, verificación y monitorización. Los módulos que se corresponden con los requisitos de PSD3/PSR ya están activos.

Autenticación biométrica de grado SCA

La SCA requiere la "inherencia" como uno de los factores. El módulo de Autenticación Biométrica de Didit (0,10 $) ofrece coincidencia facial en vivo contra la biometría KYC original, no solo una cara contra sí misma. Combinado con la vinculación de dispositivos, satisface la inherencia a un nivel que la SCA pasiva basada en PIN no lo hace. La misma pila está disponible como Liveness Activa (0,15 $) o Liveness Pasiva (0,10 $).

Verificación de identidad en la incorporación

El flujo KYC central —Verificación de ID + Liveness Pasiva + Coincidencia Facial + Análisis de IP/Dispositivo— se ejecuta a 0,33 $ por verificación, cubre más de 14.000 tipos de documentos en más de 220 países y se completa en menos de 2 segundos. Le proporciona una identidad verificada para anclar la reautenticación, además de un registro de auditoría de la debida diligencia. Didit es el único proveedor de identidad formalmente certificado por un gobierno de un estado miembro de la UE —el Tesoro, el Banco de España (BdE) y el SEPBLAC de España— como más seguro que la verificación en persona, lo que es importante al demostrar el cumplimiento a los supervisores. La Lectura NFC (0,15 $) añade la verificación de chip para documentos habilitados para NFC —el nivel de mayor seguridad.

Detección de AML

La PSD3 agudiza las consecuencias de incorporar clientes o empresas vinculadas a delitos financieros. La detección de AML de Didit (0,20 $) se ejecuta en tiempo real contra más de 1.300 listas de sanciones, PEP y medios adversos. La monitorización continua de AML (0,07 $/usuario/año) vuelve a examinar la población inscrita de forma continua —si un perfil de riesgo cambia después de la incorporación, usted lo sabe antes de la siguiente transacción.

Monitorización de transacciones

Las disposiciones del PSP del beneficiario hacen que la monitorización continua de los flujos de entrada sea un requisito de la PSD3 en todo menos en el nombre. La Monitorización de Transacciones de Didit (0,02 $ por transacción) ejecuta un motor de reglas en tiempo real —11 paquetes de reglas preestablecidos que cubren velocidad, anomalías de cantidad, geografía y patrones de comportamiento— con gestión de casos, flujo de trabajo SAR y un bucle de remediación automática AWAITING_USER que solicita evidencia de identidad adicional sin intervención manual. La detección de AML en transacciones señaladas se factura a 0,20 $ cuando se activa, manteniendo el costo base bajo para flujos limpios.

Análisis de dispositivo e IP

El fraude APP y la toma de control de cuentas dependen de contextos de dispositivos falsificados. El Análisis de Dispositivo e IP de Didit (0,03 $) se ejecuta automáticamente en cada sesión de verificación, devolviendo la huella digital del dispositivo, señales de dispositivos duplicados, detección de VPN/proxy/Tor y advertencias de discrepancia geo-documento —una señal de comportamiento que complementa la verificación de credenciales de identidad.

Casos de uso

Incorporación de Neobancos. Ejecute el flujo KYC central al registrarse —documento + liveness + coincidencia facial + análisis de dispositivo— para obtener una identidad verificada, referencia biométrica y vinculación de dispositivo antes de que se abra la cuenta. La biometría inscrita se convierte en el factor de inherencia SCA para una autenticación posterior.

Prevención de fraude APP — PSP del beneficiario. Ejecute un paquete de reglas de Monitorización de Transacciones en pagos entrantes por encima de un umbral; las cuentas que reciben múltiples transferencias de diferentes remitentes en un corto período de tiempo se revisan, con Linked KYB añadiendo contexto AML de entidad en cuentas comerciales.

SCA de paso para pagos de alto valor. Cuando TRA marca un pago para un paso adicional, active una verificación de Autenticación Biométrica —coincidencia facial contra la identidad inscrita— en lugar de un OTP por SMS, para una mayor seguridad y un registro de auditoría. El mismo flujo vuelve a verificar las cuentas inactivas antes de la reactivación, comparado con la biometría original de incorporación.

Preguntas frecuentes

¿Cuándo se aplica la PSD3?

La PSD3 es una directiva —los estados miembros deben transponerla a la legislación nacional dentro de un período definido después de su adopción formal. La PSR, como regulación, se aplica directa y uniformemente sin transposición, y contiene la mayoría de las reglas operativas (SCA, responsabilidad por fraude, VoP, intercambio de datos). El proceso aún está en curso en las instituciones de la UE a mediados de 2026; consulte las publicaciones oficiales de la Comisión Europea y la EBA para obtener los plazos actuales en lugar de fuentes secundarias.

¿Cuál es la diferencia entre la PSD3 y la PSR?

La PSD3 es una directiva que establece el marco —licencias, pasaportes, derechos de acceso— y requiere que los estados miembros promulguen legislación nacional. La PSR es una regulación que se aplica directa y uniformemente sin transposición, y contiene la mayoría de las reglas operativas (SCA, responsabilidad por fraude, VoP, intercambio de datos).

¿La PSD3 se aplica a los PSP de criptomonedas?

Los servicios de pago que involucran criptoactivos están dentro del alcance cuando la transacción implica una conversión de fiat o una cuenta de pago regulada. Las transferencias puramente de cripto a cripto que no involucran cuentas de pago reguladas se rigen por MiCA (Regulación de Mercados de Criptoactivos). Las empresas que abarcan ambos deben evaluar las obligaciones bajo ambas.

¿Qué se considera SCA bajo la PSD3?

La SCA requiere al menos dos factores independientes de diferentes categorías: conocimiento (PIN, contraseña), posesión (dispositivo, token) e inherencia (biométrico). Un escaneo facial confirma la inherencia; un token vinculado al dispositivo confirma la posesión. Un PIN y una contraseña memorizada son ambos conocimiento —eso no es SCA.

¿Necesitamos implementar la Verificación del Beneficiario antes de que entre en vigor la PSD3?

Para las Transferencias de Crédito Instantáneas bajo el Reglamento de Pagos Instantáneos de la UE, los requisitos de verificación de IBAN-nombre ya se aplican antes del plazo completo de PSD3/PSR. Si procesa transferencias de crédito instantáneas a beneficiarios de la UE, las obligaciones de VoP ya pueden estar activas —consulte la guía de su autoridad nacional competente.

¿Listo para empezar?

El cumplimiento de la PSD3 es por capas —identidad en la incorporación, autenticación biométrica en el paso a paso, AML y monitorización de transacciones después de la aprobación. Didit cubre toda la pila desde una única API, con precios públicos y sin mínimos.

• Aprenda la plataforma → Documentación de Didit
• Vea el producto → Verificación de Usuario · Monitorización de Transacciones
• Consulte el precio → Precios — flujo KYC central a 0,33 $, TM a 0,02 $/transacción, 500 verificaciones gratuitas/mes
• Empiece gratis → business.didit.me