PSD3 e PSR: O Que Muda para Fintechs e PSPs (PT-BR)

A Segunda Diretiva de Serviços de Pagamento (PSD2) da UE remodelou os pagamentos europeus. A PSD3 — e sua regulamentação complementar, a Regulamentação de Serviços de Pagamento (PSR) — vai além: ela transfere a responsabilidade por fraude de forma mais direta para os Provedores de Serviços de Pagamento (PSPs), intensifica a Autenticação Forte de Cliente (SCA), exige a verificação de nome IBAN e formaliza o compartilhamento de dados de fraude entre setores. Para fintechs, neobancos e PSPs, é tanto um ônus de conformidade quanto uma vantagem competitiva.

A PSD3 é uma diretiva (os estados membros a transponem); a PSR é uma regulamentação (diretamente aplicável em toda a UE). Juntas, elas substituem a PSD2 e criam uma base legal mais uniforme — a maioria das regras operacionais está na PSR, que se aplica diretamente assim que entra em vigor, enquanto os estados membros têm um período de transposição para a PSD3. Considere os prazos como indicativos e acompanhe-os através de fontes oficiais da UE.

O que realmente muda

1. Responsabilidade por fraude — fraude APP e o PSP do beneficiário

Uma mudança estrutural significativa é a extensão da responsabilidade ao PSP do beneficiário (a instituição que recebe o pagamento fraudulento) em casos de fraude APP. Sob a PSD2, o foco estava quase inteiramente no PSP do pagador; a nova estrutura introduz o compartilhamento de responsabilidade — onde o PSP do beneficiário não agiu com base em sinais de que a conta receptora estava sendo usada para fraude, ele arca com uma parte da perda. Os PSPs de ambos os lados agora precisam de melhores sinais de fraude, não apenas autenticação do lado do pagador.

2. Autenticação Forte de Cliente — regras mais claras, escopo mais rigoroso

As regras de SCA da PSD2 estavam corretas em princípio, mas complicadas na prática. A PSD3/PSR esclarece:

• Delegação de autenticação: um PSP pode delegar a SCA a um terceiro de forma mais clara — importante para fluxos incorporados de comerciantes e provedores de carteira.
• Estrutura de isenção: as isenções de análise de risco de transação (TRA) e os limites de baixo valor são apertados — as isenções exigem modelos de risco documentados, e abordagens de baixa fricção generalizadas são examinadas.
• Contas corporativas: grandes corporações que utilizam protocolos de pagamento dedicados obtêm um caminho de isenção mais definido.
• SCA para acesso à conta: o requisito de reautenticação silenciosa de 90 dias que frustrava os fluxos de open banking da PSD2 é racionalizado.

A definição técnica não mudou; o que muda é quem é responsável quando a SCA falha ou é incorretamente isenta.

3. Verificação do Beneficiário — IBAN-nome obrigatório

A Verificação do Beneficiário exige que o PSP do pagador verifique se o nome anexado a uma instrução de pagamento corresponde ao nome registrado no IBAN de destino antes da execução. Em caso de incompatibilidade, o PSP deve avisar o pagador; se o pagador prosseguir, a responsabilidade é transferida para ele. A PSR transforma a VoP de uma opção nacional em um requisito em toda a UE com APIs e códigos de resposta padronizados — assim, o PSP de um pagador na Espanha pode verificar um IBAN de beneficiário na Polônia. Para os PSPs, isso significa uma consulta em tempo real do nome do beneficiário antes da execução.

4. Compartilhamento de dados de fraude — interoperabilidade obrigatória

Sob a PSD3, os PSPs serão obrigados a participar de estruturas de compartilhamento de inteligência de fraude. Acordos bilaterais voluntários são substituídos por um requisito de interoperabilidade regulamentada: as instituições devem ser capazes de receber e agir com base em sinais de fraude de outros PSPs. Os padrões técnicos da EBA preencherão os detalhes.

5. Acesso ao Open Banking — menos obstáculos para TPPs

A PSD2 criou o direito legal para Provedores Terceirizados (TPPs) acessarem contas de pagamento via APIs; a PSD3 o estende e o impõe. Interfaces dedicadas devem atender a padrões de desempenho (tempo de atividade, latência, completude dos dados), o fallback de screen-scraping é eliminado para interfaces compatíveis, e os TPPs obtêm fluxos de consentimento mais claros.

O que a PSD3 significa operacionalmente para fintechs e PSPs

As disposições se traduzem em requisitos concretos ao longo do ciclo de vida. No onboarding, verificações de identidade fracas enfraquecem a posição de responsabilidade do PSP recebedor; um KYC robusto é a primeira linha de defesa. Na autenticação, um PIN de quatro dígitos com um SMS OTP é compatível, mas cada vez mais arriscado; a correspondência facial biométrica oferece maior garantia. Na execução do pagamento, a VoP significa uma chamada de API de correspondência de nome antes do envio — bloqueio, não pós-fato. No monitoramento contínuo, as disposições do PSP-beneficiário tornam o monitoramento de entrada tão importante quanto o de saída — correspondência de padrões em tempo real, não revisões em lote.

Como a Didit ajuda

A Didit é uma infraestrutura para identidade e fraude — uma API cobrindo autenticação, verificação e monitoramento. Os módulos que se alinham aos requisitos da PSD3/PSR já estão ativos.

Autenticação biométrica de nível SCA

A SCA exige "inerência" como um dos fatores. O módulo de Autenticação Biométrica da Didit (US$ 0,10) oferece correspondência facial com prova de vida contra a biometria original do KYC, não apenas um rosto contra si mesmo. Combinado com o vínculo do dispositivo, ele satisfaz a inerência em um nível que a SCA baseada em PIN passivo não consegue. A mesma pilha está disponível como Prova de Vida Ativa (US$ 0,15) ou Prova de Vida Passiva (US$ 0,10).

Verificação de identidade no onboarding

O fluxo principal do KYC — Verificação de ID + Prova de Vida Passiva + Correspondência Facial + Análise de IP/Dispositivo — custa US$ 0,33 por verificação, cobre mais de 14.000 tipos de documentos em mais de 220 países e é concluído em menos de 2 segundos. Ele fornece uma identidade verificada para ancorar a reautenticação, além de um registro de auditoria de due diligence. A Didit é o único provedor de identidade formalmente atestado por um governo de um estado membro da UE — Tesoro da Espanha, Banco de España (BdE) e SEPBLAC — como mais seguro do que a verificação presencial, o que é importante ao demonstrar conformidade aos supervisores. A Leitura NFC (US$ 0,15) adiciona verificação de chip para documentos habilitados para NFC — o mais alto nível de garantia.

Rastreamento AML

A PSD3 intensifica as consequências de integrar clientes ou empresas ligadas a crimes financeiros. O Rastreamento AML da Didit (US$ 0,20) é executado em tempo real contra mais de 1.300 listas de sanções, PEP e mídias adversas. O Monitoramento AML Contínuo (US$ 0,07/usuário/ano) reavalia a população inscrita continuamente — se um perfil de risco mudar após o onboarding, você saberá antes da próxima transação.

Monitoramento de Transações

As disposições do PSP-beneficiário tornam o monitoramento contínuo em fluxos de entrada um requisito da PSD3 em tudo, menos no nome. O Monitoramento de Transações da Didit (US$ 0,02 por transação) executa um mecanismo de regras em tempo real — 11 pacotes de regras pré-definidos cobrindo velocidade, anomalias de valor, geografia e padrões de comportamento — com gerenciamento de casos, fluxo de trabalho SAR e um loop de remediação automática AWAITING_USER que solicita evidências de identidade adicionais sem intervenção manual. O Rastreamento AML em transações sinalizadas é cobrado a US$ 0,20 quando acionado, mantendo o custo base baixo para fluxos limpos.

Análise de Dispositivo e IP

Fraudes APP e de aquisição de conta dependem de contextos de dispositivo falsificados. A Análise de Dispositivo e IP da Didit (US$ 0,03) é executada automaticamente em cada sessão de verificação, retornando impressão digital do dispositivo, sinais de dispositivo duplicado, detecção de VPN/proxy/Tor e avisos de incompatibilidade geográfica de documentos — um sinal comportamental que complementa a verificação da credencial de identidade.

Casos de uso

Onboarding de neobancos. Execute o fluxo principal do KYC no cadastro — documento + prova de vida + correspondência facial + análise de dispositivo — para uma identidade verificada, referência biométrica e vínculo do dispositivo antes da abertura da conta. A biometria inscrita torna-se o fator de inerência da SCA para autenticações posteriores.

Prevenção de fraude APP — PSP do beneficiário. Execute um pacote de regras de Monitoramento de Transações em pagamentos de entrada acima de um limite; contas que recebem várias transferências de diferentes remetentes em um curto período são sinalizadas para revisão, com o Linked KYB adicionando contexto AML da entidade em contas comerciais.

Step-up SCA para pagamentos de alto valor. Quando a TRA sinaliza um pagamento para step-up, acione uma verificação de Autenticação Biométrica — correspondência facial contra a identidade inscrita — em vez de um SMS OTP, para maior garantia e um registro de auditoria. O mesmo fluxo reverifica contas dormentes antes da reativação, comparadas com a biometria original do onboarding.

Perguntas frequentes

Quando a PSD3 se aplica?

A PSD3 é uma diretiva — os estados membros devem transpor-na para a legislação nacional dentro de um período definido após a adoção formal. A PSR, como regulamentação, aplica-se direta e uniformemente sem transposição, e entra em vigor assim que for formalmente adotada. O processo ainda está em andamento nas instituições da UE em meados de 2026; verifique as publicações oficiais da Comissão Europeia e da EBA para os prazos atuais, em vez de fontes secundárias.

Qual a diferença entre PSD3 e PSR?

A PSD3 é uma diretiva que estabelece o arcabouço — licenciamento, passaporte, direitos de acesso — e exige que os estados membros promulguem legislação nacional. A PSR é uma regulamentação que se aplica direta e uniformemente sem transposição, e contém a maioria das regras operacionais (SCA, responsabilidade por fraude, VoP, compartilhamento de dados).

A PSD3 se aplica a PSPs de cripto?

Serviços de pagamento envolvendo criptoativos estão dentro do escopo onde a transação envolve conversão fiduciária ou uma conta de pagamento regulamentada. Transferências puramente de cripto para cripto que não tocam contas de pagamento regulamentadas estão sob a MiCA (Regulamentação de Mercados de Criptoativos). Empresas que abrangem ambos devem avaliar as obrigações sob as duas.

O que conta como SCA sob a PSD3?

A SCA exige pelo menos dois fatores independentes de diferentes categorias: conhecimento (PIN, senha), posse (dispositivo, token) e inerência (biometria). Uma varredura facial confirma a inerência; um token vinculado ao dispositivo confirma a posse. Um PIN e uma senha memorizada são ambos conhecimento — isso não é SCA.

Precisamos implementar a Verificação do Beneficiário antes da entrada em vigor da PSD3?

Para Transferências de Crédito Instantâneas sob a Regulamentação de Pagamentos Instantâneos da UE, os requisitos de verificação IBAN-nome já se aplicam antes do cronograma completo da PSD3/PSR. Se você processa transferências de crédito instantâneas para beneficiários da UE, as obrigações de VoP já podem estar ativas — verifique as orientações da sua autoridade nacional competente.

Pronto para começar?

A conformidade com a PSD3 é estratificada — identidade no onboarding, autenticação biométrica no step-up, AML e monitoramento de transações pós-aprovação. A Didit cobre toda a pilha a partir de uma única API, com preços públicos e sem mínimos.

• Aprenda a plataforma → Didit docs
• Veja o produto → Verificação de Usuário · Monitoramento de Transações
• Verifique o preço → Preços — fluxo principal KYC a US$ 0,33, TM a US$ 0,02/transação, 500 verificações gratuitas/mês
• Comece grátis → business.didit.me