PSD3 e PSR Detalhados: O Que Muda para Fintechs e PSPs (PT-PT)

A Segunda Diretiva de Serviços de Pagamento (PSD2) da UE redefiniu os pagamentos europeus. A PSD3 — e o seu regulamento complementar, o Regulamento de Serviços de Pagamento (PSR) — vai mais longe: transfere a responsabilidade por fraude mais diretamente para os prestadores de serviços de pagamento (PSPs), aperta a Autenticação Forte de Cliente (SCA), torna obrigatória a verificação IBAN-nome e formaliza a partilha de dados de fraude entre setores. Para fintechs, neobancos e PSPs, é tanto um encargo de conformidade como uma barreira competitiva.

A PSD3 é uma diretiva (os estados-membros transpõem-na); o PSR é um regulamento (diretamente aplicável em toda a UE). Juntos, substituem a PSD2 e criam um piso legal mais uniforme — a maioria das regras operacionais está no PSR, que se aplica diretamente assim que entra em vigor, enquanto os estados-membros têm um período de transposição para a PSD3. Considere os prazos como indicativos e acompanhe-os através de fontes oficiais da UE.

O que realmente muda

1. Responsabilidade por fraude — fraude APP e o PSP do beneficiário

Uma mudança estrutural significativa é a extensão da responsabilidade ao PSP do beneficiário (a instituição que recebe o pagamento fraudulento) em casos de fraude APP. Sob a PSD2, o foco era quase inteiramente no PSP do pagador; o novo quadro introduz a partilha de responsabilidades — onde o PSP do beneficiário não agiu sobre os sinais de que a conta recetora estava a ser usada para fraude, ele assume uma parte da perda. Os PSPs de ambos os lados precisam agora de melhores sinais de fraude, não apenas de autenticação do lado do pagador.

2. Autenticação Forte de Cliente — regras mais claras, âmbito mais restrito

As regras de SCA da PSD2 estavam corretas em princípio, mas confusas na prática. A PSD3/PSR esclarece:

• Delegação de autenticação: um PSP pode delegar a SCA a um terceiro de forma mais clara — importante para fluxos incorporados em comerciantes e fornecedores de carteiras.
• Quadro de isenção: as isenções de análise de risco de transação (TRA) e os limites de baixo valor são apertados — as isenções exigem modelos de risco documentados, e abordagens gerais de baixa fricção são escrutinadas.
• Contas corporativas: grandes empresas que utilizam protocolos de pagamento dedicados obtêm um caminho de isenção mais definido.
• SCA para acesso à conta: o requisito de reautenticação silenciosa de 90 dias que frustrava os fluxos de open banking da PSD2 é racionalizado.

A definição técnica não é alterada; o que muda é quem é responsável quando a SCA falha ou é incorretamente isenta.

3. Verificação do Beneficiário — IBAN-nome obrigatório

A Verificação do Beneficiário exige que o PSP do pagador verifique se o nome anexado a uma instrução de pagamento corresponde ao nome registado no IBAN de destino antes da execução. Em caso de incompatibilidade, o PSP deve avisar o pagador; se o pagador prosseguir, a responsabilidade recai sobre ele. O PSR move a VoP de uma opção nacional para um requisito pan-UE com APIs e códigos de resposta padronizados — para que o PSP de um pagador em Espanha possa verificar um IBAN de beneficiário na Polónia. Para os PSPs, isso significa uma consulta em tempo real do nome do beneficiário antes da execução.

4. Partilha de dados de fraude — interoperabilidade obrigatória

Sob a PSD3, os PSPs serão obrigados a participar em estruturas de partilha de informações sobre fraude. Os acordos bilaterais voluntários são substituídos por um requisito de interoperabilidade regulamentado: as instituições devem ser capazes de receber e agir sobre sinais de fraude de outros PSPs. As normas técnicas da EBA preencherão os detalhes.

5. Acesso ao open banking — menos obstáculos para TPPs

A PSD2 criou o direito legal para que terceiros prestadores (TPPs) acedessem a contas de pagamento via APIs; a PSD3 estende e aplica-o. As interfaces dedicadas devem cumprir padrões de desempenho (tempo de atividade, latência, integridade dos dados), o fallback de screen-scraping é eliminado para interfaces conformes, e os TPPs obtêm fluxos de consentimento mais claros.

O que a PSD3 significa operacionalmente para fintechs e PSPs

As disposições traduzem-se em requisitos concretos ao longo do ciclo de vida. No processo de integração (onboarding), verificações de identidade fracas enfraquecem a posição de responsabilidade do PSP recetor; um KYC robusto é a primeira linha de defesa. Na autenticação, um PIN de quatro dígitos com um OTP via SMS é compatível, mas cada vez mais arriscado; a correspondência biométrica facial oferece maior segurança. Na execução do pagamento, a VoP significa uma chamada API de correspondência de nomes antes do envio — bloqueio, não pós-facto. Na monitorização contínua, as disposições do PSP do beneficiário tornam a monitorização de entrada tão importante quanto a de saída — correspondência de padrões em tempo real, não revisões em lote.

Como a Didit ajuda

A Didit é uma infraestrutura para identidade e fraude – uma API que abrange autenticação, verificação e monitorização. Os módulos que correspondem aos requisitos da PSD3/PSR já estão em funcionamento.

Autenticação biométrica de grau SCA

A SCA exige a “inherência” como um dos fatores. O módulo de Autenticação Biométrica da Didit (0,10€) fornece correspondência facial em tempo real contra a biometria KYC original, não apenas um rosto contra si mesmo. Combinado com a vinculação de dispositivos, satisfaz a inherência a um nível que a SCA baseada em PIN passivo não consegue. A mesma pilha está disponível como Liveness Ativa (0,15€) ou Liveness Passiva (0,10€).

Verificação de identidade no onboarding

O fluxo central de KYC — Verificação de ID + Liveness Passiva + Correspondência Facial + Análise de IP/Dispositivo — custa 0,33€ por verificação, abrange mais de 14.000 tipos de documentos em mais de 220 países e é concluído em menos de 2 segundos. Fornece uma identidade verificada para ancorar a reautenticação, além de um registo de auditoria de due diligence. A Didit é o único fornecedor de identidade formalmente atestado por um governo de um estado-membro da UE — Tesoro de Espanha, Banco de España (BdE) e SEPBLAC — como mais seguro do que a verificação presencial, o que é importante ao demonstrar conformidade aos supervisores. A Leitura NFC (0,15€) adiciona a verificação de chip para documentos habilitados para NFC — o nível de maior segurança.

Rastreio AML

A PSD3 agrava as consequências de integrar clientes ou empresas ligadas a crimes financeiros. O Rastreio AML da Didit (0,20€) é executado em tempo real contra mais de 1.300 listas de sanções, PEP e meios de comunicação adversos. A Monitorização AML Contínua (0,07€/utilizador/ano) re-rastreia a população inscrita continuamente — se um perfil de risco mudar após a integração, saberá antes da próxima transação.

Monitorização de Transações

As disposições do PSP do beneficiário tornam a monitorização contínua nos fluxos de entrada um requisito da PSD3 em tudo menos no nome. A Monitorização de Transações da Didit (0,02€ por transação) executa um motor de regras em tempo real — 11 conjuntos de regras pré-definidos que cobrem velocidade, anomalias de valor, geografia e padrões comportamentais — com gestão de casos, fluxo de trabalho SAR e um ciclo de remediação automática AWAITING_USER que solicita evidências de identidade adicionais sem intervenção manual. O rastreio AML em transações sinalizadas é faturado a 0,20€ quando acionado, mantendo o custo base baixo para fluxos limpos.

Análise de Dispositivos e IP

A fraude APP e o roubo de contas dependem de contextos de dispositivos falsificados. A Análise de Dispositivos e IP da Didit (0,03€) é executada automaticamente em cada sessão de verificação, devolvendo a impressão digital do dispositivo, sinais de dispositivo duplicado, deteção de VPN/proxy/Tor e avisos de incompatibilidade geográfica de documentos — um sinal comportamental que complementa a verificação das credenciais de identidade.

Casos de uso

Onboarding de Neobancos. Execute o fluxo KYC central na inscrição — documento + liveness + correspondência facial + análise de dispositivo — para uma identidade verificada, referência biométrica e vinculação de dispositivo antes da abertura da conta. A biometria inscrita torna-se o fator de inherência da SCA para autenticações posteriores.

Prevenção de fraude APP — PSP do beneficiário. Execute um conjunto de regras de Monitorização de Transações em pagamentos de entrada acima de um determinado limite; contas que recebem várias transferências de diferentes remetentes num curto período são sinalizadas para revisão, com o KYB Vinculado adicionando contexto AML de entidade em contas empresariais.

SCA step-up para pagamentos de alto valor. Quando a TRA sinaliza um pagamento para step-up, acione uma verificação de Autenticação Biométrica — correspondência facial contra a identidade inscrita — em vez de um OTP por SMS, para maior segurança e um registo de auditoria. O mesmo fluxo verifica novamente contas inativas antes da reativação, comparado com a biometria original do onboarding.

Perguntas frequentes

Quando se aplica a PSD3?

A PSD3 é uma diretiva — os estados-membros devem transpor para a legislação nacional num período definido após a adoção formal. O PSR, como regulamento, aplica-se direta e uniformemente sem transposição, e contém a maioria das regras operacionais (SCA, responsabilidade por fraude, VoP, partilha de dados). O processo ainda está a passar pelas instituições da UE em meados de 2026; verifique as publicações oficiais da Comissão Europeia e da EBA para os prazos atuais, em vez de fontes secundárias.

Qual a diferença entre a PSD3 e o PSR?

A PSD3 é uma diretiva que estabelece o quadro – licenciamento, passaporte, direitos de acesso – e exige que os estados-membros promulguem legislação nacional. O PSR é um regulamento que se aplica direta e uniformemente sem transposição, e contém a maioria das regras operacionais (SCA, responsabilidade por fraude, VoP, partilha de dados).

A PSD3 aplica-se aos PSPs de criptoativos?

Os serviços de pagamento que envolvem criptoativos estão no âmbito de aplicação quando a transação envolve conversão fiduciária ou uma conta de pagamento regulada. As transferências puramente de cripto para cripto que não tocam contas de pagamento reguladas estão sob o MiCA (Regulamento dos Mercados de Criptoativos). As empresas que atuam em ambos os domínios devem avaliar as obrigações de ambos.

O que conta como SCA sob a PSD3?

A SCA exige pelo menos dois fatores independentes de diferentes categorias: conhecimento (PIN, palavra-passe), posse (dispositivo, token) e inherência (biometria). Uma leitura facial confirma a inherência; um token vinculado ao dispositivo confirma a posse. Um PIN e uma palavra-passe memorizada são ambos conhecimento — isso não é SCA.

Precisamos de implementar a Verificação do Beneficiário antes da entrada em vigor da PSD3?

Para as Transferências Instantâneas de Crédito ao abrigo do Regulamento de Pagamentos Instantâneos da UE, os requisitos de verificação IBAN-nome já se aplicam antes do calendário completo da PSD3/PSR. Se processar transferências instantâneas de crédito para beneficiários da UE, as obrigações da VoP podem já estar em vigor — verifique a orientação da sua autoridade nacional competente.

Pronto para começar?

A conformidade com a PSD3 é complexa — identidade no onboarding, autenticação biométrica no step-up, AML e monitorização de transações após a aprovação. A Didit cobre toda a pilha a partir de uma única API, com preços públicos e sem mínimos.

• Saiba mais sobre a plataforma → Documentação Didit
• Veja o produto → Verificação de Utilizador · Monitorização de Transações
• Consulte os preços → Preços — Fluxo KYC central a 0,33€, TM a 0,02€/transação, 500 verificações gratuitas/mês
• Comece gratuitamente → business.didit.me