# PSD3, PSR y el futuro de las pasarelas de pago para comercio electrónico

### Construyendo una infraestructura de pagos preparada para PSD3 para bancos, comercios y comercio digital

La regulación europea de pagos está entrando en una nueva fase. Con la Tercera Directiva de Servicios de Pago, PSD3, y el nuevo Reglamento de Servicios de Pago, PSR, la UE está pasando de la era PSD2 a un marco de pagos más armonizado, resistente al fraude y exigente en términos operativos.

Para bancos, entidades de pago e instituciones de dinero electrónico, PSD3 y PSR redefinirán la forma en que los servicios de pago se autorizan, supervisan, aseguran y prestan en toda la UE. Para las pasarelas de pago de e-commerce que actúan como Proveedores de Servicios Técnicos en nombre de los bancos, el mensaje es igualmente claro: la preparación regulatoria ya no es solo una cuestión de la entidad con licencia. Debe integrarse en la capa tecnológica.

A mayo de 2026, el paquete PSD3/PSR ha pasado del debate político a la planificación de su implementación. El Consejo de la UE publicó los textos finales de compromiso en abril de 2026, dando al mercado una visibilidad mucho más clara sobre el futuro marco. &#x20;

Esto crea una oportunidad estratégica para las pasarelas de pago orientadas a bancos. Un TSP que pueda ayudar a un banco a cumplir con las expectativas de PSD3 y PSR no se limitará a procesar transacciones. Pasará a formar parte de la capacidad de pago regulada del banco.

### Dónde se sitúa la regulación en 2026

El paquete europeo de servicios de pago consta de dos instrumentos complementarios.

PSD3 sustituirá a PSD2 como nueva directiva sobre autorización, concesión de licencias, supervisión prudencial y requisitos institucionales para los proveedores de servicios de pago y las instituciones de dinero electrónico. PSR introducirá un reglamento de aplicación directa para muchas normas de conducta empresarial y operativas de pagos, incluida la transparencia, la prevención del fraude, la banca abierta, la autenticación y la protección del cliente.

Esta separación importa. PSD3 seguirá requiriendo transposición nacional por parte de los Estados miembros, mientras que PSR está diseñado para crear un libro de normas más armonizado de la UE que se aplique directamente. &#x20;

Para las pasarelas de pago que actúan como TSP, la consecuencia práctica es que los bancos esperarán que los proveedores tecnológicos respalden un conjunto más homogéneo de controles en los mercados de la UE. Los bancos necesitarán evidencia de que sus flujos de pago, controles antifraude, procesos de autenticación y capacidades de reporte pueden cumplir con el nuevo marco.

### El papel de la EBA: por qué importa la cartera de mandatos de 2026

La Autoridad Bancaria Europea será central en la implementación de PSD3 y PSR. La EBA ya desarrolla requisitos orientados a reducir el fraude en pagos, apoyar una autorización y supervisión coherentes de los proveedores de servicios de pago, promover la competencia y facilitar la innovación en pagos minoristas. &#x20;

Bajo PSD3 y PSR, se prevé que la EBA reciba un número significativo de mandatos. Los comentarios del mercado indican que la EBA anticipa alrededor de 40 mandatos y se espera que comience a trabajar en ellos en 2026, incluida una hoja de ruta para la implementación del paquete de pagos de la UE. &#x20;

Para una pasarela de pago de e-commerce orientada a bancos, esto es crítico. Los textos jurídicos de alto nivel irán seguidos de Normas Técnicas de Regulación, Normas Técnicas de Implementación, directrices, opiniones y expectativas supervisoras. Estas probablemente definirán los requisitos prácticos para áreas como:

* autenticación reforzada del cliente;
* comunicación segura;
* monitorización de transacciones;
* reporte de fraude;
* interfaces de banca abierta;
* reporting de acceso a la cuenta;
* alta y baja de proveedores terceros;
* exenciones de interfaz técnica;
* reporting supervisor;
* evidencia de autorización y reautorización.

En otras palabras, la futura carga de cumplimiento será altamente operativa y altamente técnica. Un TSP no debería esperar a que se publiquen todos los estándares técnicos finales de la EBA. El enfoque correcto es construir ahora un marco de control flexible, para que la pasarela pueda adaptarse a medida que los mandatos detallados de la EBA se hagan definitivos.

### La posición del TSP: no es el banco regulado, pero sí parte de la cadena de prestación regulada

Un Proveedor de Servicios Técnicos suele dar soporte a un proveedor de servicios de pago regulado sin mantener de forma independiente fondos de clientes ni actuar como el PSP con licencia. En un modelo de pasarela de e-commerce, el banco puede seguir siendo la entidad regulada, mientras que el TSP proporciona la infraestructura técnica detrás del checkout, el enrutamiento de pagos, la autenticación, los controles antifraude, la conciliación, el reporting y la conectividad con comercios.

Esta distinción sigue siendo importante, pero ya no basta con decir: “Solo somos el proveedor tecnológico”.

Bajo PSD3 y PSR, el banco tendrá que demostrar que sus servicios de pago son seguros, transparentes, correctamente autenticados, monitorizados y auditables. Si el banco depende de un TSP para ofrecer estas capacidades, los sistemas del TSP pasan a formar parte del entorno de control del banco.

Eso significa que el TSP debe poder apoyar al banco con:

* mapa documentado de los flujos de pago;
* asignación clara de responsabilidades;
* eventos de autenticación auditables;
* evidencia de monitorización de transacciones;
* controles de prevención del fraude;
* procedimientos de incidentes y escalado;
* controles de protección de datos;
* alineación con la resiliencia operativa;
* salidas de reporting para el banco y los supervisores;
* preparación para respaldar requisitos técnicos impulsados por la EBA.

Los TSP más sólidos se posicionarán no como proveedores tecnológicos externalizados, sino como socios de infraestructura de pagos de nivel bancario.

### Prevención del fraude: de funcionalidad a control regulatorio

La prevención del fraude es uno de los temas más fuertes del paquete PSD3/PSR. La EBA ya ha identificado nuevos tipos y patrones de fraude en pagos y ha propuesto medidas adicionales para mitigar riesgos y proteger a los consumidores. Su opinión de 2024 tenía precisamente como objetivo reforzar el próximo marco PSD3 y PSR para que los requisitos antifraude sigan siendo válidos a futuro. &#x20;

La dirección final de PSD3/PSR apunta a un entorno de fraude más exigente para bancos y PSP. Esto incluye una monitorización de transacciones más sólida, intercambio de datos de fraude, medidas de protección del usuario y normas de responsabilidad cuando los PSP no aplican mecanismos adecuados de prevención del fraude. &#x20;

Para una pasarela de pago de e-commerce que opera en nombre de un banco, la prevención del fraude debe convertirse por tanto en una capacidad regulada central.

Una plataforma TSP preparada para PSD3 debería soportar:

* scoring de riesgo transaccional en tiempo real;
* analítica conductual;
* inteligencia de dispositivo y sesión;
* reglas de velocidad;
* perfilado de riesgo del comercio;
* detección de transacciones sospechosas;
* disparadores de autenticación reforzada;
* bloqueo de transacciones;
* límites configurables;
* registro de eventos de fraude;
* escalado a los equipos antifraude del banco;
* evidencia para decisiones de investigación y reembolso;
* reporting estructurado de fraude.

El banco no solo preguntará si la pasarela puede detectar fraude. Preguntará si la pasarela puede demostrar qué ocurrió, cuándo ocurrió, qué controles se aplicaron y por qué una transacción fue permitida, cuestionada o bloqueada.

### Autenticación reforzada del cliente: un nuevo enfoque técnico

La Autenticación Reforzada del Cliente sigue siendo un pilar central de la seguridad de pagos en la UE. Se espera que PSD3 y PSR refinen el marco PSD2 y aborden las debilidades de implementación que surgieron en el mercado.

Para un TSP, la SCA no es solo una función de cumplimiento. Es un recorrido del cliente, una decisión de riesgo y una trazabilidad de evidencia.

Por ello, una pasarela de e-commerce orientada a bancos debe estar preparada para soportar:

* orquestación de SCA en distintos métodos de pago;
* 3-D Secure y flujos de autenticación equivalentes cuando proceda;
* autenticación reforzada para transacciones de mayor riesgo;
* gestión de exenciones cuando esté permitido;
* enlace dinámico;
* registros de auditoría de decisiones de autenticación;
* lógica de respaldo y reintento;
* disparadores de autenticación basados en fraude;
* monitorización del recorrido del cliente;
* reporting al banco sobre los resultados de autenticación.

Se espera que el futuro trabajo de mandatos de la EBA incluya mecanismos de autenticación, comunicación segura y monitorización de transacciones. Para un TSP, esto significa que la arquitectura de SCA debe ser modular y configurable, de modo que los cambios en RTS o directrices puedan implementarse sin rediseñar toda la plataforma de pagos.

### Monitorización de transacciones: la pasarela como motor de riesgo en tiempo real del banco

PSD3 y PSR empujarán a los proveedores de pagos hacia una monitorización más fuerte y continua. Para las pasarelas de e-commerce, esto es especialmente relevante porque los sistemas de la pasarela a menudo ven los datos de transacción antes que muchos sistemas bancarios de back office.

Un TSP debería ayudar al banco a monitorizar los pagos en tiempo real, no solo después de la liquidación.

Esto incluye:

* monitorización del comportamiento del pagador y del comercio;
* detección de patrones anómalos de transacción;
* señales de riesgo de dispositivo, IP y sesión;
* scoring de riesgo del método de pago;
* análisis de transacciones recurrentes;
* controles para categorías de comercios de alto riesgo;
* monitorización de anomalías en reembolsos y contracargos;
* controles de transacciones cuenta a cuenta;
* controles de riesgo para pagos instantáneos;
* paneles para los equipos de operaciones del banco.

El objetivo es pasar de una comprobación estática de reglas a una inteligencia de riesgo continua.

### Verificación del beneficiario y protección frente a pagos desviados

PSD3 y PSR también responden al creciente riesgo de pagos desviados y fraude de pago autorizado push. Se espera que el marco amplíe las obligaciones de verificación del beneficiario para las transferencias de crédito, con especial atención a la coincidencia entre el nombre del beneficiario y el identificador de la cuenta. &#x20;

Para una pasarela de e-commerce, esto es muy relevante cuando la plataforma soporta:

* checkout cuenta a cuenta;
* pagos instantáneos;
* pagos por transferencia bancaria;
* pagos a marketplaces;
* liquidación de comercios;
* reembolsos a clientes;
* flujos pay-by-bank.

Por ello, un TSP debería prepararse para:

* verificación del nombre del beneficiario y del identificador de cuenta;
* detección de discrepancias;
* mensajes de advertencia al cliente;
* respuestas de riesgo configurables por el banco;
* flujos de rechazo o revisión de transacciones;
* registro de los resultados de la verificación;
* integración API con servicios de verificación del banco.

Esto será especialmente importante para las pasarelas que soportan métodos de pago alternativos impulsados por bancos, pagos instantáneos y pagos e-commerce basados en banca abierta.

### Banca abierta: de la obligación de acceso a la obligación de rendimiento

PSD2 abrió la puerta a los servicios de información sobre cuentas y de iniciación de pagos. PSD3 y PSR buscan hacer que la banca abierta sea más efectiva, más fiable y menos fragmentada en toda la UE.

El trabajo actual de la EBA en servicios de pago ya incluye estándares técnicos relacionados con la banca abierta, comunicación segura, trabajo sobre API y actividad de preguntas y respuestas. Bajo PSD3 y PSR, se esperan nuevos mandatos de la EBA sobre reporting de acceso a la cuenta, interfaces dedicadas, comunicación segura y alta o baja de proveedores terceros. &#x20;

Para un TSP, esto importa en dos direcciones.

Primero, si la pasarela soporta flujos pay-by-bank o de iniciación de pagos en nombre de un banco, debe poder ofrecer conectividad API fiable, gestión del consentimiento, visibilidad del estado de la transacción e intercambio seguro de datos.

Segundo, si el banco expone interfaces a proveedores terceros, el TSP puede necesitar soportar la interfaz técnica, la monitorización, la disponibilidad, la gestión de errores y el reporting.

Una pasarela preparada para PSD3 debería poder soportar:

* iniciación de pagos basada en API;
* soporte al ciclo de vida del consentimiento y los permisos;
* controles de comunicación segura;
* monitorización de la disponibilidad de la interfaz;
* reporte de errores;
* paneles de rendimiento;
* soporte de alta y baja de TPP;
* transparencia de permisos de cara al cliente;
* evidencia operativa para el banco.

La banca abierta bajo PSD3/PSR no tratará solo de proporcionar acceso. Tratará de proporcionar un acceso fiable, seguro y medible.

### Transparencia en el checkout: información clara antes del pago

El marco PSR está diseñado para reforzar la transparencia para los usuarios de servicios de pago. En e-commerce, esto tiene un impacto directo en el diseño del checkout.

Los clientes deben entender claramente:

* a quién están pagando;
* el importe que están pagando;
* el método de pago utilizado;
* las comisiones aplicables;
* la conversión de divisa cuando corresponda;
* las expectativas de reembolso;
* el estado del pago;
* los requisitos de autenticación;
* la identidad del comercio;
* las vías de soporte y reclamación.

Un TSP que opere un checkout alojado, una página de pago, una API o un componente incrustado del comercio debería hacer que la transparencia sea configurable y auditable.

Esto es importante porque el banco puede ser responsable de las divulgaciones aunque la pantalla orientada al cliente sea técnicamente entregada por la pasarela.

### Salvaguarda, autorización y diligencia debida del banco

También se espera que PSD3 refuerce los requisitos de autorización y supervisión para las entidades de pago y las instituciones de dinero electrónico. Los textos finales probablemente acercarán a las entidades de pago y a las entidades de dinero electrónico bajo un marco más unificado. &#x20;

Un TSP que trabaje para un banco puede no necesitar su propia autorización PSD3 si permanece dentro del rol de proveedor de servicios técnicos. Sin embargo, es probable que el banco incremente la diligencia debida sobre los proveedores críticos.

El banco puede pedir al TSP que demuestre:

* gobernanza y rendición de cuentas;
* controles de externalización y riesgo de terceros;
* resiliencia operativa;
* alineación con DORA;
* gestión de incidentes;
* seguridad de los datos;
* continuidad del negocio;
* controles de nivel de servicio;
* gestión de subcontratistas;
* derechos de auditoría;
* planificación de salida;
* retención de evidencias.

Esto significa que la preparación para PSD3/PSR debe alinearse con el marco más amplio de resiliencia operativa y riesgo de terceros del banco.

### Qué esperarán los bancos de un TSP de pasarela de pago preparado para PSD3

Cada vez más, los bancos esperarán que sus socios TSP ofrezcan capacidades de apoyo al cumplimiento diseñadas desde el origen.

Una pasarela de e-commerce preparada para PSD3 debería ofrecer al banco:

#### 1. Arquitectura con controles integrados desde el diseño

La plataforma debería incorporar controles antifraude, soporte SCA, monitorización de transacciones, registro y reporting directamente en el flujo de pago.

#### 2. Reglas de cumplimiento configurables

Los bancos deberían poder configurar límites, reglas, respuestas de riesgo, disparadores de autenticación y controles de comercio según su apetito de riesgo e interpretación regulatoria.

#### 3. Operaciones preparadas para evidencia

Toda decisión de pago relevante debería ser trazable mediante marcas de tiempo, logs, puntuaciones de riesgo, eventos de autenticación, mensajes al cliente y acciones del sistema.

#### 4. Reporting de nivel bancario

La pasarela debería proporcionar informes estructurados que apoyen la monitorización del fraude, la supervisión operativa, la gestión de incidentes, las revisiones de auditoría y la interlocución supervisora.

#### 5. Soporte seguro de API y banca abierta

Cuando intervengan servicios cuenta a cuenta o de iniciación de pagos, la pasarela debería soportar comunicación segura, monitorización del rendimiento de API y controles del ciclo de vida del consentimiento.

#### 6. Herramientas de transparencia para el cliente

La plataforma debería facilitar que bancos y comercios ofrezcan a los clientes información de pago clara y coherente antes, durante y después del checkout.

#### 7. Adaptabilidad regulatoria

La pasarela debería estar diseñada para absorber futuros cambios en RTS, ITS y directrices de la EBA sin requerir un rediseño importante de la plataforma.

### Lista práctica de preparación PSD3/PSR para un TSP

Una pasarela de pago de e-commerce orientada a bancos debería comenzar ahora con el siguiente programa de preparación.

#### Mapea tu rol regulatorio

Confirma si actúas únicamente como TSP, si realizas algún servicio de pago regulado y dónde empiezan y terminan las responsabilidades del banco.

#### Mapea los flujos de pago de extremo a extremo

Documenta cada recorrido de pago, incluido el checkout, la autenticación, el enrutamiento, la autorización, la compensación, la liquidación, los reembolsos, los contracargos y la conciliación.

#### Evalúa los controles antifraude

Revisa si tu plataforma soporta scoring de riesgo en tiempo real, monitorización, bloqueo, alertas, evidencia de casos y reporting.

#### Revisa la arquitectura de SCA

Comprueba si los flujos de autenticación son modulares, auditables, configurables y están preparados para futuros estándares técnicos de la EBA.

#### Prepárate para la verificación del beneficiario

Identifica todos los flujos cuenta a cuenta, de payouts, reembolsos y liquidación en los que la verificación del beneficiario pueda volverse relevante.

#### Refuerza la preparación para banca abierta

Revisa la seguridad de las API, la gestión del consentimiento, la conectividad TPP, la monitorización de disponibilidad y el reporte de errores.

#### Mejora la evidencia de auditoría

Asegúrate de que el banco pueda reconstruir toda la cadena de decisión del pago a partir de tus registros e informes.

#### Alinea los contratos con la realidad operativa

Actualiza los acuerdos con bancos y comercios para reflejar responsabilidades en fraude, autenticación, incidentes, datos, reporting, soporte y cambios regulatorios.

#### Crea un seguimiento de mandatos de la EBA

Haz seguimiento de la hoja de ruta de PSD3/PSR de la EBA, consultas, RTS, ITS, directrices y opiniones desde 2026 en adelante.

### Posicionamiento estratégico: de pasarela de pago a plataforma de habilitación bancaria

PSD3 y PSR elevarán el listón de la infraestructura de pagos. Esto crea una gran oportunidad para los TSP que prestan servicio a bancos.

Una pasarela que solo ofrece conectividad técnica será más fácil de sustituir. Una pasarela que ayuda a un banco a reducir el fraude, demostrar cumplimiento, mejorar la conversión del checkout, soportar la banca abierta y satisfacer las expectativas supervisoras se vuelve estratégicamente valiosa.

El posicionamiento futuro debería ser:

“Ayudamos a los bancos a ofrecer pagos e-commerce seguros, transparentes y preparados para PSD3 mediante infraestructura de pasarela de nivel bancario, controles antifraude en tiempo real, soporte de autenticación reforzada, conectividad de banca abierta y reporting preparado para auditoría.”

### Conclusión

PSD3 y PSR no son solo actualizaciones legales. Son un nuevo modelo operativo para los pagos europeos.

Para una pasarela de pago de e-commerce que actúa como Proveedor de Servicios Técnicos en nombre de un banco, el reto principal es traducir las expectativas regulatorias en capacidades técnicas. La prevención del fraude, la autenticación reforzada del cliente, la monitorización de transacciones, el acceso a la banca abierta, la transparencia para el cliente y el reporting deben formar parte del diseño de la plataforma.

A mayo de 2026, la dirección es clara. Se han publicado los textos finales de compromiso, se espera que el trabajo de implementación de la EBA se acelere y los bancos comenzarán a prepararse para el nuevo marco mucho antes de las fechas principales de aplicación.

Los TSP que actúen pronto estarán mejor posicionados para convertirse en socios de confianza de los bancos en la próxima generación de pagos digitales europeos.

### Cómo puede ayudar Tieto

A medida que PSD3 y PSR pasan de la política a la implementación, los bancos necesitarán socios tecnológicos de confianza que puedan convertir las expectativas regulatorias en capacidades de pago seguras y escalables. Ahí es donde Tieto puede marcar una verdadera diferencia. Al apoyar a los bancos con capacidades modernas de pasarela de pago de e-commerce, integración segura, flujos de transacción con conocimiento del fraude, soporte de autenticación reforzada y controles operativos preparados para auditoría, Tieto puede ayudar a garantizar que los servicios de pago no solo cumplan con la normativa, sino que también sean resilientes, orientados al cliente y estén preparados para la próxima generación de pagos europeos. En un mercado donde la regulación, la seguridad y la experiencia del cliente se están volviendo inseparables, Tieto puede ser el socio que ayude a los bancos a ofrecer pagos preparados para PSD3 con confianza.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.ecomm.api.tietoevry.com/tietoevry-egw-documentation-es/pasarela-de-pago-para-comercio-electronico/base-de-conocimientos/psd3-psr-y-el-futuro-de-las-pasarelas-de-pago-para-comercio-electronico.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.