PSD2

``

  • pasarela de pagos
  • autenticacion
  • PCI-DSS

    Introducción a PSD2

  • La PSD2 (Payment Services Directive 2) es la Directiva de Servicios de Pago revisada de la Unión Europea, que sustituye a la PSD original.
  • Su objetivo principal es aumentar la competencia, la innovación y la seguridad en los servicios de pago dentro del Espacio Económico Europeo (EEE).
  • Obliga a los bancos a abrir sus sistemas a terceros mediante APIs seguras, fomentando nuevos servicios financieros digitales.

Principales objetivos

  • Seguridad en los pagos: Introduce medidas de seguridad más estrictas, como la autenticación fuerte del cliente (SCA), que suele incluir doble factor de autenticación.
  • Transparencia: Mejora la información sobre tarifas, condiciones y riesgos asociados a pagos electrónicos.
  • Competencia: Facilita la entrada de nuevos actores como los Payment Initiation Services (PIS) y Account Information Services (AIS).
  • Innovación digital: Permite servicios como agregadores de cuentas, aplicaciones de gestión financiera y pagos instantáneos seguros.

Actores principales

  • Bancos y entidades de pago tradicionales: Deben adaptar sus sistemas y ofrecer APIs a terceros.
  • Terceros proveedores (TPPs): Pueden ser:
    • PISPs (Payment Initiation Service Providers): Inician pagos desde cuentas bancarias del usuario.
    • AISPs (Account Information Service Providers): Acceden a la información de cuentas del cliente con su consentimiento.
  • Clientes finales: Usuarios que se benefician de mayor seguridad, opciones de pago y transparencia.

Requisitos técnicos

  • APIs abiertas: Los bancos deben proporcionar interfaces estandarizadas y seguras para terceros.
  • Autenticación reforzada: Uso de dos factores o múltiples elementos independientes para verificar la identidad del usuario.
  • Notificación de incidencias: Obligación de reportar fraudes y problemas de seguridad a la autoridad competente.

Impacto en el sector financiero

  • Facilita la aparición de fintechs y servicios financieros innovadores.
  • Cambia la manera en que los usuarios interactúan con sus bancos, reduciendo dependencia de tarjetas y efectivo.
  • Aumenta la responsabilidad legal de bancos y proveedores frente a transacciones y datos de clientes.

Recursos y lecturas recomendadas

  • [¿Qué es la PSD2? BBVA](https://www.bbva.es/finanzas-vistazo/ef/banca-digital/psd2.html)
  • [Todo lo que hay que saber de la PSD2 BBVA](https://www.bbva.com/es/economia-y-finanzas/lo-saber-la-psd2/)
  • PSD original para contexto histórico de la normativa.
  • APIs bancarias y su evolución bajo PSD2.
  • Autenticación fuerte del cliente (SCA) y cómo se aplica en pagos electrónicos.

Temas relacionados

  • Open Banking: Concepto impulsado por PSD2 para acceso seguro a datos bancarios.
  • Fraude y seguridad digital: Cómo PSD2 reduce riesgos de fraude en pagos.
  • Integración fintech-bancos: Nuevos modelos de negocio y colaboración.
  • Normativas europeas complementarias: GDPR y directivas de ciberseguridad.

    PSD2 – Servicios, SCA, Regulación y Open Banking

Tipos de servicios bajo PSD2

  • Payment Initiation Service (PIS)
    • Permite a los TPPs iniciar pagos directamente desde la cuenta del cliente con su consentimiento, sin usar tarjetas de crédito o débito.
    • Facilita pagos más rápidos y seguros en comercio electrónico y apps fintech.
  • Account Information Service (AIS)
    • Proporciona a los TPPs acceso consolidado a información de cuentas bancarias de los clientes.
    • Permite análisis financiero, agregación de balances y recomendaciones personalizadas.
  • Card-Based Payment Instrument Issuer (CBPII)
    • Entidades que emiten instrumentos de pago basados en tarjeta y pueden permitir que terceros inicien pagos usando estos instrumentos.
    • Extiende la PSD2 más allá de cuentas bancarias tradicionales hacia soluciones de pago modernas.

Autenticación fuerte del cliente (SCA)

  • Factores de autenticación
    • Conocimiento: algo que solo el usuario sabe (contraseña, PIN).
    • Posesión: algo que solo el usuario tiene (token, teléfono, tarjeta).
    • Inherencia: algo que el usuario es (biometría como huella digital o reconocimiento facial).
  • Excepciones y limitaciones de SCA
    • Pagos recurrentes del mismo importe a la misma entidad pueden estar exentos tras la primera transacción.
    • Pagos de bajo valor o transacciones internas de la misma cuenta también pueden no requerir SCA.
  • Impacto en experiencia de usuario
    • Mejora la seguridad pero puede añadir pasos adicionales en pagos y accesos.
    • PSD2 incentiva soluciones que equilibren seguridad y fluidez en la experiencia del usuario.

Regulación y supervisión

  • Autoridades nacionales competentes
    • Cada país miembro del EEE designa autoridades que supervisan la implementación de PSD2 y la relación con TPPs y bancos.
    • Gestionan licencias, incidencias y cumplimiento normativo.
  • Comité Europeo de Supervisores Bancarios (EBA)
    • Emite guías técnicas (RTS) para implementar SCA y APIs abiertas de manera estandarizada.
    • Publica recomendaciones sobre seguridad de pagos, fraude y transparencia en servicios de pago.

Seguridad y privacidad de datos

  • Relación con GDPR
    • PSD2 se complementa con GDPR asegurando que el acceso a datos de cuentas sea solo con consentimiento explícito del cliente.
  • Protección de datos de usuarios al compartir información con TPPs
    • Las APIs deben garantizar cifrado, autenticación segura y control del usuario sobre quién accede a sus datos.
    • Se fomenta la minimización de datos, recopilando solo lo estrictamente necesario para el servicio.

Ecosistema Open Banking

  • Servicios habilitados por PSD2
    • Agregadores de cuentas que muestran información consolidada de múltiples bancos.
    • Comparadores financieros y herramientas de análisis de gastos.
    • Pagos instantáneos y transferencias directas desde cuentas bancarias.
  • APIs estandarizadas vs APIs propietarias
    • PSD2 promueve APIs estandarizadas para facilitar interoperabilidad y competencia.
    • Algunos bancos ofrecen APIs propietarias para servicios adicionales o personalizados, complementando la PSD2.

Casos prácticos y ejemplos

  • Pagos iniciados por terceros en apps de fintech
    • Apps que permiten pagar facturas o compras directamente desde la cuenta bancaria sin tarjeta.
  • Agregadores de cuentas mostrando balances consolidados
    • Aplicaciones que integran múltiples cuentas bancarias en una sola vista, facilitando gestión financiera y presupuestos.
  • Uso en pagos recurrentes y comercio electrónico
    • Servicios de suscripción y comercio online que usan PIS para realizar pagos automáticos y seguros.

      PSD2 – Recursos y herramientas actuales (2025‑2026)

Especificaciones y estándares

  • NextGenPSD2 Framework / Berlin Group APIs – Es el estándar principal de APIs PSD2 para acceder a cuentas y pagos (XS2A) y base para Open Banking en Europa: documentación técnica, modelos de datos y especificaciones disponibles y actualizados. Berlin Group Open Finance
  • openFinance API Framework (Berlin Group) – Extiende PSD2 con funcionalidades más amplias para datos financieros y servicios enriquecidos, con workplan 2025 disponible y documentos descargables. Berlin Group Open Finance
  • EBA Working Group on APIs under PSD2 – Grupo de la Autoridad Bancaria Europea que publica guías técnicas, clarificaciones y estándares relacionados con APIs PSD2 y SCA/CSC. EBA PSD2 APIs
  • Lista de APIs PSD2 por estándar y país – Existen múltiples implementaciones (Berlin Group, PolishAPI, nacionales) con distintas especificaciones según región o banco. Bankio PSD2 Standards

Portales de documentación y sandboxes

Herramientas y prácticas de desarrollo

  • Certificados QWAC/eIDAS y enrolamiento TPP – Requeridos para acceder a producción en casi todos los sandboxes y APIs. PSD2 Sandbox Docs
  • Swagger/OpenAPI specs – Muchos portales ofrecen especificaciones OpenAPI para generar código cliente/servidor automáticamente. Fibank PSD2 Sandbox
  • Monitoreo y APIs de infraestructura – Plataformas como APIContext permiten monitorear rendimiento de APIs PSD2/Open Banking (SLAs, KPIs, seguridad, compliance). API Context
  • Guías de cumplimiento para desarrolladores – Blogs de integración PSD2 cubren SCA, OAuth2/OpenID, gestión de tokens, riesgo de transacciones y mejores prácticas de seguridad y GDPR. MaviDev PSD2 Guide

Sandboxes y entornos de prueba

  • Mock Data APIs – Entornos de prueba con datos simulados para cuentas, transacciones y pagos. PSD2 Sandbox
  • TPP onboarding sandbox – APIs dedicadas a enrolamiento y gestión de consentimientos con enfoque PSD2. BEC Sandbox
  • Simulación de estados de pago – Con changelogs y versiones recientes, permite probar cancelación de autorizaciones y comportamiento de endpoints 2025‑2026. BEC Sandbox Changelog

Compliance, seguridad y documentación reglamentaria

  • Documentación de estándares técnicos (RTS) – Publicada por EBA para SCA & CSC, reporting de fraude, contingencias y riesgos operativos. EBA RTS
  • Documentación técnica de implementación PSD2 por bancos – Ej. documentación N26 PSD2 API TPP con detalles de SCA methods y headers requeridos. N26 PSD2 TPP Docs
  • Open Finance y documentos descargables – Berlin Group ofrece especificaciones actualizadas que expanden el alcance más allá de PSD2. Berlin Group Open Finance Downloads

Buscadores y directorios útiles (2025‑2026)

  • API sandbox directories – Listar y filtrar sandboxes de PSD2/Open Banking. API Context
  • Github y repositorios TPP docs – Ej. n26/psd2‑tpp‑docs con reglas de uso y notas de cambios 2025. Github N26 PSD2 TPP Docs
  • OpenAPI/Swagger downloads – Especificaciones de API para generación de código y testing automático. Berlin Group Open Finance

Recursos adicionales (relevantes en 2025‑2026)

  • Open Banking Blogs y guías de integración – Artículos que explican flujos de OAuth2, manejo de SCA y consentimiento, mejores prácticas y casos de uso reales. MaviDev PSD2 Guide
  • Standards líderes por país – Implementaciones locales además de Berlin Group (p. ej., PolishAPI, Austria, Bulgaria con NextGenPSD2 XS2A). Bankio PSD2 Standards