La Segunda Directiva sobre servicios de pago o PSD2 introdujo importantes cambios en el funcionamiento de los pagos en plataformas y marketplaces en Europa. Asimismo, cambió la forma en que los proveedores de servicios de pago externos pueden obtener acceso autorizado a cuentas bancarias y gestionar pagos, además de introducir la Autenticación reforzada de clientes (SCA) para que los pagos sean más seguros.
La Comisión Europea ha revisado el marco actual y ha presentado propuestas para una Tercera Directiva sobre servicios de pago y una normativa de servicios de pago. Las nuevas reglas de pagos buscan garantizar una mayor armonización de las normas en la UE, seguir desarrollando igualdad de condiciones para los proveedores de pagos e introducir mejoras en la protección antifraude y de clientes.
Aunque se están dando negociaciones entre el Parlamento Europeo y los Estados miembros de la UE, y aunque no veremos las normas finales entrar en vigor hasta 2026, hay cambios importantes que las plataformas y los marketplaces (en particular) deben tener en cuenta y para los que ya se pueden empezar a preparar. Esta guía ofrece una vista general de estos cambios para ayudarte a preparar satisfactoriamente las nuevas normas de pago de Europa.
La Autoridad Bancaria Europea (ABE) recibirá el mandato de la Comisión Europea para emitir normas técnicas de regulación (RTS) complementarias y diseñar normas detalladas sobre elementos importantes de la PSD3 o del PSR (como la Autenticación reforzada de clientes) para ayudar a las empresas a implementarlas.
Resumen: ¿Qué está cambiando en la PSD3?
|
Disposiciones de aplicación directa en toda la UE
|
El nuevo Reglamento sobre servicios de pago recoge la mayoría de las disposiciones previstas en la segunda Directiva sobre servicios de pago (PSD2) de la UE, entre otras, las relativas al fraude y las responsabilidades, la transparencia, la banca abierta y la autenticación reforzada de clientes (SCA). No obstante, estas disposiciones ahora deberán aplicarse directamente en todos los Estados miembros. Esto reduce el margen permitido para que los Estados miembros de la UE las interpreten de forma distinta, lo que significa que su aplicación será más uniforme en toda la UE y, en consecuencia, a las empresas les resultará más fácil implementarlas. |
|---|---|
|
Las entidades de pago podrán emitir dinero electrónico
|
En la PSD3 se fusionan los marcos jurídicos aplicables a las entidades de dinero electrónico y a las entidades de pago. En el futuro, las entidades de dinero electrónico tendrán la acreditación de entidades de pago en virtud de la PSD3. Las entidades de pago podrán emitir dinero electrónico, y la Directiva sobre dinero electrónico (EMD2) quedará derogada. |
|
Nuevas restricciones a la exención de agente comercial
|
Las nuevas disposiciones endurecen aún más los requisitos para las plataformas y los marketplaces que pueden acogerse a la exención de agente comercial, ya que se limitan las circunstancias en las que pueden beneficiarse de la exención para los pagos. |
|
Medidas para reforzar los pagos con banca abierta
|
Se introducirán nuevos datos de referencia para mejorar el rendimiento de las API de banca abierta y eliminar los obstáculos que los proveedores externos tienen actualmente para acceder a las cuentas bancarias de los clientes. Con esto se pretende mejorar el funcionamiento y la adopción de la banca abierta. |
|
Más responsabilidades por fraude
|
Los proveedores de servicios de pago (PSP) asumirán la responsabilidad por fraude en muchos otros casos y tendrán la obligación de adoptar otras medidas para combatirlo (por ejemplo, educar a los clientes sobre los riesgos de fraude o compartir información importante con otras entidades financieras). |
|
Nuevas disposiciones sobre la SCA y la supervisión de las transacciones
|
Se aclararán las disposiciones relativas a la aplicación de la SCA (por ejemplo, en el caso de transacciones iniciadas por el comerciante y de pedidos telefónicos o por correo). Puede que las nuevas normas técnicas de regulación de la Autoridad Bancaria Europea también supongan cambios en los requisitos de supervisión de las transacciones y las exenciones de la SCA. |
¿Qué impacto tendrá la PSD3 en las plataformas y los marketplaces?
Pagos para plataformas y marketplaces según las normas actuales de la PSD2
El marco de la PSD regula los pagos para plataformas y marketplaces. Por ejemplo, cuando una plataforma entra en posesión o control de fondos adeudados por un comprador y los cobra al vendedor, esta actividad se consideraría como una prestación de servicios de pago regulados (como gestionar una cuenta de pago, ejecutar transacciones de pago o transferir dinero). Hay una excepción importante a esta norma (la exención de agente comercial) en la que, en el pasado, las plataformas habían intentado basarse a menudo para evitar obtener una licencia.
La PSD2 endureció la exención de agente comercial para que se aplicara exclusivamente en casos en los que una plataforma o un marketplace solo actúa en nombre del pagador o del beneficiario, pero no ambos. No obstante, en caso de que la plataforma actúe en nombre de los dos, solo podrá eludir la obligación de operar bajo licencia si los fondos no obran en su poder ni están bajo su control y recurre a un proveedor de servicios de pago con licencia. Esto se concibió para mitigar el riesgo de crédito de negocios de plataformas y marketplaces al limitar la gestión de fondos adquiridos a una entidad regulada que debe cumplir los requisitos locales de protección.
La exención de agente comercial permite a las partes prestar servicios de pago sin licencia, en casos en los que actúan de agente comercial en nombre de un pagador o beneficiario.
Normas más estrictas bajo la PSD3 para plataformas y marketplaces
La PSD3 propone endurecer aún más los requisitos para plataformas y marketplaces a través de la exención de agente comercial. Como resultado, la exención de agente comercial probablemente solo estará disponible para plataformas y marketplaces en circunstancias muy limitadas. Si tienes una plataforma o un negocio que se basa actualmente en la exención de agente comercial, debes tener en cuenta el impacto de la PSD3.
Las nuevas normas introducen nuevas condiciones que deben cumplirse para que se aplique la exención comercial: el agente debe tener la autorización del pagador o beneficiario para negociar/concluir transacciones en su nombre y proporcionar al pagador o beneficiario un margen real para negociar con el agente. El preámbulo de la PSD3 reitera que las plataformas de e-commerce que actúan como agentes en nombre de vendedores y compradores particulares no son agentes comerciales y, por ello, no pueden participar en actividades de servicios de pago sin licencia.
Además, la PSD3 también insta a la Autoridad Bancaria Europea a que emita directrices específicas que ofrezcan más claridad y convergencia entre los Estados miembros de la UE, además de una lista de casos de uso que incurren en la exención.
Cómo ayuda Stripe a las plataformas y los marketplaces a cumplir nuevos requisitos
En Stripe siempre hemos tenido como objetivo crear productos que minimicen la carga normativa de nuestros usuarios. Eliminamos la carga de la PSD2 en las plataformas al crear Connect, que permite a las plataformas usar una solución técnica para abstraerse de los requisitos normativos. Connect ofrece la misma ventaja a las plataformas y los marketplaces bajo la PSD3 al ofrecerles una solución de pago que no les exige obtener una licencia de pago.
Al prestar Stripe el servicio regulado, las plataformas tienen la libertad de centrarse en lo que mejor saben hacer: crear excelentes marketplaces para sus usuarios. En lugar de tratar de obtener su propia licencia para procesar pagos o aportar pruebas de que están exentas, ya son cientos de plataformas con vendedores en toda Europa las que han apostado por Connect.
Pagos en la plataforma con Connect
Si tienes alguna pregunta sobre Stripe Connect, estamos a tu entera disposición.
¿Cuáles son las nuevas normas para la Autenticación reforzada de clientes (SCA)?
La función de la SCA en la reducción de fraude
La Autenticación reforzada de clientes se introdujo en Europa a través de la PSD2 para reducir el fraude y conseguir que los pagos por Internet y sin contacto sean más seguros. La SCA requiere autenticación en dos pasos. Para obtener más información sobre la SCA, consulta nuestra guía sobre la Autenticación reforzada de clientes.
La evaluación de la Comisión Europea sobre la PSD2 concluyó que la SCA ha tenido éxito en la reducción de fraude. La PSD3 o el PSR tienen como objetivo desarrollar y mejorar la SCA explicando las definiciones clave, seguir especificando las exenciones para las transacciones de bajo riesgo y seguir equilibrando la seguridad con el desarrollo de medios de pago fáciles de usar, innovadores y accesibles.
En nuestra vista, las nuevas normas podrían seguir mejorando la experiencia de la clientela en el momento de la compra por Internet. Además, dan más claridad a las instituciones financieras, redes de tarjetas y proveedores de servicios de pago para aplicar exenciones de la SCA para transacciones con menor riesgo o para transacciones recurrentes. A más largo plazo, las nuevas normas también pueden introducir la posibilidad de nuevas exenciones en función del riesgo de una transacción y en consonancia con las mejoras tecnológicas. Las empresas deben seguir optimizando su motor de SCA según las nuevas normas para obtener los mejores resultados de autenticación.
|
MIT
|
En el caso de las transacciones iniciadas por el comerciante (MIT), la SCA solo debe aplicarse en el momento de configurar la orden, pero no para las MIT posteriores. Para estas transacciones, se introduce un derecho de reembolso incondicional de ocho semanas, similar al de los adeudos directos SEPA. |
|---|---|
|
MOTO
|
Si se trata de transacciones de pedidos telefónicos o por correo (MOTO), el requisito de que no sea digital solo se aplica al inicio de la transacción de pago a fin de que esta pueda estar exenta de la SCA. |
|
Enlace dinámico
|
Los elementos de la SCA que enlazan de forma dinámica la transacción con un importe específico y un beneficiario deben usarse para las transacciones de pago electrónico en las que se efectúa un pago a través del dispositivo de un pagador mediante la tecnología de proximidad (por ejemplo, la comunicación de campo cercano o NFC) y la aplicación de la SCA exige el uso de Internet en el dispositivo del pagador. |
|
Servicios de información de cuentas
|
En el caso de los PSP que prestan servicios de información de cuentas en el marco de la banca abierta, la SCA solo se exige en el primer acceso a los datos. Sin embargo, la SCA es obligatoria cuando los clientes acceden a los datos agregados de la cuenta en el dominio del proveedor de servicios de información de cuentas, al menos cada 180 días. |
|
Tokenización
|
La tokenización exige la aplicación de la SCA cuando el titular de la tarjeta participa activamente en el proceso de tokenización (por ejemplo, al registrar o reemplazar una tarjeta en un monedero o en una solución de registro de tarjetas). |
|
Supervisión de las transacciones
|
La Autoridad Bancaria Europea publicará normas técnicas de regulación para la supervisión de las transacciones a cargo de los proveedores de servicios de pago, que tendrán en cuenta factores ambientales y de comportamiento (por ejemplo, la ubicación del cliente o los hábitos de gasto). Esto fundamenta el uso de las exenciones a la SCA para las transacciones que plantean un nivel de riesgo bajo (por ejemplo, exenciones de análisis de riesgo de las transacciones). |
|---|---|
|
Exenciones a la SCA
|
La ABE también se encarga de elaborar normas técnicas de regulación sobre los requisitos y las exenciones de la SCA, para lo que tiene en cuenta un enfoque basado en el riesgo y el uso de la tecnología. |
|
Autenticación en dos pasos
|
Las nuevas disposiciones sugieren que los factores utilizados para la autenticación en dos pasos en el marco de la SCA no tienen por qué pertenecer a categorías diferentes, siempre que su independencia se conserve plenamente. Esto podría permitir a los clientes autenticarse con dos contraseñas, o bien con una huella y el reconocimiento facial. |
|
Accesibilidad
|
Los PSP deben ofrecer diferentes formas de aplicar la SCA, como la recepción de SMS, que no dependan de la posesión de un dispositivo inteligente. |
|
Responsabilidades para los PST
|
Los proveedores de servicios técnicos (PST) y los operadores de los sistemas de pago asumirán la responsabilidad por la falta de soporte en la aplicación de la SCA. Con ello se pretende garantizar una mayor cooperación entre todos los agentes que participan en la aplicación de la SCA. |
|---|---|
|
Externalización
|
Los proveedores de servicios de pago que dependen de los PST para ofrecer y verificar elementos de la SCA deben suscribir acuerdos de externalización con los PST. La ABE establecerá los requisitos para estos acuerdos de externalización. |
Más medidas para evitar el fraude y proteger a tus consumidores
Además de los requisitos de SCA actualizados, las nuevas normas introducen más medidas para reforzar la protección de tus consumidores y animar a los proveedores de servicios de pago a tomar más medidas con las que evitar fraude. Entre ellas, se incluyen requisitos para que los proveedores de servicios de pago informen a la clientela sobre tendencias de fraude, realicen programas periódicos de formación interna, cooperen con proveedor de servicios de comunicaciones electrónicas y compartan información con otras instituciones financieras. Asimismo, obligan a los proveedores de servicios de pago a reembolsar a los usuarios las transacciones fraudulentas en caso de fraude por suplantación.
Cómo te ayuda Stripe a cumplir los requisitos de SCA
La introducción de la SCA en la PSD2 afectó profundamente al comercio por Internet en Europa. Para asegurar una transición fluida a las nuevas normas, Stripe trabajó con socios y empresas afectados para implementar los nuevos requisitos y gestionar el impacto en las tasas de conversión. Esto incluía fomentar métodos de autenticación como 3D Secure 2 y desarrollar nuevos métodos de autenticación en dos pasos para garantizar una experiencia de autenticación en fluida para las empresas y sus clientes.
Nuestros productos, incluidos Stripe Checkout y Billing, se basan en nuestra API de pagos, que usa la lógica de SCA de Stripe para activar 3D Secure cuando sea necesario. Nuestra solución de SCA incluye la gestión correcta de exenciones como componente clave para crear una experiencia de pago de primera clase que minimice la fricción y ofrezca la mejor seguridad de su categoría. Optimizamos la aplicación de SCA para distintas normas reglamentarias, bancarias y de redes de tarjetas, y aplicamos exenciones relevantes (como para pagos de bajo riesgo o pagos corporativos seguros) de forma que solo se active 3D Secure o se aplique la autenticación en dos pasos si es necesario.
Flujo de autenticación reforzada de clientes (SCA)
El motor de autenticación de Stripe también utiliza modelos de machine learning que detectan riesgos en tiempo real y permiten a las empresas ofrecer la mejor experiencia posible a sus clientes, además de asegurar el cumplimiento de la normativa con respecto a la SCA.
Seguiremos llevando un seguimiento de los próximos cambios en la SCA. Nuestra solución actualizada de SCA puede ayudarte con la aplicación de SCA y ayudarte a aumentar el éxito de la autenticación y las tasas de conversión, todo ello mientras se cumplen las normas de SCA y se minimiza el fraude. Obtén más información sobre cómo impulsar tus ingresos con mayores tasas de autorización con Stripe.
¿Y ahora qué viene?
La PSD3 y el PSR son una actualización significativa de las normas de pago de Europa. Para preparar las normas revisadas, las plataformas y los marketplaces tendrán que revisar el uso de exenciones como la exención comercial, si aplica, o seguir confiando en los proveedores de pagos regulados para ofrecer soluciones de pago.
En vista de la PSD3 o el PSR y las próximas directrices de la ABE, las empresas también tendrán que revisar constantemente requisitos para la SCA. Los proveedores de servicios de pago que han creado actualizaciones de SCA en su motor de autenticación pueden ayudar a optimizar el número de pagos que requieren SCA y a maximizar la tasa de éxito de la autenticación en dos pasos mientras se minimiza el fraude.
Durante el curso de 2024 y 2025, la Comisión Europea, el Parlamento Europeo y los Estados miembros de la UE finalizarán las nuevas normas. Posteriormente, Los Estados miembros de la UE deberán incorporar la PSD3 a la legislación nacional. Si bien por el momento no hay plazos claros sobre las negociaciones y el periodo de aplicación, es poco probable que las normas entren en vigor antes de 2026.
Stripe participa en conversaciones con los legisladores pertinentes para compartir nuestros datos sobre la forma en que las futuras normas de pago de Europa pueden rendir mejor para las empresas y sus clientes. Actualizaremos esta página a medida que haya disponible más información.
Si quieres obtener más información sobre cómo puede ayudarte Stripe a prepararte para las normas revisadas, o si quieres compartir tus impresiones con nosotros, contacta con el equipo de Stripe o envía un correo electrónico a nuestro equipo de PSD3 a psd3@stripe.com.
Si quieres saber la respuesta de alguna pregunta frecuente relacionada con el estado regulatorio de Stripe Connect en Europa, consulta esta página.