La DSP2, PSD2 en inglés, es la directiva europea que hizo explotar el Open Banking en Europa. Creó un nuevo mercado de fintechs, transformó la relación entre bancos y clientes y abrió un terreno de juego enorme para los productos financieros.
Este artículo explica, sin jerga técnica, lo que la PSD2 cambia para su negocio: quiénes son los actores, cómo circulan los datos y dónde están las oportunidades. Si es CTO o desarrollador y busca la mecánica bajo el capó, lea mejor el artículo hermano: Arquitectura técnica de una API DSP2.
El problema que resuelve la PSD2
Antes de 2018, los bancos eran los únicos intermediarios entre sus clientes y sus datos financieros. Los servicios que querían agregar cuentas o iniciar un pago recurrían al screen scraping: conectarse en su lugar con sus credenciales bancarias y leer la página web del banco.
Nada seguro, nada fiable, sin un marco legal claro sobre las responsabilidades.
La PSD2 reemplazó este apaño por un marco claro: los bancos deben abrir canales de acceso oficiales, y los servicios terceros se conectan a ellos con el consentimiento explícito del cliente, sin ver nunca sus credenciales bancarias.
Los actores del ecosistema
La PSD2 distingue cuatro roles. Una vez que tenga esas cuatro siglas en mente, todo lo demás se aclara.
| Actor | Rol en una frase |
|---|---|
| PSU | El usuario final — su cliente. |
| ASPSP | El banco que tiene las cuentas y las abre a los servicios terceros. |
| TPP | El servicio tercero que se conecta al banco (su app, o un socio). |
| NCA | La autoridad nacional que autoriza a los TPP. En Francia, es la ACPR. |
El cliente (PSU) está siempre en el centro. Ningún acceso a sus datos se produce sin su consentimiento explícito. Es el principio fundador de la PSD2.
Los tres oficios de un TPP
«TPP» es una palabra comodín. La PSD2 distingue tres oficios muy diferentes, cada uno con su propia autorización.
| Oficio | Lo que hace | Ejemplos |
|---|---|---|
| AISP | Lee las cuentas: saldos, transacciones, agregación. | Bridge, Tink, Bankin', Pennylane |
| PISP | Dispara una transferencia desde la cuenta del cliente. | Fintecture, Bridge, Trustly |
| CBPII | Verifica que hay fondos suficientes (sí / no). | Emisores de tarjetas co-marca |
Sin una autorización otorgada por un regulador (la ACPR en Francia), un actor no puede conectarse a las API bancarias. Es lo que protege a los clientes — y lo que ha estructurado todo el ecosistema.
El consentimiento: la clave de bóveda
Ningún acceso a los datos se produce sin el consentimiento explícito del cliente. No es una simple casilla «acepto»: es un objeto formal, enmarcado por la directiva.
Lo que define un consentimiento:
- Perímetro — qué cuentas, qué datos (solo saldos, o también transacciones).
- Duración — hasta 180 días para la lectura recurrente, y luego renovación obligatoria.
- Frecuencia — cuántas veces al día puede el servicio actualizar los datos.
- Revocación — el cliente puede cortar el acceso en cualquier momento, en el lado del banco o del servicio.
Para un pago, el consentimiento es de un solo uso: un pago = un consentimiento.
El recorrido, visto por el cliente
Para hacerlo concreto, esto es lo que ocurre cuando un cliente conecta su cuenta a una app de agregación.
El paso «contraseña + biometría» corresponde a la autenticación reforzada, o SCA: dos factores de tres (algo que sé, que tengo o que soy). Es obligatoria para validar el consentimiento y para confirmar un pago, y es lo que hizo bascular el mercado del 3D Secure v1 hacia la v2 en el comercio electrónico.
Antes / después: lo que la PSD2 cambió de verdad
En concreto:
- Para los clientes: más elección de servicios, mejor seguridad, verdadero control sobre sus datos.
- Para las fintechs: un marco legal para innovar sin depender de la buena voluntad de los bancos.
- Para los bancos: obligación de abrir sus datos, pero también oportunidad de convertirse en plataformas (lógica BaaS y Embedded finance).
Las oportunidades de negocio que abre la PSD2
Según su posición en el ecosistema, la PSD2 abre frentes muy distintos.
Si es una fintech
La Agrégation bancaire y la iniciación de pago se convierten en piezas que puede consumir a través de socios (Bridge, Tink, Fintecture…) sin convertirse usted mismo en AISP o PISP. Casos de uso: PFM (gestión de finanzas personales, véase PFM / BFM), contabilidad automatizada, scoring de crédito, pagos alternativos a las tarjetas.
Si es un comercio o e-commerce
La iniciación de pago (PISP) ofrece una alternativa a la tarjeta: transferencia instantánea disparada desde la cuenta del cliente, sin gastos de interchange, con confirmación inmediata. Interesante para cestas elevadas, suscripciones o recargas de wallet.
Si es un banco o una entidad
Más allá de la obligación, la PSD2 permite transformar la API en producto: facturación premium a los TPP, servicios de valor añadido, distribución embebida en socios (lógica BaaS, véase Treezor / Swan / Solaris).
Si es un proveedor de software SaaS B2B
Conectar automáticamente las cuentas profesionales de sus clientes (vía un AISP socio) elimina horas de entrada manual de datos. Es lo que impulsó a Pennylane, Qonto y la mayoría de las herramientas contables modernas.
¿Y después? PSD3, PSR y FIDA
La PSD2 tiene ocho años, y Europa prepara la continuación. Tres textos estructuran los próximos años:
- DSP3 y PSR (propuestos en 2023) — refuerzo de la lucha antifraude (en particular el APP fraud), mejor calidad de API, fin oficial del screen scraping, rediseño del CBPII.
- FIDA — extensión del Open Banking a todos los datos financieros: ahorro, crédito, seguros, inversión. Es el «Open Finance».
La palabra final
La PSD2 parece compleja por sus siglas, pero el concepto de base es sencillo: devolver al cliente el control de sus datos bancarios y crear un marco de confianza para que otros actores puedan innovar sin apaños.
Para ir más lejos:
- Si quiere entender la mecánica técnica (estándares de API, certificados, seguridad), lea Arquitectura técnica de una API DSP2.
- Para el vocabulario detallado, el glosario Open Banking cubre cada término.