Glosario Open Banking & DSP2

Protocolo de autenticación reforzada para los pagos con tarjeta en internet. La versión actual, 3DS2, permite la biometría, los pagos frictionless y la aplicación de las exenciones de SCA.

Sistema nacional de identidad digital de la India gestionado por la UIDAI, que asigna un número único de 12 cifras a más de 1.300 millones de indios. Un modelo de identidad masiva que se ha convertido en la base de la inclusión bancaria (India Stack) y en una inspiración para eIDAS 2 / la EUDI Wallet.

El regulador francés de bancos, aseguradoras y fintechs. Es la ACPR quien concede las autorizaciones de PSP, AISP y PISP — y quien puede retirarlas.

En el modelo de cuatro esquinas de los pagos con tarjeta, el emisor es el banco del titular y el adquirente el del comercio. Dos roles simétricos, pero dos negocios muy distintos en la práctica.

Modelo que permite a un actor sin autorización distribuir los servicios de un PSP (EP o EDE) bajo su propia marca, apoyándose en la autorización del 'principal'. El estándar del Banking-as-a-Service.

Servicio básico de un AISP: reunir en un solo lugar los datos de las cuentas del PSU mantenidas en varios bancos. La pieza común bajo PFM, BFM, scoring y embedded finance.

Proveedor autorizado que lee tus cuentas bancarias — saldos y transacciones — con tu consentimiento. Consulta, nunca inicia un pago.

La familia de obligaciones que exigen a los actores financieros conocer a sus clientes (KYC), vigilar sus transacciones y comunicar cualquier operación sospechosa a TRACFIN. Enmarcada por las directivas AML europeas y el futuro reglamento AMLR / autoridad AMLA.

Fraude en el que se manipula a la víctima para que autorice ella misma una transferencia a una cuenta controlada por el estafador. Objetivo n.º 1 de las transferencias inmediatas y del SCT Inst, con tope previsto por el PSR / reforma de 2026.

Es el banco. Mantiene tus cuentas y tiene la obligación, desde la DSP2, de exponer sus datos y funciones de pago a los TPP que tú autorizas.

Modelo en el que una entidad de crédito o EDE expone sus autorizaciones y su infraestructura (cuentas, tarjetas, pagos) vía API a fintechs o marcas no bancarias. Treezor, Swan, Solaris, Modulr en Europa.

Banco central francés. Más allá de la política monetaria, alberga a la ACPR, opera los sistemas de pago nacionales y vela por la estabilidad financiera.

Consorcio europeo de bancos y proveedores que mantiene la norma NextGenPSD2: el estándar de API de la PSD2 más extendido en Europa, fuera de Francia.

Código SWIFT internacional que identifica un banco (8 u 11 caracteres). Ya no es obligatorio en SEPA desde 2016, pero resulta imprescindible para las transferencias internacionales fuera de la zona euro.

Solución de pago que permite a un consumidor comprar de inmediato y pagar más tarde, normalmente en 3 a 12 plazos sin intereses o de forma aplazada. Mercado dominado por Klarna, Alma, Younited Pay, FLOA y PayPal Pay in 4. Sujeto a una supervisión reforzada por la directiva Consumer Credit Directive 2 (CCD2).

Fintech francesa que ofrece API de agregación bancaria (AISP) e iniciación de pagos (PISP). Marca B2B surgida de Bankin' (Perspecteev SAS), escindida del negocio minorista en 2022 con la entrada de Groupe BPCE y Truffle Capital en el capital.

Método de concesión de crédito basado en el análisis de los flujos bancarios reales (AIS) en lugar de únicamente las nóminas y los burós. Permite puntuar perfiles mal cubiertos (autónomos, primeros prestatarios, pymes).

Etapa que transforma un concepto en bruto ("CB CARREFOUR 23/04") en una categoría útil ("Alimentación › Supermercado"). Pieza invisible pero crítica para PFM, BFM, scoring y contabilidad automática.

El esquema (scheme) de pago con tarjeta histórico de Francia, operado por el GIE CB. La mayoría de las tarjetas en Francia llevan co-badging CB + Visa o CB + Mastercard, con enrutamiento prioritario por CB a nivel doméstico.

Emisor de una tarjeta respaldada por una cuenta mantenida en otro banco. Antes de cada pago, le hace a ese banco una única pregunta: "¿están disponibles los fondos?"

Régimen australiano de Open Data que abarca banca, energía y pronto telecomunicaciones. Más amplio que la PSD2 desde el principio, introduce la noción de "Action Initiation", que va más allá de la iniciación de pagos clásica.

Procedimiento regulado por los esquemas de tarjeta que permite a un titular, a través de su banco emisor, reclamar una transacción y obtener el contracargo automático. Riesgo económico importante para los comercios de comercio electrónico.

Estatus francés para asesorar a un cliente sobre instrumentos financieros (acciones, fondos, contratos financieros). Inscripción en ORIAS y pertenencia a una asociación profesional autorizada por la AMF.

El ejecutivo de la Unión Europea. Es ella la que propone las directivas y reglamentos (PSD2, PSD3, FIDA, MiCA…) que estructuran toda la fintech europea.

Reglamento europeo en vigor desde enero de 2025 que impone a todos los actores financieros —bancos, fintechs, aseguradoras, CASP— un marco estricto de resiliencia de TI.

Directiva europea que entró en vigor en 2018 y que creó la banca abierta (Open Banking) en Europa: obliga a los bancos a abrir sus API y dio origen a los AISP, PISP y CBPII.

Sucesora de la DSP2, propuesta en junio de 2023. Refuerza la lucha contra el fraude, eleva la calidad de API exigida y aclara las responsabilidades. Aplicación prevista: 2026–2027.

La autoridad bancaria europea. Redacta las normas técnicas (RTS) y las directrices que todos los bancos y fintech del EEE deben aplicar.

El 'banco' clásico en sentido regulatorio: único estatuto autorizado a captar depósitos del público y conceder crédito. Autorización de la ACPR + BCE para los más grandes.

Reglamento (UE) 2024/1183 que moderniza el marco eIDAS de 2014 y crea la cartera europea de identidad digital (EUDI Wallet), de reconocimiento obligatorio por los Estados miembros y los grandes actores privados a partir de 2026-2027.

Tercero de confianza cualificado que emite los certificados QWAC y QSealC que cada TPP necesita para identificarse ante los bancos europeos.

Integración nativa de servicios financieros (cuenta, pago, crédito, seguro) en un producto no financiero. Uber paga a sus conductores con un wallet integrado; Shopify ofrece crédito a sus comercios.

Estatuto específico para emitir y gestionar dinero electrónico: wallets, tarjetas prepago, cuentas de Banking-as-a-Service. Treezor, Swan y Sumeria son EME franceses.

EMV es el estándar mundial de las tarjetas con chip (1996, Europay-Mastercard-Visa) que eliminó el fraude por copia de la banda magnética. NFC es la capa de radio sin contacto (contactless) que se apoya en EMV.

Capa por encima de la categorización: añade el logo del comercio, la ficha de empresa, el MCC, la geolocalización, un identificador de comercio normalizado, la identificación de la suscripción, etc.

Estatuto creado por la DSP1 para actores especializados en servicios de pago (transferencias, adeudos directos, adquirencia, AIS, PIS) sin depósito ni crédito. Caso típico: Lydia, Qonto, Fintecture, Bridge.

Aplicación móvil facilitada por cada Estado miembro, que contiene la identidad oficial del ciudadano, sus atributos verificados (permiso de conducir, titulación, etc.) y una clave de firma cualificada. Bloque operativo de eIDAS 2.

Perfil de seguridad OAuth 2.0 / OpenID Connect diseñado específicamente para las API financieras. Estandarizado por la OpenID Foundation, FAPI 1.0 (final 2021) y FAPI 2.0 (final 2024) refuerzan la autenticación, el binding de token y la protección frente a ataques. Usado por OBIE UK, CDR Australia, Open Finance Brazil.

Estándar de API de Open Banking estadounidense, impulsado por el sector (bancos + fintechs) y no por un regulador. Es el equivalente en EE. UU. del Berlin Group, ya posicionado para la futura Section 1033 del CFPB.

Sistema de pago instantáneo estadounidense lanzado por la Reserva Federal en julio de 2023. Disponible 24/7, compite con el rail privado RTP de TCH en un panorama estadounidense fragmentado y lento en adoptar el instantáneo.

Reglamento europeo propuesto en junio de 2023 que extiende el Open Banking a todos los datos financieros: ahorro, crédito, seguros, inversión. Es el Open Finance oficial.

Fintech francesa pure player de iniciación de pagos (PISP) bajo la PSD2, creada en 2018. Especializada en pagos B2B y de e-commerce de importe elevado mediante SCT Inst, en competencia directa con las tarjetas para pagos superiores a 1.000 €.

Los 3 modos de autenticación reforzada previstos por la PSD2. Cada banco privilegia uno u otro, y la elección condiciona directamente la conversión y la experiencia de usuario.

Sistema francés de federación de identidad operado por la DINUM que permite a los usuarios acceder a más de 1.500 servicios públicos y privados mediante una única cuenta de un tercero (Impôts, Ameli, La Poste, MSA, etc.). Pieza pre-EUDI para Francia.

Estándar IETF (RFC 9421, finalizado en 2024) que define un mecanismo de firma a nivel de las peticiones y respuestas HTTP. Aporta integridad/autenticidad a nivel de aplicación como complemento de TLS, exigida por la RTS-SCA de la PSD2 a los TPP en la UE (firmada con un QSealC).

El identificador único e internacional de una cuenta bancaria. En Francia, 27 caracteres que contienen a la vez el banco, la oficina, el número de cuenta y un dígito de control.

Mecanismo por el que un cliente envía un identificador único con una petición de API mutante (POST), garantizando que, ante un reintento de red, la operación se ejecute una sola vez en el servidor. Best practice crítica para las API de pago.

Estatus francés que regula la intermediación de crédito y de servicios bancarios. Inscripción en la ORIAS, en 4 categorías según se actúe como mandatario de un banco, de un cliente, corredor o MIOBSP.

Estándar ISO publicado en 2004 y adoptado progresivamente como lenguaje común de los mensajes financieros (pagos, valores, FX, trade finance). Sustituye a SWIFT MT y a ISO 8583. Migración de gran calado en 2022-2025 para SEPA, SWIFT, CHAPS y Fedwire.

Estándar ISO publicado en 1987 que define el formato de los mensajes intercambiados entre los actores de tarjetas (terminal POS, PSP adquirente, scheme, emisor). Sigue siendo el estándar dominante de la autorización, la adquirencia y la liquidación de tarjetas. Visa, Mastercard, CB y Amex lo usan todos.

Familia de estándares IETF (RFC 7515-7519) que define un formato compacto para transportar claims firmados o cifrados. Pieza fundamental de la autenticación moderna (OAuth, OIDC, FAPI), de la firma a nivel de aplicación y del transporte seguro de datos estructurados.

Obligación regulatoria de verificar la identidad de todo cliente (KYC) o empresa (KYB) antes de abrir una cuenta. Pilar de la lucha contra el blanqueo de capitales, impuesto a todas las fintech.

Mecanismo de las redes de tarjetas por el que la responsabilidad de un fraude pasa del comercio al banco emisor cuando se ha utilizado 3DS2. Es el principal incentivo económico para impulsar 3DS2.

Desglose de las comisiones que paga un comercio por aceptar una tarjeta: tasa de intercambio (al emisor) + scheme fees (a la red) + acquirer fee (al PSP) = MDR. Limitado en el EEE por el IFR.

Reglamento europeo que entró en vigor en 2024-2025 para regular los criptoactivos: autorización CASP, supervisión de las stablecoins y protección de los inversores.

TLS bidireccional: el cliente presenta un certificado al servidor, igual que el servidor presenta uno al cliente. Es el mecanismo que permite a un banco reconocer a un TPP en cada llamada.

El regulador financiero nacional de cada país del EEE. En Francia es la ACPR, en Alemania la BaFin, en el Reino Unido la FCA. Todas aplican las mismas reglas europeas.

Estándar de autorización delegada utilizado en toda la web. En la DSP2 es lo que materializa el consentimiento del PSU y rige los tokens de acceso de los TPP.

El régimen británico de Open Banking, lanzado en 2018 por mandato de la CMA. Pionero mundial y más estructurado que la DSP2, inspiró a la mayoría de los demás regímenes de Open Banking del mundo.

El régimen de Open Finance brasileño, el más ambicioso del mundo por su alcance. Cubre ya cuentas, crédito, inversiones, divisas, pensiones y seguros — mucho más allá de la DSP2 o del Open Banking UK.

El titular de la cuenta que será adeudada en una transacción. El término cobra todo su sentido cuando el pagador no es el usuario directo del servicio de pago.

Mecanismo que permite a un PSP autorizado en un Estado miembro del EEE operar en los otros 29 sin una nueva autorización, ya sea en libre prestación de servicios (LPS) o mediante una sucursal (LE).

Wallet de pago histórica (1998), pionera del comercio electrónico mundial. Desempeña a la vez el papel de wallet de consumidor («Pay with PayPal»), de adquirente tercero para los comercios y de EME en Europa. Más de 400 M de cuentas activas.

Persona que ocupa o ha ocupado una función pública importante (jefe de Estado, ministro, parlamentario, magistrado, dirigente de empresa pública…), o su entorno cercano. Sujeta a una diligencia debida reforzada en materia de LCB-FT.

Categorías de apps que se apoyan en la agregación y el enriquecimiento para ofrecer presupuesto, seguimiento, previsión y consejos. PFM del lado del particular (Bankin', Linxo), BFM del lado profesional (Pennylane, Qonto, Indy).

Proveedor autorizado que inicia una transferencia desde tu cuenta bancaria — directamente, sin tarjeta ni intermediario de pago tradicional.

Sistema de pago instantáneo gratuito lanzado por el Banco Central de Brasil en 2020. En 4 años superó a las tarjetas en volumen y se convirtió en un caso de estudio mundial del éxito de un raíl público.

Tres líderes estadounidenses del Open Banking: Plaid (creado en 2013, líder indiscutible, conectado a más de 12.000 bancos), MX (Utah, 2010, más orientado a enterprise), Akoya (creado en 2018 por Fidelity + 11 bancos, modelo de data exchange mediante tokens de API en lugar de screen scraping). Mercado estadounidense fragmentado, más tecnológico que en la UE pero menos regulado.

La familia de las soluciones de aceptación presencial. Terminal clásico (Ingenico, Verifone), mPOS (lector Bluetooth + smartphone, tipo SumUp), SoftPOS (Tap to Pay en el propio teléfono del comercio, sin hardware dedicado).

El beneficiario de un pago: la persona o empresa cuya cuenta será abonada. Siempre identificado por su IBAN en las API de la PSD2.

Estatutos cripto: el PSAN es el registro/autorización francés (ley PACTE, 2019), y el CASP es la autorización europea única introducida por MiCA. El PSAN se extingue progresivamente en favor del CASP a finales de 2026.

Actor que contrata con los comercios para permitirles aceptar pagos (tarjetas, transferencias, monederos). Stripe, Adyen, Worldline, Mollie y Checkout.com son los líderes en Europa.

Reglamento europeo gemelo de la PSD3. A diferencia de una directiva, se aplica directamente en todos los Estados miembros — sin transposición, sin interpretación local.

El PSU eres tú: el usuario final de un servicio de pago, particular o empresa, que posee la cuenta y otorga (o deniega) el consentimiento.

Firma electrónica del nivel más alto de eIDAS, que aporta el mismo valor jurídico que una firma manuscrita en toda la UE. Se apoya en un certificado cualificado emitido por un TSP cualificado y en un dispositivo de creación seguro (QSCD).

Certificado eIDAS que firma cada petición HTTP de un TPP a nivel de aplicación. Es la prueba jurídica oponible que sobrevive a los proxies, los logs y los intermediarios.

Certificado eIDAS que prueba la identidad de un TPP a nivel de transporte (mTLS). Es el pasaporte que toda fintech debe presentar en cada llamada a una API bancaria.

Scheme del EPC que estandariza las solicitudes de pago entre PSP. Permite que un beneficiario (comercio, acreedor) envíe una solicitud de pago al pagador, que decide si la acepta y la ejecuta (normalmente como un SCT Inst). Es el componente subyacente de Wero merchant y de los pagos de comercio electrónico en SEPA Instant.

Normas técnicas vinculantes redactadas por la EBA y adoptadas por la Comisión. Concretan cómo aplicar en la práctica una directiva europea.

Autenticación reforzada exigida por la PSD2: para validar un pago o un acceso sensible, debes demostrar dos cosas entre 'algo que sabes, algo que tienes, algo que eres'.

Evaluación de la solvencia de un prestatario basada en datos alternativos al bureau de crédito tradicional: flujos bancarios AIS, pagos, comportamiento digital, datos de telecomunicaciones.

Verificación sistemática y continua de que un cliente, una contraparte o una transacción no figura en las listas de sanciones internacionales (OFAC, UE, ONU, NCA nacionales). Pilar operativo de la PBC-FT.

La transferencia SEPA clásica. Plazo máximo de 1 día hábil, gratuita o casi entre cuentas en EUR; es el instrumento usado para salarios, facturas y pagos a proveedores.

La transferencia SEPA instantánea: menos de 10 segundos, 24/7, hasta 100.000 €. Obligatoria en toda la zona del euro desde 2025. Es el nuevo estándar del pago europeo.

El adeudo directo SEPA. Es el beneficiario quien adeuda tu cuenta sobre la base de un mandato que has firmado. Ideal para suscripciones y facturas recurrentes.

Zona única de pagos en euros. Una cuarentena de países, con reglas comunes para transferir, adeudar y pagar en EUR como si se tratara de un único mercado doméstico.

Criptoactivo cuyo valor se estabiliza mediante el respaldo en una moneda tradicional (USD, EUR) o en una cesta de activos. Mercado dominado por USDT (Tether), USDC (Circle), EURC. Marco regulado en la UE por MiCA desde junio de 2024.

Empresa francesa que opera el sistema de compensación CORE(FR) y publica la API PSD2 de referencia en Francia — la que implementan BNP, Société Générale, BPCE, Crédit Agricole, entre otros.

Cuatro líderes mundiales de los PSP adquirentes (acquirers / payment processors): Stripe (EE. UU., líder cloud-native), Adyen (NL, líder enterprise en unified commerce), Mollie (NL, líder SMB en la UE), Worldline (FR, histórico europeo por volúmenes). En conjunto procesan una parte significativa de los pagos digitales mundiales.

Fintech sueca creada en Estocolmo en 2012, líder europea del Open Banking, comprada por Visa en 2022 por 1.800 M€. Cubre AIS, PIS, KYC, scoring de crédito y transaction enrichment en 18 mercados europeos con más de 3.400 bancos.

Plataforma de liquidación de pagos instantáneos en dinero de banco central operada por el BCE desde 2018. Liquida las transferencias SCT Inst entre PSP en pocos segundos, 24/7/365. Pilar de la infraestructura de pagos instantáneos en Europa.

Sustitución del PAN (los 16 dígitos de la tarjeta) por un token específico del comercio, de la wallet o del dispositivo. Limita la exposición del número real y aumenta la tasa de autorización.

Término paraguas para todo proveedor tercero autorizado que se conecta a las API de los bancos. Tres papeles posibles: leer (AISP), pagar (PISP), verificar fondos (CBPII).

Unidad de inteligencia financiera (UIF) de Francia, adscrita al Ministerio de Economía. Recibe las comunicaciones de sospecha de los sujetos obligados de PBC/FT, las analiza y las traslada a las autoridades judiciales o administrativas competentes.

Vigilancia en tiempo real o por lotes de los flujos de un cliente para detectar operaciones atípicas (PBC/FT) o fraudulentas. Pieza operativa clave entre el KYC y la comunicación de sospecha a TRACFIN.

Tres actores principales del Banking-as-a-Service (BaaS) en Europa: Treezor (FR, adquirida por Société Générale en 2019), Swan (FR, EDE independiente en 2019), Solaris (DE, antigua Solarisbank). Permiten a fintechs y empresas no bancarias integrar servicios bancarios (cuenta, tarjeta, transferencia, IBAN) sin ser ellas mismas un banco.

Fintech británica fundada en Londres en 2016, líder en el Reino Unido en iniciación de pagos (PIS) y en agregación (AIS). Pionera del Pay by Bank en comercio electrónico y precursora de los Variable Recurring Payments (VRP). Activa en el Reino Unido + Irlanda + UE continental.

Sistema de pago instantáneo indio lanzado en 2016 por la NPCI. Es el mayor sistema de pago del mundo por volumen — más de 16.000 millones de transacciones al mes a finales de 2024.

Los dos esquemas de tarjeta mundiales dominantes, cotizados en el NYSE. Definen las reglas y la tasa de intercambio y operan los raíles de autorización y compensación, pero no emiten tarjetas ni adquieren comercios por sí mismos.

Servicio que comprueba la coherencia entre el nombre del beneficiario introducido y el titular real de un IBAN, obligatorio para todas las transferencias SEPA desde octubre de 2025. Medida estrella antifraude APP del reglamento IPR.

Estándar W3C / FIDO2 de autenticación reforzada mediante criptografía asimétrica, que permite iniciar sesión por biometría o llave física sin contraseña. Las passkeys son la evolución sincronizada multidispositivo, ya estándar en iOS, Android y Windows.

Dos modelos de integración para notificar a un cliente un cambio de estado del lado del servidor. El webhook (push) lo desencadena el servidor, mientras que el polling (pull) consiste en consultar periódicamente. Elección estructurante en la integración de API fintech.

Wallet de pago europea lanzada en 2024 por EPI (European Payments Initiative), un consorcio de 16 bancos europeos (BNP, SG, BPCE, Crédit Mutuel, ING, Deutsche Bank, etc.). La ambición: una alternativa soberana a Visa, Mastercard, PayPal y Apple Pay basada en el SEPA Instant.

Wallets de pago integradas en los sistemas operativos móviles, que tokenizan las tarjetas bancarias (DPAN) y usan la biometría para la SCA. Representan una parte creciente de los pagos presenciales y de comercio electrónico.

Fintech británica fundada en Londres en 2017, posicionada como el actor API-first headless más puro del Open Banking europeo. Cubre AIS y PIS en 19 países del EEE+Reino Unido. Prioriza una integración sin interfaz, dirigida a las empresas tecnológicas que quieren integrar Open Banking en su producto.