obOpen Banking Lab
GlosarioSTETBlogContacto
Regulación

DSP2

Directiva de Servicios de Pago 2 (PSD2)

Directiva europea que entró en vigor en 2018 y que creó la banca abierta (Open Banking) en Europa: obliga a los bancos a abrir sus API y dio origen a los AISP, PISP y CBPII.

Ver también:DSP3FIDARTSPSRSCAAISPPISPCBPIITPPASPSP

Definición

La DSP2 (Directiva de Servicios de Pago 2, o PSD2 en inglés) es la directiva europea que creó el Open Banking.

Adoptada el 25 de noviembre de 2015 y aplicable desde el 13 de enero de 2018, obliga a los bancos a abrir sus API, da origen a los roles de AISP, PISP y CBPII e impone la autenticación reforzada del cliente (SCA) en los pagos en línea.

DSP1 vs DSP2 vs DSP3

Tres generaciones, cada una un paso más allá:

  • DSP1 (2007) — armoniza los pagos en la zona euro y crea el estatuto de entidad de pago (EP).
  • DSP2 (2015 → 2018) — añade el Open Banking obligatorio, los TPP, la SCA y un régimen de responsabilidad reforzado.
  • DSP3 + PSR (propuestas en 2023, aplicación 2026-2027) — refuerzan la lucha contra el fraude y la calidad de las API, reforman el CBPII y convierten la directiva en reglamento (PSR).

La DSP2 sigue siendo el marco en vigor: todo lo que se construye en fintech se apoya en ella.

Las 4 grandes aportaciones

  • Acceso obligatorio de terceros (XS2A): todo banco que mantenga una cuenta de pago debe exponer una API abierta a los TPP autorizados.
  • Tres estatutos de TPP: AISP (lectura), PISP (iniciación), CBPII (confirmación de fondos de tarjeta).
  • Autenticación reforzada (SCA): 2 de 3 factores para cualquier pago y acceso sensible (RTS de septiembre de 2019).
  • Régimen de responsabilidad: en caso de fraude, el banco (ASPSP) reembolsa primero y luego debe reclamar al PISP responsable.

Lo que la DSP2 no cubre

  • Las demás cuentas financieras (ahorro, seguro de vida, crédito, inversión): es el objeto de la FIDA.
  • Los criptoactivos: es MiCA.
  • La resiliencia operativa de TI: es DORA.
  • Las tarjetas Visa/Mastercard: la DSP2 regula el ecosistema sin crear una alternativa directa, salvo a través de los PISP, que evitan la tarjeta.

Calendario clave

  • 25 de noviembre de 2015 — adopción por el Parlamento y el Consejo.
  • 13 de enero de 2018 — entrada en aplicación (transpuesta en Francia mediante la ordenanza del 9 de agosto de 2017).
  • Septiembre de 2019 — aplicación de los RTS-SCA.
  • 2022 — paso a 180 días para la renovación del consentimiento de AIS (frente a 90 originalmente).
  • Junio de 2023 — propuesta DSP3 + PSR.
  • 2026-2027 (estimación) — entrada en vigor de la DSP3.

En el ecosistema PSD2

La DSP2 es la base de todos los demás conceptos del glosario (AISP, PISP, ASPSP, TPP, SCA, QWAC, QSealC). Ha estructurado un mercado europeo que hoy vale varios miles de millones de euros.

Ejemplos concretos

  • Sin la DSP2, estas aplicaciones no existirían: Bankin', Linxo, Pennylane, Qonto (en parte), Bridge, Tink, Fintecture, Trustly — todo el ecosistema AISP/PISP nació de esta directiva.
  • Impacto en los bancos: obligación de operar API públicas documentadas, disponibles 24/7 (objetivo de la EBA > 99%), conformes con los estándares STET o Berlin Group.
  • Impacto en la UX: la SCA impuesta hizo que el mercado pasara del 3DS1 (poco seguro, mala UX) al 3DS2 (biometría, push) en todos los pagos en línea.
  • Límites observados: implementaciones fragmentadas entre bancos, calidad variable de las API, ausencia de los datos contables (ahorro, crédito) — carencias que la DSP3, el PSR y la FIDA pretenden corregir.
  • Vigilancia útil: seguir las opiniones y los documentos de debate de la EBA, así como el cuadro de mando del rendimiento de las API publicado por la ACPR.

Ver también: Manual STET

Fuentes

Volver al glosario