obOpen Banking Lab
GlosarioSTETBlogContacto
Regulación

DSP3

Directiva de Servicios de Pago 3 (PSD3)

Sucesora de la DSP2, propuesta en junio de 2023. Refuerza la lucha contra el fraude, eleva la calidad de API exigida y aclara las responsabilidades. Aplicación prevista: 2026–2027.

Ver también:DSP2PSRFIDASCAVoPAISPPISPASPSP

Definición

La DSP3 (Directiva de Servicios de Pago 3, o PSD3) es la sucesora de la DSP2, propuesta por la Comisión en junio de 2023 y acompañada de un reglamento PSR (Payment Services Regulation).

Su objetivo es corregir los puntos ciegos de la DSP2 — fraude creciente, calidad de API insuficiente, fragmentación entre Estados miembros — con una aplicación estimada para 2026-2027.

DSP2 vs DSP3 + PSR: lo que cambia

  • DSP2 — una directiva por sí sola, transpuesta al derecho nacional con margen de interpretación.
  • DSP3 + PSR — una directiva (DSP3) y un reglamento (PSR). Al ser el reglamento directamente aplicable sin transposición, reduce la fragmentación.

En concreto, la mayor parte de las reglas operativas (consentimiento, API, SCA, fraude) migra al PSR, mientras que la DSP3 conserva el marco prudencial (estatutos, autorizaciones, supervisión).

Las grandes aportaciones

  • Lucha contra el fraude reforzada: generalización de la VoP en las transferencias, intercambio de información sobre fraude entre PSP, derecho de reembolso ampliado para las estafas de tipo APP (APP scams).
  • Calidad de API: obligaciones de rendimiento, disponibilidad (> 99%), servicio 24/7 y tiempos de respuesta limitados, con sanciones explícitas.
  • Reforma del CBPII: integración en un marco de AIS ampliado y simplificación del estatuto.
  • Supresión del fallback obligatorio: la API DSP pasa a ser el canal único, poniendo fin a la obligación de mantener un canal de respaldo tipo screen-scraping.
  • Fusión de los estatutos EP y EME en un estatuto unificado.
  • Encuadre del liability shift: un mejor reparto de responsabilidades entre el banco, el PISP y el comercio.

Lo que la DSP3 no hace

  • No amplía el alcance a las cuentas que no son de pago (ahorro, crédito, seguros): eso es la FIDA.
  • No regula ni la cripto (MiCA) ni la resiliencia de TI (DORA).
  • Todavía no está en vigor: sigue aplicándose la DSP2, y las fintech tienen de 2 a 3 años para anticiparse.

Calendario indicativo

  • Junio de 2023 — propuesta de la Comisión.
  • 2024 — trabajos del Parlamento / Consejo y primeras posiciones.
  • 2025 — trílogo, con un acuerdo político esperado.
  • 2026 — adopción formal.
  • 2027-2028 — aplicación efectiva.

Un calendario que puede retrasarse, como suele ocurrir con este tipo de texto.

En el ecosistema PSD2 (que pasa a ser PSD3)

La DSP3 no sustituye bruscamente a la DSP2: la prolonga y la endurece, incorporando de 6 a 8 años de aprendizajes. Es también una oportunidad industrial: anticiparse ya (lucha contra el fraude, VoP, calidad de API) da ventaja en el cumplimiento normativo.

Ejemplos concretos

  • APP scams: un cliente al que un falso asesor empuja a transferir 8.000 € rara vez obtiene un reembolso hoy. Con el PSR, el banco tendrá que reembolsar de forma más amplia si no ha implantado las salvaguardas adecuadas, empezando por la VoP.
  • Comercios: la generalización de la VoP (ya obligatoria para SCT Inst desde octubre de 2025) obliga a todo sitio que recopile IBAN a gestionar la conciliación nombre/IBAN en su UX.
  • Agregadores: probable desaparición del screen-scraping como fallback; los actores que aún dependen de él tendrán que migrar al 100% a las API oficiales.
  • Estatutos: la fusión EP + EME simplificará los trámites de una fintech que ofrece a la vez pago y almacenamiento de fondos.
  • Vigilancia: seguir los informes de la EBA, las posiciones del Consejo de la UE y las publicaciones de la ACPR para fijar la hoja de ruta de cumplimiento.

Fuentes

Volver al glosario