A DSP2, PSD2 em inglês, é a diretiva europeia que fez explodir o Open Banking na Europa. Ela criou um novo mercado de fintechs, transformou a relação entre bancos e clientes e abriu um campo de jogo enorme para os produtos financeiros.
Este artigo explica, sem jargão técnico, o que a PSD2 muda para o seu negócio: quem são os atores, como os dados circulam e onde estão as oportunidades. Se você é CTO ou desenvolvedor e procura a mecânica por baixo do capô, leia antes o artigo irmão: Arquitetura técnica de uma API DSP2.
O problema que a PSD2 resolve
Antes de 2018, os bancos eram os únicos intermediários entre seus clientes e seus dados financeiros. Os serviços que queriam agregar contas ou iniciar um pagamento recorriam ao screen scraping: conectar-se no seu lugar com suas credenciais bancárias e ler a página web do banco.
Nada seguro, nada confiável, sem um marco legal claro sobre as responsabilidades.
A PSD2 substituiu essa gambiarra por um marco claro: os bancos devem abrir canais de acesso oficiais, e os serviços terceiros se conectam a eles com o consentimento explícito do cliente, sem nunca ver suas credenciais bancárias.
Os atores do ecossistema
A PSD2 distingue quatro papéis. Uma vez essas quatro siglas em mente, todo o resto se esclarece.
| Ator | Papel em uma frase |
|---|---|
| PSU | O usuário final — o seu cliente. |
| ASPSP | O banco que detém as contas e as abre aos serviços terceiros. |
| TPP | O serviço terceiro que se conecta ao banco (o seu app, ou um parceiro). |
| NCA | A autoridade nacional que autoriza os TPP. Na França, é a ACPR. |
O cliente (PSU) está sempre no centro. Nenhum acesso aos seus dados ocorre sem o seu consentimento explícito. É o princípio fundador da PSD2.
Os três ofícios de um TPP
«TPP» é uma palavra guarda-chuva. A PSD2 distingue três ofícios bem diferentes, cada um com sua própria autorização.
| Ofício | O que faz | Exemplos |
|---|---|---|
| AISP | Lê as contas: saldos, transações, agregação. | Bridge, Tink, Bankin', Pennylane |
| PISP | Dispara uma transferência a partir da conta do cliente. | Fintecture, Bridge, Trustly |
| CBPII | Verifica se há fundos suficientes (sim / não). | Emissores de cartões co-branded |
Sem uma autorização concedida por um regulador (a ACPR na França), um ator não pode se conectar às APIs bancárias. É o que protege os clientes — e o que estruturou todo o ecossistema.
O consentimento: a pedra angular
Nenhum acesso aos dados ocorre sem o consentimento explícito do cliente. Não é uma simples caixa «aceito»: é um objeto formal, enquadrado pela diretiva.
O que um consentimento define:
- Perímetro — quais contas, quais dados (apenas saldos, ou também transações).
- Duração — até 180 dias para leitura recorrente, e depois renovação obrigatória.
- Frequência — quantas vezes por dia o serviço pode atualizar os dados.
- Revogação — o cliente pode cortar o acesso a qualquer momento, no lado do banco ou do serviço.
Para um pagamento, o consentimento é de uso único: um pagamento = um consentimento.
A jornada, vista pelo cliente
Para tornar tudo isso concreto, eis o que acontece quando um cliente conecta sua conta a um app de agregação.
A etapa «senha + biometria» corresponde à autenticação forte, ou SCA: dois fatores entre três (algo que sei, que tenho ou que sou). É obrigatória para validar o consentimento e para confirmar um pagamento, e foi o que fez o mercado migrar do 3D Secure v1 para o v2 no e-commerce.
Antes / depois: o que a PSD2 mudou de fato
Concretamente:
- Para os clientes: mais escolha de serviços, melhor segurança, controle real sobre seus dados.
- Para as fintechs: um marco legal para inovar sem depender da boa vontade dos bancos.
- Para os bancos: obrigação de abrir seus dados, mas também oportunidade de se tornarem plataformas (lógica BaaS e Embedded finance).
As oportunidades de negócio abertas pela PSD2
Conforme sua posição no ecossistema, a PSD2 abre frentes bem diferentes.
Se você é uma fintech
A Agrégation bancaire e a iniciação de pagamento tornam-se blocos que você pode consumir via parceiros (Bridge, Tink, Fintecture…) sem se tornar você mesmo AISP ou PISP. Casos de uso: PFM (gestão de finanças pessoais, veja PFM / BFM), contabilidade automatizada, scoring de crédito, pagamentos alternativos aos cartões.
Se você é um comerciante ou e-commerce
A iniciação de pagamento (PISP) oferece uma alternativa ao cartão: transferência instantânea disparada a partir da conta do cliente, sem taxas de interchange, com confirmação imediata. Interessante para cestas elevadas, assinaturas ou recargas de wallet.
Se você é um banco ou uma instituição
Além da obrigação, a PSD2 permite transformar a API em produto: faturamento premium aos TPP, serviços de valor agregado, distribuição embarcada em parceiros (lógica BaaS, veja Treezor / Swan / Solaris).
Se você é um fornecedor de software SaaS B2B
Conectar automaticamente as contas profissionais dos seus clientes (via um AISP parceiro) elimina horas de digitação manual. Foi o que impulsionou a Pennylane, a Qonto e a maioria das ferramentas contábeis modernas.
E depois? PSD3, PSR e FIDA
A PSD2 tem oito anos, e a Europa prepara a continuação. Três textos estruturam os próximos anos:
- DSP3 e PSR (propostos em 2023) — reforço do combate à fraude (em especial o APP fraud), melhor qualidade de API, fim oficial do screen scraping, reformulação do CBPII.
- FIDA — extensão do Open Banking a todos os dados financeiros: poupança, crédito, seguros, investimento. É o «Open Finance».
A palavra final
A PSD2 parece complexa por causa das suas siglas, mas o conceito base é simples: devolver ao cliente o controle dos seus dados bancários e criar um marco de confiança para que outros atores possam inovar sem gambiarras.
Para ir além:
- Se você quer entender a mecânica técnica (padrões de API, certificados, segurança), leia Arquitetura técnica de uma API DSP2.
- Para o vocabulário detalhado, o glossário Open Banking cobre cada termo.