obOpen Banking Lab
GlossárioSTETBlogContato
Regulação

DSP2

Diretiva de Serviços de Pagamento 2 (PSD2)

Diretiva europeia que entrou em vigor em 2018 e criou o Open Banking na Europa: obriga os bancos a abrir suas APIs e deu origem aos AISP, PISP e CBPII.

Veja também:DSP3FIDARTSPSRSCAAISPPISPCBPIITPPASPSP

Definição

A DSP2 (Diretiva de Serviços de Pagamento 2, ou PSD2 em inglês) é a diretiva europeia que criou o Open Banking.

Adotada em 25 de novembro de 2015 e aplicável a partir de 13 de janeiro de 2018, ela obriga os bancos a abrir suas APIs, dá origem aos papéis de AISP, PISP e CBPII e impõe a autenticação forte do cliente (SCA) nos pagamentos on-line.

DSP1 vs DSP2 vs DSP3

Três gerações, cada uma indo um passo além:

  • DSP1 (2007) — harmoniza os pagamentos na zona do euro e cria o status de instituição de pagamento (EP).
  • DSP2 (2015 → 2018) — acrescenta o Open Banking obrigatório, os TPP, a SCA e um regime de responsabilidade reforçado.
  • DSP3 + PSR (propostas em 2023, aplicação 2026-2027) — reforçam o combate à fraude e a qualidade das APIs, redefinem o CBPII e transformam a diretiva em regulamento (PSR).

A DSP2 continua sendo o marco em vigor: tudo o que se constrói em fintech se apoia nela.

As 4 grandes contribuições

  • Acesso obrigatório de terceiros (XS2A): todo banco que mantenha uma conta de pagamento deve expor uma API aberta aos TPP autorizados.
  • Três status de TPP: AISP (leitura), PISP (iniciação), CBPII (confirmação de fundos de cartão).
  • Autenticação forte (SCA): 2 de 3 fatores para qualquer pagamento e acesso sensível (RTS de setembro de 2019).
  • Regime de responsabilidade: em caso de fraude, o banco (ASPSP) reembolsa primeiro, cabendo a ele depois cobrar do PISP responsável.

O que a DSP2 não cobre

  • As demais contas financeiras (poupança, seguro de vida, crédito, investimento): isso é objeto da FIDA.
  • Os criptoativos: isso é a MiCA.
  • A resiliência operacional de TI: isso é a DORA.
  • Os cartões Visa/Mastercard: a DSP2 regula o ecossistema sem criar uma alternativa direta, a não ser via os PISP, que contornam o cartão.

Cronograma-chave

  • 25 de novembro de 2015 — adoção pelo Parlamento e pelo Conselho.
  • 13 de janeiro de 2018 — entrada em aplicação (transposta na França pela ordonnance de 9 de agosto de 2017).
  • Setembro de 2019 — aplicação dos RTS-SCA.
  • 2022 — passagem para 180 dias na renovação do consentimento de AIS (contra 90 originalmente).
  • Junho de 2023 — proposta DSP3 + PSR.
  • 2026-2027 (estimativa) — entrada em vigor da DSP3.

No ecossistema PSD2

A DSP2 é a base de todos os outros conceitos do glossário (AISP, PISP, ASPSP, TPP, SCA, QWAC, QSealC). Ela estruturou um mercado europeu que hoje vale vários bilhões de euros.

Exemplos concretos

  • Sem a DSP2, esses apps não existiriam: Bankin', Linxo, Pennylane, Qonto (em parte), Bridge, Tink, Fintecture, Trustly — todo o ecossistema AISP/PISP nasceu dessa diretiva.
  • Impacto sobre os bancos: obrigação de operar APIs públicas documentadas, disponíveis 24/7 (meta da EBA > 99%), em conformidade com os padrões STET ou Berlin Group.
  • Impacto na UX: a SCA imposta fez o mercado migrar do 3DS1 (pouco seguro, UX ruim) para o 3DS2 (biometria, push) em todos os pagamentos on-line.
  • Limites observados: implementações fragmentadas entre bancos, qualidade variável das APIs, ausência dos dados contábeis (poupança, crédito) — lacunas que a DSP3, o PSR e a FIDA pretendem corrigir.
  • Monitoramento útil: acompanhar as opiniões e os discussion papers da EBA e o painel de desempenho das APIs publicado pela ACPR.

Veja também: Manual STET

Fontes

Voltar ao glossário