obOpen Banking Lab
GlossárioSTETBlogContato
Regulação

DSP3

Diretiva de Serviços de Pagamento 3 (PSD3)

Sucessora da DSP2, proposta em junho de 2023. Reforça o combate à fraude, eleva a qualidade de API esperada e esclarece as responsabilidades. Aplicação prevista: 2026–2027.

Veja também:DSP2PSRFIDASCAVoPAISPPISPASPSP

Definição

A DSP3 (Diretiva de Serviços de Pagamento 3, ou PSD3) é a sucessora da DSP2, proposta pela Comissão em junho de 2023, acompanhada de um regulamento PSR (Payment Services Regulation).

Ela busca corrigir os pontos cegos da DSP2 — fraude crescente, qualidade de API insuficiente, fragmentação entre os Estados-membros — com aplicação estimada para 2026-2027.

DSP2 vs DSP3 + PSR: o que muda

  • DSP2 — uma diretiva isolada, transposta para o direito nacional com margens de interpretação.
  • DSP3 + PSR — uma diretiva (DSP3) e um regulamento (PSR). Como o regulamento é diretamente aplicável sem transposição, ele reduz a fragmentação.

Na prática, a maior parte das regras operacionais (consentimento, API, SCA, fraude) migra para o PSR, enquanto a DSP3 mantém o marco prudencial (status, autorizações, supervisão).

As grandes contribuições

  • Combate à fraude reforçado: generalização da VoP nas transferências, compartilhamento de informações de fraude entre PSP, direito ao reembolso ampliado para os golpes do tipo APP (APP scams).
  • Qualidade de API: obrigações de desempenho, disponibilidade (> 99%), serviço 24/7 e tempos de resposta limitados, com sanções explícitas.
  • Reformulação do CBPII: integração em um marco de AIS ampliado e simplificação do status.
  • Eliminação do fallback obrigatório: a API DSP torna-se o canal único, encerrando a obrigação de manter um canal de contingência do tipo screen-scraping.
  • Fusão dos status EP e EME em um status unificado.
  • Enquadramento do liability shift: melhor distribuição de responsabilidades entre banco, PISP e lojista.

O que a DSP3 não faz

  • Não amplia o escopo às contas que não são de pagamento (poupança, crédito, seguro): isso é a FIDA.
  • Não regula nem a cripto (MiCA) nem a resiliência de TI (DORA).
  • Ainda não está em vigor: continua valendo a DSP2, e as fintechs têm de 2 a 3 anos para se antecipar.

Cronograma indicativo

  • Junho de 2023 — proposta da Comissão.
  • 2024 — trabalhos no Parlamento / Conselho e primeiras posições.
  • 2025 — trílogo, com acordo político esperado.
  • 2026 — adoção formal.
  • 2027-2028 — aplicação efetiva.

Cronograma sujeito a escorregar, como costuma acontecer com esse tipo de texto.

No ecossistema PSD2 (que vira PSD3)

A DSP3 não substitui bruscamente a DSP2: ela a prolonga e a endurece, incorporando de 6 a 8 anos de aprendizados. É também uma oportunidade industrial: antecipar-se desde já (combate à fraude, VoP, qualidade de API) dá vantagem na conformidade.

Exemplos concretos

  • APP scams: um cliente induzido por um falso gerente a transferir 8.000 € raramente obtém reembolso hoje. Com o PSR, o banco terá de reembolsar de forma mais ampla se não tiver implementado as salvaguardas certas, a começar pela VoP.
  • Lojistas: a generalização da VoP (já obrigatória para a SCT Inst desde outubro de 2025) obriga qualquer site que colete IBAN a tratar a conciliação nome/IBAN em sua UX.
  • Agregadores: provável desaparecimento do screen-scraping como fallback; os atores que ainda dependem dele terão de migrar 100% para as APIs oficiais.
  • Status: a fusão EP + EME simplificará os trâmites de uma fintech que ofereça ao mesmo tempo pagamento e armazenamento de fundos.
  • Monitoramento: acompanhar os relatórios da EBA, as posições do Conselho da UE e as publicações da ACPR para ajustar o roadmap de conformidade.

Fontes

Voltar ao glossário