MONEI
Open mobile navigation

Productos

Pagos omnicanal

Pagos físicos

Prestaciones

Integraciones

Métodos de pago

Plataformas ecommerce

Casos de uso

Recursos

Precios

Panel de Control
MONEI Blog
Tecnología de los pagos

PSD3 y PSR: lo que necesitan saber comercios y marketplaces

Alexis Damen | 4 de junio de 2026
PSD3 y PSR: lo que necesitan saber comercios y marketplaces

Las normas de pago en Europa están cambiando, y si aceptas pagos online, gestionas un marketplace o trabajas con un proveedor de servicios de pago, esto te afecta. La Tercera Directiva de Servicios de Pago (PSD3) y su reglamento complementario, el Reglamento de Servicios de Pago (PSR), representan la revisión más significativa de la legislación europea de pagos desde que PSD2 entró en vigor en 2018.

Tras años de elaboración, se alcanzó un acuerdo político en noviembre de 2025. La adopción formal está en marcha, con el PSR previsto para entrar en vigor a mediados de 2026. Las primeras obligaciones —relativas a SCA, detección del fraude y banca abierta— serán aplicables a partir de finales de 2027.

Ese margen es más corto de lo que parece: las plataformas que reestructuren modelos de pago, los PSPs que reconstruyan su infraestructura antifraude y los negocios que revisen contratos necesitan tiempo para adaptarse.

En este artículo encontrarás respuesta a las siguientes preguntas:

¿Qué son PSD3 y PSR?

PSD3 y PSR son dos piezas legislativas de la UE que trabajan juntas para reemplazar y actualizar PSD2. Aunque suelen mencionarse de forma indistinta, cumplen funciones diferentes.

PSD3

La Tercera Directiva de Servicios de Pago actualiza las normas relativas a la autorización y supervisión de los proveedores de servicios de pago. Al igual que PSD2, se trata de una directiva, lo que significa que los Estados miembros de la UE deben transponerla a sus legislaciones nacionales. Los Estados miembros disponen de 18 meses para hacerlo una vez que la directiva sea adoptada formalmente.

PSR

El Reglamento de Servicios de Pago es la pieza más novedosa y, posiblemente, la más importante del paquete. Al ser un reglamento —y no una directiva—, se aplica directamente en los 27 Estados miembros de la UE en el momento en que entra en vigor, sin necesidad de transposición nacional. Esto significa que las mismas normas, con la misma redacción, se aplican simultáneamente en toda la UE.

Esa distinción es precisamente la razón de ser del PSR. Uno de los mayores fallos de PSD2 fue que cada Estado miembro interpretó las normas de forma ligeramente diferente, lo que generó fragmentación regulatoria y asimetría de condiciones para las empresas. El PSR lo corrige eliminando por completo la capa de interpretación.

Juntos, PSD3 y PSR abordan tres debilidades estructurales que PSD2 dejó sin resolver:

  • su incapacidad para hacer frente al fraude en los pagos modernos,
  • el bajo rendimiento de la banca abierta debido a la mala calidad de las APIs,
  • y la falta de coherencia en la aplicación de las normas entre países.

¿Qué cambia para comercios y marketplaces?

PSD3 y PSR introducen cambios en seis áreas. Esto es lo que implica cada una en la práctica.

1. Detección del fraude y responsabilidad

Los proveedores de servicios de pago pasan a ser financieramente responsables cuando sus sistemas de detección del fraude fallan. Esto incluye una nueva categoría: si un cliente es víctima de fraude por parte de alguien que se hace pasar por el propio PSP, el proveedor asume la responsabilidad de la pérdida. Para comercios y plataformas, esto significa que la calidad de la infraestructura antifraude de tu PSP afecta directamente a tu exposición al riesgo, no solo a la suya.

Los proveedores también deberán compartir activamente información sobre fraude con otras entidades financieras y mantener programas internos de formación en la materia. La época de tratar el fraude como un coste operativo asumible está llegando a su fin.

2. Autenticación Reforzada de Clientes

La SCA se introdujo con PSD2, pero el PSR amplía considerablemente su alcance. Mientras PSD2 aplicaba la SCA principalmente a pagos con tarjeta y transacciones online, el PSR la extiende a los inicios de sesión, los cambios en las listas de beneficiarios, la configuración de mandatos y la recuperación de dispositivos. Cuando un usuario activa una app de pago en un nuevo dispositivo mientras la cuenta ya está activa, el PSR exige verificación en dos pasos, una notificación al teléfono o correo electrónico registrado del cliente, y un período de espera de 4 horas, dándole tiempo para actuar si sus credenciales han sido comprometidas.

Las exenciones de SCA para transacciones de bajo riesgo se mantienen, pero el listón es más alto. La biometría conductual —como los patrones de escritura, el uso del dispositivo y las señales de navegación— queda ahora formalmente reconocida como factor de autenticación válido, abriendo la puerta a una autenticación sin fricción para sesiones de bajo riesgo sin sacrificar la seguridad.

3. Verificación de IBAN y nombre

Antes de procesar cualquier transferencia, el banco del ordenante deberá verificar automáticamente que el nombre del beneficiario coincide con el número de cuenta. Si hay discrepancia, se genera una alerta y el ordenante puede cancelar la operación. Esto cierra un vector de fraude habitual en el que los atacantes sustituyen los datos de la cuenta beneficiaria durante el proceso. Para las empresas que realizan o reciben transferencias bancarias, esto ocurre a nivel de infraestructura. No se requiere ninguna acción por tu parte, aunque conviene entender cómo funciona.

4. Banca abierta

Los bancos estarán obligados a ofrecer APIs estandarizadas y de alto rendimiento a proveedores terceros en las mismas condiciones que sus propios sistemas internos. Con PSD2, los bancos cumplían técnicamente mientras construían APIs lentas, poco fiables u obstaculizadas en la práctica de forma encubierta. El PSR lo prohíbe expresamente. El resultado es una integración de pagos bancarios más fiable y menos obstáculos para los proveedores que acceden a los datos de cuenta de tus clientes.

5. La exención del agente comercial

Este es el cambio más relevante para plataformas y operadores de marketplaces. Con PSD2, algunas empresas gestionaban flujos de pago sin licencia de pago alegando que actuaban exclusivamente como agentes de compradores o vendedores. PSD3 restringe significativamente esta exención. Las plataformas de comercio electrónico que actúan como agentes tanto de compradores como de vendedores quedan expresamente excluidas.

Si tu marketplace gestiona fondos o distribuye pagos entre varias partes al amparo de la exención del agente comercial, es probable que necesites reestructurar tu modelo o asociarte con un proveedor de servicios de pago con licencia que gestione ese flujo en tu nombre.

MONEI Connect está diseñado para esto. Permite a plataformas y marketplaces aceptar pagos, distribuir fondos y gestionar pagos a terceros sin necesidad de contar con su propia licencia.

6. Protecciones para pequeños comercios

Los comercios con menos de 10 empleados y una facturación anual inferior a 2 millones de euros probablemente pasarán a tener las mismas protecciones legales que los consumidores individuales bajo PSD3. Los proveedores de servicios de pago estarán obligados a extender a este segmento las obligaciones de transparencia e información que hasta ahora estaban reservadas a los consumidores. Si te encuentras en esta categoría, es previsible que tus condiciones contractuales con los proveedores de pago se actualicen antes de que las normas entren en vigor.

¿Cuándo entra en vigor PSD3/PSR?

El proceso legislativo ha avanzado más rápido de lo que sugerían los plazos anteriores. A fecha de 2026, el marco ha superado el acuerdo político y se encuentra en las últimas fases de adopción formal.

La distinción clave que hay que entender es que el PSR es un reglamento, por lo que sus normas operativas principales —SCA, responsabilidad por fraude, verificación de nombre e IBAN, y APIs de banca abierta— se aplican directamente en toda la UE en cuanto entra en vigor, sin necesidad de esperar a la legislación nacional. PSD3, al ser una directiva, exige que cada Estado miembro la transponga a su ordenamiento jurídico nacional, lo que amplía el período de cumplimiento completo hasta 2027 y 2028.

En la práctica, los cambios más relevantes para comercios y plataformas llegan con las primeras obligaciones del PSR en el segundo semestre de 2027, mucho antes de que PSD3 esté completamente implementada en todos los países.

¿Qué deberían hacer los comercios ahora?

La mayor parte del trabajo de cumplimiento recae sobre tu proveedor de pagos, no sobre ti. Si procesas a través de MONEI, la autenticación SCA, la detección del fraude, la verificación de nombre e IBAN y los estándares de API de banca abierta se gestionan a nivel de infraestructura. No necesitas hacer seguimiento de las actualizaciones regulatorias ni modificar tu integración cuando entren en vigor las obligaciones del PSR.

Sin embargo, hay tres aspectos que conviene revisar por tu parte:

  1. Si eres un pequeño comercio (menos de 10 empleados, menos de 2 millones de euros de facturación anual), revisa tu contrato actual con tu proveedor de pagos antes de que las normas entren en vigor. Es probable que estés ganando protecciones equivalentes a las del consumidor en materia de transparencia, comisiones y resolución de disputas, y merece la pena saber qué esperar en tus condiciones actualizadas.
  2. Si aceptas monederos digitales o métodos de pago guardados, verifica que tu proceso de pago gestiona correctamente los nuevos requisitos de activación de dispositivo. El PSR exige un retraso de 4 horas y verificación en dos pasos cuando se activa una app de pago en un nuevo dispositivo. Un PSP conforme gestiona esto de forma automática.
  3. Si operas un marketplace, revisa si tu modelo de pago se apoya en la exención del agente comercial. Si es así, inicia esa conversación ahora: el plazo de transposición nacional de PSD3 se extiende hasta 2028, pero reestructurar un modelo de pago lleva tiempo.

Cómo MONEI mantiene tu negocio en regla

MONEI es un proveedor de servicios de pago autorizado por la UE y regulado por el Banco de España. Cuando entren en vigor las obligaciones del PSR, el trabajo de cumplimiento recaerá de nuestra parte: la autenticación SCA, la detección del fraude, la verificación de nombre e IBAN y los estándares de API de banca abierta ya están integrados en la infraestructura sobre la que funcionan tus pagos. No necesitas monitorizar el calendario regulatorio ni actualizar tu integración.

Para las plataformas y marketplaces que navegan por la exención del agente comercial, ahora más restrictiva, MONEI Connect ofrece infraestructura de pago con licencia —incluyendo KYC, pagos a terceros y distribución de fondos— sin que tu plataforma necesite contar con su propia licencia de pago.

MONEI también cuenta con la certificación PCI DSS Nivel 1, el estándar más alto en seguridad de pagos, por lo que los datos sensibles de tarjetas nunca entran en contacto con tus sistemas.

Si todavía no procesas pagos a través de la pasarela de pago de MONEI, ponte en contacto con nosotros para hablar sobre tu configuración antes de que llegue el primer plazo del PSR.

Mejora la satisfacción de tus clientes con MONEI

Preguntas frecuentes sobre PSD3 y PSR

¿Cuál es la diferencia entre PSD3 y PSR?

El PSR (Reglamento de Servicios de Pago) es un reglamento de la UE que se aplica directa y uniformemente en todos los Estados miembros en cuanto entra en vigor, sin necesidad de legislación nacional.

PSD3 es una directiva, lo que significa que cada país debe transponerla a su ordenamiento jurídico nacional, un proceso que se espera se extienda hasta 2027 y 2028. El PSR contiene la mayoría de las normas operativas que los comercios sienten directamente: SCA, responsabilidad por fraude y estándares de banca abierta.

¿Cuándo será obligatorio el PSR?

Se prevé que el PSR entre en vigor a mediados de 2026, 20 días después de su publicación en el Diario Oficial de la UE. Sin embargo, incluye un período transitorio de entre 18 y 21 meses antes de que sus normas de conducta sean exigibles. Se espera que las primeras obligaciones del PSR, relativas a SCA, detección del fraude y banca abierta, sean aplicables a partir del segundo semestre de 2027.

PSD3, al ser una directiva, requiere transposición nacional en un plazo de 18 meses desde su entrada en vigor, con implementación completa en los Estados miembros de la UE prevista para el segundo o tercer trimestre de 2028.

¿Se aplica PSD3 a mi negocio?

Si aceptas pagos de clientes de la UE o los procesas a través de un proveedor regulado en la UE, partes del marco te afectan. Las normas con mayor probabilidad de afectar directamente a los comercios —los requisitos de SCA y la responsabilidad por fraude— se enmarcan en el PSR y son aplicables antes de que PSD3 esté completamente transpuesta.

¿Qué implica PSD3 para la Autenticación Reforzada de Clientes?

El PSR amplía la SCA más allá de los pagos con tarjeta para cubrir también los inicios de sesión en cuentas, los cambios en los beneficiarios guardados, la configuración de mandatos y la activación de nuevos dispositivos. Activar una app de pago en un nuevo dispositivo requiere ahora verificación en dos pasos y un período de espera obligatorio de 4 horas.

Blog post author image

Alexis Damen

Alexis Damen es una ex-comerciante de Shopify convertida en experta del marketing de contenidos. Aquí, analiza temas complejos sobre pagos, comercio electrónico y ventas para ayudarte a tener éxito (con MONEI como tu socio de pagos, por supuesto).

#Payment Security #Payment Processing
Rocket

Aumenta la satisfacción de tus clientes y tus ventas al aceptar más métodos de pago.

Únete a MONEI sin compromiso para probar integraciones y pagos.

Abrir una cuenta

Sin compromiso. Date de baja en cualquier momento

Trend graph

Popular

Heart balloon

Debe leer

Rocket

Aumenta la satisfacción de tus clientes y tus ventas al aceptar más métodos de pago.

Únete a MONEI sin compromiso para probar integraciones y pagos.

Abrir una cuenta

Sin compromiso. Date de baja en cualquier momento

¿Todavía estás aquí?

Prueba MONEI ahora mismo

Abrir una cuenta
¡Prueba MONEI ahora!
© MONEI DIGITAL PAYMENTS SL
Powered by VisaNet, Mastercard & AWS

MONEI DIGITAL PAYMENTS SL es responsable del procesamiento de sus datos personales, cuya finalidad es gestionar su suscripción al Blog de MONEI y enviarle información y tendencias sobre pagos, consejos comerciales de expertos y noticias sobre MONEI. Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad por correo postal a Calle Palestina, 1, Entreplanta, 29007, Málaga, España o por correo electrónico a support@monei.com, acreditando su identidad. Puede obtener más información sobre el procesamiento de sus datos personales en la Política de privacidad del sitio web

MONEI DIGITAL PAYMENTS SL - ESB02660926 Palestina, 1, Entreplanta, 29007, Málaga, España BORME Datos registrales: Registro Mercantil de MÁLAGA T 5998, L 4905, F 54, S 8 H MA158775, I/A 1 (14.01.21). MONEI es miembro de Swift con el número BIC: MONIES2M. MONEI es miembro del Consejo Europeo de Pagos del grupo SRTP. MONEI almacena los fondos de los comerciantes en cuentas ómnibus (salvaguardas) controladas por instituciones financieras totalmente reguladas.