PSD3Union EuropeaFintech

PSD3 y PSR: autenticación reforzada (SCA) y KYC

PSD3 y el PSR transforman los pagos en la UE desde 2027: SCA biométrica, verificación del beneficiario y qué implican para tu KYC, fraude y licencia.

PSD3 sube el listón para demostrar quién hay detrás de un pago

El 27 de noviembre de 2025, los colegisladores de la UE alcanzaron un acuerdo político sobre el paquete que sustituye a la PSD2: una tercera Directiva de Servicios de Pago (PSD3) y, junto a ella, un Reglamento de Servicios de Pago (PSR) de aplicación directa. Los textos acordados se publicaron en abril de 2026. La aplicación general llega unos 21 meses después de su publicación en el Diario Oficial, así que lo más pronto que muerden la mayoría de obligaciones es la segunda mitad de 2027, y algunas se van a 2028.

«2027» suena lejano. No lo es, por dos motivos. Los patrones de autenticación que la mayoría de fintech montó para la PSD2 están a punto de dejar de cumplir, y reautorizar tu licencia bajo la PSD3 es un proyecto que empiezas en 2026, no la semana antes del plazo.

Esta guía cubre qué cambian la PSD3 y el PSR en autenticación, fraude y las comprobaciones de identidad que hay debajo, y qué hacer ya.

Dos instrumentos, un mismo marco

La separación importa porque cambia cómo te alcanzan las normas:

  • La PSD3 (una directiva) regula la licencia de las entidades de pago. Fusiona en uno los regímenes separados de entidad de pago y entidad de dinero electrónico, y endurece los requisitos de autorización, incluido el marco de AML y KYC que un solicitante debe demostrar.
  • El PSR (un reglamento) regula la conducta: autenticación reforzada, fraude, transparencia y acceso a datos. Al ser reglamento, se aplica directamente en cada Estado miembro sin transposición nacional, lo que elimina la sobrerregulación y la divergencia que fragmentaron la PSD2.

Si tienes o solicitas una licencia de pago o de dinero electrónico, ambos caen sobre ti a la vez. La licencia está en la directiva; los deberes diarios de autenticación y fraude están en el reglamento.

La autenticación reforzada se endurece, y se vuelve biométrica

La PSD2 hizo obligatoria la SCA. El PSR la reconstruye en torno al riesgo y la biometría.

  • Autenticación adaptativa, basada en riesgo. Los PSP deben ejecutar una autenticación que refleje el comportamiento del usuario, los patrones de transacción y las tipologías de fraude vigentes, no un doble factor fijo en cada acción.
  • La biometría, de los dos tipos, está explícitamente sobre la mesa. El acuerdo permite una SCA construida con biometría fisiológica —huella, reconocimiento facial— combinada con biometría conductual, como el ritmo de tecleo y los patrones de toque en pantalla. Las señales conductuales pueden servir como elemento de autenticación, no solo como puntuación de fraude.
  • La accesibilidad pasa a ser un derecho legal. Los PSP deben ofrecer al menos un método de SCA que funcione para clientes sin smartphone, con discapacidad o con pocas competencias digitales. Esta es la cláusula que rompe más flujos existentes: un esquema de aprobación solo por móvil ya no cumple por sí solo.

Para la mayoría de equipos, el factor de inherencia pasa de «un selfie en el alta» a una capacidad biométrica continua y accesible. Eso es un problema de identidad antes que de pagos.

Verificación del beneficiario: casar un nombre con una cuenta

El PSR extiende a toda la UE el deber de verificación del beneficiario (VoP). Antes de procesar una transferencia, el PSP del ordenante debe comprobar que el nombre del beneficiario coincide con el identificador de la cuenta (el IBAN) y avisar al ordenante de cualquier discrepancia. Esta obligación, y la responsabilidad asociada, se aplica 24 meses después de la entrada en vigor del reglamento: un plazo más largo porque obliga a cambios de sistema en el lado emisor y en el receptor.

La VoP es, en el fondo, un problema de cotejo de datos de identidad: resolver un nombre declarado contra el titular verificado de una cuenta. Si la lógica de cotejo falla, o dejas pasar fraude o entierras al cliente en falsos positivos que aprende a ignorar.

El giro en la responsabilidad por fraude

El PSR mantiene la regla básica de que quien autoriza un pago fraudulento carga con la pérdida. Pero recorta los casos en que paga el proveedor:

  • No señalar una discrepancia de nombre/identificador del beneficiario puede trasladar la responsabilidad al PSP que omitió o erró la comprobación VoP.
  • El fraude por suplantación («spoofing»), en el que un delincuente se hace pasar por el banco o una autoridad pública, puede mover la responsabilidad al PSP según lo acordado.
  • Los fallos de SCA pueden atribuir responsabilidad a los operadores de esquemas y a los proveedores técnicos, no solo al banco de cara al cliente.

Traducción: una autenticación débil y una verificación del beneficiario débil dejan de ser un problema del cliente y pasan a ser una partida en tu balance y en el de tus proveedores.

Dónde encaja realmente el KYC

La PSD3/PSR es un marco de pagos, pero se apoya en la identidad en tres puntos:

  • Licencia. Una autorización (o reautorización) PSD3 exige acreditar procedimientos sólidos de AML y KYC. La misma diligencia de alta que satisface a MiCA para cripto y al paquete antiblanqueo de la UE es la que debe mostrar un solicitante de entidad de pago. Si necesitas los fundamentos primero, empieza por qué es el KYC.
  • Autenticación. La SCA biométrica y conductual es verificación de identidad ejecutada de forma continua, no una sola vez en el alta.
  • Fraude y cuentas mula. Unas comprobaciones de identidad sólidas en el alta son el sitio más barato para frenar las cuentas sintéticas y mula que luego persiguen las reglas de fraude.

La PSD3 y eIDAS 2 también se cruzan: una credencial de la cartera de identidad digital europea de alta garantía puede sostener a la vez el alta y el factor de inherencia de la SCA.

El baño de realidad: tu montaje de la PSD2 ya va por detrás

Aquí va la lectura a contracorriente que la mayoría de proveedores de pagos no pondrá por delante: el plazo largo es una trampa. Tres trabajos no pueden esperar a 2027.

  • La SCA solo por móvil ya incumple en espíritu. El mandato de accesibilidad obliga a un camino de autenticación sin smartphone. Construirlo toca tu flujo central de autenticación, no una función secundaria.
  • La biometría conductual exige datos y tiempo para entrenarse. No puedes encender una autenticación basada en comportamiento el mes en que aplica la norma; los modelos necesitan histórico.
  • La VoP cambia los dos lados de cada transferencia. Los 24 meses son el plazo precisamente porque la fontanería es profunda.

Los equipos que traten la PSD3 como un problema de 2027 pasarán 2027 apagando fuegos. Los que ganan empiezan la reconstrucción de autenticación e identidad contra los textos de 2026.

Cómo encaja Joinble

La plataforma de identidad con IA de Joinble cubre la capa de identidad que el PSR ahora exige:

  • Verificación biométrica fisiológica con prueba de vida certificada para el factor de inherencia de la SCA, más un camino accesible para clientes que no pueden usar un flujo de móvil.
  • Autenticación adaptativa, basada en riesgo, donde los agentes de identidad de Joinble sopesan comportamiento y contexto de la transacción para decidir cuándo elevar un reto, en lugar de pedirlo en cada acción.
  • Verificación de identidad y cribado AML para el alta de entidades de pago y de dinero electrónico, la prueba que exige una solicitud de licencia PSD3.
  • Cotejo de nombre con identidad para apoyar la lógica de verificación del beneficiario sin ahogar al cliente en falsos positivos.

Para los equipos fintech que ya ejecutan KYC en Joinble, el trabajo de SCA y VoP amplía el mismo stack de identidad en vez de añadir un proveedor de autenticación aparte.

Cómo prepararte antes del plazo

  • Mapea cada punto de SCA y localiza los que asumen un smartphone: esos necesitan una alternativa accesible primero.
  • Empieza a recoger los datos conductuales que necesitarán tus futuros modelos de autenticación; no puedes rellenarlos después.
  • Trata la verificación del beneficiario como un proyecto de cotejo de datos en transferencias entrantes y salientes, y presupuesta el ajuste de falsos positivos.
  • Mete la reautorización de licencia PSD3, con su prueba de AML/KYC, en tu hoja de ruta de 2026 y no en la de 2027.

FAQ

¿Cuál es la diferencia entre la PSD3 y el PSR?

La PSD3 es una directiva que regula la licencia de las entidades de pago y de dinero electrónico y debe transponerse a la ley nacional. El PSR es un reglamento que regula la conducta —autenticación reforzada, fraude y transparencia— y se aplica directamente en toda la UE sin transposición nacional. A la mayoría de fintech les afectan ambos a la vez.

¿Cuándo se aplican la PSD3 y el PSR?

Los colegisladores de la UE alcanzaron acuerdo político en noviembre de 2025 y los textos se publicaron en abril de 2026. La mayoría de obligaciones se aplican unos 21 meses después de su publicación en el Diario Oficial, así que lo más pronto es la segunda mitad de 2027, y algunos deberes llegan a 2028. La verificación del beneficiario aplica 24 meses después de la entrada en vigor del reglamento.

¿El PSR obliga a usar autenticación biométrica?

El PSR no obliga a la biometría, pero permite de forma explícita una autenticación reforzada construida con biometría fisiológica (huella, reconocimiento facial) y biometría conductual (patrones de tecleo y toque). También exige al menos un método de autenticación que funcione para clientes sin smartphone, con discapacidad o con pocas competencias digitales.

¿Qué es la verificación del beneficiario en el PSR?

La verificación del beneficiario obliga al proveedor de servicios de pago del ordenante a comprobar que el nombre del beneficiario coincide con el identificador de la cuenta (IBAN) antes de una transferencia y a avisar al ordenante de cualquier discrepancia. Hacer mal esta comprobación puede trasladar la responsabilidad por fraude al proveedor. La obligación aplica 24 meses después de la entrada en vigor del reglamento.

¿Cómo afecta la PSD3 a las obligaciones de KYC?

La PSD3 exige a las entidades de pago y de dinero electrónico acreditar marcos sólidos de AML y KYC para obtener o renovar la autorización. Más allá de la licencia, la SCA biométrica y conductual del PSR es verificación de identidad ejecutada de forma continua, y unas comprobaciones de identidad sólidas en el alta siguen siendo el control más eficaz contra las cuentas mula y sintéticas que alimentan el fraude en pagos.

Automatiza tu cumplimiento con AI Agents

La plataforma de Identidad Agentica de Joinble reduce las revisiones manuales de KYC hasta un 80%. Agenda una demo para verlo en accion.

Agendar demo

Guias de cumplimiento relacionadas

MiCAAlemania

KYC para Fintech en Alemania bajo MiCA

Guia experta sobre el cumplimiento KYC para empresas fintech alemanas bajo el reglamento MiCA. Cubre la supervision de BaFin, licencias CASP, requisitos de verificacion de identidad y la transicion del marco regulatorio nacional al europeo.

SAMA/CMAArabia Saudita

KYC para Fintech en Arabia Saudita (SAMA y Vision 2030)

Guia completa sobre requisitos de KYC, eKYC y cumplimiento regulatorio para fintech en Arabia Saudita bajo SAMA, CMA, Absher/Nafath y Vision 2030.

UIF/CNVArgentina

Cumplimiento KYC y AML para Fintech en Argentina (UIF y CNV)

Guía de KYC y prevención de lavado para fintech en Argentina tras la reforma de la Ley 27.739: obligaciones UIF, CNV, BCRA y registro de PSAV.