PSD3Uniao EuropeiaFintech

PSD3 e PSR: autenticação forte (SCA) e KYC

PSD3 e o PSR transformam os pagamentos na UE a partir de 2027: SCA biométrica, verificação do beneficiário e o que muda no seu KYC, fraude e licença.

A PSD3 eleva o nível para provar quem está por trás de um pagamento

Em 27 de novembro de 2025, os colegisladores da UE fecharam um acordo político sobre o pacote que substitui a PSD2: uma terceira Diretiva de Serviços de Pagamento (PSD3) e, ao lado dela, um Regulamento de Serviços de Pagamento (PSR) de aplicação direta. Os textos acordados foram publicados em abril de 2026. A aplicação geral chega cerca de 21 meses após a publicação no Jornal Oficial, então o mais cedo que a maioria das obrigações morde é o segundo semestre de 2027, com algumas escorregando para 2028.

«2027» soa distante. Não é, por dois motivos. Os padrões de autenticação que a maioria das fintechs montou para a PSD2 estão prestes a deixar de cumprir, e reautorizar sua licença sob a PSD3 é um projeto que você começa em 2026, não na semana antes do prazo.

Este guia cobre o que a PSD3 e o PSR mudam em autenticação, fraude e nas verificações de identidade por baixo, e o que fazer já.

Dois instrumentos, um mesmo conjunto de regras

A separação importa porque muda como as regras chegam até você:

  • A PSD3 (uma diretiva) rege a licença das instituições de pagamento. Funde em um só os regimes separados de instituição de pagamento e instituição de moeda eletrônica, e endurece os requisitos de autorização, incluindo a estrutura de AML e KYC que um requerente deve demonstrar.
  • O PSR (um regulamento) rege a conduta: autenticação forte, fraude, transparência e acesso a dados. Por ser regulamento, aplica-se diretamente em cada Estado-Membro sem transposição nacional, o que elimina a sobrerregulação e a divergência que fragmentaram a PSD2.

Se você tem ou solicita uma licença de pagamento ou de moeda eletrônica, ambos caem sobre você de uma vez. A licença está na diretiva; os deveres diários de autenticação e fraude estão no regulamento.

A autenticação forte fica mais rígida, e se torna biométrica

A PSD2 tornou a SCA obrigatória. O PSR a reconstrói em torno do risco e da biometria.

  • Autenticação adaptativa, baseada em risco. Os PSPs devem executar uma autenticação que reflita o comportamento do usuário, os padrões de transação e as tipologias de fraude atuais, não um duplo fator fixo a cada ação.
  • A biometria, dos dois tipos, está explicitamente em jogo. O acordo permite uma SCA construída com biometria fisiológica — impressão digital, reconhecimento facial — combinada com biometria comportamental, como o ritmo de digitação e os padrões de toque na tela. Os sinais comportamentais podem servir como elemento de autenticação, não apenas como pontuação de fraude.
  • A acessibilidade passa a ser um direito. Os PSPs devem oferecer ao menos um método de SCA que funcione para clientes sem smartphone, com deficiência ou com pouca habilidade digital. Esta é a cláusula que quebra mais fluxos existentes: um esquema de aprovação só por celular já não cumpre por si só.

Para a maioria das equipes, o fator de inerência passa de «uma selfie no cadastro» para uma capacidade biométrica contínua e acessível. Isso é um problema de identidade antes de ser um problema de pagamentos.

Verificação do beneficiário: casar um nome com uma conta

O PSR estende a toda a UE o dever de verificação do beneficiário (VoP). Antes de processar uma transferência, o PSP do pagador deve checar que o nome do beneficiário corresponde ao identificador da conta (o IBAN) e avisar o pagador de qualquer divergência. Essa obrigação, e a responsabilidade associada, aplica-se 24 meses após a entrada em vigor do regulamento: um prazo mais longo porque força mudanças de sistema no lado emissor e no receptor.

A VoP é, no fundo, um problema de cotejo de dados de identidade: resolver um nome declarado contra o titular verificado de uma conta. Se a lógica de cotejo falhar, ou você deixa passar fraude ou soterra o cliente em falsos positivos que ele aprende a ignorar.

A virada na responsabilidade por fraude

O PSR mantém a regra básica de que quem autoriza um pagamento fraudulento arca com a perda. Mas recorta os casos em que quem paga é o prestador:

  • Não sinalizar uma divergência de nome/identificador do beneficiário pode transferir a responsabilidade ao PSP que omitiu ou errou a checagem VoP.
  • A fraude por personificação («spoofing»), em que um criminoso se passa pelo banco ou por uma autoridade pública, pode mover a responsabilidade para o PSP nos termos acordados.
  • As falhas de SCA podem atribuir responsabilidade aos operadores de esquemas e aos prestadores técnicos, não só ao banco de frente para o cliente.

Tradução: uma autenticação fraca e uma verificação do beneficiário fraca deixam de ser problema do cliente e passam a ser uma linha no seu balanço e no dos seus prestadores.

Onde o KYC realmente se encaixa

A PSD3/PSR é um conjunto de regras de pagamentos, mas se apoia na identidade em três pontos:

  • Licença. Uma autorização (ou reautorização) PSD3 exige comprovar procedimentos sólidos de AML e KYC. A mesma diligência de cadastro que satisfaz a MiCA para cripto e o pacote antibranqueamento da UE é a que um requerente de instituição de pagamento deve mostrar. Se você precisa primeiro dos fundamentos, comece por o que é KYC.
  • Autenticação. A SCA biométrica e comportamental é verificação de identidade executada de forma contínua, não uma única vez no cadastro.
  • Fraude e contas laranja. Verificações de identidade sólidas no cadastro são o lugar mais barato para barrar as contas sintéticas e laranja que as regras de fraude depois têm de perseguir.

A PSD3 e o eIDAS 2 também se cruzam: uma credencial da carteira europeia de identidade digital de alta garantia pode sustentar ao mesmo tempo o cadastro e o fator de inerência da SCA.

O banho de realidade: seu arranjo da PSD2 já está atrasado

Aqui vai a leitura na contramão que a maioria dos prestadores de pagamento não vai colocar à frente: o prazo longo é uma armadilha. Três trabalhos não podem esperar 2027.

  • A SCA só por celular já não cumpre no espírito. O mandato de acessibilidade obriga a um caminho de autenticação sem smartphone. Construí-lo toca seu fluxo central de autenticação, não uma função secundária.
  • A biometria comportamental exige dados e tempo de treino. Você não pode ligar uma autenticação baseada em comportamento no mês em que a regra se aplica; os modelos precisam de histórico.
  • A VoP muda os dois lados de cada transferência. Os 24 meses são o prazo justamente porque o encanamento é profundo.

As equipes que tratarem a PSD3 como um problema de 2027 vão passar 2027 apagando incêndios. As que ganham começam a reconstrução de autenticação e identidade contra os textos de 2026.

Como a Joinble se encaixa

A plataforma de identidade com IA da Joinble cobre a camada de identidade que o PSR agora exige:

  • Verificação biométrica fisiológica com prova de vida certificada para o fator de inerência da SCA, mais um caminho acessível para clientes que não conseguem usar um fluxo de celular.
  • Autenticação adaptativa, baseada em risco, em que os agentes de identidade da Joinble pesam comportamento e contexto da transação para decidir quando elevar um desafio, em vez de pedi-lo a cada ação.
  • Verificação de identidade e triagem AML para o cadastro de instituições de pagamento e de moeda eletrônica, a prova que uma solicitação de licença PSD3 exige.
  • Cotejo de nome com identidade para apoiar a lógica de verificação do beneficiário sem afogar o cliente em falsos positivos.

Para as equipes fintech que já rodam KYC na Joinble, o trabalho de SCA e VoP estende o mesmo stack de identidade em vez de acrescentar um prestador de autenticação à parte.

Como se preparar antes do prazo

  • Mapeie cada ponto de SCA e localize os que pressupõem um smartphone: esses precisam de uma alternativa acessível primeiro.
  • Comece a coletar os dados comportamentais de que seus futuros modelos de autenticação vão precisar; você não pode preenchê-los depois.
  • Trate a verificação do beneficiário como um projeto de cotejo de dados em transferências de entrada e de saída, e provisione o ajuste de falsos positivos.
  • Coloque a reautorização de licença PSD3, com sua prova de AML/KYC, no seu roteiro de 2026, não no de 2027.

FAQ

Qual é a diferença entre a PSD3 e o PSR?

A PSD3 é uma diretiva que rege a licença das instituições de pagamento e de moeda eletrônica e precisa ser transposta para a lei nacional. O PSR é um regulamento que rege a conduta — autenticação forte, fraude e transparência — e se aplica diretamente em toda a UE sem transposição. A maioria das fintechs é afetada pelos dois ao mesmo tempo.

Quando a PSD3 e o PSR se aplicam?

Os colegisladores da UE chegaram a acordo político em novembro de 2025, com os textos publicados em abril de 2026. A maioria das obrigações se aplica cerca de 21 meses após a publicação no Jornal Oficial, então o mais cedo é o segundo semestre de 2027, e alguns deveres chegam a 2028. A verificação do beneficiário aplica-se 24 meses após a entrada em vigor do regulamento.

O PSR obriga a usar autenticação biométrica?

O PSR não obriga a biometria, mas permite de forma explícita uma autenticação forte construída com biometria fisiológica (impressão digital, reconhecimento facial) e biometria comportamental (padrões de digitação e toque). Também exige ao menos um método de autenticação que funcione para clientes sem smartphone, com deficiência ou com pouca habilidade digital.

O que é a verificação do beneficiário no PSR?

A verificação do beneficiário obriga o prestador de serviços de pagamento do pagador a checar que o nome do beneficiário corresponde ao identificador da conta (IBAN) antes de uma transferência e a avisar o pagador de qualquer divergência. Fazer essa checagem de forma incorreta pode transferir a responsabilidade pela fraude ao prestador. A obrigação aplica-se 24 meses após a entrada em vigor do regulamento.

Como a PSD3 afeta as obrigações de KYC?

A PSD3 exige que as instituições de pagamento e de moeda eletrônica comprovem estruturas sólidas de AML e KYC para obter ou renovar a autorização. Além da licença, a SCA biométrica e comportamental do PSR é verificação de identidade executada de forma contínua, e verificações de identidade sólidas no cadastro seguem sendo o controle mais eficaz contra as contas laranja e sintéticas que alimentam a fraude em pagamentos.

Automatize a sua conformidade com AI Agents

A plataforma de Identidade Agentica da Joinble reduz as revisoes manuais de KYC ate 80%. Agende uma demo para ver em acao.

Agendar demo

Guias de conformidade relacionados

MiCAAlemanha

KYC para Fintech na Alemanha sob MiCA

Guia detalhado sobre conformidade KYC para fintechs na Alemanha sob o regulamento MiCA. Entenda os requisitos da BaFin, verificacao de identidade e obrigacoes regulatorias.

SAMA/CMAArabia Saudita

KYC Fintech na Arabia Saudita (SAMA e Visao 2030)

Guia detalhado sobre os requisitos de KYC e AML para fintechs na Arabia Saudita, incluindo regulamentacoes da SAMA e o impacto da Visao 2030 no setor financeiro.

UIF/CNVArgentina

Conformidade KYC e AML para Fintech na Argentina (UIF e CNV)

Guia especializado sobre os requisitos de KYC e AML para fintechs na Argentina, abrangendo regulamentacoes da UIF e da CNV. Saiba como garantir conformidade regulatoria no mercado argentino.