La Unión Europea vuelve a mover ficha en materia de pagos. Tras la PSD2, que sentó las bases del Open Banking y la autenticación reforzada, llega ahora un nuevo paquete normativo compuesto por la PSD3 (Tercera Directiva de Servicios de Pago) y el PSR (Payment Services Regulation o Reglamento de Servicios de Pago).

Aunque a menudo se mencionan como si fueran una sola norma, en realidad son dos piezas complementarias:

  • PSD3 será la nueva directiva que deberán transponer los Estados miembros y que regula, entre otros aspectos, el régimen de licencias y supervisión de las entidades de pago.
  • PSR, en cambio, será un reglamento directamente aplicable en todos los países de la UE, con reglas uniformes y sin margen de adaptación nacional.

Este cambio no es menor. Supone pasar de un modelo en el que las normas podían interpretarse de forma ligeramente distinta en cada país, a otro en el que determinadas obligaciones serán comunes y directamente exigibles en toda la Unión.

Verificación del beneficiario: menos margen para el fraude

Uno de los puntos clave del nuevo marco es la verificación del beneficiario (Verification of Payee) en las transferencias. Aunque muchos bancos ya venían incorporando mecanismos para comprobar la correspondencia entre el IBAN introducido y el nombre del titular —especialmente en determinados sistemas de pago o en transferencias instantáneas—, PSD3 y el nuevo Reglamento PSR consolidan esta práctica y la convierten en un estándar regulatorio más claro y homogéneo.

En términos prácticos, el objetivo es que antes de ejecutar un pago pueda verificarse si el IBAN introducido corresponde efectivamente al destinatario indicado. La medida responde al aumento de fraudes en los que el usuario es inducido a transferir dinero a cuentas controladas por terceros.

Más allá de la verificación en sí, el reto para las entidades estará en la forma de integrarla en sus procesos operativos y en la capacidad de acreditar, llegado el caso, que dicha comprobación se realizó correctamente en cada operación.

Más responsabilidad en casos de suplantación

PSD3 y PSR también endurecen el marco de responsabilidad en situaciones de fraude, especialmente en casos de suplantación (spoofing).

No bastará con acreditar que el cliente validó una operación mediante autenticación reforzada; las entidades deberán demostrar que aplicaron medidas adecuadas para prevenir el fraude y que sus sistemas funcionaban conforme a los estándares exigidos.

En este contexto, la cuestión ya no es solo cumplir formalmente la norma, sino estar en condiciones de respaldar cada paso del proceso si surge una reclamación, una auditoría o una revisión supervisora.

Open Banking: más acceso, pero también más control

El paquete PSD3-PSR también ajusta el funcionamiento del Open Banking. Se busca mejorar la gestión de permisos por parte del usuario, simplificar ciertos procesos y optimizar el acceso de terceros a las cuentas, reduciendo fricciones innecesarias.

Sin embargo, mayor apertura implica también mayor responsabilidad en la gestión de consentimientos, accesos y registros de actividad. Cada interacción con los datos del cliente deberá ser clara, trazable y justificable.

Un nuevo estándar operativo

En conjunto, PSD3 y PSR no introducen únicamente ajustes técnicos, sino un cambio de enfoque. El sistema de pagos europeo evoluciona hacia un modelo en el que la prevención del fraude, la verificación de identidad y la trazabilidad de procesos se convierten en elementos centrales del marco regulatorio.

Para las entidades financieras y proveedores de servicios de pago, esto supone revisar no solo sus políticas de cumplimiento, sino también la solidez de sus infraestructuras tecnológicas: cómo registran eventos, cómo acreditan verificaciones y cómo pueden reconstruir, con garantías, el recorrido completo de una operación.

Porque en el nuevo entorno, la confianza no se presume: se sustenta en procesos que pueden explicarse y, si es necesario, acreditarse.

Prepararse para demostrar, no solo para cumplir

En este nuevo escenario regulatorio, las entidades deberán prestar especial atención a cómo registran y custodian los eventos críticos asociados a una operación de pago: validaciones de identidad, verificaciones de beneficiario, aceptación de condiciones o comunicaciones relevantes.

No se trata únicamente de implantar el proceso correcto, sino de contar con mecanismos que permitan acreditar, de forma íntegra y verificable, que dicho proceso se ejecutó conforme a la normativa aplicable.

En Rubricae trabajamos precisamente en esa capa menos visible, pero cada vez más relevante, de la infraestructura digital: la que permite registrar, sellar temporalmente y custodiar evidencias asociadas a operaciones sensibles, facilitando su trazabilidad y eventual defensa ante supervisores, auditores o terceros.

En un entorno como el que plantean PSD3 y PSR, anticiparse no consiste solo en adaptar formularios o actualizar procedimientos, sino en reforzar la arquitectura que sostiene la confianza operativa.

Si quieres conocer cómo las soluciones de identidad digital, sellado de tiempo y certificación de evidencias de Rubricae pueden ayudar a afrontar este nuevo marco con mayor seguridad jurídica y trazabilidad, puedes consultarlas aquí:

👉 https://rubricae.com/secure/

Categorías: Blog

Descubra una nueva experiencia digital con

Compartir

Artículos relacionados
Rubricae Talks #16 | Álvaro Berriochoa: “La confianza no debería ser una consecuencia, sino el punto de partida”
Rubricae Talks #16 | Álvaro Berriochoa: “La confianza no debería ser una consecuencia, sino el punto de partida”

Rubricae Talks #16 | Álvaro Berriochoa: “La confianza no debería ser una consecuencia, sino el punto de partida”

La llegada de sistemas capaces de actuar por nosotros obligará a replantear cómo gestionamos la identidad, el consentimiento y la evidencia digital
La llegada de sistemas capaces de actuar por nosotros obligará a replantear cómo gestionamos la identidad, el consentimiento y la evidencia digital

La llegada de sistemas capaces de actuar por nosotros obligará a replantear cómo gestionamos la identidad, el consentimiento y la evidencia digital

Internet no necesita más velocidad. Necesita más confianza
Internet no necesita más velocidad. Necesita más confianza

Internet no necesita más velocidad. Necesita más confianza

La identidad digital europea no funcionará sola: el papel silencioso de los QTSP en la llegada de la EUDI Wallet
La identidad digital europea no funcionará sola: el papel silencioso de los QTSP en la llegada de la EUDI Wallet

La identidad digital europea no funcionará sola: el papel silencioso de los QTSP en la llegada de la EUDI Wallet

Digitalización sostenible: cómo reducir el impacto del papel en las empresas
Digitalización sostenible: cómo reducir el impacto del papel en las empresas

Digitalización sostenible: cómo reducir el impacto del papel en las empresas

Innovación digital en empresas: cómo diseñar procesos que realmente funcionan
Innovación digital en empresas: cómo diseñar procesos que realmente funcionan

Innovación digital en empresas: cómo diseñar procesos que realmente funcionan

Seguridad y experiencia no compiten. Lo que falla es cómo se diseñan los procesos
Seguridad y experiencia no compiten. Lo que falla es cómo se diseñan los procesos

Seguridad y experiencia no compiten. Lo que falla es cómo se diseñan los procesos

Crecer para seguir liderando: nuevas incorporaciones en Rubricae
Crecer para seguir liderando: nuevas incorporaciones en Rubricae

Crecer para seguir liderando: nuevas incorporaciones en Rubricae

Comprar online también es un acto legal: cómo proteger tus derechos como consumidor
Comprar online también es un acto legal: cómo proteger tus derechos como consumidor

Comprar online también es un acto legal: cómo proteger tus derechos como consumidor

Deja un comentario