Aviso importante: Sistema de ALERTAS Y AYUDA — NO vinculante. Toda decision debe ser revisada por un abogado. Leer descargo
← Volver a Pagos y PSD2
CRITICAL Pagos y PSD2 ✓ Necesario para tienda online En vigor: 2026-06-01 Aprobada: 2023-06-28

Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre los servicios de pago en el mercado interior (PSR) - COM/2023/367 final

EU #sca#fraude#pagos#transparencia ecommercesaasinfoproductosmarketplaces

Resumen ejecutivo: Este Reglamento sustituirá las normas de conducta y seguridad de la PSD2, endureciendo los requisitos de Autenticación Fuerte del Cliente (SCA) y extendiendo la responsabilidad por fraude. Aplica a toda tienda online que acepte pagos electrónicos, obligando a una mayor transparencia en el checkout y nuevos mecanismos de monitoreo de transacciones. Su entrada en vigor efectiva se estima para mediados de 2026 tras el proceso legislativo actual.

Acciones concretas para tu tienda

  1. Auditar la compatibilidad de la pasarela de pagos con los nuevos estándares de monitoreo de transacciones
  2. Implementar mecanismos de verificación de identidad adicionales para casos de alto riesgo
  3. Revisar los contratos con proveedores de servicios de pago (PSP) respecto a la responsabilidad por phishing y spoofing
⚙ Necesario un modulo adicional

Requiere la actualización de la pasarela de pagos (Gateway) para soportar el nuevo protocolo de intercambio de datos de fraude y la delegación de SCA, así como ajustes en el flujo de checkout para cumplir con los nuevos requisitos de transparencia e inclusión.

Fuente oficial:

EUR-Lex

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

El ecosistema de pagos en la Unión Europea ha estado regido por la Directiva (UE) 2015/2366 (PSD2). Aunque la PSD2 introdujo la Autenticación Fuerte del Cliente (SCA), su implementación mediante una Directiva generó fragmentación legal entre los Estados miembros. El nuevo Reglamento de Servicios de Pago (PSR), junto con la Directiva PSD3, busca resolver esta dispersión convirtiendo las normas operativas en un Reglamento de aplicación directa. El principal problema que viene a resolver es el auge de nuevas formas de fraude (como la ingeniería social y el spoofing) que la PSD2 no previó adecuadamente, además de mejorar la experiencia de usuario en el checkout, que se vio perjudicada por implementaciones de SCA poco amigables.

2. Origen y proceso legislativo

Publicado como propuesta por la Comisión Europea el 28 de junio de 2023 (COM/2023/367). Actualmente se encuentra en fase de trílogos entre el Parlamento Europeo y el Consejo. Se espera su aprobación definitiva en 2024/2025, con un periodo de transposición/adaptación de 18 meses, situando su aplicación efectiva en el horizonte de 2026. Los considerandos clave (especialmente el 34, 45 y 52) enfatizan la necesidad de un monitoreo de transacciones basado en IA y la protección del consumidor ante el fraude de suplantación.

3. Ambito subjetivo - A QUIEN aplica

El PSR afecta a:

  • Comerciantes Online (Merchants): Independientemente de su tamaño (micro, pyme o gran empresa), siempre que acepten medios de pago electrónicos.
  • Proveedores de Servicios de Pago (PSP): Bancos, entidades de pago y neobancos.
  • Marketplaces: En su rol de intermediarios que manejan fondos o facilitan el checkout.
  • Sujetos fuera de la UE: Aplica a transacciones 'one-leg out' (donde una de las partes está en la UE), afectando a ecommerce extracomunitarios con clientes europeos.

4. Ambito objetivo - QUE actividades y productos cubre

Cubre la totalidad de la venta online en la UE:

  • Ecommerce de producto físico: Moda, electrónica, alimentación, etc. Se ven afectados por los cambios en el flujo de abandono de carrito debido a la SCA.
  • SaaS y suscripciones: Modifica la gestión de los Merchant Initiated Transactions (MIT) y las exenciones para pagos recurrentes.
  • Infoproductos: Cursos y descargas digitales donde la inmediatez del pago es crítica.

5. Obligaciones concretas - exegesis del articulado

  1. Monitoreo de transacciones (Art. 83): Obligación de realizar un análisis de riesgos en tiempo real. Para el comercio, esto implica compartir más metadatos con el banco adquirente (IP, geolocalización, comportamiento del usuario).
  2. SCA mejorada (Art. 85): La autenticación debe ser más robusta pero más accesible. Se prohíbe depender exclusivamente de un smartphone (inclusión financiera).
  3. Responsabilidad por Spoofing (Art. 59): Si un cliente es engañado por alguien que suplanta la identidad de un banco o del propio comercio, las reglas de reembolso cambian. Los comercios deben asegurar sus canales de comunicación.
  4. Derecho a reembolso por falta de SCA (Art. 57): Si el comercio no exige SCA y la transacción es fraudulenta, el comercio asume el 100% de la responsabilidad financiera frente al banco emisor.
  5. Transparencia de cargos (Art. 28): Obligación de mostrar claramente todas las comisiones de conversión de moneda antes de finalizar el pago.
  6. Accesibilidad de la SCA: Los métodos de autenticación no deben discriminar a personas con discapacidad o sin competencias digitales avanzadas.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

  • Caso 1: Tienda de moda (Shopify): Debe actualizar su integración con Stripe/Adyen para enviar el 'device fingerprinting' requerido por el nuevo monitoreo de riesgos, reduciendo así las fricciones de SCA en clientes habituales.
  • Caso 2: Marketplace de segunda mano: Debe implementar el nuevo protocolo de 'confirmación de beneficiario' para evitar el fraude en transferencias internas entre usuarios.
  • Caso 3: SaaS B2B: Debe re-autorizar los mandatos de pago recurrente bajo los nuevos estándares de transparencia del PSR si hay cambios en las cuantías.
  • Caso 4: Dropshipper fuera de la UE: Al vender a España, su pasarela de pago debe cumplir obligatoriamente con el PSR para evitar que los bancos españoles bloqueen las transacciones por 'falta de cumplimiento técnico'.

7. Plazos clave

| Fecha | Hito | Quien | Consecuencia | | :--- | :--- | :--- | :--- | | 2024-Q4 | Aprobación final texto | UE | Inicio cuenta atrás | | 2025-01-01 | Adaptación tecnológica | PSPs/Vendores | Desarrollo de APIs | | 2026-06-01 | Aplicación obligatoria | Todos | Sanciones y pérdida responsabilidad |

8. Sanciones y regimen sancionador

Las autoridades nacionales (en España, el Banco de España y Consumo) podrán imponer multas de hasta el 4% de la facturación anual o 20 millones de euros. Además, el riesgo de 'chargebacks' automáticos por incumplimiento técnico de SCA supone una amenaza financiera directa para el flujo de caja del ecommerce.

9. Comparativa antes y despues

| Aspecto | PSD2 (Anterior) | PSR (Nuevo 2026) | Impacto | | :--- | :--- | :--- | :--- | | Instrumento | Directiva (fragmentada) | Reglamento (único) | Seguridad jurídica | | Fraude | Enfoque en hacking | Enfoque en ingeniería social | Mayor protección | | SCA | 2 factores básicos | 2 factores + biometría/accesible | Menos fricción | | Datos | Limitados | Compartición masiva para riesgo | Privacidad vs Seguridad |

10. Como cumplir paso a paso - Guia operativa

  1. Contactar con el proveedor de pagos (Redsys, Stripe, PayPal) para confirmar hoja de ruta PSR.
  2. Habilitar protocolos 3D Secure 2.3 o superiores.
  3. Implementar pantallas de transparencia de precios en divisas.
  4. Revisar la política de privacidad para incluir la cesión de datos de comportamiento para prevención de fraude.
  5. Auditar el proceso de checkout bajo criterios de accesibilidad WCAG 2.2.

11. Errores frecuentes

  • Creer que el cumplimiento es solo del banco y no del comercio.
  • No enviar suficientes datos en la solicitud de autorización (causando denegaciones de SCA).
  • Ignorar las reglas de responsabilidad en transacciones 'one-leg out'.

12. Jurisprudencia y criterios oficiales

Se espera que la doctrina del TJUE sobre el caso C-287/19 (sobre responsabilidad en pagos) se extienda bajo el PSR para proteger aún más al usuario final frente a negligencias del comercio.

13. FAQ extensa

  • ¿Me afecta si soy autónomo? Sí, el reglamento no distingue por forma jurídica.
  • ¿Amazon se encarga de todo? Solo si vendes exclusivamente mediante su sistema de pagos; si usas el tuyo en tu web, eres responsable.
  • ¿Puedo desactivar la SCA para compras pequeñas? Solo bajo exenciones muy estrictas monitorizadas por el PSR.

14. Normativas relacionadas

  • Reglamento (UE) 2024/886 sobre pagos instantáneos.
  • Reglamento (UE) 2016/679 (RGPD).

15. Recursos oficiales y herramientas recomendadas

  • Portal de consultas del Banco de España.
  • Documentación técnica de EMVCo sobre 3DS.

16. Conclusion practica y valoracion

El PSR en 2026 será el cambio más drástico en pagos online en una década. El esfuerzo de adaptación es alto pero necesario para reducir las tasas de fraude, que son el principal coste oculto del ecommerce actual.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.
Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.