Aviso importante: Sistema de ALERTAS Y AYUDA — NO vinculante. Toda decision debe ser revisada por un abogado. Leer descargo
← Volver a Pagos y PSD2
CRITICAL Pagos y PSD2 ✓ Necesario para tienda online En vigor: 2019-09-14 Aprobada: 2015-11-25

PSD2 - Directiva (UE) 2015/2366 de Servicios de Pago y Autenticación Reforzada de Clientes (SCA)

ESEUDEFRITPT electronicstoysfashionsoftwaresaaseducationservicesalltienda online b2ctienda online b2bmarketplaceplataforma saasacademia onlinevendedor en redes socialesplataforma de ticketingapp móvil con compras integradas #checkout#seguridad de pagos#3ds2#fraude#pasarelas de pago#suscripciones#product_types_inferred#company:autonomo#company:micropyme#company:pyme#company:gran_empresa#company:marketplace#company:plataforma_p2p#company:empresa_no_ue_que_vende_a_ue electrónica de consumoropa y accesoriosjuguetes y juegossoftware por suscripción (saas)cursos y formación onlineebooks y contenido digitallicencias de softwarecosmética y perfumeríaalimentación y bebidasmuebles y hogarartículos deportivosrecambios de automóvilservicios de hosting y dominiosentradas para eventosbilletes de transporte

Resumen ejecutivo: Normativa europea que obliga a las tiendas online a implementar la Autenticación Reforzada de Clientes (SCA) mediante protocolos 3D Secure 2 para todas las transacciones electrónicas superiores a 30€. Afecta a cualquier comercio que acepte pagos con tarjeta o transferencia dentro de la UE, exigiendo dos factores de identificación (conocimiento, posesión o inherencia). Es crítica para reducir el fraude y asegurar la validez legal de los cobros, aplicándose de forma plena desde el 1 de enero de 2021 en España.

Acciones concretas para tu tienda

  1. Verificar que la pasarela de pago (Stripe, Redsys, PayPal) soporte 3D Secure 2.0
  2. Actualizar los plugins de pago en el CMS (WooCommerce, PrestaShop, Magento)
  3. Revisar y configurar las exenciones de SCA para pagos de bajo valor (<30€)
  4. Implementar flujos de 'soft decline' para reintentar pagos fallidos con autenticación
  5. Informar en los Términos y Condiciones sobre la seguridad en el proceso de pago
⚙ Necesario un modulo adicional

Requiere la instalación y configuración de un módulo de pasarela de pago compatible con 3D Secure 2 (3DS2). Este módulo es necesario para transmitir los metadatos del cliente (IP, navegador, dirección de envío) al banco emisor para permitir el análisis de riesgo y la autenticación de dos factores sin fricción.

Fuente oficial:

EUR-Lex (catalogo historico)

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

El sector de los pagos electrónicos en la Unión Europea ha experimentado una transformación radical en la última década. Antes de la aparición de la PSD2, el marco regulatorio principal era la Directiva 2007/64/CE (PSD1). Aquella normativa fue diseñada para un mercado incipiente donde el e-commerce apenas representaba una fracción de lo que es hoy. Con el tiempo, la PSD1 se quedó obsoleta ante la aparición de nuevos actores tecnológicos (FinTech) y el incremento alarmante del fraude en pagos no presenciales (CNP - Card Not Present).

La PSD2 (Directiva UE 2015/2366) surge para armonizar el mercado de pagos, fomentar la innovación y, sobre todo, aumentar la seguridad del consumidor. Esta directiva complementa y deroga la PSD1, y se integra con otras normativas como el Reglamento (UE) 2015/751 sobre tasas de intercambio y la Directiva (UE) 2015/849 contra el blanqueo de capitales. El objetivo principal de la PSD2 en el ámbito del e-commerce es la implementación de la Autenticación Reforzada de Clientes (SCA), detallada técnicamente en el Reglamento Delegado (UE) 2018/389.

2. Origen y proceso legislativo

La Directiva fue publicada en el Diario Oficial de la Unión Europea (DOUE) el 23 de diciembre de 2015. Su entrada en vigor se produjo el 12 de enero de 2016, otorgando a los Estados Miembros hasta el 13 de enero de 2018 para su transposición nacional (en España se realizó principalmente mediante el Real Decreto-ley 19/2018).

Sin embargo, la parte más crítica para las tiendas online, la Autenticación Reforzada de Clientes (SCA), dependía del desarrollo de normas técnicas de regulación (RTS). Estas fueron publicadas en el Reglamento Delegado (UE) 2018/389. Inicialmente, la fecha límite de cumplimiento era el 14 de septiembre de 2019, pero debido a la complejidad técnica para los bancos y comercios, la Autoridad Bancaria Europea (EBA) permitió una prórroga escalonada que finalizó, en la mayoría de los casos, el 31 de diciembre de 2020. En España, la implementación plena por parte de las entidades financieras se completó el 1 de enero de 2021.

Los Considerandos 95 y 96 de la Directiva son clave, ya que subrayan la necesidad de proteger la confidencialidad y la integridad de los datos de seguridad personalizados de los usuarios, justificando la obligatoriedad de la SCA.

3. Ámbito subjetivo - A QUIEN aplica

La PSD2 tiene un alcance muy amplio, afectando a:

  • Proveedores de Servicios de Pago (PSP): Bancos, entidades de pago y entidades de dinero electrónico que emiten tarjetas o gestionan cuentas.
  • Tiendas Online y Comercios (Merchants): Cualquier persona física o jurídica que venda bienes o servicios online y acepte pagos electrónicos. Esto incluye desde autónomos con un pequeño WordPress hasta grandes corporaciones multinacionales.
  • Marketplaces: Plataformas que intermedian en pagos entre terceros deben cumplir con la PSD2, especialmente en lo relativo a la licencia de entidad de pago (excepción de agente comercial limitada).
  • Nuevos proveedores (TPPs): PISPs (Servicios de iniciación de pagos) y AISPs (Servicios de información de cuentas).
  • Empresas No-UE: Si un comercio estadounidense vende a un cliente europeo y ambos bancos (adquirente y emisor) están en la UE, la SCA es obligatoria (escenario 'one-leg-out' donde se recomienda encarecidamente).

4. Ámbito objetivo - QUÉ actividades y productos cubre

La normativa aplica a toda venta online independientemente del tipo de producto o servicio, siempre que el pago sea electrónico y se inicie por el ordenante (el cliente).

  • Tipos de tienda afectados: Tiendas de electrónica, ropa, alimentación, cosmética, mobiliario, parafarmacia, suscripciones SaaS, academias de cursos online, venta de ebooks, servicios de hosting, marketplaces de segunda mano, apps de delivery.
  • Tipos de producto: Aplica a productos físicos tangibles, software descargable, licencias de uso, acceso a contenido premium, infoproductos y servicios de consultoría online.
  • Excepciones materiales:
  • Pagos por teléfono (MOTO - Mail Order / Telephone Order).
  • Pagos iniciados por el beneficiario (MIT - Merchant Initiated Transactions), como renovaciones de suscripciones fijas, tras una primera autenticación SCA.
  • Tarjetas prepago anónimas (hasta ciertos límites).

5. Obligaciones concretas - exegesis del articulado

La obligación estrella es el Artículo 97 (Autenticación de Clientes):

  1. SCA (Strong Customer Authentication): Exige el uso de al menos dos elementos independientes clasificados en:
  • Conocimiento: Algo que solo el usuario sabe (contraseña, PIN).
  • Posesión: Algo que solo el usuario tiene (móvil, token físico, tarjeta).
  • Inherencia: Algo que el usuario es (huella dactilar, reconocimiento facial).
  1. Enlace Dinámico (Art. 5 RTS): Para pagos electrónicos remotos, la autenticación debe estar vinculada específicamente a un importe y a un beneficiario concreto. Si cambian durante el proceso, el código de autenticación debe invalidarse.
  1. Responsabilidad por Fraude: Si un comercio no exige SCA y la transacción es fraudulenta, el comercio perderá el derecho a reclamar y el banco emisor podrá devolver el cargo automáticamente al cliente (liability shift inverso).
  1. Exenciones (Art. 10-18 RTS): El comercio puede solicitar exenciones para mejorar la conversión:
  • Pagos de bajo valor (<30€, con límites acumulados de 100€ o 5 operaciones).
  • Análisis de riesgo transaccional (TRA): Si el PSP tiene niveles de fraude muy bajos.
  • Beneficiarios de confianza: El cliente marca la tienda como segura en su banco.

6. Casos prácticos por TIPO DE TIENDA Y PRODUCTO

  • Caso 1: Tienda de Moda (Shopify/WooCommerce): Un cliente compra una chaqueta de 85€. Al ser >30€, la pasarela de pago (ej. Stripe) debe activar 3DS2. El cliente recibe una notificación push en su app bancaria para autorizar. Sin esta acción, el pago no se procesa.
  • Caso 2: SaaS de Suscripción: Un usuario contrata una herramienta de diseño por 15€/mes. El primer pago requiere SCA obligatoriamente. Los pagos recurrentes posteriores de 15€ se consideran MIT (Merchant Initiated Transactions) y están exentos de SCA siempre que el importe no varíe.
  • Caso 3: Marketplace (Tipo Wallapop/Amazon): El marketplace debe asegurar que el flujo de pago entre comprador y vendedor cumple con SCA. Además, si el marketplace retiene fondos, debe operar bajo una licencia de entidad de pago o usar un proveedor de pagos 'escrow' que cumpla PSD2.
  • Caso 4: Venta de Cursos Online (Infoproductos): Un autónomo vende un curso por 150€. Al ser un pago puntual de alto riesgo percibido, debe usar 3DS2. Si el cliente falla la autenticación dos veces, el sistema debe ofrecer un método alternativo o informar del error.

7. Plazos clave

| Fecha | Hito | Quien | Consecuencia si no se cumple | | :--- | :--- | :--- | :--- | | 2015-12-23 | Publicación Directiva | UE | Inicio del proceso legislativo | | 2018-01-13 | Transposición en España | Estado | Marco legal nacional activo (RD-L 19/2018) | | 2019-09-14 | Entrada en vigor RTS | Bancos/Tiendas | Obligatoriedad teórica de SCA | | 2020-12-31 | Fin de prórroga EBA | Bancos/Tiendas | Obligatoriedad real total en la UE | | 2021-01-01 | Ejecución plena España | Bancos | Denegación masiva de pagos no-SCA | | 2024-Q1 | Revisión hacia PSD3 | Comisión UE | Evolución a nuevas reglas de fraude |

8. Sanciones y régimen sancionador

El régimen sancionador en España lo supervisa el Banco de España en colaboración con las autoridades de consumo.

  • Sanciones Económicas: Las infracciones muy graves pueden conllevar multas de hasta el 10% del volumen de negocios anual o hasta 5 millones de euros.
  • Responsabilidad Civil: El riesgo principal para la tienda online no es la multa directa del regulador, sino el Chargeback Irreversible. Si se acepta un pago sin SCA, el banco emisor puede ejecutar una retrocesión del pago por fraude y el comercio no tiene defensa legal posible, perdiendo el dinero y el producto.
  • Reputación: Inclusión en listas negras de procesadores de pagos, lo que puede elevar las comisiones de procesamiento o la cancelación del servicio TPV.

9. Comparativa antes y despues

| Aspecto | Régimen Anterior (PSD1) | Nuevo Régimen (PSD2/SCA) | Impacto Práctico | | :--- | :--- | :--- | :--- | | Seguridad | CVV y fecha caducidad | Doble factor (Biometría/App) | Reducción drástica del fraude | | Responsabilidad | A cargo del banco si hay 3DS | A cargo del comercio si no hay SCA | El comercio es responsable si no se actualiza | | Experiencia Usuario | 3DS1 (iFrames lentos, SMS) | 3DS2 (Integración nativa app) | Mejor conversión en móviles | | Exenciones | Inexistentes o arbitrarias | Claramente definidas (TRA, bajo valor) | Posibilidad de checkout rápido legal | | Acceso a Datos | Monopolio bancario | Open Banking (APIs obligatorias) | Nuevas formas de pago (PISP) | | Pagos recurrentes | Sin regulación clara | Definidos como MIT | Mayor seguridad en suscripciones | | Mobile Payment | No contemplado | Prioridad absoluta | Pagos con Apple/Google Pay cuentan como SCA | | Transparencia | Comisiones ocultas | Desglose obligatorio de tasas | Menores costes para el comercio |

10. Como cumplir paso a paso - Guía operativa

  1. Auditoría de Pasarela: Contactar con el proveedor de pagos (Stripe, Redsys, PayPal, Adyen) y confirmar que la cuenta está configurada para 3D Secure 2.0 (3DS2).
  2. Actualización de CMS: Si usas WooCommerce, actualizar el plugin de 'Stripe' o 'Redsys' a la última versión. En PrestaShop, verificar que el módulo de pago sea compatible con PSD2.
  3. Configurar Exenciones: Hablar con el PSP para solicitar la exención de 'Bajo Valor' para ventas <30€ para reducir la fricción.
  4. Flujo de Checkout: Asegurarse de que el checkout no esté bloqueado por pop-ups que impidan la ventana de autenticación del banco.
  5. Manejo de Errores: Configurar mensajes claros cuando una tarjeta es rechazada por falta de SCA (ej: "Su banco requiere autenticación adicional").
  6. Suscripciones: Si tienes cobros recurrentes, realizar la primera venta con SCA y marcar la transacción como 'Merchant Initiated' en la base de datos de la pasarela.
  7. Apple Pay / Google Pay: Activar estos métodos, ya que cumplen intrínsecamente con SCA mediante biometría y mejoran la conversión.
  8. Términos y Condiciones: Actualizar la cláusula de pagos indicando que se cumplen los estándares de seguridad de la Directiva (UE) 2015/2366.

11. Errores frecuentes

  • Error 1: Creer que PayPal exime de PSD2. Falso. Si PayPal se usa como pasarela de tarjetas, debe aplicar SCA.
  • Error 2: No actualizar el plugin del TPV. Muchos comercios usan módulos antiguos de Redsys que solo soportan 3DS1, provocando rechazos masivos de transacciones.
  • Error 3: Forzar SCA en todas las transacciones. Esto mata la conversión. Hay que aprovechar las exenciones de bajo valor.
  • Error 4: Ignorar el 'Soft Decline'. El banco puede rechazar un pago pidiendo SCA. Si el sistema no sabe reintentar pidiendo la autenticación, se pierde la venta.

12. Jurisprudencia y criterios oficiales

  • Dictámenes de la EBA (European Banking Authority): Ha publicado múltiples Q&A clarificando que los pagos MIT no requieren SCA tras la autenticación inicial.
  • Sentencia TJUE sobre responsabilidad: Varias sentencias refuerzan que el usuario no es responsable de pérdidas si el proveedor de servicios de pago no exige autenticación reforzada.
  • Criterio Banco de España: Ha emitido circulares exigiendo a las entidades que denieguen transacciones que no lleven el flag de SCA o exención válida.

13. FAQ extensa

Si vendo solo a España, ¿me afecta esta normativa UE?

Sí, la PSD2 es de aplicación obligatoria en todos los Estados miembros de la UE. Además, la normativa española (RD-L 19/2018) transpone esta obligación para todos los comercios nacionales.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No. La normativa no establece umbrales de facturación para el comercio. La obligación de seguridad es para proteger al consumidor, independientemente del tamaño del vendedor.

¿Qué pasa si el banco de mi cliente no está en la UE?

Se considera una transacción 'One-leg-out'. La normativa técnica no obliga estrictamente a SCA en estos casos, pero los procesadores recomiendan aplicarlo para evitar fraudes y chargebacks.

¿Puedo evitar el SCA si el cliente me firma una autorización en papel?

No para transacciones online. La SCA debe ser un proceso electrónico y dinámico vinculado a la transacción.

14. Normativas relacionadas

  • Reglamento Delegado (UE) 2018/389: Normas técnicas sobre SCA (CELEX: 32018R0389).
  • Real Decreto-ley 19/2018: Transposición española de la PSD2 (BOE-A-2018-16036).
  • RGPD (UE) 2016/679: Los datos de pago y autenticación son datos personales protegidos.

15. Recursos oficiales y herramientas recomendadas

  • Portal del Banco de España - PSD2: Guías para usuarios y comercios.
  • Stripe Radar / Redsys 3DS2 Test Tool: Herramientas para verificar la correcta implementación del protocolo.
  • Guía de la EBA sobre SCA: Documento técnico de referencia para desarrolladores.

16. Conclusión práctica y valoración

La PSD2 es el cambio más importante en la historia de los pagos e-commerce. Aunque inicialmente supuso un reto técnico y una caída en la conversión por la fricción del segundo factor, hoy es un estándar que genera confianza. El riesgo de no cumplir (pérdida total de ingresos por chargebacks) es infinitamente superior al coste de actualizar la pasarela de pago. Implementar 3DS2 y usar métodos como Apple/Google Pay es hoy una necesidad existencial para cualquier tienda online.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.
Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.