CRITICAL Pagos y PSD2 ✓ Necesario para tienda online En vigor: 2026-01-01 Aprobada: 2023-06-28

Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre los servicios de pago en el mercado interior (PSR) - Marco sucesor de la PSD2

ESEU allecommercesoftwaredigital_contenttienda online de productos fisicosmarketplaceplataforma saastienda de infoproductosplataforma de suscripciondropshippingventa de servicios digitalescomunidad de pago #checkout #pagos #sca #fraude #autenticacion #consumidor #responsabilidad #product_types_inferred #company:autonomo #company:micropyme #company:pyme #company:gran_empresa #company:marketplace #company:empresa_no_ue_que_vende_a_ue electronica juguetes ropa cosmetica alimentacion electrodomesticos mobiliario deporte libros perfumeria textil calzado joyeria hogar jardineria papeleria ferreteria drogueria productos quimicos productos sanitarios parafarmacia software saas ebooks cursos online suscripciones nfts contenido digital

Resumen ejecutivo: Este Reglamento sustituye a la actual Directiva PSD2, elevando los estándares de Autenticación Reforzada de Cliente (SCA) para combatir el fraude por ingeniería social (spoofing). Obliga a los proveedores de pagos y comercios online a implementar mecanismos de supervisión de transacciones más robustos y redefine radicalmente la responsabilidad legal en caso de fraude, favoreciendo al consumidor. Aplica a toda venta online (productos físicos, software e infoproductos) que requiera pagos electrónicos en la UE a partir de 2026 aproximadamente.

Acciones concretas para tu tienda

Auditar la compatibilidad de la pasarela de pagos con los nuevos requisitos SCA del PSR
Implementar protocolos de verificación de identidad del beneficiario (Matching IBAN-Nombre) si se gestionan transferencias
Actualizar los Términos y Condiciones relativos a la responsabilidad por transacciones no autorizadas
Asegurar que el flujo de checkout permita la delegación de SCA de forma segura según los nuevos estándares
Revisar el sistema de monitorización de transacciones para integrarse con los requisitos de detección de fraude en tiempo real

⚙ Necesario un modulo adicional

Requiere la actualización o implementación de un módulo de pasarela de pago (PSP) compatible con PSR/SCA avanzado y protocolos de intercambio de datos de fraude. Es posible que se necesite una herramienta de prevención de fraude que se integre con la API de la entidad financiera para cumplir con la monitorización de transacciones exigida.

Fuente oficial:

EUR-Lex

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

El ecosistema de pagos en la Unión Europea ha experimentado una transformación radical en la última década. El punto de partida fue la Primera Directiva de Servicios de Pago (PSD1, 2007/64/CE), que buscaba armonizar los pagos en la UE. Sin embargo, el auge del ecommerce y las nuevas Fintech obligaron a la creación de la PSD2 (Directiva (UE) 2015/2366). Esta introdujo la Autenticación Reforzada del Cliente (SCA) y el Open Banking, pero al ser una Directiva, su transposición en los Estados miembros fue fragmentada, generando fricciones legales y técnicas. El PSR (Payment Services Regulation) surge como respuesta a las lagunas de la PSD2, especialmente ante la sofisticación del fraude online (phishing, smishing y vishing) y la necesidad de un mercado único de pagos más cohesivo. Al ser un Reglamento (CELEX: 52023PC0367), será de aplicación directa sin necesidad de transposiciones nacionales que varíen su interpretación, derogando gran parte de la PSD2 y complementando a la nueva Directiva PSD3.

2. Origen y proceso legislativo

La propuesta fue presentada por la Comisión Europea el 28 de junio de 2023. Se basa en los considerandos de protección al consumidor y fomento de la competencia en el mercado de pagos. El proceso sigue el procedimiento legislativo ordinario (codecision). Los considerandos clave incluyen: (1) la necesidad de combatir el fraude por ingeniería social que la SCA actual no detiene eficientemente, (2) la mejora del funcionamiento del Open Banking y (3) la armonización de la responsabilidad legal. Actualmente se encuentra en fase de debate en el Parlamento y el Consejo, previéndose su adopción definitiva y entrada en aplicación plena para el primer trimestre de 2026.

3. Ambito subjetivo - A QUIEN aplica

El PSR tiene un alcance omnicomprensivo en la cadena de pagos:

Sujetos Obligados Directos: Proveedores de Servicios de Pago (PSP), entidades de crédito, entidades de pago e instituciones de dinero electrónico.
Sujetos Obligados Indirectos (Comerciantes): Todas las tiendas online (independientemente de su tamaño) que acepten pagos electrónicos. Aunque el cumplimiento técnico recae en el PSP, el comerciante es responsable de la implementación en su checkout y de las consecuencias legales del fraude.
Marketplaces: Especialmente afectados al actuar a menudo como intermediarios en el flujo de fondos.
Empresas no UE: Cualquier comercio situado fuera de la Unión que ofrezca productos o servicios a consumidores dentro de la UE está sujeto a estas normas de seguridad en los pagos.
Autónomos y Pymes: No existen exenciones por volumen de facturación en lo que respecta a la seguridad del SCA y la prevención del fraude.

4. Ambito objetivo - QUE actividades y productos cubre

El PSR aplica a TODA transacción de pago electrónico iniciada dentro de la UE, cubriendo:

MODO 1 (Físico): Tiendas de electrónica, moda, alimentación, parafarmacia, muebles, etc. Cubre desde el envío de un smartphone hasta la compra de cosméticos.
MODO 2 (Software): Suscripciones SaaS, licencias descargables de antivirus, hosting y dominios. El PSR es crítico aquí para las suscripciones recurrentes.
MODO 3 (Infoproductos): Cursos online, ebooks, acceso a comunidades premium y NFTs. Cualquier transacción con tarjeta, transferencia inmediata o wallet está bajo el PSR.
Excepciones: Pagos en efectivo, ciertas operaciones de cambio de divisas y transacciones a través de agentes comerciales con poder de negociación limitado.

5. Obligaciones concretas - exegesis del articulado

El PSR introduce cambios fundamentales en la operativa diaria de una tienda online:

Evolución del SCA (SCA 2.0): El Reglamento exige que la autenticación no solo sea 'fuerte', sino también accesible y resistente a la manipulación. Art. 85: Se refuerza el uso de biometría y se limita el uso de SMS como segundo factor por su vulnerabilidad.
Verificación de la identidad del beneficiario (Art. 50): Para transferencias bancarias, el sistema debe verificar que el nombre del titular de la cuenta coincide con el IBAN proporcionado antes de que el pago se ejecute. Esto previene estafas de 'factura falsa' en pagos B2B.
Responsabilidad en caso de Fraude (Art. 59): Si un cliente es engañado mediante 'spoofing' (alguien que finge ser un empleado del banco o de la tienda) y autoriza un pago, el PSP será responsable de reembolsar al cliente, a menos que haya negligencia grave. Esto obliga a los comercios a tener sistemas de detección mucho más finos para evitar devoluciones de cargo masivas.
Disponibilidad del Open Banking: Las tiendas que utilicen servicios de iniciación de pagos deberán garantizar que las interfaces sean fluidas y no generen fricción innecesaria al consumidor.
Monitorización de Transacciones (Art. 83): Obligación de analizar patrones de comportamiento del usuario para detectar anomalías antes de que el pago se procese.
Transparencia en Comisiones (Art. 20): Desglose total de costes de conversión de moneda en el momento del checkout para compras internacionales.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda de Moda (Shopify/WooCommerce): Un cliente compra ropa por 150€. El PSR obliga a que el checkout use una pasarela que soporte biometría en el móvil. Si la tienda no usa una pasarela PSR-compliant y hay fraude, la tienda perderá el dinero y la mercancía sin posibilidad de reclamación.
Caso 2: SaaS de suscripción mensual: En la primera transacción se aplica SCA. Para los cobros recurrentes (MIT - Merchant Initiated Transactions), el PSR exige que el acuerdo inicial (mandato) sea extremadamente claro y que el usuario pueda revocarlo fácilmente desde su propia banca online o la web del comercio.
Caso 3: Marketplace de productos de segunda mano: El marketplace debe asegurar que los pagos entre particulares cumplen con el protocolo de verificación de nombre-IBAN para evitar estafas entre usuarios, asumiendo responsabilidad subsidiaria si no facilita las herramientas de seguridad adecuadas.
Caso 4: Vendedor de cursos online (Infoproductos): Venta de un curso de 900€. El PSR exige una autenticación reforzada que vincule el importe y el beneficiario a la clave de autorización (dynamic linking), impidiendo que el ataque de un tercero desvíe los fondos.
Caso 5: Empresa China vendiendo a España (AliExpress/Dropshipping): Debe integrar pasarelas de pago que cumplan con el PSR si operan con adquirentes europeos o tarjetas europeas, de lo contrario las transacciones serán rechazadas sistemáticamente por los bancos emisores.

7. Plazos clave

8. Sanciones y regimen sancionador

El PSR establece que las sanciones deben ser efectivas, proporcionadas y disuasorias. Las autoridades nacionales (en España, el Banco de España y potencialmente Consumo) pueden imponer:

Multas administrativas: Hasta el 10% del volumen de negocios anual total del ejercicio anterior.
Multas coercitivas: De hasta el 5% de la facturación diaria media para obligar al cumplimiento.
Responsabilidad Civil: Los comercios que degraden intencionadamente la seguridad para reducir la fricción en el checkout serán responsables directos de cualquier fraude resultante, sin posibilidad de repercutir el coste al banco.
Reputación: Inclusión en registros públicos de entidades infractoras.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa

Auditoría de Pasarela: Contactar con el proveedor de pagos (Stripe, Adyen, Redsys) y solicitar hoja de ruta de compatibilidad PSR (Coste: 0€).
Actualización de Plugins: En WooCommerce/PrestaShop, actualizar los módulos de pago a versiones que soporten SCA 2.0 (Coste: 0-100€).
Implementación de 3DS2.2 o superior: Asegurar que el protocolo de seguridad activo es la última versión (3D Secure) que permite exenciones inteligentes.
Revisión de T&C: Modificar la sección de 'Pagos y Seguridad' para reflejar las nuevas garantías de reembolso (Asesor: 2h).
Optimización de Checkout: Configurar el flujo para evitar el 'frictionless' excesivo si el riesgo de fraude es alto.
Verificación de Beneficiario: Si aceptas transferencias, integrar un servicio de validación de IBAN-Nombre en el formulario de pedido.
Formación: Instruir al equipo de atención al cliente sobre cómo detectar intentos de spoofing.
Monitorización: Activar herramientas de análisis de fraude basadas en IP, comportamiento y velocidad de compra.

11. Errores frecuentes

Pensar que es solo cosa del banco: El comercio es quien sufre el abandono del carrito si el SCA falla.
Ignorar el Spoofing: No actualizar los procesos internos creyendo que el SCA actual es infalible.
Mal uso de las exenciones: Aplicar exenciones de SCA a transacciones de alto riesgo, asumiendo una responsabilidad de cargo que puede quebrar la pyme.
No informar de las comisiones de cambio: Sorprender al cliente con cargos extra de su banco por pagar en otra moneda.
Mantener protocolos obsoletos: Seguir usando 3DS1.0 (ya en desuso pero presente en algunas implementaciones antiguas).
Falta de accesibilidad: No ofrecer métodos de autenticación para personas que no usan smartphone.
No gestionar los mandatos de suscripción: No tener un registro claro de cuándo el usuario aceptó cobros recurrentes.
Confiar ciegamente en el Dropshipping: No verificar la seguridad de los pagos en plataformas de terceros que luego repercuten el fraude al vendedor final.

12. Jurisprudencia y criterios oficiales

Actualmente, existe una amplia jurisprudencia sobre PSD2 que el PSR pretende codificar. Por ejemplo, la sentencia del TJUE en el asunto C-287/19 sobre la responsabilidad en transacciones no autorizadas subraya que la carga de la prueba de la negligencia grave recae en el proveedor, no en el usuario. El Comité Europeo de Protección de Datos (EDPB) ha emitido directrices sobre el tratamiento de datos personales en el contexto de la detección de fraude bajo PSR, recordando que el RGPD sigue siendo el marco maestro.

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Sí, el PSR es de aplicación en todo el mercado interior. Cualquier transacción con una tarjeta o cuenta emitida en la UE, o procesada por un adquirente de la UE, debe cumplirlo.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No existen umbrales de facturación para la seguridad de los pagos. El fraude no discrimina por tamaño de empresa.

¿Qué es el 'spoofing' y por qué me afecta como tienda?

Es cuando un estafador suplanta tu identidad corporativa para pedir un pago. Bajo el PSR, si tu seguridad es fácilmente suplantable, podrías ser corresponsable del reembolso.

¿Puedo seguir aceptando pagos sin contraseña ni biometría?

Solo bajo exenciones muy específicas (importes bajos, transacciones recurrentes ya autorizadas), pero el PSR endurece estas exenciones.

¿Quién paga si hay un fraude de ingeniería social?

Con el PSR, la responsabilidad se desplaza hacia los proveedores de servicios de pago y, indirectamente, hacia los comercios que no colaboren en la prevención, protegiendo al consumidor engañado.

¿Es obligatorio el uso de biometría?

El PSR la incentiva fuertemente como el método más seguro, aunque permite otros factores siempre que garanticen la autenticación reforzada.

¿Qué pasa con las suscripciones SaaS?

El primer pago requiere SCA. Los siguientes están exentos si se configuran como 'Merchant Initiated Transactions' (MIT) bajo un mandato válido.

¿Cómo afecta a los pagos por Bizum o transferencia inmediata?

Bizum ya suele cumplir SCA, pero las transferencias inmediatas deberán añadir obligatoriamente la verificación de nombre de titular antes del envío.

¿El PSR sustituye al RGPD?

No, lo complementa. El tratamiento de datos para prevenir el fraude es una base legítima, pero debe ser transparente.

¿Qué es la 'Delegación de SCA'?

Es la posibilidad de que el comercio (si es de confianza) realice la autenticación en nombre del banco, mejorando mucho la experiencia de usuario.

¿Puedo tener multas si mi pasarela de pago falla?

La responsabilidad administrativa será del PSP, pero la pérdida económica de las ventas rechazadas y la responsabilidad civil ante el cliente será tuya.

¿Cuándo debo empezar a cambiar mi web?

Debes empezar a planificar con tu proveedor tecnológico a lo largo de 2025 para estar listo en enero de 2026.

14. Normativas relacionadas

Directiva (UE) 2015/2366 (PSD2): Antecesor directo (CELEX: 32015L2366).
Reglamento (UE) 2016/679 (RGPD): Marco de protección de datos (CELEX: 32016R0679).
Propuesta de Directiva PSD3: Complemento orgánico del PSR (CELEX: 52023PC0366).
Directiva (UE) 2019/771: Garantías en la compra de bienes.
Reglamento (UE) 2022/2065 (DSA): Responsabilidad de plataformas.

15. Recursos oficiales y herramientas recomendadas

EBA (European Banking Authority): Para guías técnicas sobre SCA.
Banco de España: Supervisión nacional de servicios de pago.
Plataformas como Stripe o Adyen: Ofrecen sandboxes para probar el nuevo flujo PSR.
Plugins de pago oficiales: Mantener siempre actualizada la última versión de los conectores de pago en el CMS.

16. Conclusion practica y valoracion

El PSR representa el cambio más ambicioso en la seguridad de los pagos online de la última década. Para una tienda online, la criticidad es máxima: una mala implementación significará que el 100% de los pagos serán rechazados por los bancos emisores. El esfuerzo de adaptación no es tanto económico (ya que los PSP asumirán el grueso del desarrollo) sino operativo y legal. El riesgo de no actuar es la exclusión total del sistema de pagos europeo y la asunción de pérdidas millonarias por fraude no cubierto. El roadmap recomendado es: 2024 seguimiento, 2025 actualización técnica, 2026 cumplimiento pleno.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.

Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre los servicios de pago en el mercado interior (PSR) - Marco sucesor de la PSD2

En vigor desde 01/01/2026

Resumen: Este Reglamento sustituye a la actual Directiva PSD2, elevando los estándares de Autenticación Reforzada de Cliente (SCA) para combatir el fraude por ingeniería social (spoofing). Obliga a los proveedores de pagos y comercios online a implementar mecanismos de supervisión de transacciones más robustos y redefine radicalmente la responsabilidad legal en caso de fraude, favoreciendo al consumidor. Aplica a toda venta online (productos físicos, software e infoproductos) que requiera pagos electrónicos en la UE a partir de 2026 aproximadamente.

Acciones concretas

Auditar la compatibilidad de la pasarela de pagos con los nuevos requisitos SCA del PSR
Implementar protocolos de verificación de identidad del beneficiario (Matching IBAN-Nombre) si se gestionan transferencias
Actualizar los Términos y Condiciones relativos a la responsabilidad por transacciones no autorizadas
Asegurar que el flujo de checkout permita la delegación de SCA de forma segura según los nuevos estándares
Revisar el sistema de monitorización de transacciones para integrarse con los requisitos de detección de fraude en tiempo real

1. Contexto y marco normativo previo

2. Origen y proceso legislativo

3. Ambito subjetivo - A QUIEN aplica

El PSR tiene un alcance omnicomprensivo en la cadena de pagos:

Sujetos Obligados Directos: Proveedores de Servicios de Pago (PSP), entidades de crédito, entidades de pago e instituciones de dinero electrónico.
Sujetos Obligados Indirectos (Comerciantes): Todas las tiendas online (independientemente de su tamaño) que acepten pagos electrónicos. Aunque el cumplimiento técnico recae en el PSP, el comerciante es responsable de la implementación en su checkout y de las consecuencias legales del fraude.
Marketplaces: Especialmente afectados al actuar a menudo como intermediarios en el flujo de fondos.
Empresas no UE: Cualquier comercio situado fuera de la Unión que ofrezca productos o servicios a consumidores dentro de la UE está sujeto a estas normas de seguridad en los pagos.
Autónomos y Pymes: No existen exenciones por volumen de facturación en lo que respecta a la seguridad del SCA y la prevención del fraude.

4. Ambito objetivo - QUE actividades y productos cubre

El PSR aplica a TODA transacción de pago electrónico iniciada dentro de la UE, cubriendo:

MODO 1 (Físico): Tiendas de electrónica, moda, alimentación, parafarmacia, muebles, etc. Cubre desde el envío de un smartphone hasta la compra de cosméticos.
MODO 2 (Software): Suscripciones SaaS, licencias descargables de antivirus, hosting y dominios. El PSR es crítico aquí para las suscripciones recurrentes.
MODO 3 (Infoproductos): Cursos online, ebooks, acceso a comunidades premium y NFTs. Cualquier transacción con tarjeta, transferencia inmediata o wallet está bajo el PSR.
Excepciones: Pagos en efectivo, ciertas operaciones de cambio de divisas y transacciones a través de agentes comerciales con poder de negociación limitado.

5. Obligaciones concretas - exegesis del articulado

El PSR introduce cambios fundamentales en la operativa diaria de una tienda online:

Evolución del SCA (SCA 2.0): El Reglamento exige que la autenticación no solo sea 'fuerte', sino también accesible y resistente a la manipulación. Art. 85: Se refuerza el uso de biometría y se limita el uso de SMS como segundo factor por su vulnerabilidad.
Verificación de la identidad del beneficiario (Art. 50): Para transferencias bancarias, el sistema debe verificar que el nombre del titular de la cuenta coincide con el IBAN proporcionado antes de que el pago se ejecute. Esto previene estafas de 'factura falsa' en pagos B2B.
Responsabilidad en caso de Fraude (Art. 59): Si un cliente es engañado mediante 'spoofing' (alguien que finge ser un empleado del banco o de la tienda) y autoriza un pago, el PSP será responsable de reembolsar al cliente, a menos que haya negligencia grave. Esto obliga a los comercios a tener sistemas de detección mucho más finos para evitar devoluciones de cargo masivas.
Disponibilidad del Open Banking: Las tiendas que utilicen servicios de iniciación de pagos deberán garantizar que las interfaces sean fluidas y no generen fricción innecesaria al consumidor.
Monitorización de Transacciones (Art. 83): Obligación de analizar patrones de comportamiento del usuario para detectar anomalías antes de que el pago se procese.
Transparencia en Comisiones (Art. 20): Desglose total de costes de conversión de moneda en el momento del checkout para compras internacionales.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda de Moda (Shopify/WooCommerce): Un cliente compra ropa por 150€. El PSR obliga a que el checkout use una pasarela que soporte biometría en el móvil. Si la tienda no usa una pasarela PSR-compliant y hay fraude, la tienda perderá el dinero y la mercancía sin posibilidad de reclamación.
Caso 2: SaaS de suscripción mensual: En la primera transacción se aplica SCA. Para los cobros recurrentes (MIT - Merchant Initiated Transactions), el PSR exige que el acuerdo inicial (mandato) sea extremadamente claro y que el usuario pueda revocarlo fácilmente desde su propia banca online o la web del comercio.
Caso 3: Marketplace de productos de segunda mano: El marketplace debe asegurar que los pagos entre particulares cumplen con el protocolo de verificación de nombre-IBAN para evitar estafas entre usuarios, asumiendo responsabilidad subsidiaria si no facilita las herramientas de seguridad adecuadas.
Caso 4: Vendedor de cursos online (Infoproductos): Venta de un curso de 900€. El PSR exige una autenticación reforzada que vincule el importe y el beneficiario a la clave de autorización (dynamic linking), impidiendo que el ataque de un tercero desvíe los fondos.
Caso 5: Empresa China vendiendo a España (AliExpress/Dropshipping): Debe integrar pasarelas de pago que cumplan con el PSR si operan con adquirentes europeos o tarjetas europeas, de lo contrario las transacciones serán rechazadas sistemáticamente por los bancos emisores.

7. Plazos clave

8. Sanciones y regimen sancionador

El PSR establece que las sanciones deben ser efectivas, proporcionadas y disuasorias. Las autoridades nacionales (en España, el Banco de España y potencialmente Consumo) pueden imponer:

Multas administrativas: Hasta el 10% del volumen de negocios anual total del ejercicio anterior.
Multas coercitivas: De hasta el 5% de la facturación diaria media para obligar al cumplimiento.
Responsabilidad Civil: Los comercios que degraden intencionadamente la seguridad para reducir la fricción en el checkout serán responsables directos de cualquier fraude resultante, sin posibilidad de repercutir el coste al banco.
Reputación: Inclusión en registros públicos de entidades infractoras.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa

Auditoría de Pasarela: Contactar con el proveedor de pagos (Stripe, Adyen, Redsys) y solicitar hoja de ruta de compatibilidad PSR (Coste: 0€).
Actualización de Plugins: En WooCommerce/PrestaShop, actualizar los módulos de pago a versiones que soporten SCA 2.0 (Coste: 0-100€).
Implementación de 3DS2.2 o superior: Asegurar que el protocolo de seguridad activo es la última versión (3D Secure) que permite exenciones inteligentes.
Revisión de T&C: Modificar la sección de 'Pagos y Seguridad' para reflejar las nuevas garantías de reembolso (Asesor: 2h).
Optimización de Checkout: Configurar el flujo para evitar el 'frictionless' excesivo si el riesgo de fraude es alto.
Verificación de Beneficiario: Si aceptas transferencias, integrar un servicio de validación de IBAN-Nombre en el formulario de pedido.
Formación: Instruir al equipo de atención al cliente sobre cómo detectar intentos de spoofing.
Monitorización: Activar herramientas de análisis de fraude basadas en IP, comportamiento y velocidad de compra.

11. Errores frecuentes

Pensar que es solo cosa del banco: El comercio es quien sufre el abandono del carrito si el SCA falla.
Ignorar el Spoofing: No actualizar los procesos internos creyendo que el SCA actual es infalible.
Mal uso de las exenciones: Aplicar exenciones de SCA a transacciones de alto riesgo, asumiendo una responsabilidad de cargo que puede quebrar la pyme.
No informar de las comisiones de cambio: Sorprender al cliente con cargos extra de su banco por pagar en otra moneda.
Mantener protocolos obsoletos: Seguir usando 3DS1.0 (ya en desuso pero presente en algunas implementaciones antiguas).
Falta de accesibilidad: No ofrecer métodos de autenticación para personas que no usan smartphone.
No gestionar los mandatos de suscripción: No tener un registro claro de cuándo el usuario aceptó cobros recurrentes.
Confiar ciegamente en el Dropshipping: No verificar la seguridad de los pagos en plataformas de terceros que luego repercuten el fraude al vendedor final.

12. Jurisprudencia y criterios oficiales

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Sí, el PSR es de aplicación en todo el mercado interior. Cualquier transacción con una tarjeta o cuenta emitida en la UE, o procesada por un adquirente de la UE, debe cumplirlo.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No existen umbrales de facturación para la seguridad de los pagos. El fraude no discrimina por tamaño de empresa.

¿Qué es el 'spoofing' y por qué me afecta como tienda?

Es cuando un estafador suplanta tu identidad corporativa para pedir un pago. Bajo el PSR, si tu seguridad es fácilmente suplantable, podrías ser corresponsable del reembolso.

¿Puedo seguir aceptando pagos sin contraseña ni biometría?

Solo bajo exenciones muy específicas (importes bajos, transacciones recurrentes ya autorizadas), pero el PSR endurece estas exenciones.

¿Quién paga si hay un fraude de ingeniería social?

Con el PSR, la responsabilidad se desplaza hacia los proveedores de servicios de pago y, indirectamente, hacia los comercios que no colaboren en la prevención, protegiendo al consumidor engañado.

¿Es obligatorio el uso de biometría?

El PSR la incentiva fuertemente como el método más seguro, aunque permite otros factores siempre que garanticen la autenticación reforzada.

¿Qué pasa con las suscripciones SaaS?

El primer pago requiere SCA. Los siguientes están exentos si se configuran como 'Merchant Initiated Transactions' (MIT) bajo un mandato válido.

¿Cómo afecta a los pagos por Bizum o transferencia inmediata?

Bizum ya suele cumplir SCA, pero las transferencias inmediatas deberán añadir obligatoriamente la verificación de nombre de titular antes del envío.

¿El PSR sustituye al RGPD?

No, lo complementa. El tratamiento de datos para prevenir el fraude es una base legítima, pero debe ser transparente.

¿Qué es la 'Delegación de SCA'?

Es la posibilidad de que el comercio (si es de confianza) realice la autenticación en nombre del banco, mejorando mucho la experiencia de usuario.

¿Puedo tener multas si mi pasarela de pago falla?

La responsabilidad administrativa será del PSP, pero la pérdida económica de las ventas rechazadas y la responsabilidad civil ante el cliente será tuya.

¿Cuándo debo empezar a cambiar mi web?

Debes empezar a planificar con tu proveedor tecnológico a lo largo de 2025 para estar listo en enero de 2026.

14. Normativas relacionadas

Directiva (UE) 2015/2366 (PSD2): Antecesor directo (CELEX: 32015L2366).
Reglamento (UE) 2016/679 (RGPD): Marco de protección de datos (CELEX: 32016R0679).
Propuesta de Directiva PSD3: Complemento orgánico del PSR (CELEX: 52023PC0366).
Directiva (UE) 2019/771: Garantías en la compra de bienes.
Reglamento (UE) 2022/2065 (DSA): Responsabilidad de plataformas.

15. Recursos oficiales y herramientas recomendadas

EBA (European Banking Authority): Para guías técnicas sobre SCA.
Banco de España: Supervisión nacional de servicios de pago.
Plataformas como Stripe o Adyen: Ofrecen sandboxes para probar el nuevo flujo PSR.
Plugins de pago oficiales: Mantener siempre actualizada la última versión de los conectores de pago en el CMS.

16. Conclusion practica y valoracion

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Fuente oficial: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:52023PC0367

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.