CRITICAL Pagos y PSD2 ✓ Necesario para tienda online En vigor: 2026-01-01 Aprobada: 2023-06-28

Reglamento (UE) sobre los servicios de pago en el mercado interior (Payment Services Regulation - PSR)

EUES electronicsfashiontoyssoftwareeducationservicesalltienda online b2ctienda online b2bmarketplaceplataforma saasacademia onlineplataforma de suscripciónvendedor en redes socialesdropshipping #sca #checkout #fraude #reembolsos #verificación beneficiario #pagos electrónicos #product_types_inferred #company:autonomo #company:micropyme #company:pyme #company:gran_empresa #company:marketplace #company:proveedor de servicios de pago #company:entidad financiera electrónica juguetes ropa cosmética alimentación electrodomésticos mobiliario deporte libros textil calzado joyería hogar jardinería papelería ferretería droguería productos químicos productos sanitarios software saas cursos online ebooks videojuegos suscripciones nfts contenido digital

Resumen ejecutivo: El PSR moderniza el marco de la PSD2 para reforzar la seguridad en el checkout y combatir el fraude sofisticado como el 'spoofing'. Introduce la obligación de verificar la correspondencia entre el IBAN y el nombre del beneficiario y endurece la responsabilidad de los comercios y plataformas ante fallos de autenticación. Es de obligado cumplimiento para toda tienda online (productos, software o infoproductos) que procese pagos electrónicos en la UE a partir de su entrada en vigor prevista para 2025/2026.

Acciones concretas para tu tienda

Implementar sistema de verificación de concordancia entre nombre e IBAN en transferencias
Actualizar protocolos de Autenticación Reforzada de Clientes (SCA) a los nuevos estándares PSR
Revisar contratos con pasarelas de pago para definir responsabilidad en casos de fraude por suplantación
Adaptar el flujo de checkout para incluir las nuevas excepciones de SCA permitidas
Establecer mecanismos de reporte de fraude y monitorización de transacciones sospechosas

⚙ Necesario un modulo adicional

Requiere la actualización de los conectores de la pasarela de pago (PSP) y posiblemente un módulo específico de 'Verification of Payee' para transferencias bancarias directas, además de ajustes en el motor de riesgos del checkout para gestionar las nuevas reglas de responsabilidad por fraude.

Fuente oficial:

EUR-Lex

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

El Reglamento (UE) sobre los servicios de pago en el mercado interior (PSR) surge como respuesta a la obsolescencia técnica parcial de la Segunda Directiva de Servicios de Pago (PSD2 - Directiva (UE) 2015/2366, CELEX: 32015L2366). Durante la vigencia de la PSD2, el ecosistema de pagos europeo experimentó una transformación digital acelerada, especialmente tras la pandemia de 2020. Si bien la PSD2 introdujo la Autenticación Reforzada de Clientes (SCA), los defraudadores desarrollaron técnicas que eludían estas protecciones, como la ingeniería social y el 'spoofing' (suplantación de identidad de entidades financieras o comercios).

El PSR forma parte del 'Paquete de Finanzas Digitales' de la Comisión Europea. A diferencia de la PSD2, que al ser una Directiva permitía variaciones en su transposición nacional (generando fragmentación en la UE), el PSR es un Reglamento, lo que significa que será de aplicación directa y uniforme en todos los Estados miembros sin necesidad de leyes nacionales de adaptación, garantizando un 'level playing field' para todos los comercios online europeos.

2. Origen y proceso legislativo

La propuesta fue presentada por la Comisión Europea el 28 de junio de 2023 (COM/2023/367 final). El procedimiento legislativo sigue el trámite ordinario (codecision). Actualmente, se encuentra en fase de negociación entre el Parlamento Europeo y el Consejo. Se espera su adopción definitiva a finales de 2024 o principios de 2025, con una fecha de aplicación general prevista 18 meses después de su publicación en el DOUE (aproximadamente 2026).

Los considerandos clave (específicamente los considerandos 4, 32 y 51) enfatizan la necesidad de proteger a los usuarios finales contra el fraude de 'autorización de pago errónea' y la necesidad de que los proveedores de servicios de pago (PSP) compartan más información sobre riesgos con los comercios.

3. Ambito subjetivo - A QUIEN aplica

El PSR tiene un impacto transversal en el comercio electrónico:

Comerciantes Online (Merchants): Aunque el Reglamento regula principalmente a los PSP, los comercios se ven afectados directamente por las reglas de responsabilidad y los requisitos técnicos de SCA en su checkout.
Marketplaces: Se clarifica su posición. Muchos marketplaces que antes se acogían a la 'excepción de agente comercial' para evitar la licencia de entidad de pago verán endurecidas estas condiciones (Art. 2).
Sujetos obligados: Aplica a autónomos, micropymes y grandes empresas que vendan bienes o servicios online. No hay umbrales mínimos de facturación; si procesas un pago electrónico en la UE, estás bajo el paraguas del PSR.
Empresas No-UE: Toda empresa de fuera de la Unión que ofrezca servicios a consumidores en la UE debe procesar los pagos bajo estos estándares si utiliza un PSP europeo.

4. Ambito objetivo - QUE actividades y productos cubre

El PSR aplica a toda transacción electrónica realizada en el marco de una venta online:

Venta de Productos Físicos (Modo 1): Ropa, electrónica, muebles, alimentación. Incluye el cobro en el momento o diferido.
Software y Servicios Digitales (Modo 2): Suscripciones SaaS, hosting, licencias de software. El PSR introduce reglas específicas para los pagos recurrentes (MIT - Merchant Initiated Transactions).
Infoproductos y Contenido (Modo 3): Cursos, ebooks, acceso a comunidades premium. Especialmente relevante para creadores de contenido que manejan micropagos.
Tipos de Tiendas: Desde una tienda en Shopify o WooCommerce hasta grandes plataformas como Amazon o eBay.
Excepciones: Se mantienen algunas excepciones para pagos muy específicos (como ciertos sistemas de fidelización cerrados), pero se reducen drásticamente en el ámbito del ecommerce general.

5. Obligaciones concretas - exegesis del articulado

Verificación de Beneficiario (Art. 50): Los PSP deben ofrecer un servicio para comprobar que el nombre del beneficiario coincide con el IBAN. Para una tienda online que acepte transferencias bancarias, esto significa que el cliente recibirá un aviso si el nombre de la empresa no coincide exactamente con el titular de la cuenta bancaria proporcionada.
Evolución de la SCA (Art. 85-88): La autenticación reforzada debe ser más inclusiva. Los comercios deben asegurar que sus pasarelas permitan métodos de autenticación que no dependan exclusivamente de un smartphone (biometría facial, tokens, etc.).
Responsabilidad por Spoofing (Art. 59): Si un cliente es engañado por un tercero que se hace pasar por el comercio o el banco (utilizando técnicas de suplantación de nombre o número), y el PSP no detectó el fraude, el usuario tendrá derecho a reembolso. Esto obliga a las tiendas online a mejorar su seguridad de marca y comunicaciones.
Límites de accesibilidad (Art. 88): El checkout debe ser accesible para personas con discapacidad y personas mayores, alineándose con la Directiva Europea de Accesibilidad.
Derechos de Reembolso Directo (Art. 62): Se clarifican los plazos para que un comercio deba devolver el dinero en caso de transacciones no autorizadas o errores en la ejecución.
Intercambio de datos de fraude (Art. 83): Los comercios podrán participar en sistemas de intercambio de información sobre patrones de fraude para prevenir ataques masivos.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda de Moda (Shopify): Al realizar el pago, el PSR exige que la SCA sea transparente. Si la tienda usa 'pagos con un clic', debe asegurarse de que la primera transacción cumplió escrupulosamente con el PSR para que las siguientes puedan beneficiarse de las exenciones de transacciones de bajo valor.
Caso 2: Marketplace de Artesanía: El marketplace debe verificar la identidad de todos sus vendedores (KYC) bajo estándares más estrictos para evitar ser considerado un PSP encubierto. Si un vendedor comete fraude, el marketplace podría tener responsabilidad solidaria si no implementó las medidas de verificación del PSR.
Caso 3: Academia Online (SaaS de formación): Para las suscripciones mensuales, el PSR exige que el consentimiento inicial sea ultra-claro. El usuario debe poder revocar el mandato de pago de forma tan sencilla como lo otorgó.
Caso 4: Tienda de Electrónica B2B: Al usar transferencias bancarias para pedidos grandes (ej: 10.000€), el sistema de 'Verification of Payee' evitará que el comprador envíe el dinero a una cuenta fraudulenta por un error de 'invoice redirection' (fraude del CEO/factura).
Caso 5: Vendedor de fuera de la UE (Dropshipping): Si un vendedor chino vende a España a través de su propia web, su pasarela de pago (ej: Stripe o Adyen) le obligará a cumplir con el PSR para evitar que los bancos emisores europeos rechacen las transacciones por falta de seguridad.

7. Plazos clave

8. Sanciones y regimen sancionador

Las sanciones bajo el PSR son severas para garantizar el cumplimiento:

Multas administrativas: Pueden llegar hasta el 4% de la facturación anual global del grupo empresarial o hasta 10 millones de euros, lo que sea mayor.
Responsabilidad Civil: El comercio puede ser obligado a indemnizar al cliente por el total de la transacción fraudulenta si se demuestra que el checkout no cumplía con los estándares técnicos del PSR (especialmente si forzó una exención de SCA de forma indebida).
Organismo Competente: En España, el Banco de España y el Ministerio de Consumo supervisarán diferentes aspectos del cumplimiento.
Consecuencias indirectas: El incumplimiento conlleva la revocación del servicio por parte de la pasarela de pago (Visa/Mastercard/Stripe), lo que supone el cierre técnico de la tienda online.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa

Auditoría de Pasarela: Contactar con tu proveedor (Stripe, Redsys, PayPal) para confirmar su hoja de ruta de actualización al PSR.
Revisión de Flujo de Pago: Asegurar que el checkout no tiene 'dark patterns' que fuercen la omisión de la SCA.
Configuración de SCA: En el panel de control del PSP, activar las reglas de autenticación basadas en riesgo (3DS2.2 o superior).
Verificación de Beneficiario: Si aceptas transferencias, integrar una API de validación de IBAN/Nombre en la página de confirmación del pedido.
Política de Reembolsos: Actualizar los T&C para reflejar los nuevos derechos del consumidor ante fraudes de suplantación.
Seguridad de Dominio: Implementar protocolos DMARC, SPF y DKIM para evitar que suplanten los correos de tu tienda (evitando así el spoofing).
Accesibilidad: Realizar un test de accesibilidad WCAG 2.1 en el checkout.
Formación: Capacitar al equipo de atención al cliente sobre cómo detectar y reportar nuevos tipos de fraude.
Monitorización: Implementar un dashboard de transacciones rechazadas para detectar falsos positivos de SCA.
Contratos: Revisar acuerdos con partners logísticos y de pago sobre la custodia de datos de transacciones.
Documentación: Mantener un registro de las medidas de seguridad implementadas (Accountability).
Certificación: Si eres gran cuenta, obtener la certificación PCI-DSS actualizada.

11. Errores frecuentes

Error 1: Pensar que la pasarela lo hace todo. Consecuencia: Responsabilidad legal directa si el frontend de la tienda facilita el fraude.
Error 2: Ignorar la accesibilidad en el checkout. Consecuencia: Sanciones por discriminación y abandono de carrito.
Error 3: Usar exenciones de SCA de forma agresiva para subir la conversión. Consecuencia: Los bancos emisores bloquearán tus pagos por alto riesgo.
Error 4: No informar claramente de los cargos recurrentes. Consecuencia: Retrocesos de cargo (chargebacks) masivos ganados por el cliente.
Error 5: Desatender el 'spoofing' de marca. Consecuencia: Pérdida de reputación y posibles demandas colectivas.
Error 6: No verificar los IBAN en B2B. Consecuencia: Pérdida definitiva de fondos en caso de error o fraude.
Error 7: Guardar datos de tarjetas sin cumplir PCI-DSS. Consecuencia: Brechas de seguridad y multas millonarias.
Error 8: Creer que por ser Pyme estás exento. Consecuencia: Aplicación de la norma sin distinciones por tamaño.

12. Jurisprudencia y criterios oficiales

Asunto C-337/19 (TJUE): Establece que el PSP es responsable de la ejecución correcta de la transacción, doctrina que el PSR refuerza.
Dictamen 01/2024 del EDPB: Sobre la interoperabilidad entre el PSR y el RGPD en la lucha contra el fraude.
Resolución PS/00342/2023 de la AEPD: Aunque anterior, ya sanciona la falta de medidas de seguridad en el procesamiento de pagos online.
Criterio del Banco de España: Ha enfatizado que el consentimiento del cliente debe ser específico y no genérico para cada tipo de transacción.

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Sí, al ser un Reglamento, se aplica directamente en España y a cualquier transacción dentro de la eurozona.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No. El PSR no establece umbrales mínimos; la seguridad de los pagos es obligatoria para todos los volúmenes de facturación.

¿Qué es exactamente el 'Verification of Payee'?

Es un sistema que, antes de confirmar una transferencia, avisa al comprador si el nombre que ha escrito coincide con el titular real de la cuenta de destino.

¿Cómo afecta a mis suscripciones mensuales?

Debes asegurar que el cliente haya pasado una SCA en el primer cobro y que tenga control total para cancelar el mandato desde su área privada.

¿Puedo seguir usando el pago por SMS?

El PSR desincentiva los métodos poco seguros. Deberás transicionar hacia biometría o apps con notificaciones push (autenticación en dos canales distintos).

¿Quién paga si hay un fraude por 'spoofing'?

Si el cliente fue engañado y el sistema de detección del PSP/Comercio no detectó la anomalía, el PSP suele ser el responsable, pero puede repetir contra el comercio si hubo negligencia.

¿Tengo que cambiar mi módulo de PrestaShop/WooCommerce?

Probablemente sí. Deberás actualizar a la versión que soporte los nuevos estándares de comunicación con el PSP adaptados al PSR.

¿Qué pasa con los pagos en criptomonedas?

El PSR se centra en moneda fiduciaria. Las criptos se regulan bajo MiCA, aunque si usas un procesador que convierte cripto a euros para pagarte, dicho procesador sí debe cumplir PSR.

¿Es obligatorio el 3D Secure?

Es el estándar de facto para cumplir con la SCA exigida por el PSR en transacciones con tarjeta.

¿Cómo afecta al Dropshipping?

El dropshipper es el vendedor ante el consumidor y, por tanto, el responsable de que el checkout cumpla con la normativa, independientemente de dónde esté el stock.

¿Puedo subcontratar el cumplimiento?

Sí, delegando en un PSP certificado, pero la responsabilidad última ante el regulador por la experiencia de usuario en tu web es tuya.

¿Qué pasa si la sanción supera mi facturación del mes?

Las sanciones están diseñadas para ser disuasorias. Un incumplimiento grave puede llevar a la quiebra de una micropyme o al cierre de la pasarela.

14. Normativas relacionadas

PSD3 (Directiva de Servicios de Pago 3): Complementa al PSR regulando la autorización de las entidades de pago (CELEX: 52023PC0366).
RGPD (Reglamento 2016/679): Crucial para el tratamiento de datos financieros (CELEX: 32016R0679).
Reglamento de Pagos Instantáneos (UE) 2024/886: Obliga a que las transferencias lleguen en 10 segundos (CELEX: 32024R0886).
Directiva de Accesibilidad (UE) 2019/882: Requisitos para el ecommerce accesible (CELEX: 32019L0882).
DSA (Reglamento de Servicios Digitales): Responsabilidad de plataformas (CELEX: 32022R2065).

15. Recursos oficiales y herramientas recomendadas

EBA (European Banking Authority): Directrices sobre SCA y fraude.
Banco de España: Sección de normativa de servicios de pago.
Portal EUR-Lex: Acceso al texto completo del PSR y PSD3.
Herramientas: Se recomiendan plugins de checkout que soporten 3DS v2.3, validadores de IBAN por API y gestores de fraude basados en IA (tipo Signifyd o Riskified).

16. Conclusion practica y valoracion

El PSR representa el cambio más ambicioso en la operativa de pagos online de la última década. Para una tienda online, la criticidad es máxima: un checkout que no cumpla con el PSR sufrirá una caída drástica en la tasa de autorización de pagos por parte de los bancos emisores. El esfuerzo de adaptación se estima en unas 40-100 horas de desarrollo técnico y consultoría legal para una pyme media. El riesgo de no actuar no es solo una multa, sino la incapacidad total de cobrar a los clientes europeos.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.

Reglamento (UE) sobre los servicios de pago en el mercado interior (Payment Services Regulation - PSR)

En vigor desde 01/01/2026

Resumen: El PSR moderniza el marco de la PSD2 para reforzar la seguridad en el checkout y combatir el fraude sofisticado como el 'spoofing'. Introduce la obligación de verificar la correspondencia entre el IBAN y el nombre del beneficiario y endurece la responsabilidad de los comercios y plataformas ante fallos de autenticación. Es de obligado cumplimiento para toda tienda online (productos, software o infoproductos) que procese pagos electrónicos en la UE a partir de su entrada en vigor prevista para 2025/2026.

Acciones concretas

Implementar sistema de verificación de concordancia entre nombre e IBAN en transferencias
Actualizar protocolos de Autenticación Reforzada de Clientes (SCA) a los nuevos estándares PSR
Revisar contratos con pasarelas de pago para definir responsabilidad en casos de fraude por suplantación
Adaptar el flujo de checkout para incluir las nuevas excepciones de SCA permitidas
Establecer mecanismos de reporte de fraude y monitorización de transacciones sospechosas

1. Contexto y marco normativo previo

2. Origen y proceso legislativo

3. Ambito subjetivo - A QUIEN aplica

El PSR tiene un impacto transversal en el comercio electrónico:

Comerciantes Online (Merchants): Aunque el Reglamento regula principalmente a los PSP, los comercios se ven afectados directamente por las reglas de responsabilidad y los requisitos técnicos de SCA en su checkout.
Marketplaces: Se clarifica su posición. Muchos marketplaces que antes se acogían a la 'excepción de agente comercial' para evitar la licencia de entidad de pago verán endurecidas estas condiciones (Art. 2).
Sujetos obligados: Aplica a autónomos, micropymes y grandes empresas que vendan bienes o servicios online. No hay umbrales mínimos de facturación; si procesas un pago electrónico en la UE, estás bajo el paraguas del PSR.
Empresas No-UE: Toda empresa de fuera de la Unión que ofrezca servicios a consumidores en la UE debe procesar los pagos bajo estos estándares si utiliza un PSP europeo.

4. Ambito objetivo - QUE actividades y productos cubre

El PSR aplica a toda transacción electrónica realizada en el marco de una venta online:

Venta de Productos Físicos (Modo 1): Ropa, electrónica, muebles, alimentación. Incluye el cobro en el momento o diferido.
Software y Servicios Digitales (Modo 2): Suscripciones SaaS, hosting, licencias de software. El PSR introduce reglas específicas para los pagos recurrentes (MIT - Merchant Initiated Transactions).
Infoproductos y Contenido (Modo 3): Cursos, ebooks, acceso a comunidades premium. Especialmente relevante para creadores de contenido que manejan micropagos.
Tipos de Tiendas: Desde una tienda en Shopify o WooCommerce hasta grandes plataformas como Amazon o eBay.
Excepciones: Se mantienen algunas excepciones para pagos muy específicos (como ciertos sistemas de fidelización cerrados), pero se reducen drásticamente en el ámbito del ecommerce general.

5. Obligaciones concretas - exegesis del articulado

Verificación de Beneficiario (Art. 50): Los PSP deben ofrecer un servicio para comprobar que el nombre del beneficiario coincide con el IBAN. Para una tienda online que acepte transferencias bancarias, esto significa que el cliente recibirá un aviso si el nombre de la empresa no coincide exactamente con el titular de la cuenta bancaria proporcionada.
Evolución de la SCA (Art. 85-88): La autenticación reforzada debe ser más inclusiva. Los comercios deben asegurar que sus pasarelas permitan métodos de autenticación que no dependan exclusivamente de un smartphone (biometría facial, tokens, etc.).
Responsabilidad por Spoofing (Art. 59): Si un cliente es engañado por un tercero que se hace pasar por el comercio o el banco (utilizando técnicas de suplantación de nombre o número), y el PSP no detectó el fraude, el usuario tendrá derecho a reembolso. Esto obliga a las tiendas online a mejorar su seguridad de marca y comunicaciones.
Límites de accesibilidad (Art. 88): El checkout debe ser accesible para personas con discapacidad y personas mayores, alineándose con la Directiva Europea de Accesibilidad.
Derechos de Reembolso Directo (Art. 62): Se clarifican los plazos para que un comercio deba devolver el dinero en caso de transacciones no autorizadas o errores en la ejecución.
Intercambio de datos de fraude (Art. 83): Los comercios podrán participar en sistemas de intercambio de información sobre patrones de fraude para prevenir ataques masivos.

6. Casos practicos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda de Moda (Shopify): Al realizar el pago, el PSR exige que la SCA sea transparente. Si la tienda usa 'pagos con un clic', debe asegurarse de que la primera transacción cumplió escrupulosamente con el PSR para que las siguientes puedan beneficiarse de las exenciones de transacciones de bajo valor.
Caso 2: Marketplace de Artesanía: El marketplace debe verificar la identidad de todos sus vendedores (KYC) bajo estándares más estrictos para evitar ser considerado un PSP encubierto. Si un vendedor comete fraude, el marketplace podría tener responsabilidad solidaria si no implementó las medidas de verificación del PSR.
Caso 3: Academia Online (SaaS de formación): Para las suscripciones mensuales, el PSR exige que el consentimiento inicial sea ultra-claro. El usuario debe poder revocar el mandato de pago de forma tan sencilla como lo otorgó.
Caso 4: Tienda de Electrónica B2B: Al usar transferencias bancarias para pedidos grandes (ej: 10.000€), el sistema de 'Verification of Payee' evitará que el comprador envíe el dinero a una cuenta fraudulenta por un error de 'invoice redirection' (fraude del CEO/factura).
Caso 5: Vendedor de fuera de la UE (Dropshipping): Si un vendedor chino vende a España a través de su propia web, su pasarela de pago (ej: Stripe o Adyen) le obligará a cumplir con el PSR para evitar que los bancos emisores europeos rechacen las transacciones por falta de seguridad.

7. Plazos clave

8. Sanciones y regimen sancionador

Las sanciones bajo el PSR son severas para garantizar el cumplimiento:

Multas administrativas: Pueden llegar hasta el 4% de la facturación anual global del grupo empresarial o hasta 10 millones de euros, lo que sea mayor.
Responsabilidad Civil: El comercio puede ser obligado a indemnizar al cliente por el total de la transacción fraudulenta si se demuestra que el checkout no cumplía con los estándares técnicos del PSR (especialmente si forzó una exención de SCA de forma indebida).
Organismo Competente: En España, el Banco de España y el Ministerio de Consumo supervisarán diferentes aspectos del cumplimiento.
Consecuencias indirectas: El incumplimiento conlleva la revocación del servicio por parte de la pasarela de pago (Visa/Mastercard/Stripe), lo que supone el cierre técnico de la tienda online.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guia operativa

Auditoría de Pasarela: Contactar con tu proveedor (Stripe, Redsys, PayPal) para confirmar su hoja de ruta de actualización al PSR.
Revisión de Flujo de Pago: Asegurar que el checkout no tiene 'dark patterns' que fuercen la omisión de la SCA.
Configuración de SCA: En el panel de control del PSP, activar las reglas de autenticación basadas en riesgo (3DS2.2 o superior).
Verificación de Beneficiario: Si aceptas transferencias, integrar una API de validación de IBAN/Nombre en la página de confirmación del pedido.
Política de Reembolsos: Actualizar los T&C para reflejar los nuevos derechos del consumidor ante fraudes de suplantación.
Seguridad de Dominio: Implementar protocolos DMARC, SPF y DKIM para evitar que suplanten los correos de tu tienda (evitando así el spoofing).
Accesibilidad: Realizar un test de accesibilidad WCAG 2.1 en el checkout.
Formación: Capacitar al equipo de atención al cliente sobre cómo detectar y reportar nuevos tipos de fraude.
Monitorización: Implementar un dashboard de transacciones rechazadas para detectar falsos positivos de SCA.
Contratos: Revisar acuerdos con partners logísticos y de pago sobre la custodia de datos de transacciones.
Documentación: Mantener un registro de las medidas de seguridad implementadas (Accountability).
Certificación: Si eres gran cuenta, obtener la certificación PCI-DSS actualizada.

11. Errores frecuentes

Error 1: Pensar que la pasarela lo hace todo. Consecuencia: Responsabilidad legal directa si el frontend de la tienda facilita el fraude.
Error 2: Ignorar la accesibilidad en el checkout. Consecuencia: Sanciones por discriminación y abandono de carrito.
Error 3: Usar exenciones de SCA de forma agresiva para subir la conversión. Consecuencia: Los bancos emisores bloquearán tus pagos por alto riesgo.
Error 4: No informar claramente de los cargos recurrentes. Consecuencia: Retrocesos de cargo (chargebacks) masivos ganados por el cliente.
Error 5: Desatender el 'spoofing' de marca. Consecuencia: Pérdida de reputación y posibles demandas colectivas.
Error 6: No verificar los IBAN en B2B. Consecuencia: Pérdida definitiva de fondos en caso de error o fraude.
Error 7: Guardar datos de tarjetas sin cumplir PCI-DSS. Consecuencia: Brechas de seguridad y multas millonarias.
Error 8: Creer que por ser Pyme estás exento. Consecuencia: Aplicación de la norma sin distinciones por tamaño.

12. Jurisprudencia y criterios oficiales

Asunto C-337/19 (TJUE): Establece que el PSP es responsable de la ejecución correcta de la transacción, doctrina que el PSR refuerza.
Dictamen 01/2024 del EDPB: Sobre la interoperabilidad entre el PSR y el RGPD en la lucha contra el fraude.
Resolución PS/00342/2023 de la AEPD: Aunque anterior, ya sanciona la falta de medidas de seguridad en el procesamiento de pagos online.
Criterio del Banco de España: Ha enfatizado que el consentimiento del cliente debe ser específico y no genérico para cada tipo de transacción.

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Sí, al ser un Reglamento, se aplica directamente en España y a cualquier transacción dentro de la eurozona.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No. El PSR no establece umbrales mínimos; la seguridad de los pagos es obligatoria para todos los volúmenes de facturación.

¿Qué es exactamente el 'Verification of Payee'?

Es un sistema que, antes de confirmar una transferencia, avisa al comprador si el nombre que ha escrito coincide con el titular real de la cuenta de destino.

¿Cómo afecta a mis suscripciones mensuales?

Debes asegurar que el cliente haya pasado una SCA en el primer cobro y que tenga control total para cancelar el mandato desde su área privada.

¿Puedo seguir usando el pago por SMS?

El PSR desincentiva los métodos poco seguros. Deberás transicionar hacia biometría o apps con notificaciones push (autenticación en dos canales distintos).

¿Quién paga si hay un fraude por 'spoofing'?

Si el cliente fue engañado y el sistema de detección del PSP/Comercio no detectó la anomalía, el PSP suele ser el responsable, pero puede repetir contra el comercio si hubo negligencia.

¿Tengo que cambiar mi módulo de PrestaShop/WooCommerce?

Probablemente sí. Deberás actualizar a la versión que soporte los nuevos estándares de comunicación con el PSP adaptados al PSR.

¿Qué pasa con los pagos en criptomonedas?

El PSR se centra en moneda fiduciaria. Las criptos se regulan bajo MiCA, aunque si usas un procesador que convierte cripto a euros para pagarte, dicho procesador sí debe cumplir PSR.

¿Es obligatorio el 3D Secure?

Es el estándar de facto para cumplir con la SCA exigida por el PSR en transacciones con tarjeta.

¿Cómo afecta al Dropshipping?

El dropshipper es el vendedor ante el consumidor y, por tanto, el responsable de que el checkout cumpla con la normativa, independientemente de dónde esté el stock.

¿Puedo subcontratar el cumplimiento?

Sí, delegando en un PSP certificado, pero la responsabilidad última ante el regulador por la experiencia de usuario en tu web es tuya.

¿Qué pasa si la sanción supera mi facturación del mes?

Las sanciones están diseñadas para ser disuasorias. Un incumplimiento grave puede llevar a la quiebra de una micropyme o al cierre de la pasarela.

14. Normativas relacionadas

PSD3 (Directiva de Servicios de Pago 3): Complementa al PSR regulando la autorización de las entidades de pago (CELEX: 52023PC0366).
RGPD (Reglamento 2016/679): Crucial para el tratamiento de datos financieros (CELEX: 32016R0679).
Reglamento de Pagos Instantáneos (UE) 2024/886: Obliga a que las transferencias lleguen en 10 segundos (CELEX: 32024R0886).
Directiva de Accesibilidad (UE) 2019/882: Requisitos para el ecommerce accesible (CELEX: 32019L0882).
DSA (Reglamento de Servicios Digitales): Responsabilidad de plataformas (CELEX: 32022R2065).

15. Recursos oficiales y herramientas recomendadas

EBA (European Banking Authority): Directrices sobre SCA y fraude.
Banco de España: Sección de normativa de servicios de pago.
Portal EUR-Lex: Acceso al texto completo del PSR y PSD3.
Herramientas: Se recomiendan plugins de checkout que soporten 3DS v2.3, validadores de IBAN por API y gestores de fraude basados en IA (tipo Signifyd o Riskified).

16. Conclusion practica y valoracion

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Fuente oficial: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:52023PC0367

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.