El marco europeo de servicios de pago está experimentando su revisión más significativa desde PSD2. Tras el acuerdo político de noviembre de 2025, PSD3 y el Reglamento de Servicios de Pago (PSR) se encuentran ahora en su fase legislativa final. Se espera su adopción formal y entrada en vigor entre principios y mediados de 2026. El PSR, al ser un reglamento directamente aplicable, no requerirá transposición nacional y activará la primera fase de aplicación, que abarcará la SCA, la responsabilidad por fraude y las obligaciones de open banking, entre finales de 2026 y principios de 2027.
En Namirial, vemos PSD3/PSR como uno de los ejemplos más claros de lo que describimos en nuestras previsiones para 2026: pagos, identidad digital y Strong Customer Authentication están convergiendo en una única infraestructura de confianza. Los marcos regulatorios ya no son líneas paralelas. PSD3/PSR, AMLR y eIDAS 2.0 están convergiendo en torno a una arquitectura compartida para la verificación de identidad, la autenticación y la autorización de transacciones. Las organizaciones que construyan hoy para esta convergencia tendrán una ventaja estructural de cumplimiento mañana.
Este artículo explica qué significan PSD3 y PSR en la práctica para la autenticación, las firmas digitales y la infraestructura de identidad, cómo evoluciona el marco SCA bajo el PSR, cómo el Wallet EUDI y la QES se convierten en instrumentos SCA de primer nivel y cómo la plataforma de Namirial aborda cada capa de estos requisitos.
Por qué PSD2 necesitaba una actualización: la brecha de autenticación
PSD2 aportó avances reales: introdujo la SCA, creó la base legal del open banking y redujo las tasas de fraude con tarjetas. Sin embargo, su implementación práctica expuso debilidades estructurales persistentes que PSD3 y PSR abordan directamente.
El fallo más crítico fue la calidad de la SCA. La entrega de OTP mediante SMS resultó ser altamente vulnerable al phishing: los ataques SIM-swap, la ingeniería social y el malware móvil convirtieron la SCA basada en SMS en una defensa débil frente al fraude industrializado que caracteriza el panorama actual de amenazas. Mientras tanto, las APIs de open banking se implementaron de manera inconsistente entre los Estados miembros, la responsabilidad por fraude Authorized Push Payment (APP) permaneció poco clara y la autenticación delegada no tenía ningún marco regulatorio.
PSD3 y PSR son una respuesta específica a estas deficiencias. Los cambios clave:
- SCA más amplia y más fuerte: cubre inicios de sesión, configuración de mandatos, gestión de beneficiarios, recuperación de dispositivos y todas las acciones de cuenta de alto riesgo
- Responsabilidad ampliada por fraude: los PSP son responsables de los fallos de SCA, incluso cuando la autenticación se delega a terceros
- Verificación obligatoria del beneficiario (VoP): coincidencia IBAN/nombre requerida antes de cada transferencia
- APIs de open banking estandarizadas: paridad de rendimiento exigible con obstáculos explícitamente prohibidos
- Alineación formal con eIDAS 2.0: QES y credenciales del EUDI Wallet reconocidas como métodos válidos de SCA
- Responsabilidad por fraude de suplantación del PSP: el PSP es responsable cuando un cliente es defraudado mediante la suplantación del propio PSP
PSD2 vs. PSD3/PSR: los cambios operativos
La siguiente tabla muestra los cambios más relevantes desde el punto de vista operativo para las organizaciones que gestionan autenticación digital, flujos de pago e infraestructuras de identidad:
El efecto combinado es una carga de cumplimiento significativamente mayor para los PSP y sus socios tecnológicos, con una responsabilidad ampliada a lo largo de la cadena de delegación. Para las organizaciones que proporcionan servicios SCA, incluidos QTSP, proveedores IAM y operadores de wallets, PSD3/PSR es un evento regulatorio directo, no una consideración secundaria.
La evolución de la SCA: de las contraseñas a una autenticación resistente al phishing
La Strong Customer Authentication bajo el PSR mantiene el principio de dos factores, al menos dos entre conocimiento, posesión e inherencia, pero eleva significativamente el nivel de exigencia de cada uno de ellos.
El problema central que resuelve el PSR: el OTP ya no es suficiente
Bajo PSD2, la mayoría de las instituciones cumplían la SCA con una contraseña (conocimiento) más un OTP por SMS (posesión). Esta combinación resultó profundamente vulnerable. La interceptación de SMS, el fraude SIM-swap y la captura de OTP mediante malware convirtieron la SCA basada en SMS en un vector de ataque principal. El PSR responde elevando el nivel de calidad de los factores de autenticación y formalizando un enfoque basado en resultados: los PSP que demuestren tasas de fraude consistentemente bajas, mediante un sólido Transaction Risk Analysis (TRA), obtendrán acceso a exenciones más amplias. Sin embargo, el umbral para demostrar esas bajas tasas también se ha elevado.
Biometría conductual como factor SCA formalizado
El PSR formaliza una ampliación significativa de lo que constituye un factor de inherencia válido. La biometría conductual, incluyendo patrones de escritura, dinámica de uso del dispositivo y señales de comportamiento de navegación, puede ahora combinarse formalmente con biometría fisiológica para constituir un segundo factor válido. Esto abre la puerta a una SCA completamente sin fricción para acciones de bajo riesgo, donde una autenticación adaptativa basada en el riesgo puede verificar al usuario sin ninguna acción activa.
SCA delegada: innovación permitida, responsabilidad mantenida
El PSR permite explícitamente la Delegated Authentication (DA): un PSP puede delegar la SCA a un tercero, como un operador de wallet digital, un gateway de pago o un proveedor de servicios de confianza. Esto supone un habilitador clave para la innovación en embedded finance y open banking. Sin embargo, el PSR clasifica la delegación como externalización, activando la plena aplicación de las directrices EBA y los requisitos DORA. El PSP que delega mantiene toda la responsabilidad por los fallos de SCA.
La convergencia que define la década: PSD3, eIDAS 2.0 y AMLR
Como escribimos en nuestras previsiones para 2026, el desarrollo más trascendental en el digital trust europeo no es una única regulación, sino la convergencia de tres marcos en torno a una infraestructura de identidad compartida:
PSD3/PSR: la autenticación debe ser fuerte, delegada con cuidado y resistente al phishing
Las obligaciones de SCA pasan a ser directamente exigibles a través del PSR a finales de 2026. La calidad de los factores de autenticación, la responsabilidad en la delegación y los requisitos de monitorización del fraude establecen una nueva base para todos los PSP que operan en la UE.
eIDAS 2.0: el EUDI Wallet se convierte en un instrumento SCA de primer nivel
Según el artículo 5f de eIDAS 2.0, las instituciones financieras deben aceptar el EUDI Wallet como método de autenticación válido antes de diciembre de 2027. Esto no es un escenario futuro; es una obligación vinculante con un plazo definido, aunque quedan algunas zonas grises por definir, ya que la redacción de eIDAS (“strong user authentication”) es diferente y menos detallada que la requerida por la normativa de pagos/finanzas. Las credenciales basadas en wallet, emitidas por QTSP y verificadas según los niveles de garantía de eIDAS, satisfacen simultáneamente los requisitos de posesión e inherencia del PSR, al tiempo que permiten la divulgación selectiva de atributos de identidad, reduciendo la exposición de datos.
AMLR: la misma identidad que realiza el KYC puede realizar la SCA
Cuando AMLR entre en aplicación en julio de 2027, la superposición normativa se volverá operativamente decisiva: una institución que acepte una credencial del Wallet EUDI para KYC bajo el artículo 22 de AMLR satisfará simultáneamente el requisito de SCA del PSR para la misma interacción con el cliente. Esta es la convergencia que convierte la inversión en infraestructura en algo estratégico y no meramente orientado al cumplimiento. Una única identidad cualificada, verificada una vez según los estándares ETSI TS 119 461 v2.1.1, puede servir como ancla de confianza para KYC, SCA y firma de documentos regulados dentro del mismo flujo.
El calendario legislativo: actuar antes de la aplicación
El periodo 2026–2027 es la ventana operativa de preparación. Las decisiones arquitectónicas tomadas ahora determinarán la posición de cumplimiento cuando las obligaciones sean exigibles:
Nota práctica sobre la división PSR/PSD3: el PSR contiene la mayoría de las normas operativas, incluidas SCA, fraude, transparencia y obligaciones de open banking, y entra en vigor directamente 20 días después de su publicación, sin transposición nacional. PSD3 regula la concesión de licencias y la supervisión de las instituciones de pago y requiere un periodo de transposición de 18 meses. Las obligaciones clave de SCA y responsabilidad por fraude serán, por tanto, exigibles antes de que las normas nacionales PSD3 estén plenamente en vigor.
Cómo Namirial aborda PSD3/PSR: una plataforma completa de autenticación
Namirial es un Qualified Trust Service Provider (QTSP) bajo eIDAS, que opera en múltiples mercados europeos a través de Namirial S.p.A. (Italia) y Uanataca (España). Nuestra plataforma cubre toda la pila SCA requerida por PSD3/PSR: infraestructura de Wallet EUDI, firma basada en certificados cualificados, integración federada de eID y archivado de cumplimiento cualificado.
Namirial Wallet: SCA con EUDI Wallet, lista antes del plazo de diciembre de 2027
Nuestra plataforma Wallet, compuesta por Wallet Gateway (orquestación de protocolos), Wallet App (gestión de credenciales del lado del usuario) y Wallet Studio (gestión de emisores), permite a las organizaciones integrar credenciales del EUDI Wallet como instrumentos SCA tanto bajo el PSR como bajo el artículo 5f de eIDAS 2.0. Namirial es participante activo en los Large Scale Pilots del Wallet EUDI a través del consorcio Potential, con experiencia en servicios gubernamentales, banca, telecomunicaciones y firma electrónica. Se está desarrollando una oferta Wallet-as-a-Service (WaaS) para instituciones que necesitan una integración rápida sin construir infraestructura wallet desde cero.
QES a través de Namirial Sign Enterprise: firma de mandatos y autenticación de pagos de alto valor
Las firmas electrónicas cualificadas, emitidas por la infraestructura multi-QTSP de Namirial en Italia, España y Francia, proporcionan autenticación basada en certificados que supera la mayoría de las implementaciones SCA de PSD2. Bajo el PSR, la autenticación basada en QES es directamente aplicable para la configuración de mandatos, autorizaciones SEPA y procesos de onboarding regulados donde se requiere certeza de identidad.
Los certificados desechables (de un solo uso), válidos durante 60 minutos y vinculados a una transacción específica, permiten la firma QES de alta seguridad sin almacenamiento permanente de certificados. Esto hace que la QES sea práctica a gran escala para flujos de pago donde se requiere autenticación fuerte por transacción en lugar de por sesión. La arquitectura multi-QTSP, que abarca Namirial y Uanataca, también proporciona resiliencia geográfica y continuidad bajo DORA: si un QTSP no está disponible, los flujos SCA pueden redirigirse sin interrupción.
Namirial Archive: evidencia de cumplimiento SCA a prueba de auditoría
Las normas ampliadas de responsabilidad por fraude del PSR requieren que los PSP conserven pruebas sólidas y a prueba de manipulaciones de que la SCA se aplicó correctamente en cada transacción. Namirial Archive proporciona preservación cualificada a largo plazo (QPRES, conforme a eIDAS eArchiving), certificación NF 461 en Francia (AFNOR) y cualificación SAE QC2 en Italia (ACN). Los eventos de autenticación, certificados de firma, registros de transacciones y registros de verificación de identidad se conservan con plena validez legal durante el periodo requerido por las autoridades supervisoras nacionales.
Soluciones de Namirial asociadas a los requisitos SCA del PSR:
Conclusión: la SCA es ahora un negocio, no solo un requisito de cumplimiento
Nuestro Regulatory Observatory identificó la SCA bajo PSD3/PSR como una “nueva oportunidad de negocio positiva”, específicamente en el segmento Keyless/IAM. Mantenemos esa evaluación. La ampliación del alcance de la SCA, la formalización de la autenticación delegada y la alineación con el EUDI Wallet crean un verdadero mercado para una autenticación resistente al phishing, de nivel FIDO2 y nativa de wallet en la capa de pagos, y esa es precisamente la infraestructura que Namirial ha estado construyendo.
El periodo 2026–2027 no es un horizonte de planificación. Es la ventana operativa para decisiones de infraestructura que deben tomarse ahora. Las instituciones que seleccionen socios de autenticación alineados simultáneamente con PSR, DORA, eIDAS 2.0 y AMLR no solo cumplirán con las obligaciones regulatorias: construirán la infraestructura de identidad y pagos que sustentará la próxima década de las finanzas digitales de confianza.
Namirial está preparado para apoyar esta transición: como proveedor tecnológico del EUDI Wallet, como QTSP multi-mercado para SCA basada en QES y como socio ICT alineado con DORA a lo largo de todo el ciclo de vida de la autenticación de pagos.
Contenido relacionado en namirial.com
- Previsiones Namirial 2026: pagos, SCA y la convergencia del digital trust
- Convertir el cumplimiento en oportunidad: el EUDI Wallet en los servicios financieros
- De AMLR a eIDAS 2.0: cumplimiento en KYC y onboarding
- AML-KYC: el tsunami que llega en 2026-2027
- Plataforma Namirial Wallet: servicios de identidad digital y confianza de próxima generación
