O arcabouço europeu de serviços de pagamento está passando por sua revisão mais significativa desde a PSD2. Após o acordo político de novembro de 2025, a PSD3 e o Regulamento de Serviços de Pagamento (PSR) estão agora em sua fase legislativa final. A adoção formal e a entrada em vigor são esperadas entre o início e meados de 2026. O PSR, como um regulamento diretamente aplicável, não exigirá transposição nacional e dará início à primeira fase de aplicação, abrangendo SCA, responsabilidade por fraude e obrigações de open banking, entre o final de 2026 e o início de 2027.
Na Namirial, vemos PSD3/PSR como um dos exemplos mais claros do que descrevemos em nossas previsões para 2026: pagamentos, identidade digital e Strong Customer Authentication estão convergindo em uma única infraestrutura de confiança. Os marcos regulatórios não são mais trilhas paralelas. PSD3/PSR, AMLR e eIDAS 2.0 estão convergindo em torno de uma arquitetura compartilhada para verificação de identidade, autenticação e autorização de transações. As organizações que se prepararem hoje para essa convergência terão uma vantagem estrutural de conformidade amanhã.
Este artigo explica o que PSD3 e PSR significam na prática para autenticação, assinaturas digitais e infraestrutura de identidade, como o framework de SCA evolui sob o PSR, como a EUDI Wallet e a QES se tornam instrumentos SCA de primeira classe e como a plataforma da Namirial atende a cada camada desses requisitos.
Por que a PSD2 precisava de uma atualização: a lacuna de autenticação
A PSD2 trouxe avanços reais: introduziu a SCA, criou a base legal para o open banking e reduziu as taxas de fraude em cartões. No entanto, sua implementação prática expôs fraquezas estruturais persistentes que a PSD3 e o PSR abordam diretamente.
A falha mais crítica foi a qualidade da SCA. A entrega de OTP via SMS mostrou-se altamente suscetível a phishing: ataques de SIM-swap, engenharia social e malware móvel tornaram a SCA baseada em SMS uma defesa fraca contra a fraude industrializada que caracteriza o cenário atual de ameaças. Enquanto isso, as APIs de open banking foram implementadas de forma inconsistente entre os Estados-Membros, a responsabilidade por fraudes de Authorized Push Payment (APP) permaneceu pouco clara e a autenticação delegada não tinha qualquer estrutura regulatória.
A PSD3 e o PSR são uma resposta direcionada a essas falhas. As principais mudanças:
- SCA mais ampla e mais forte: cobrindo login, configuração de mandatos, gestão de beneficiários, recuperação de dispositivos e todas as ações de conta de alto risco
- Responsabilidade ampliada por fraude: os PSPs são responsáveis por falhas na SCA, inclusive quando a autenticação é delegada a terceiros
- Verificação obrigatória do beneficiário (VoP): correspondência IBAN/nome exigida antes de cada transferência
- APIs de open banking padronizadas: paridade de desempenho obrigatória com obstáculos explicitamente proibidos
- Alinhamento formal com eIDAS 2.0: QES e credenciais da EUDI Wallet reconhecidas como métodos válidos de SCA
- Responsabilidade por fraude por impersonação de PSP: o PSP é responsável quando um cliente é fraudado por meio da impersonação do próprio PSP
PSD2 vs. PSD3/PSR: as mudanças operacionais
A tabela abaixo mapeia as mudanças operacionais mais relevantes para organizações que gerenciam autenticação digital, fluxos de pagamento e infraestrutura de identidade:
O efeito combinado é uma carga de conformidade significativamente maior para os PSPs e seus parceiros tecnológicos, com responsabilidade ampliada ao longo da cadeia de delegação. Para organizações que fornecem serviços SCA a PSPs, incluindo QTSPs, provedores IAM e operadores de wallet, PSD3/PSR é um evento regulatório direto, não uma consideração secundária.
A evolução da SCA: de senhas a autenticação resistente a phishing
A Strong Customer Authentication sob o PSR mantém o princípio de dois fatores, pelo menos dois entre conhecimento, posse e inerência, mas eleva significativamente o nível do que cada fator deve oferecer.
O problema central que o PSR resolve: OTP não é mais suficiente
Sob a PSD2, a maioria das instituições atendia à SCA com uma senha (conhecimento) mais um OTP via SMS (posse). Essa combinação mostrou-se profundamente vulnerável. Interceptação de SMS, fraudes SIM-swap e captura de OTP via malware tornaram a SCA baseada em SMS um vetor de ataque primário. O PSR responde elevando o padrão de qualidade dos fatores de autenticação e formalizando uma abordagem baseada em resultados: PSPs que demonstram taxas de fraude consistentemente baixas, por meio de uma robusta Transaction Risk Analysis (TRA), terão acesso a isenções mais amplas. No entanto, o nível exigido para comprovar essas baixas taxas também foi elevado.
Biometria comportamental como fator SCA formalizado
O PSR formaliza uma expansão significativa do que constitui um fator de inerência válido. A biometria comportamental, incluindo padrões de digitação, dinâmica de uso do dispositivo e sinais de comportamento de navegação, pode agora ser formalmente combinada com biometria fisiológica para constituir um segundo fator válido. Isso abre caminho para uma SCA totalmente sem atrito em ações de baixo risco, onde a autenticação adaptativa baseada em risco pode verificar o usuário de forma silenciosa, sem qualquer interação ativa.
SCA delegada: inovação permitida, responsabilidade mantida
O PSR permite explicitamente a Delegated Authentication (DA): um PSP pode delegar a SCA a um terceiro, como um operador de wallet digital, um gateway de pagamento ou um provedor de serviços de confiança. Isso é um importante facilitador para embedded finance e inovação em open banking. No entanto, o PSR classifica a delegação como terceirização, acionando a plena aplicação das diretrizes de terceirização da EBA e dos requisitos de risco ICT do DORA. O PSP delegante mantém total responsabilidade por falhas na SCA.
A convergência que define a década: PSD3, eIDAS 2.0 e AMLR
Como escrevemos em nossas previsões para 2026, o desenvolvimento mais relevante no digital trust europeu não é uma única regulamentação, mas a convergência de três frameworks em torno de uma infraestrutura de identidade compartilhada:
PSD3/PSR: a autenticação deve ser forte, cuidadosamente delegada e resistente a phishing
As obrigações de SCA tornam-se diretamente aplicáveis por meio do PSR a partir do final de 2026. A qualidade dos fatores de autenticação, a responsabilidade pela delegação e os requisitos de monitoramento de fraude estabelecem um novo padrão para todos os PSPs que operam na UE.
eIDAS 2.0: a EUDI Wallet torna-se um instrumento SCA de primeira classe
De acordo com o artigo 5f do eIDAS 2.0, as instituições financeiras devem aceitar a EUDI Wallet como método válido de autenticação até dezembro de 2027. Isso não é um cenário futuro: é uma obrigação vinculante com prazo definido, ainda que existam áreas a serem esclarecidas, pois a redação do eIDAS (“strong user authentication”) difere e é menos detalhada do que a exigida pela regulamentação de pagamentos/financeira. Credenciais baseadas em wallet, emitidas por QTSPs e verificadas conforme níveis de garantia do eIDAS, satisfazem simultaneamente os requisitos de posse e inerência da SCA do PSR, ao mesmo tempo que permitem a divulgação seletiva de atributos de identidade, reduzindo a exposição de dados.
AMLR: a mesma identidade que realiza KYC pode realizar SCA
Quando o AMLR entrar em vigor em julho de 2027, a sobreposição regulatória se tornará operacionalmente decisiva: uma instituição que aceita uma credencial da EUDI Wallet para KYC sob o artigo 22 do AMLR satisfaz simultaneamente o requisito de SCA do PSR para a mesma interação com o cliente. Essa é a convergência que torna o investimento em infraestrutura estratégico, e não apenas orientado à conformidade. Uma única identidade qualificada, verificada uma vez segundo os padrões ETSI TS 119 461 v2.1.1, pode servir como âncora de confiança para KYC, SCA e assinatura de documentos regulados dentro do mesmo fluxo.
O cronograma legislativo: agir antes da aplicação
O período de 2026 a 2027 é a janela operacional de preparação. As decisões arquiteturais tomadas agora determinarão a postura de conformidade quando as obrigações se tornarem aplicáveis:
Nota prática sobre a divisão PSR/PSD3: o PSR contém a maioria das regras operacionais, incluindo SCA, fraude, transparência e open banking, e entra em vigor diretamente 20 dias após a publicação, sem transposição nacional. A PSD3 regula licenciamento e supervisão de instituições de pagamento e exige um período de transposição de 18 meses. As obrigações principais de SCA e fraude serão, portanto, aplicáveis antes da plena implementação nacional da PSD3.
Como a Namirial atende ao PSD3/PSR: uma plataforma completa de autenticação
A Namirial é um Qualified Trust Service Provider (QTSP) sob o eIDAS, operando em múltiplos mercados europeus por meio da Namirial S.p.A. (Itália) e da Uanataca (Espanha). Nossa plataforma cobre toda a stack de SCA exigida pelo PSD3/PSR: infraestrutura de EUDI Wallet, assinatura baseada em certificados qualificados, integração federada de eID e arquivamento qualificado de conformidade.
Namirial Wallet: SCA com EUDI Wallet, pronta antes do prazo de dezembro de 2027
Nossa plataforma Wallet, composta por Wallet Gateway (orquestração de protocolos), Wallet App (gestão de credenciais do lado do usuário) e Wallet Studio (gestão de emissores), permite que as organizações integrem credenciais da EUDI Wallet como instrumentos de SCA tanto sob o PSR quanto sob o eIDAS 2.0 art. 5f. A Namirial é participante ativa nos Large Scale Pilots da EUDI Wallet por meio do consórcio Potential, com experiência em serviços governamentais, bancários, telecomunicações e assinaturas eletrônicas. Uma oferta Wallet-as-a-Service (WaaS) está em desenvolvimento para instituições que precisam de integração rápida sem construir infraestrutura de wallet do zero.
QES via Namirial Sign Enterprise: assinatura de mandatos e autenticação de pagamentos de alto valor
Assinaturas Eletrônicas Qualificadas, emitidas pela infraestrutura multi-QTSP da Namirial em Itália, Espanha e França, fornecem autenticação baseada em certificados que supera a maioria das implementações de SCA da PSD2. Sob o PSR, a autenticação baseada em QES é diretamente aplicável para configuração de mandatos, autorizações SEPA e fluxos regulados de onboarding onde é necessária certeza de identidade.
Certificados descartáveis (single-use), válidos por 60 minutos e vinculados a uma transação específica, permitem assinatura QES de alta segurança sem armazenamento permanente de certificados. Isso torna a QES prática em escala para fluxos de pagamento onde a autenticação forte é exigida por transação, e não por sessão. A arquitetura multi-QTSP, abrangendo Namirial e Uanataca, também oferece resiliência geográfica e continuidade sob o DORA: se um QTSP estiver indisponível, os fluxos de SCA podem ser redirecionados sem interrupção.
Namirial Archive: evidência de conformidade SCA à prova de auditoria
As regras ampliadas de responsabilidade por fraude do PSR exigem que os PSPs mantenham evidências robustas e invioláveis de que a SCA foi corretamente aplicada para cada transação coberta pelo regulamento. O Namirial Archive fornece preservação qualificada de longo prazo (QPRES, em conformidade com o eIDAS eArchiving), certificação NF 461 na França (AFNOR) e qualificação SAE QC2 na Itália (ACN). Eventos de autenticação, certificados de assinatura, logs de transação e registros de verificação de identidade são preservados com plena validade legal pelo período de retenção exigido pelas autoridades supervisoras nacionais.
Soluções Namirial mapeadas aos requisitos de SCA do PSR:
Conclusão: a SCA agora é um negócio, não apenas um requisito de conformidade
Nosso Regulatory Observatory classificou a SCA no contexto do PSD3/PSR como uma “nova oportunidade de negócio positiva”, especificamente no segmento Keyless/IAM. Mantemos essa avaliação. A ampliação do escopo da SCA, a formalização da autenticação delegada e o alinhamento com a EUDI Wallet criam um verdadeiro mercado para autenticação resistente a phishing, de nível FIDO2 e nativa de wallet na camada de pagamentos — e essa é exatamente a infraestrutura que a Namirial vem construindo.
O período de 2026 a 2027 não é um horizonte de planejamento. É a janela operacional para decisões de infraestrutura que precisam ser tomadas agora. Instituições que selecionarem parceiros de autenticação alinhados simultaneamente com PSR, DORA, eIDAS 2.0 e AMLR não apenas atenderão às obrigações regulatórias: construirão a infraestrutura de identidade e pagamentos que sustentará a próxima década das finanças digitais confiáveis.
A Namirial está pronta para apoiar essa transição: como fornecedora de tecnologia para EUDI Wallet, como QTSP multi-mercado para SCA baseada em QES e como parceira de ICT alinhada ao DORA ao longo de todo o ciclo de vida da autenticação de pagamentos.
Conteúdo relacionado em namirial.com
- Previsões Namirial para 2026: pagamentos, SCA e a convergência do digital trust
- Transformando conformidade em oportunidade: a EUDI Wallet nos serviços financeiros
- De AMLR a eIDAS 2.0: conformidade em KYC e onboarding
- AML-KYC: o tsunami que chega em 2026-2027
- Plataforma Namirial Wallet: identidade digital e serviços de confiança de próxima geração
