La preparación para PSD3 no es un problema futuro. Es uno del presente.

Muchos bancos europeos todavía hablan de PSD3 como si fuera un hito lejano, aunque el acuerdo político se alcanzó en noviembre de 2025 y los equipos legales ahora sitúan 2026 en el centro de la planificación de la transición. La industria ha agotado el margen para tratar esto como algo que se consolidará “más tarde”.

Parte del problema es la creencia de que PSD3 es esencialmente PSD2 con algunas capas adicionales, una especie de PSD2.0. No lo es. El nuevo paquete — la Tercera Directiva de Servicios de Pago y el Reglamento de Servicios de Pago (PSR) de aplicación directa — eleva el nivel en cómo se gestionan los permisos, cómo se evidencian las autenticaciones y cómo se gestiona el acceso de terceros.

También llega en un momento en que los pagos de cuenta a cuenta, las billeteras digitales y los modelos de intercambio de datos más amplios están imponiendo demandas mayores sobre la misma infraestructura que los bancos construyeron para PSD2.

A lo largo de nuestro trabajo con instituciones europeas, estamos viendo enfoques muy diferentes. Algunos bancos esperan el texto final antes de tomar decisiones. Otros ya están reconstruyendo los componentes que determinarán si PSD3 se convierte en una actualización controlada o en una reforma disruptiva. La diferencia no tiene que ver con la interpretación regulatoria, sino con la arquitectura.

Dónde todavía están expuestos los bancos

Muchos bancos todavía abordan PSD3 desde la perspectiva de la interpretación política, aunque la verdadera presión está en los sistemas subyacentes. Gran parte de lo que se construyó bajo PSD2 se ensambló rápidamente para cumplir con los plazos, y muchos bancos nunca volvieron a fortalecer esos componentes una vez que pasó la presión inmediata.

El consentimiento es un ejemplo. Muchos bancos todavía dependen de almacenes de consentimiento específicos por canal o paneles de control añadidos durante PSD2. Estas configuraciones dificultan la gestión de permisos a nivel de detalle que PSD3 espera, y aún más revocarlos o evidenciarlos claramente. La autenticación a menudo se encuentra en el mismo lugar. Demostrar que ocurrió un paso de Autenticación Fuerte del Cliente (SCA) no es suficiente; los bancos necesitan mostrar el contexto de autenticación y el estado de autorización de la parte que inició la transacción en el momento en que fue aprobada.

Los controles antifraude añaden más presión. Ahora deben mostrar cómo se evaluó el riesgo en tiempo real, no reconstruido después. Esto se vuelve más difícil cuando las herramientas de monitoreo permanecen fragmentadas o los datos de transacción están en sistemas desconectados. Plataformas como SmartVista Fraud Management de BPC, que combinan monitoreo de transacciones en línea con gestión centralizada de datos y soporte de IA/ML, indican el tipo de arquitectura que necesitan los bancos. Necesitan una que pueda evaluar la actividad en tiempo real y mostrar cómo se tomaron esas decisiones. El rendimiento de las API también está en juego. El PSR da más peso a si las interfaces permanecen operativas, manejan errores de manera consistente y entregan datos confiables en todos los canales. El acceso y la incorporación de terceros necesitan el mismo cambio: dejar de depender de verificaciones periódicas y pasos manuales, y pasar a una verificación continua y a un modelo más claro para gestionar los derechos de acceso.

Las instituciones que fortalecieron estos cimientos después de PSD2, ahora se están adaptando a PSD3 con mucho menos trastorno. Aquellas que dejaron sus construcciones PSD2 intactas enfrentan ahora una subida más empinada.

Lo que PSD2 dejó atrás

PSD2 dejó un conjunto de decisiones técnicas que ahora definen qué tan difícil será PSD3. Muchas instituciones construyeron rápidamente para cumplir con el plazo: paneles de permisos separados para diferentes canales, lógica de autenticación dispersa en productos, puertas de API ajustadas para bajos volúmenes y pasos manuales para verificar o incorporar terceros. Esas decisiones resolvieron el problema inmediato. Ahora están en el centro de la carga de trabajo de PSD3.

Otros usaron PSD2 para ordenar las bases. Centralizaron permisos, trataron la autenticación como un servicio compartido, invirtieron en APIs más confiables e introdujeron controles de acceso más claros. Nada de esto se hizo pensando en PSD3, pero les da margen para adaptarse sin deshacer sus sistemas.

PSD3 y el PSR revelan la diferencia entre estos dos caminos. El nuevo marco espera que los bancos sepan, en tiempo real, quién accede a qué, bajo qué permisos y con qué nivel de certeza. Espera que las APIs se comporten de manera consistente, que las verificaciones antifraude se evidencien en el momento de la transacción y que los derechos de acceso se verifiquen continuamente. Estas expectativas dependen mucho de cómo se sentaron las bases de PSD2.

El trabajo realizado bajo PSD2 ahora decide qué tan disruptivo será PSD3.

Las decisiones que no se pueden posponer

Varias decisiones arquitectónicas ya están sobre la mesa, y esperar al texto final no las facilitará. Los permisos necesitan un único lugar; los almacenes dispersos de consentimiento creados durante PSD2 dificultan gestionar detalles, revocar accesos de manera limpia o mostrar qué había en el momento de la aprobación.

La autenticación debe actuar como un servicio unificado en lugar de pasos a nivel de producto, porque PSD3 espera que los bancos muestren el contexto completo de una aprobación, no solo que ocurrió un evento SCA.

Los derechos de acceso deben verificarse de forma continua en lugar de en intervalos, con una forma más clara de gestionar quién puede hacer qué con el tiempo. Y las APIs deben tratarse como infraestructura operativa, con el nivel de fiabilidad y consistencia que exige el PSR.

Por eso también los bancos están empezando a mirar más allá de soluciones puntuales y hacia plataformas modulares que puedan absorber cambios regulatorios de manera más limpia. Para las instituciones tradicionales, una infraestructura preparada para el futuro es tan importante como el cumplimiento actual. Plataformas como BPC SmartVista, diseñadas como arquitecturas modulares y nativas en la nube, construidas para escalar, ofrecen una ruta más práctica para la adaptación a PSD3 y reducen el riesgo de que el próximo cambio regulatorio provoque otra reconstrucción costosa. Los bancos necesitan plataformas que faciliten la transición, respalden el cumplimiento a medida que evolucionan los requisitos y dejen espacio para adaptarse sin tener que rehacer toda la pila.

Estas decisiones influirán mucho en si PSD3 se implementa como una actualización manejable o como una reconstrucción costosa. Actuar temprano da a los bancos margen para adaptarse en sus propios términos. Esperar al texto final solo reduce el espacio para actuar.

La ventana es más corta de lo que parece

Donde las reglas de banca abierta se han endurecido antes, los bancos que actuaron temprano tuvieron más margen para tomar decisiones deliberadas. Los que esperaron terminaron parcheando bajo presión. PSD3 va en la misma dirección. Tratarlo como un trabajo de infraestructura ahora da a los bancos más control sobre el resultado. Esperar al texto final solo estrecha el espacio para actuar.