Refuerzo frente al fraude. Breve nota sobre las novedades en materia de servicios de pago

Descargar newsletter

MERCANTIL

Se otea en el horizonte una reforma de calado en el ámbito de los servicios de pago. El Consejo de la Unión Europea publicó el 17 de abril de 2026 una nota dando a conocer los textos preliminares de compromiso tanto de la que será la nueva Directiva de servicios de pago (conocida por sus siglas en inglés como “PSD3”) como del Reglamento sobre servicios de pago en el mercado interior (“PSR”), nuevo marco, en definitiva, que viene a derogar el actual fijado por la Directiva 2015/2366 (“PSD2”), transpuesta por el Real Decreto-ley 19/2018 (desarrollado por el Real Decreto 736/2019), y la Directiva 2009/110/CE, de entidades de dinero electrónico (transpuesta por la Ley 21/2011 y el Real Decreto 778/2012).

Pendientes de su aprobación definitiva por el Parlamento y el Consejo, y de su futura entrada en vigor (al vigésimo día de su publicación en el DOUE, que se espera en verano de 2026), se fija para la PSD3 un periodo de transposición de 21 meses desde su entrada en vigor, momento desde el cual también resultará plenamente aplicable el PSR, salvedad hecha del régimen de verificación de nombre-identificador del beneficiario, para el que se prevé un plazo de 27 meses desde la entrada en vigor (y que amplía este régimen a todas las transferencias, no solo a las SEPA, como mandaba el Reglamento 2024/886).

Este nuevo modelo no solo supone una novedad formal (pues, frente al anterior, combina directiva y reglamento, reservando a este último las normas de conducta clave, a fin de mitigar la aparición de múltiples y divergentes interpretaciones nacionales que la PSD2 permitió), sino que, además, introduce importantes novedades en el régimen de servicios de pago.

En materia de fraudes, se traslada el riesgo hacia los proveedores de servicios de pago. Así, y a fin de combatir el aumento de los fraudes que crecieron al calor de la PSD2 (phishing, smishing, vishing, spoofing y demás fraudes de ingeniería social y suplantación), el nuevo Reglamento redibuja el marco actual y establece expresamente que no se considerará autorizada una operación cuando el pagador haya sido manipulado mediante ingeniería social para iniciarla a favor de un tercero que no era el beneficiario pretendido, o cuando la operación fue ejecutada por un tercero sin consentimiento del pagador usando credenciales obtenidas fraudulentamente. No en vano, según las estadísticas del Ministerio del Interior, esta modalidad de cibercriminalidad está en preocupante aumento.

Además, se introduce un derecho específico de reembolso para los consumidores víctimas de suplantación de identidad, permitiéndoles, en caso de manipulación por un tercero (que, usando ilícitamente el nombre, email, teléfono, web o aplicación del proveedor de servicios de pago, les hubiera inducido a realizar pagos fraudulentos), exigir al proveedor de servicios de pago el reembolso del importe íntegro de las operaciones.

Eso sí, la negligencia grave del consumidor excluiría el reembolso, si bien el Reglamento incorpora una serie de criterios orientativos (no exhaustivos ni vinculantes) para apreciar esa negligencia.

Junto con estas modificaciones, y más allá de las novedades en materia regulatoria y de supervisión, el nuevo régimen jurídico, bajo ese espíritu armonizador, (i) amplía y profundiza la autorización reforzada de los usuarios (“SCA” por sus siglas en inglés), adaptativa según el riesgo y con una apuesta por la biometría conductual sumada a la fisiológica; (ii) impulsa el open banking (el intercambio electrónico de datos entre sistemas de software); (iii) trata de garantizar una mayor transparencia en comisiones y condiciones, así como la integración obligatoria de identidad digital europea (“EUDI wallets”); (iv) fija un régimen más estricto para los pagos NFC; y (v) facilita el acceso de los consumidores al efectivo, frente a la tradicional vía del cajero vinculado a una entidad bancaria, permitiendo a los comercios dispensar entre 100€ y 150€ (dependiendo de la transposición que se efectúe).

En consecuencia, la importancia de esta reforma es notable tanto para los consumidores como para las pequeñas y medianas empresas. El refuerzo del open banking y de la seguridad y protección frente al fraude permiten intuir nuevos escenarios no solo más cómodos para los operadores económicos, sino también especialmente atractivos para el ecosistema fintech.