El marco europeo de servicios de pago está viviendo su reforma más importante desde la DSP2. Tras el acuerdo político alcanzado en noviembre de 2025, la tercera Directiva de Servicios de Pago (DSP3) y el Reglamento de Servicios de Pago (RSP) se encuentran en fase final del procedimiento legislativo, con adopción formal y entrada en vigor previstas para el primer semestre de 2026. El RSP, como reglamento de aplicación directa, no requerirá transposición nacional. La primera ola de aplicación, que cubre las principales obligaciones de autenticación reforzada, responsabilidad por fraude y open banking, se espera entre finales de 2026 y principios de 2027.
Para cualquier entidad que intervenga en pagos digitales, acceso a cuentas u onboarding de clientes en servicios financieros, la DSP3/RSP no es un horizonte lejano. El período 2026-2027 es la ventana operativa crítica para las decisiones de arquitectura, las actualizaciones de autenticación y la selección de socios tecnológicos.
En España, este nuevo marco se inscribe en la continuidad de las obligaciones derivadas de la DSP2, transpuesta mediante el Real Decreto-ley 19/2018 de servicios de pago y supervisada por el Banco de España. El RSP sustituirá directamente a las reglas operativas de la DSP2, sin margen de interpretación nacional, creando un nivel de exigencia uniforme para todos los prestadores de servicios de pago (PSP) europeos.
Este artículo explica qué cambian la DSP3 y el RSP en la práctica para la firma electrónica y la autenticación, cómo evoluciona el marco de autenticación reforzada de clientes (ARC), cómo convergen con eIDAS 2.0 y la Cartera EUDI, y cómo las soluciones de Signaturit Group, a Namirial Company están diseñadas para acompañar este cumplimiento.
1. De la DSP2 a la DSP3: por qué era necesaria la actualización
La DSP2, de aplicación desde 2018, logró resultados significativos: redujo el fraude en tarjetas bancarias gracias a la autenticación reforzada de clientes (ARC), abrió los datos bancarios a proveedores terceros y sentó las bases regulatorias del open banking en Europa. Pero siete años de aplicación práctica pusieron en evidencia debilidades persistentes.
La ARC bajo DSP2 resultó muy vulnerable al phishing. La entrega de códigos OTP (contraseñas de un solo uso) por SMS se mostró sensible a los ataques de intercambio de SIM, la ingeniería social y los programas maliciosos. Los flujos de autenticación se implementaron de forma inconsistente según los Estados miembros. El fraude por transferencia autorizada, donde el cliente es engañado para autorizar una transferencia fraudulenta, no estaba claramente regulado en las reglas de responsabilidad de la DSP2. Y el ecosistema de APIs de open banking, pese a sus promesas, siguió siendo fragmentado.
La DSP3 y el RSP responden directamente a estas realidades. Juntos representan una evolución, no una revolución: refuerzan lo que funcionaba bajo la DSP2 y corrigen de forma sustancial lo que no. Los cambios clave:
- ARC más fuerte y de mayor alcance: cubre no solo pagos sino también inicios de sesión, configuración de mandatos, gestión de beneficiarios y recuperación de dispositivos
- Responsabilidad por fraude ampliada: los PSP son responsables de los fallos de ARC, incluidos los casos en que la autenticación se delega a terceros
- Verificación del Beneficiario (VoB) obligatoria: correspondencia IBAN/nombre antes de cada transferencia
- APIs de open banking estandarizadas: coherentes, exigibles y a paridad de rendimiento en toda la UE
- Alineación explícita con eIDAS 2.0: la firma electrónica cualificada (FEQ) y las credenciales de la Cartera EUDI reconocidas como medios válidos de ARC
| 📅 Fechas clave Acuerdo político: 27 de noviembre de 2025 | Adopción formal y entrada en vigor: primer semestre 2026 | Primera ola de aplicación RSP (ARC, fraude, open banking): finales 2026 / T1 2027 | Transposición completa DSP3: 2027-2028 | Aceptación obligatoria Cartera EUDI (paralelo): diciembre 2027 | |
2. DSP2 vs DSP3/RSP: los cambios clave de un vistazo
La tabla a continuación resume los cambios operativamente más relevantes para las organizaciones que gestionan flujos de autenticación y pago digitales:
| Temática | DSP2 | DSP3/RSP |
| Ámbito de la ARC | Solo pagos en línea y acceso a cuentas | Se extiende a inicios de sesión, configuración de mandatos, alta de beneficiarios, cambios de límites y recuperación de dispositivos |
| Factores de autenticación | Dos de las tres categorías: conocimiento, posesión, inherencia | Biometría conductual formalizada como factor de inherencia; enfoque basado en resultados (ART) reforzado |
| Responsabilidad por fraude | Limitada; reparto complejo entre PSP | PSP responsable de los fallos de ARC, incluidos los terceros a quienes se delegue la autenticación |
| Open banking / APIs | Implementación heterogénea según Estado miembro | APIs estandarizadas, a paridad de rendimiento, con obstáculos prohibidos listados explícitamente |
| Autenticación delegada | No regulada | Explícitamente permitida pero calificada como externalización; directrices ABE y DORA aplicables |
| Cartera EUDI / eIDAS 2.0 | Fuera del ámbito | Alineación esperada; FEQ y eIDs reconocidos como medios válidos de ARC |
| Fraude por suplantación del PSP | No tratado específicamente | PSP responsable cuando el cliente es víctima de una suplantación del propio PSP |
| Verificación del beneficiario (VoB) | Opcional / inconsistente | Obligatoria: correspondencia IBAN/nombre antes de ejecutar cualquier transferencia |
El efecto neto es una carga de cumplimiento significativamente mayor para los PSP y sus socios tecnológicos, junto con una responsabilidad ampliada en caso de fallos de ARC en toda la cadena, incluyendo los proveedores a los que se delega la autenticación.
3. El nuevo marco ARC: qué cambia para la autenticación
La autenticación reforzada de clientes (ARC) es el núcleo de la DSP3/RSP. El RSP mantiene el principio de dos factores (al menos dos de las tres categorías: conocimiento, posesión, inherencia) pero amplía considerablemente tanto su ámbito como sus requisitos técnicos.
Un ámbito de ARC más amplio
Bajo la DSP2, la ARC se exigía principalmente para pagos en línea y acceso a cuentas. Bajo el RSP, las obligaciones de ARC se extienden a:
- Todos los inicios de sesión en cuentas de pago, no solo la iniciación de pagos
- La configuración de nuevos mandatos de pago o la autorización de pagos recurrentes
- La adición o modificación de un beneficiario en una lista de confianza
- La modificación de límites de gasto o de la configuración de la cuenta
- Los flujos de recuperación de dispositivo y re-enrolamiento
- Cualquier acción clasificada como «de alto riesgo» por el sistema de monitoreo de fraude del PSP
Factores más sólidos y apertura a la biometría conductual
El RSP formaliza un enfoque basado en resultados (outcome-based): los reguladores permitirán mayor flexibilidad, incluyendo un uso más amplio de las exenciones por análisis de riesgo de transacción (ART), cuando un PSP demuestre tasas de fraude consistentemente bajas. De forma decisiva, el RSP amplía qué califica como factor de inherencia válido. La biometría conductual, como los patrones de escritura, la forma de manejar el dispositivo y el comportamiento de navegación, podrá ahora combinarse formalmente con la biometría fisiológica para constituir un segundo factor válido.
Autenticación delegada: permitida, pero regulada
Una de las aclaraciones más relevantes de la DSP3/RSP es la autorización explícita de la Autenticación Delegada (AD): un PSP puede delegar el proceso de ARC a un tercero, como un proveedor de cartera digital, una pasarela de pago o un prestador de servicios de confianza. Sin embargo, esta delegación se califica como externalización, lo que activa el pleno cumplimiento de las directrices de externalización de la ABE y los requisitos de DORA. El PSP delegante conserva la responsabilidad plena en caso de fallos de ARC.
| ⚖️ Lo que esto implica para las organizaciones que utilizan plataformas de firma y autenticación Si tu organización delega la ARC a una plataforma de terceros, incluido un Prestador Cualificado de Servicios de Confianza (PCSC/QTSP) para la autenticación por certificado, esa relación está ahora formalmente regulada como externalización. Conservas la responsabilidad. Tu proveedor debe cumplir con los estándares de riesgo informático de DORA, mantener derechos de auditoría y demostrar su conformidad con las directrices de la ABE. Elegir un PCSC certificado como socio de autenticación no es solo una decisión técnica: es una decisión de gestión de responsabilidad legal. |
4. DSP3/RSP y eIDAS 2.0: la convergencia que más importa
La DSP3 y el RSP no operan de forma aislada. Convergen con otros dos grandes marcos europeos de una manera que reconfigura fundamentalmente la infraestructura de identidad y pagos digitales:
La Cartera EUDI y eIDAS 2.0 como instrumentos de ARC
La Cartera de Identidad Digital Europea, obligatoria para todos los Estados miembros de la UE antes de 2026 y que las entidades financieras deberán aceptar antes de diciembre de 2027, está explícitamente posicionada como instrumento válido de ARC en el marco del RSP. La cartera permite una verificación y autenticación de identidad de alto nivel de garantía, transfronteriza, que satisface tanto los requisitos de posesión como de inherencia de la ARC sin las debilidades de los métodos OTP.
En España, Cl@ve permanente (nivel sustancial, notificado bajo eIDAS) y el DNIe son hoy los mecanismos de eID más relevantes para los servicios financieros regulados, constituyendo las referencias nacionales mientras se despliega la Cartera EUDI.
Esta convergencia crea una infraestructura compartida única para el KYC (a través del AMLR), la autenticación (a través del RSP) y la verificación de identidad (a través de eIDAS 2.0): las mismas credenciales cualificadas pueden satisfacer simultáneamente las obligaciones de los tres marcos normativos.
La FEQ como método de autenticación para pagos
Las firmas electrónicas cualificadas (FEQ), emitidas por un PCSC bajo eIDAS, proporcionan una vía de autenticación por certificado que supera el umbral de seguridad de la mayoría de las implementaciones de ARC bajo DSP2. Bajo el RSP, la autenticación respaldada por FEQ es directamente aplicable a las acciones de pago de alto valor, la autorización de mandatos SEPA y los flujos de onboarding regulados en los que la certeza de identidad es primordial.
En España, el Real Decreto-ley 7/2021 ya reconoció la firma electrónica cualificada como medio válido para acreditar la identidad en relaciones de negocio no presenciales, lo que anticipa su aplicabilidad directa en los requisitos de ARC del RSP para operaciones de alto riesgo.
El nexo con el AMLR: cuando KYC y ARC comparten la misma identidad
A partir de julio de 2027, cuando el AMLR sea de aplicación, la superposición se vuelve especialmente significativa: las entidades financieras que acepten la Cartera EUDI para el KYC conforme al Artículo 22 del AMLR satisfarán simultáneamente el requisito de ARC del RSP. Las organizaciones que inviertan ahora en una infraestructura de identidad unificada, en lugar de construir sistemas separados para cada normativa, tendrán una ventaja estructural de cumplimiento.
| 💡 La oportunidad estratégica La convergencia de la DSP3/RSP, el AMLR y eIDAS 2.0 significa que una única inversión en infraestructura de identidad digital cualificada, incluyendo FEQ, Cartera EUDI y autenticación certificada, puede satisfacer simultáneamente múltiples obligaciones normativas. Para instituciones financieras, fintechs y PSP, no es solo una cuestión de cumplimiento: es la oportunidad de reducir onboardings duplicados, disminuir la fricción en la ARC y construir la confianza del cliente sobre una base que los reguladores ya reconocen. |
5. El calendario legislativo: tu ventana de preparación
El período 2026-2027 es la ventana de preparación decisiva. Las principales decisiones de arquitectura, las actualizaciones de ARC y los contratos con socios tecnológicos firmados ahora determinarán la posición de cumplimiento cuando las obligaciones sean exigibles:
| Fecha | Hito | Implicación práctica |
| Noviembre 2025 | Acuerdo político entre PE y Consejo | Inicio de la finalización técnica de los textos legislativos |
| Principios/mediados 2026 | Adopción formal y publicación en el Diario Oficial | El RSP entra en vigor 20 días después de su publicación (directamente aplicable); comienza el plazo de transposición de la DSP3 (18 meses) |
| Finales 2026 / T1 2027 | Primera ola de aplicación del RSP | Obligaciones de ARC, responsabilidad por fraude y open banking aplicables; la ABE comienza a desarrollar las RTS sobre ARC |
| 2027-2028 | Transposición completa de la DSP3 | Normas nacionales en vigor en todos los Estados miembros; cumplimiento pleno esperado |
| Diciembre 2027 (paralelo) | Aceptación obligatoria de la Cartera EUDI | Las entidades financieras deberán aceptar la Cartera EUDI como prueba de identidad de nivel ARC (eIDAS 2.0 Art. 5f) |
Nota práctica sobre la distinción RSP/DSP3: el RSP contiene la mayoría de las reglas operativas (ARC, fraude, transparencia, open banking) y será directamente aplicable en toda la UE sin transposición nacional, 20 días después de su publicación en el Diario Oficial. La DSP3 regula los aspectos prudenciales y la supervisión de las entidades de pago y requerirá transposición nacional en 18 meses. Esto significa que las obligaciones fundamentales de ARC y responsabilidad por fraude serán exigibles antes de que las normas nacionales de la DSP3 estén plenamente en vigor.
6. Cómo acompaña Signaturit Group, a Namirial Company el cumplimiento de la DSP3/RSP
Como Prestador Cualificado de Servicios de Confianza (PCSC / QTSP) bajo eIDAS, operando a través de Ivnosys, Universign, Vialink y Validated ID, Signaturit Group, a Namirial Company proporciona la infraestructura de autenticación, firma e identidad que los PSP y las instituciones financieras necesitan para cumplir con los requisitos de la DSP3/RSP.
Firmas y certificados cualificados para autenticación de nivel ARC
Signaturit Group, a Namirial Company emite certificados cualificados a través de Ivnosys, inscrito en la lista de confianza del Ministerio de Asuntos Económicos, lo que permite a las organizaciones desplegar autenticación por certificado que supera los estándares de ARC de la DSP2 y es directamente aplicable bajo el RSP. Los certificados de un solo uso (desechables), válidos durante el tiempo de una transacción específica, permiten firma y autenticación de alto nivel de garantía sin almacenamiento permanente de certificado, reduciendo la fricción para el usuario final.
Integración de la Cartera EUDI para ARC transfronteriza
A través de Validated ID y la plataforma VIDwallet, Signaturit Group, a Namirial Company es un actor activo en el ecosistema de la Cartera EUDI. Nuestra infraestructura de Credenciales Verificables (CV) permite a las organizaciones emitir, gestionar y verificar credenciales basadas en cartera que cumplen el estándar de identidad de nivel elevado requerido para el cumplimiento de la ARC bajo el RSP, por delante de la fecha límite de aceptación obligatoria de diciembre de 2027.
Autenticación multifactor para el acceso a cuentas de pago
Nuestras soluciones de Gestión de Certificados y Creación de Certificados proporcionan una base sólida para los flujos de autenticación de dos factores, combinando factores de posesión mediante certificado con la verificación de identidad, cubriendo los disparadores de ARC ampliados introducidos por el RSP, desde los inicios de sesión hasta la gestión de beneficiarios y la configuración de mandatos.
La solución de Signaturit para la documentación regulada de pagos
La DSP3/RSP introduce obligaciones ampliadas de gestión de consentimientos y mandatos. La solución de firma de Signaturit proporciona una plataforma jurídicamente vinculante y conforme con eIDAS para la firma de mandatos de pago, actualizaciones de condiciones generales y autorizaciones SEPA, con pista de auditoría completa y soporte FEQ, satisfaciendo tanto los requisitos de ARC para la configuración de mandatos como los estándares probatorios exigibles en caso de litigio por fraude.
En España, Ivnosys está inscrito en la lista de confianza del Ministerio de Asuntos Económicos y Transformación Digital como Prestador Cualificado de Servicios de Confianza, lo que constituye un argumento de conformidad directamente oponible ante los supervisores (Banco de España, CNMV).
Preservación cualificada para las evidencias de cumplimiento
Las reglas de responsabilidad por fraude ampliadas del RSP exigen a los PSP conservar evidencias robustas e inviolables del cumplimiento de la ARC para cada transacción. Las soluciones de preservación digital cualificada de Signaturit Group, a Namirial Company, respaldadas por un archivo certificado a largo plazo, proporcionan la infraestructura de pista de auditoría necesaria para defenderse ante reclamaciones de responsabilidad por fraude y demostrar ante las autoridades de supervisión (Banco de España, ABE) que la ARC se aplicó correctamente.
Soluciones Signaturit Group, a Namirial Company mapeadas sobre los requisitos de ARC del RSP:
| Método de autenticación | Relevancia ARC / RSP | Solución Signaturit Group, a Namirial Company |
| Firma electrónica cualificada (FEQ) | Satisface la ARC mediante posesión + inherencia gracias al certificado cualificado emitido tras verificación rigurosa de identidad. Aplicable directamente en flujos de pago de alto valor y mandatos SEPA. | Emisión de certificados cualificados (Ivnosys) + solución de firma Signaturit |
| Cartera EUDI / Credenciales Verificables | Reconocida bajo eIDAS 2.0 como identidad de nivel elevado; aplicable como prueba de identidad verificada para ARC transfronteriza. | VIDwallet (Validated ID) + plataforma de Credenciales Verificables |
| Autenticación multifactor (AMF) | Satisface el requisito ARC de dos factores mediante posesión + conocimiento o inherencia. Ampliada bajo RSP con biometría conductual. | Gestión de Certificados + capa de autenticación |
| eID nivel ARC vía Cl@ve | Cl@ve permanente (nivel sustancial) y Cl@ve PIN, notificados bajo eIDAS, constituyen medios válidos de ARC para servicios financieros regulados en España. | Reconocimiento de eIDs vía Ivnosys + integración Cl@ve |
Conclusión: la DSP3 es una evolución, no una revolución. Pero la ventana de preparación es ahora.
La DSP3 y el RSP se apoyan en los cimientos de la DSP2 en lugar de desmantelarlos. Pero los cambios en el ámbito de la ARC, la responsabilidad por fraude, la autenticación delegada y la alineación con la Cartera EUDI representan un cambio estructural en los requisitos de cumplimiento de cualquier organización involucrada en pagos digitales europeos.
La ventana 2026-2027 no es un horizonte de planificación futura: es el período operativo de preparación para decisiones que deben tomarse ahora. Las organizaciones que elijan socios tecnológicos alineados simultáneamente con eIDAS 2.0, la Cartera EUDI y los requisitos del AMLR no solo cumplirán las obligaciones de la DSP3/RSP, sino que construirán la infraestructura de identidad que sustentará la próxima década de transacciones digitales de confianza.
Signaturit Group, a Namirial Company, como PCSC paneuropeo, está preparado para acompañar a los PSP, las fintechs y las instituciones financieras en esta transición: como socio de autenticación certificado, como plataforma de identidad lista para la Cartera EUDI y como conservador cualificado de las evidencias de cumplimiento que se derivan de ello.
| 📥 DESCARGA NUESTRO WHITEPAPER Lucha contra el fraude con un onboarding digital seguro 👉 signaturit.com/es/recursos/lucha-fraude-onboarding-digital-seguro/ |
📎 Artículos relacionados en signaturit.com
