El open banking ha fracasado: por qué la PSD3 supone un reinicio
7 min de lectura
El open banking debía revolucionar el mercado financiero. La realidad en Alemania: solo el 8,7 % de todas las cuentas de pago son accesibles para proveedores externos mediante APIs. La PSD2, que debía marcar el inicio en 2018, no ha cumplido su promesa. Ahora llega la PSD3, acompañada de un marco jurídico profundamente revisado que corrige los errores de su predecesora. La UE ha aprobado este paquete legislativo bajo la Presidencia danesa del Consejo. Su publicación se espera en la primera mitad de 2026. Qué cambiará esta vez y por qué, aun así, la implementación se extenderá hasta 2028.
Lo más importante
- Solo un 8,7 % de penetración: En Alemania, tan solo una fracción mínima de los proveedores externos autorizados accede efectivamente a cuentas bancarias. El open banking ha fracasado en la práctica: la PSD2 no ha cumplido las expectativas.
- La PSD3 llega en el primer semestre de 2026: Su publicación se prevé para la primera mitad de 2026. Un plazo nacional de transposición de 18 meses implica que su aplicación será probablemente en el segundo o tercer trimestre de 2028.
- La PSR entra en vigor de inmediato: El Reglamento sobre servicios de pago (PSR), como norma complementaria, será directamente aplicable veinte días después de su publicación, sin necesidad de transposición nacional.
- Paridad de APIs como obligación: Las entidades bancarias deberán mantener sus APIs con la misma estabilidad y funcionalidad que sus propios canales digitales, no se permitirán interfaces intencionadamente degradadas.
- Open finance mediante la FiDA: Paralelamente a la PSD3, la UE está trabajando en el Reglamento sobre acceso a los datos financieros (FiDA), que amplía el open banking a seguros, pensiones e inversiones.
Por qué fracasó la PSD2
La Directiva sobre servicios de pago 2 (PSD2) entró en vigor en 2018 y debía abrir el mercado financiero a proveedores externos. Se obligó a los bancos a ofrecer APIs mediante las cuales proveedores externos autorizados pudieran acceder a los datos de las cuentas y ejecutar pagos. La idea era fomentar una mayor competencia, más innovación y mejores productos para los consumidores.
En la práctica, ocurrió lo contrario. Muchos bancos implementaron APIs que, si bien funcionaban técnicamente, eran prácticamente inutilizables: lentas, inestables y con datos incompletos. La regulación exigía la puesta a disposición de APIs, pero no especificaba qué nivel de calidad debían alcanzar. El resultado: en Alemania, tan solo el 8,7 % de todas las cuentas de pago utilizan el acceso mediante open banking. En otros Estados miembros de la UE la situación es similar.
Las causas son estructurales. Los bancos tenían escasos incentivos para desarrollar buenas APIs: cada proveedor externo exitoso representa un posible competidor. La autenticación reforzada del cliente (SCA) se implementó de forma tan engorrosa para los usuarios que resultaba francamente incómoda. Y la falta de estandarización provocó que cada banco empleara especificaciones API distintas.
Qué hace diferente la PSD3
La PSD3 aborda sistemáticamente las debilidades de su predecesora. El cambio más importante: la paridad de APIs. Los bancos deben garantizar que sus APIs sean tan estables, funcionales y eficientes como sus propios canales de banca online. Informes trimestrales obligatorios sobre la disponibilidad y la latencia de las APIs hacen medible y comparable su calidad.
Otras novedades:
● Ampliación de los derechos de acceso a los datos: Los proveedores externos obtendrán acceso a más información sobre las cuentas, no solo a movimientos y saldos, sino también a datos sobre productos, como tipos de interés, comisiones y condiciones contractuales.
● Obligación de panel de control (dashboard): Los clientes deberán poder ver, mediante un panel de control centralizado, qué proveedores externos acceden a sus datos, con la posibilidad de revocar dichos permisos en cualquier momento.
● Claridad en la responsabilidad: La PSD3 define con precisión quién es responsable en caso de fraude, un problema crónico bajo la PSD2, en el que bancos y proveedores externos se echaban mutuamente la culpa.
● Mejora de la SCA: La autenticación reforzada del cliente se diseñará de forma más amigable para el usuario, menos fricciones en los accesos autorizados, sin reducir el nivel de seguridad.
«La PSD2 abrió la puerta una rendija. La PSD3 la abre de par en par. La obligación de paridad de APIs es la diferencia decisiva: los bancos ya no podrán cerrarle la puerta a los proveedores externos por razones técnicas».
Norton Rose Fulbright, Análisis político sobre la PSD3, 2025
PSR: el reglamento que entra en vigor de inmediato
Paralelamente a la PSD3 (una directiva que debe transponerse al derecho nacional), entra en vigor el Reglamento sobre servicios de pago (PSR), un reglamento que, veinte días después de su publicación, será directamente aplicable en todos los Estados miembros de la UE. El PSR contiene los requisitos técnicos y operativos: estándares de APIs, reglas de autenticación y obligaciones de informe.
Para las empresas esto significa: los requisitos del PSR entrarán en vigor antes de lo esperado. Quien ofrezca o utilice servicios de pago deberá analizar tempranamente las especificaciones técnicas y lanzar proyectos de implementación antes de que expire el plazo.
Del open banking al open finance
La PSD3 es solo una pieza del rompecabezas. Paralelamente, la UE está elaborando el Reglamento sobre acceso a los datos financieros (FiDA), que extiende el principio del open banking a todo el sector financiero: seguros, fondos de pensiones, depósitos de valores y contratos de crédito. Los clientes obtendrán la misma soberanía sobre sus datos financieros que ya tienen respecto a sus cuentas bancarias.
Para las fintech y los proveedores de soluciones de gestión patrimonial (WealthTech), este es el verdadero avance. Una aplicación que agregue en tiempo real y de forma estructurada todas las cuentas bancarias, depósitos, pólizas de seguros y derechos de pensión de un cliente mediante APIs estandarizadas. Ese es el compromiso del open finance. Si se cumple mejor que el del open banking dependerá de si la UE ha aprendido de los errores de la PSD2.
Qué deben hacer ahora las empresas
Aunque la PSD3 no será plenamente aplicable hasta 2028, ahora es el momento adecuado para prepararse. Los bancos deberían examinar su infraestructura de APIs para verificar su paridad con sus propios canales digitales. Las fintech deberían integrar los ampliados derechos de acceso a los datos en su planificación de productos. Y las empresas que utilizan servicios de pago deberían comprender tempranamente los requisitos del PSR.
Las empresas que más se beneficiarán serán aquellas que inviertan ahora en infraestructuras compatibles con APIs y que entiendan el open banking no como una obligación de cumplimiento, sino como un modelo de negocio.
Preguntas frecuentes
¿Cuál es la diferencia entre PSD3 y PSR?
La PSD3 es una directiva de la UE que debe transponerse al derecho nacional (plazo de 18 meses). El PSR es un reglamento de la UE que entra en vigor directamente, veinte días después de su publicación, sin necesidad de transposición nacional. El PSR contiene los detalles técnicos; la PSD3 establece el marco jurídico general.
¿Cuándo entra en vigor la PSD3?
Su publicación se prevé para la primera mitad de 2026. Tras un plazo de transposición nacional de 18 meses, la PSD3 será probablemente aplicable a partir del segundo o tercer trimestre de 2028. El PSR entrará en vigor mucho antes: directamente tras su publicación.
¿Por qué ha fracasado hasta ahora el open banking en Alemania?
Tres razones principales: los bancos tenían escasos incentivos para ofrecer buenas APIs (los proveedores externos como competidores potenciales), la autenticación reforzada del cliente era demasiado engorrosa y la falta de estandarización dio lugar a un panorama fragmentado de APIs. La PSD3 aborda los tres problemas.
¿Qué significa paridad de APIs?
Los bancos deben garantizar que sus APIs para proveedores externos sean tan estables, rápidas y funcionales como sus propios canales de banca online y aplicaciones móviles. Los informes trimestrales sobre disponibilidad y latencia hacen medible su cumplimiento.
¿Qué es el open finance y cómo se diferencia del open banking?
El open banking se limita a las cuentas bancarias y los servicios de pago. El open finance (regulado mediante la FiDA) amplía dicho principio a todo el sector financiero: seguros, pensiones, inversiones y créditos. Su objetivo es lograr una soberanía total sobre los datos de todos los productos financieros.
Lecturas adicionales
- Qué pueden aprender los bancos tradicionales de los neobancos
- Estado digital: la administración alemana en el siglo XXI
- Cybersec Europe 2026: la conferencia de seguridad de Bruselas (SecurityToday)
- FinOps: cómo controlar los costes en la nube (cloudmagazin)
Fuente de imagen: Pexels / Monstera Production
