PSD3 y PSR: la nueva normativa europea que reforzará la protección frente al fraude bancario online

Europa prepara una de las mayores reformas financieras y digitales de los últimos años. La futura PSD3 (Tercera Directiva de Servicios de Pago) y el nuevo Reglamento de Servicios de Pago (PSR) transformarán por completo la forma en la que bancos, plataformas online y proveedores de pago deberán actuar frente al fraude bancario y las estafas digitales.

La nueva normativa europea busca responder al crecimiento masivo de:

• phishing,
• smishing,
• spoofing,
• robo de credenciales,
• transferencias fraudulentas,
• y fraudes de ingeniería social.

La realidad es preocupante: las estafas informáticas ya representan cerca del 90% de toda la ciberdelincuencia registrada en España.

¿Cuándo entrará en vigor la PSD3?

La PSD3 se encuentra actualmente en fase avanzada de tramitación europea.

Las previsiones actuales apuntan a:

• adopción definitiva del texto legal durante la primera mitad de 2026,
• y aplicación obligatoria entre finales de 2027 y principios de 2028.

Tras su aprobación, los Estados miembros deberán adaptar sus legislaciones nacionales para implementar completamente la nueva normativa.

La PSD3 cambiará la responsabilidad de los bancos frente al fraude

Uno de los cambios más importantes es que Europa quiere dejar de trasladar prácticamente toda la responsabilidad al consumidor cuando se produce una estafa sofisticada.

La nueva normativa endurece notablemente las obligaciones de bancos y proveedores de servicios de pago.

Verificación obligatoria entre nombre e IBAN

Uno de los pilares de la reforma será el denominado “IBAN/Name Check”.

Los bancos deberán verificar obligatoriamente que:

• el IBAN coincide realmente con el titular de la cuenta,
• y que el nombre introducido por el usuario corresponde al beneficiario real.

Si existe una discrepancia, el sistema deberá advertir claramente al cliente antes de ejecutar la transferencia.

Esta medida pretende combatir especialmente:

• fraudes “man-in-the-middle”,
• manipulación de facturas,
• suplantaciones de proveedores,
• y transferencias desviadas por ciberdelincuentes.

Mayor responsabilidad de las entidades financieras

La PSD3 refuerza el deber de diligencia de los bancos.

Si una entidad financiera:

• no detecta operaciones claramente sospechosas,
• no aplica medidas razonables de seguridad,
• o no verifica correctamente los datos del beneficiario,

podrá ser considerada responsable del importe íntegro defraudado.

Europa quiere obligar a las entidades a desplegar sistemas mucho más avanzados de:

• monitorización,
• análisis de riesgo,
• detección de patrones anómalos,
• y prevención del fraude en tiempo real.

Reembolsos más amplios para víctimas de phishing y spoofing

Otro de los grandes cambios será la ampliación de los derechos de reembolso para víctimas de fraude online.

La PSD3 facilitará las reclamaciones en casos de:

• phishing bancario,
• ingeniería social,
• spoofing telefónico,
• SMS fraudulentos,
• y suplantación de identidad digital.

La normativa parte de una idea cada vez más aceptada por tribunales europeos:

ser víctima de un fraude sofisticado no implica automáticamente negligencia grave.

También aumentará la responsabilidad de plataformas online

La reforma europea no solo apunta a los bancos.

La PSD3 y el PSR también aumentarán la presión sobre plataformas digitales y servicios online que permitan la difusión de contenido fraudulento.

Las plataformas podrían asumir responsabilidades si:

• son informadas de anuncios fraudulentos,
• detectan actividad ilícita,
• o mantienen publicaciones claramente vinculadas a estafas financieras sin actuar rápidamente.

Este punto podría afectar especialmente a:

• redes sociales,
• plataformas publicitarias,
• servicios de mensajería,
• y entornos digitales utilizados para captar víctimas.

Los tribunales españoles ya están endureciendo el criterio contra los bancos

Mientras Europa avanza con la PSD3, la jurisprudencia española también está evolucionando.

Cada vez más audiencias provinciales y juzgados consideran que:

• los bancos tienen una obligación reforzada de seguridad,
• deben detectar operaciones anómalas,
• y no pueden escudarse únicamente en la doble autenticación.

La Sentencia 571/2025 del Tribunal Supremo marcó un antes y un después al cuestionar directamente las medidas de seguridad aplicadas por la entidad bancaria en un caso de phishing.

El Alto Tribunal dejó claro que:

• la mera cesión de datos por parte de la víctima no basta para exonerar automáticamente al banco,
• y que las entidades deben desplegar mecanismos preventivos eficaces frente al fraude.

La banca digital entra en una nueva etapa

La PSD3 representa un cambio estructural en el modelo de seguridad financiera europeo.

Durante años, gran parte del riesgo tecnológico fue trasladado al consumidor.

Ahora Europa pretende imponer un modelo distinto:

• más obligaciones para los bancos,
• mayor protección para las víctimas,
• más controles preventivos,
• y responsabilidad compartida frente al fraude digital.

Qué debes hacer si has sido víctima de fraude bancario

Si has sufrido phishing, spoofing o una transferencia fraudulenta:

• denuncia inmediatamente,
• comunica el fraude a tu banco,
• recopila pruebas y capturas,
• solicita el bloqueo de cuentas y tarjetas,
• y busca asesoramiento especializado cuanto antes.

En Victifin seguimos trabajando para informar, prevenir y ayudar a víctimas de estafas financieras y fraude online.

Puedes contactar con nosotros en:

[email protected]