Skip to content
Plăți · Fintech

API-uri de plată cu cardul: bănci și procesatori pentru ecommerce customStudiu comparativ verificat din surse oficiale — 10 furnizori, scoring ponderat și recomandări pe segmente de business

Dan Cristian Alexandrescu · Websem3 iunie 2026v1.0Acceptare carduri · ecommerce38 min

Rezumat executiv

Studiul analizează zece furnizori de acceptare carduri online pentru un magazin care implementează plata în propriul cod (modul custom) în România: cinci bănci cu gateway/API (Banca Transilvania, ING, Libra, BCR/Global Payments, UniCredit) și cinci procesatori/PSP (Netopia, PayU, Stripe, EuPlătesc, Twispay/xMoney).

  • Pe Developer Experience conduc procesatorii: Stripe (4.55) este etalonul tehnologic, Netopia (4.50) liderul local, PayU România (4.50) cel mai bun dev portal EN cu OAuth 2.0.
  • Dintre bănci, integrarea custom realmente accesibilă o au ING WebPay (4.00, comision public 0,8%), BT iPay (3.90, module open-source), BCR/GP Webpay (3.90) și Libra/LibraPay (3.90, manual public).
  • BCR procesează 100% prin Global Payments (GP Webpay), iar UniCredit prin Mastercard MPGS — API-ul nu e al băncii, ci al procesatorului terț.
  • Shopify Payments este acum disponibil în România (iunie 2026); premisa istorică „nu se poate” nu mai e validă.
  • Recomandare RO: Netopia sau PayU pentru un modul custom (DX bun + metode locale); ING WebPay / BT iPay pentru cont direct la bancă; Stripe pentru internațional.
02 · Cum am evaluat

Metodologie

Au fost incluși furnizorii care: (a) acceptă carduri online pentru comercianți din RO; (b) pun la dispoziție un mijloc de integrare în cod custom (API, SDK, manual tehnic public sau plugin oficial cu hooks); (c) sunt activi și licențiați în RO. Furnizorii fără niciun mijloc public de integrare au fost retrogradați la mențiuni de context.

De ce „bănci + procesatori” și nu doar bănci: un „top 10 bănci cu API public” nu poate fi completat onest — doar câteva bănci expun efectiv un API/manual; restul rutează prin procesatori. Procesatorii/PSP sunt cei care, în practică, oferă API-urile folosite de dezvoltatori.

Un API de plată „modern” în 2026 include: REST cu JSON, autentificare prin API keys/OAuth 2.0, OpenAPI, sandbox self-service, webhooks/IPN semnate (HMAC/RSA), 3-D Secure 2, tokenizare/card-on-file, recurențe, auth+capture separat, refund total/parțial prin API, SDK-uri și plugin-uri oficiale. Conformitatea PCI-DSS și SCA (PSD2) este obligatorie.

03 · Profile sintetice

Cei 10 furnizori

Legenda capabilităților: 3DS2 · Token = tokenizare/card-on-file · Recurent = plăți recurente · Capture = auth+capture separat · Refund · IPN = webhooks/notificări semnate. DA = confirmat oficial · N/C = neconfirmat public.

Stripe

4.55

Procesator / PSP · SUA · RO activ

API REST + OpenAPI, SDK în 7+ limbaje, sandbox instant

3DS2TokenRecurentCaptureRefundIPN

Netopia (mobilPay)

4.50

Procesator / PSP · România · lider local

API v2 JSON, Apple/Google Pay, Click to Pay, app Shopify oficial

3DS2TokenRecurentCaptureRefundIPN

PayU România

4.50

Procesator / PSP · RO · grup PayU

OAuth 2.0, dev portal EN, BNPL/rate, payouts

3DS2TokenRecurentCaptureRefundIPN

ING WebPay

4.00

Bancă · gateway propriu · RO

Comision public 0,8%, cod PHP de referință, decontare T+1

3DS2TokenRecurentCaptureRefundIPN

BT iPay

3.90

Bancă · gateway propriu · RO · pe infra SIBS

Module open-source oficiale, 1/2-phase, card-on-file

3DS2TokenRecurentCaptureRefundIPN

BCR / GP Webpay

3.90

Bancă · Global Payments · RO · procesator terț

Developer Zone complet, Apple/Google Pay, multi-currency

3DS2TokenRecurentCaptureRefundIPN

Libra (LibraPay)

3.90

Bancă · gateway propriu · RO

Manual tehnic public complet, IPN asincron, T+1; HMAC-SHA1

3DS2TokenRecurentCaptureRefundIPN

EuPlătesc

3.65

Procesator / PSP · RO · licență IP BNR

Integrare rapidă + app Shopify, scutit de TVA; HMAC_MD5 default

3DS2TokenRecurentCaptureRefundIPN

Twispay / xMoney

3.60

Procesator · EMI · RO · primul EMI BNR

REST API documentat, SDK PHP/Node, opțiune crypto (xMoney)

3DS2TokenRecurentCaptureRefundIPN

UniCredit (MPGS)

3.40

Bancă · Mastercard MPGS · RO · procesator terț

API standard Mastercard MPGS, plug-and-play Fingent

3DS2TokenRecurentCaptureRefundIPN
04 · Matrice

Tabel comparativ complet

4.1 Caracteristici tehnice de bază

Yes = confirmatN/C = neconfirmatPartial = parțial
Caracteristici tehnice API
FurnizorTipAPIAutentificareSandboxOpenAPISDKDoc publică
StripePSPPropriuAPI keys / OAuthDADAMulte limbajeDA (EN)
NetopiaPSPPropriuAPI token / RSADAN/CPHP/Node/Py/Go/Ruby/JavaDA (portal)
PayU ROPSPPropriuOAuth 2.0DAParțialAndroid/iOS + RESTDA (EN)
ING WebPayBancăPropriuCredențiale WebPayDAN/CCod PHP referințăLa cerere
BT iPayBancăPropriu (SIBS)user/parolă + keyDAN/CPHP + moduleGitHub / contract
BCR / GP WebpayBancăTerț (Global Payments)Credențiale + semnăturăDAN/CScripturi PHP/JavaDA (Dev Zone)
EuPlătescPSPPropriuMID+KEY (HMAC)DAN/CComunitar (Node)Limitată
Twispay/xMoneyPSP (EMI)PropriuSecret key + HMACDAN/CPHP, Node.jsDA
UniCreditBancăTerț (MPGS)Credențiale MPGSDAN/CMPGS / FingentDA (MPGS)
LibraPayBancăPropriuHMAC-SHA1DAN/CDemo-kit .NET/PHPDA (PDF)

4.2 Acoperire funcțională API

Yes = confirmatN/C = neconfirmatPartial = parțial
Acoperire funcțională
Furnizor3DS2TokenRecurentCaptureRefundIPNApple PayGoogle Pay
StripeDADADADADADADADA
NetopiaDADADAN/CDADADADA
PayU RODADADADADADADADA
ING WebPayDADADAN/CDADAN/CDA
BT iPayDADADADADADAN/CN/C
BCR / GP WebpayDADADADADADADADA
EuPlătescDADADAN/CDADADAN/C
Twispay/xMoneyDADADAN/CDADAN/CN/C
UniCreditDADADADADADAN/CN/C
LibraPayDAN/CDAN/CN/CDAN/CN/C
05 · Evaluare cantitativă

Scoring matrix

Șapte categorii ponderate: Funcționalitate API 25%, Developer Experience 20%, Securitate & conformitate 15%, Integrări ecommerce 15%, Metode de plată 10%, Cost & decontare 10%, Documentație & suport 5%. Scorurile reflectă maturitatea confirmabilă; elementele N/C au fost penalizate prudent.

Stripe
4.55
Netopia (mobilPay)
4.50
PayU România
4.50
ING WebPay
4.00
Banca Transilvania (BT iPay)
3.90
BCR / GP Webpay
3.90
Libra (LibraPay)
3.90
EuPlătesc
3.65
Twispay / xMoney
3.60
UniCredit (MPGS)
3.40

Diferențele din vârf sunt mici și reflectă în principal Developer Experience și metodele de plată, nu funcționalitatea de bază (pe care aproape toți o au). Stripe conduce tehnologic dar pierde la metode locale și cost pe RO; Netopia și PayU sunt cele mai echilibrate alegeri locale; băncile cu API propriu (ING, BT, Libra) sunt foarte competitive la cost și decontare.

06 · Avantaje și potrivire

Criterii descriptive

Stripe are cel mai bun DX absolut, dar comision mai mare pe RO și fără metode locale. Netopia e liderul local (API v2, 6 SDK-uri, Apple/Google Pay, app Shopify). PayU oferă OAuth 2.0 și dev portal EN solid, dar are dualitate de documentație (GPO vs legacy).

Dintre bănci, ING WebPay e singura cu comision public (0,8%) și cod PHP de referință; BT iPay are cele mai mature module open-source oficiale; BCR/GP Webpay are Developer Zone complet (API-ul e al Global Payments); Libra/LibraPay are manual tehnic public complet, dar pe HMAC-SHA1. EuPlătesc, Twispay/xMoney și UniCredit/MPGS completează plutonul.

07 · Platforme

Analiză ecommerce

Shopify Payments este acum disponibil în România (iunie 2026): Visa/MC/Maestro/Amex + Apple/Google Pay/Shop Pay, payout RON sau EUR la T+3. Totuși, Netopia și EuPlătesc au app oficial în Shopify App Store, preferate de multe magazine RO pentru metode locale (rate, transfer, BT Pay) și conversie mai bună.

Cea mai largă acoperire oficială multi-platformă (plugin oficial pe 4+ platforme self-hosted): Netopia, BCR/GP Webpay, LibraPay, BT iPay, ING. Băncile clasice fără API public (BRD, Raiffeisen, CEC, Alpha, Garanti) nu au plugin propriu brandat — se integrează prin procesatorul lor (Romcard/SIBS).

08 · Fluxuri

Analiză API detaliată

Fluxul „hosted/redirect” tipic în RO: (1) magazinul construiește un payload (sumă, valută, ID comandă, URL retur/IPN) și îl semnează (HMAC sau RSA); (2) clientul e redirecționat la pagina securizată a furnizorului; (3) se face 3DS2/SCA; (4) furnizorul trimite un IPN/webhook semnat către server (independent de browser), pe care îl validezi; (5) refund/capture se fac ulterior prin API.

Autentificare modernă: Stripe (API keys + OAuth Connect), PayU (OAuth 2.0), restul folosesc semnături HMAC/RSA pe form-post. Niciun furnizor RO nu publică transparent rate-limits sau SLA — tratează IPN-ul ca sursă de adevăr, implementează idempotență pe ID comandă și retry pe webhook.

09 · Verdict

Analize individuale

Stripe (4.55)

Standardul tehnologic. Alege-l dacă vinzi internațional sau vrei cel mai curat API. Compromis: cost mai mare și lipsa metodelor locale RO.

Netopia / mobilPay (4.50)

Cea mai sigură alegere locală generalistă: DX bun, metode locale complete, Apple/Google Pay, comision sub 1%, plugin pe orice platformă.

PayU România (4.50)

Egalul Netopia pe partea tehnică, cu OAuth 2.0 și dev portal EN; preferat unde contează BNPL/rate și payouts. Atenție la dualitatea docs (GPO vs legacy).

ING WebPay (4.00)

Cea mai transparentă bancă (0,8% public, T+1, cod PHP). Excelentă dacă ai deja relație cu ING și vrei cost previzibil + integrare custom.

BT iPay (3.90)

Cea mai bună bancă pentru dezvoltatori prin modulele open-source oficiale. Lipsa AMEX și settlement T+2 sunt minusuri minore.

BCR / GP Webpay (3.90)

Soluție matură enterprise prin Global Payments, cu Developer Zone complet și Apple/Google Pay. Bună pentru comercianți mari deja la BCR.

Libra / LibraPay (3.90)

Singura bancă RO cu manual tehnic public complet și settlement T+1. Atenție la HMAC-SHA1 (algoritm vechi).

EuPlătesc (3.65)

Veteran local, foarte rapid de pornit, licențiat IP, scutit de TVA. Compromis: DX clasic (form-post) și semnătură implicită slabă (HMAC_MD5).

Twispay / xMoney (3.60)

EMI licențiat cu REST API decent și opțiune crypto; bun pentru nișe, dar ecosistem de plugin-uri mai îngust.

UniCredit / MPGS (3.40)

API Mastercard robust și internațional, dar documentație generică și mai puțin RO-specifică; potrivit dacă ești deja la UniCredit.

10 · Clasamente

Top 3 pe categorii

Developer Experience

  1. StripeOpenAPI, SDK multiple, sandbox instant, docs excelente
  2. PayU RomâniaOAuth 2.0, dev portal EN, Postman, REST complet
  3. NetopiaAPI v2 JSON, 6 SDK-uri oficiale, plugin-uri pe tot

Piața locală RO

  1. NetopiaMetode locale + Apple/Google Pay + Click to Pay
  2. PayU RomâniaCarduri + BNPL/rate + online banking, retail-grade
  3. EuPlătescRapid de pornit, rate, transfer, scutit de TVA

Cont direct la bancă

  1. ING WebPay0,8% public, T+1, 0 taxă implementare
  2. Libra / LibraPayT+1, manual public, demo-kit
  3. BT iPayModule open-source, cea mai mare bancă RO

Recurențe / abonamente

  1. StripeBilling / Subscriptions, cel mai complet
  2. PayU RomâniaMulti-use token + MIT bine documentate
  3. NetopiaToken recurring / one-click

Cross-border

  1. StripeAcoperire globală, multi-currency, BNPL internațional
  2. PayPalAcoperire globală + încredere cumpărători
  3. BCR / GP WebpayMulti-currency, infra Global Payments
11 · Pentru cine

Recomandări pe segmente

Magazine mici / startup

Netopia sau EuPlătesc (app/plugin oficial, onboarding rapid, metode locale). Dacă echipa e tehnică și vinzi și extern, Stripe. Pentru modul custom, folosește fluxul hosted/redirect (PCI minim, SAQ A).

Magazine medii

PayU sau Netopia ca gateway principal, eventual cu un al doilea de rezervă. Cu volum bun și relație bancară, evaluează ING WebPay (0,8%) sau BT iPay. Tokenizare pentru one-click + IPN robust cu idempotență.

Enterprise

Strat intern de payment orchestration peste 2–3 furnizori: un acquirer bancar (BCR/GP, BT, ING) pentru cost RO + Stripe/PayU pentru internațional și recurențe + fallback automat. Negociază comisioane pe volum și SLA.

Cross-border ecommerce

Stripe ca nucleu (multi-currency, BNPL, SCA), completat cu PayPal pentru încrederea cumpărătorilor și un gateway local (Netopia/PayU) pentru clienții RO (rate, transfer).

Marketplace-uri

Stripe Connect (split payments, payouts către vânzători) este cel mai matur; PayU are payouts; Smart2Pay/Nuvei pentru enterprise cu multe metode. Verifică cerințele de licențiere dacă reții fonduri.

13 · Transparență

Limitările cercetării

  • Datele reflectă iunie 2026; API-urile, comisioanele și licențele se schimbă — reverifică pe sursele oficiale.
  • Multe bănci (BRD, Raiffeisen, CEC, Alpha, Garanti) și unele detalii devin accesibile doar după contract de comerciant.
  • Comisioanele și settlement-ul sunt rareori publicate (negociate per-merchant); cifrele sunt orientative.
  • Auth+capture, OpenAPI, Apple/Google Pay, rate-limits/SLA și unele plugin-uri rămân N/C la furnizorii locali.
  • Studiul acoperă acceptarea de carduri, nu Open Banking PSD2/PIS (plată din cont), exclus explicit din scop.