شرح توجيه خدمات الدفع PSD3: التغييرات الرئيسية في مدفوعات الاتحاد الأوروبي والخدمات المصرفية المفتوحة

تُتداول المدفوعات الإلكترونية في الاتحاد الأوروبي بقيمة تقارب 240 تريليون يورو سنوياً، ويجري حالياً إعادة صياغة القواعد التي تحكمها.

يحلّ توجيه خدمات الدفع الثالث (PSD3) محلّ توجيه خدمات الدفع الثاني (PSD2) بالكامل. ولا يقتصر دوره على تحديث القواعد القديمة فحسب، بل يربط التوجيه بنظام خدمات الدفع (PSR) المطبق مباشرةً، والذي يُزيل التباين الوطني الذي جعل توجيه خدمات الدفع الثاني غير متسق في أسواق الاتحاد الأوروبي. ومن أبرز التغييرات تعزيز الحماية من الاحتيال، وتوحيد واجهات برمجة تطبيقات الخدمات المصرفية المفتوحة، والتنظيم الصريح لرموز النقود الإلكترونية وخدمات الدفع بالعملات المشفرة.

تم التوصل إلى اتفاق سياسي مؤقت في نوفمبر 2025. ومن المتوقع نشر الجريدة الرسمية للاتحاد الأوروبي في الربع الثاني من عام 2026. ويبدأ التنفيذ الكامل في عام 2028 تقريباً. وتُعد الفجوة الزمنية بين هذين التاريخين مهمة: إذ يُطبق نظام PSR بعد 20 يوماً من النشر، أي قبل وقت طويل من انتهاء الدول الأعضاء من نقل التوجيه إلى قوانينها الوطنية.

ما هو PSD3؟

يدير الاتحاد الأوروبي سوق المدفوعات لديه وفقًا للتوجيهات منذ عام 2007. وقد أرست توجيهات PSD1 الإطار الأساسي، تلتها توجيهات PSD2 في عام 2015، والتي أضافت مصادقة قوية للعملاء وإمكانية وصول الأطراف الثالثة من خلال الخدمات المصرفية المفتوحة. أما توجيهات PSD3 فهي الجيل الثالث، وتُمثل تغييرًا هيكليًا أكبر من التوجيهات السابقة.

على عكس الإصدارات السابقة، لا يعمل توجيه خدمات الدفع PSD3 بشكل منفرد، بل يأتي مصحوبًا بلوائح خدمات الدفع (PSR) التي تُطبق مباشرةً في جميع الدول الأعضاء في الاتحاد الأوروبي، دون الحاجة إلى أي تعديلات وطنية. في ظل توجيه خدمات الدفع PSD2، طبقت ألمانيا وفرنسا التوجيه نفسه بشكل مختلف، ما كان يتطلب من شركات التكنولوجيا المالية فهم كل سوق على حدة. أما في ظل لوائح خدمات الدفع، فقد تلاشت هذه الاختلافات، إذ أصبحت قواعد السلوك موحدة في كل مكان.

هناك تغييران آخران مهمان من الناحية الهيكلية:

• تم دمج توجيه الأموال الإلكترونية (EMD2)، الذي كان يحكم مؤسسات الأموال الإلكترونية بشكل منفصل، في توجيه خدمات الدفع PSD3. أصبحت مؤسسات الأموال الإلكترونية فئة فرعية من مؤسسات الدفع ضمن إطار عمل واحد.
• تدخل رموز النقود الإلكترونية، أي العملات المستقرة المشفرة المستخدمة لأغراض الدفع، حيز تنظيم خدمات الدفع في الاتحاد الأوروبي لأول مرة.

PSD3 مقابل PSD2: ما الذي تغير

شهدت ستة مجالات تحديثات جوهرية بين PSD2 وPSD3:

إنّ الانتقال من التوجيهات فقط إلى التوجيهات واللوائح التنظيمية له أهمية أكبر مما يبدو. فقد تعاملت شركة تقنية مالية تعمل في ألمانيا وفرنسا وهولندا سابقًا مع ثلاث نسخ مختلفة من القانون نفسه. أما بموجب توجيه خدمات الدفع (PSD3) ولوائح تنظيم خدمات الدفع (PSR)، فإنّ قواعد السلوك متطابقة في جميع الدول الأعضاء.

التحقق من رقم الحساب المصرفي الدولي (IBAN) والمسؤولية عن الاحتيال في التطبيقات

يستهدف اثنان من أهم الأحكام التجارية في توجيه خدمات الدفع PSD3 الاحتيال، وتحديداً الاحتيال في عمليات الدفع المصرح بها (APP)، حيث يتم التلاعب بالعملاء لإرسال الأموال طواعية إلى حساب إجرامي.

يُعدّ التحقق من تطابق اسم المستفيد مع رقم الحساب المصرفي الدولي (IBAN) الآلية الأولى. إذ يجب على مزودي خدمات الدفع التحقق من تطابق اسم المستفيد مع رقم حسابه المصرفي الدولي قبل تنفيذ أي تحويل مالي. ويتم هذا التحقق في غضون ثوانٍ معدودة، وهو مجاني للمستهلكين. ويُحاكي هذا النظام نظام تأكيد المستفيد (CoP) في المملكة المتحدة، والذي ساهم بشكل كبير في الحد من عمليات الاحتيال عبر تطبيقات الدفع الإلكتروني (APP) بعد إطلاقه عام 2020. ويسري هذا الشرط بعد 24 شهرًا من دخول توجيه خدمات الدفع (PSD3) حيز التنفيذ، والمتوقع أن يكون ذلك في عام 2028 تقريبًا.

يُعدّ نقل المسؤولية الآلية الثانية. ففي ظل توجيه خدمات الدفع PSD2، كان عبء الإثبات في قضايا الاحتيال المتعلقة بتطبيقات الدفع المسبق يقع عادةً على عاتق الضحايا لإثبات عدم موافقتهم. أما توجيه خدمات الدفع PSD3 فيعكس هذا الوضع.

1. أبلغ العميل عن معاملة غير مصرح بها أو تم إجراؤها بطريقة احتيالية
2. لدى مزود خدمة الدفع 14 يوم عمل لمعالجة طلب استرداد الأموال
3. يجب على مزود خدمة الدفع الإلكتروني رد المبلغ بالكامل ما لم يتمكن من إثبات أن العميل قد تصرف بطريقة احتيالية أو بإهمال جسيم.
4. يتحمل مقدمو خدمات الدفع الذين يفشلون في تطبيق ضوابط كافية لمكافحة الاحتيال، بما في ذلك التحقق من رقم الحساب المصرفي الدولي (IBAN)، المسؤولية الافتراضية عن الخسائر.
5. حالات التلاعب من جانب جهة الدفع: إذا لم تُبلغ جهة تقديم خدمات الدفع عن عدم تطابق الاسم/رقم الحساب المصرفي الدولي (IBAN)، فإنها تتحمل الخسارة بغض النظر عن العوامل الأخرى.

تواجه المؤسسات التي تجاهلت النية الصريحة لتوجيه خدمات الدفع الإلكتروني (PSD2) بشأن المسؤولية عن الاحتيال، الآن مسؤولية مالية إلزامية. هذا ليس مجرد إجراء شكلي للامتثال، بل هو حافز مباشر للاستثمار في البنية التحتية لمكافحة الاحتيال.

معايير الخدمات المصرفية المفتوحة وواجهات برمجة التطبيقات

واجهت طموحات توجيه خدمات الدفع PSD2 في مجال الخدمات المصرفية المفتوحة عقبة عملية: فقد طبّقت البنوك واجهات برمجة التطبيقات (APIs) بالطريقة التي تراها مناسبة. وواجه مزودو خدمات الطرف الثالث (TPPs)، وهم شركات التكنولوجيا المالية التي تعتمد على بيانات البنوك، عشرات التطبيقات غير المتوافقة في أسواق الاتحاد الأوروبي. فعلى سبيل المثال، استخدمت شركة تكنولوجيا مالية فرنسية للوصول إلى بيانات بنكية ألمانية واجهة مختلفة تمامًا عن تلك التي استخدمتها في إسبانيا.

يُعالج نظام PSD3 هذا الأمر من خلال التوحيد الإلزامي:

• يجب على مزودي خدمات الدفع الذين يقدمون خدمات إدارة الحسابات (ASPSPs) توفير واجهات مخصصة تلبي المواصفات الموحدة للاتحاد الأوروبي
• يتعين على البنوك نشر تقارير أداء ربع سنوية حول وقت تشغيل واجهة برمجة التطبيقات (API) وزمن الاستجابة ومعدلات الخطأ
• في حال تعطل واجهة برمجة التطبيقات الأساسية، يحصل مزودو خدمات الدفع الخارجيون على إمكانية الوصول الاحتياطية إلى واجهة العميل القياسية للبنك.
• أصبحت لوحات معلومات موافقة العملاء إلزامية - حيث يمكن للمستخدمين معرفة الجهات الخارجية التي لديها حق الوصول إلى حساباتهم وإلغاء الإذن في الوقت الفعلي.
• يجب أن تكون الواجهات المخصصة موثوقة بما يكفي لاستبعاد "استخراج البيانات من الشاشة" كطريقة احتياطية.

بالنسبة للبنوك، يعني هذا مساءلة حقيقية عن جودة واجهات برمجة التطبيقات (APIs) التي كانت في السابق اختيارية ويتم تجاهلها إلى حد كبير. أما بالنسبة لشركات التكنولوجيا المالية، فيعني ذلك وصولاً متسقاً وقابلاً للتدقيق عبر أسواق الاتحاد الأوروبي.

التحقق القوي من هوية العملاء بموجب توجيه خدمات الدفع الإلكتروني (PSD3)

تطلّبت قواعد المصادقة القوية للعملاء (SCA) في توجيه خدمات الدفع PSD2 عاملَي مصادقة مُستمدّين من فئتين منفصلتين على الأقل: شيء تعرفه (رقم التعريف الشخصي، كلمة المرور)، أو شيء تملكه (جهاز، بطاقة)، أو شيء أنت عليه (بيانات بيومترية). أما توجيه خدمات الدفع PSD3 فيُبقي على شرط العاملين، ولكنه يُلغي شرط الفئات.

المعيار الجديد هو "الاستقلالية"، وليس فصل الفئات. يُعتبر عاملان متوافقين طالما أن المساس بأحدهما لا يُؤثر تلقائيًا على الآخر. وهذا يُعدّ مكسبًا حقيقيًا لمزودي خدمات الدفع الذين أُجبروا على تجربة مستخدم غير عملية لتلبية قاعدة فئة لم تُضف الكثير من الأمان الفعلي.

تُعدّ المعاملات التي يبدأها التاجر الأكثر تأثراً من الناحية العملية. ففي ظل توجيه خدمات الدفع PSD2، كانت الرسوم المتكررة بعد إعداد المصادقة القوية للعملاء (SCA) الأولي غير واضحة المعالم، إذ لم تُصمّم القواعد خصيصاً لفواتير الاشتراكات. أما توجيه خدمات الدفع PSD3 فيُنهي هذا الغموض، حيث تغطي المصادقة القوية للعملاء عند إنشاء التفويض العلاقة المستمرة، ولا تتطلب الرسوم التلقائية اللاحقة إعادة مصادقة.

كما تم توضيح آلية التشفير الرمزي. يتم الآن تفعيل المصادقة القوية للعملاء (SCA) فقط عندما يشارك حامل البطاقة بنشاط في إعداد الرمز المميز. وبمجرد إنشاء الرمز المميز، لا تتطلب المعاملات التي تتم باستخدامه مصادقة جديدة لكل عملية شراء.

يستمر الربط الديناميكي من توجيه خدمات الدفع PSD2، حيث لا يزال رمز المصادقة مرتبطًا بمبلغ المعاملة المحدد والمستفيد. كما يوفر نظام تنظيم خدمات الدفع (PSR) إرشادات أوضح بشأن استثناءات المصادقة القوية للعملاء (SCA)، مما يُفترض أن يقلل من التباين بين الأسواق في كيفية تطبيق الاستثناءات بموجب التوجيه وحده.

توجيه خدمات الدفع الإلكتروني (PSD3)، والمدفوعات بالعملات المشفرة، ورموز النقود الإلكترونية

تتجاهل معظم أدلة توجيه خدمات الدفع PSD3 هذا القسم تمامًا، أو تتناوله في جملة واحدة. إن العلاقة بين توجيه خدمات الدفع PSD3 والعملات المشفرة علاقة جوهرية وليست هامشية، فهي تؤثر على أي شركة تعالج مدفوعات العملات المشفرة في الاتحاد الأوروبي.

نقطة البداية هي رموز النقود الإلكترونية. بموجب قانون MiCA، وهو قانون الاتحاد الأوروبي الخاص بالأصول المشفرة والذي دخل حيز التنفيذ عام 2024، تُصنف العملات المستقرة المرتبطة بعملة ورقية واحدة كرموز نقود إلكترونية عند استخدامها لأغراض الدفع. على سبيل المثال، كان يُستخدم USDC لتسوية فاتورة مقومة باليورو. يُدخل توجيه خدمات الدفع PSD3 هذه الرموز مباشرةً في إطار خدمات الدفع.

الوضع التنظيمي لمزود خدمة دفع العملات المشفرة في الاتحاد الأوروبي:

تكمن مشكلة التنظيم المزدوج في النقطة التي يقلل معظم فرق الامتثال من شأن تعقيدها. فمزود خدمة الأصول المشفرة (CASP) الحاصل على ترخيص من هيئة تنظيم صناعة العملات الرقمية (MiCA) والذي يصدر رموز النقود الإلكترونية، لا يحتاج تلقائيًا إلى ترخيص PSD3 منفصل. ولكن إذا كان يقدم أيضًا خدمات الدفع - إرسالًا واستلامًا ومعالجة - فإنه يخضع لطلب PSD3 مبسط. ولا يغطي النظامان بعضهما البعض تلقائيًا.

تُعدّ خدمة "اشتر الآن وادفع لاحقًا" فئة جديدة أخرى تمّ ضمّها. يواجه مقدّمو الخدمات الذين كانوا يعملون في منطقة رمادية تنظيمية في أسواق الاتحاد الأوروبي الآن متطلبات ترخيص رسمية من مؤسسات الدفع وقواعد كفاية رأس المال. وتزداد تكلفة الامتثال لهذا القطاع بشكل ملحوظ.

بالنسبة للشركات التي تقوم ببناء بنية تحتية للدفع بالعملات المشفرة، يعد Plisio مثالاً على بوابة دفع بالعملات المشفرة تتنقل في هذه البيئة التنظيمية - مما يتيح للتجار قبول العملات المشفرة مع تطور إطار امتثال الدفع في الاتحاد الأوروبي بموجب PSD3 و MiCA.

لمن ينطبق قانون خدمات الدفع PSD3؟

ينطبق كل من توجيه خدمات الدفع (PSD3) ولوائح خدمات الدفع (PSR) على أي كيان يقدم خدمات الدفع داخل الاتحاد الأوروبي، بغض النظر عن مكان تأسيسه. النطاق:

• المؤسسات الائتمانية (البنوك) التي تقدم خدمات الدفع
• مؤسسات الدفع - مزودو خدمات الدفع غير المصرفية بما في ذلك شركات التكنولوجيا المالية والبنوك الرقمية وشركات تحويل الأموال
• مؤسسات النقود الإلكترونية - تم دمجها الآن في إطار عمل مؤسسات الدفع
• مقدمو خدمات الشراء الآن والدفع لاحقًا - ضمن النطاق الجديد، رهناً بمتطلبات الترخيص ورأس المال
• مقدمو خدمات الأصول المشفرة الذين يقدمون خدمات الدفع - يخضعون لتنظيم مزدوج بموجب قانون رأس المال المشفر (MiCA) وتوجيه خدمات الدفع (PSD3).
• مقدمو الخدمات من الأطراف الثالثة (TPPs) - مقدمو خدمات معلومات الحساب (AISPs) ومقدمو خدمات بدء الدفع (PISPs)

تواجه المنصات والأسواق الإلكترونية تغييرًا جذريًا. ففي ظل توجيه خدمات الدفع PSD2، تجنّب العديد منها الحصول على ترخيص خدمات الدفع عبر "استثناء الوكيل التجاري"، مدعيةً أنها تعمل كوكلاء لكل من البائع والمشتري بدلًا من كونها جهات معالجة دفع. أما توجيه خدمات الدفع PSD3 فيُشدد هذا الاستثناء بشكل كبير. وستحتاج معظم المنصات التي تعتمد عليه إلى ترخيص رسمي من مزودي خدمات الدفع، ومتطلبات رأس المال، وإشراف تنظيمي مستمر - وهو تحوّل تشغيلي كبير بالنسبة لشركات الأسواق الإلكترونية التي بنت بنيتها التحتية على هذا الاستثناء.

الكيانات التي تتخذ من المملكة المتحدة مقراً لها: يُعدّ توجيه خدمات الدفع الإلكتروني (PSD3) قانوناً أوروبياً فقط. بعد خروج بريطانيا من الاتحاد الأوروبي، تُطبّق المملكة المتحدة إطار عملها الخاص بهيئة السلوك المالي (FCA). يتشابه نظام "اشتر الآن وادفع لاحقاً" (الذي تُطبّقه هيئة السلوك المالي اعتباراً من يوليو 2026) ونظام تأكيد المستفيد في المملكة المتحدة، إلا أن الشركات العاملة في كلا البلدين تواجه مسارات امتثال منفصلة تماماً.

الجدول الزمني لـ PSD3: متى يبدأ سريانه؟

يتم طرح نظام PSD3 على مراحل، وليس كمفتاح واحد:

1. 28 يونيو 2023 - نشرت المفوضية الأوروبية مقترحات توجيه خدمات الدفع (PSD3) ولوائح خدمات الدفع (PSR).
2. 27 نوفمبر 2025 — تم التوصل إلى اتفاق سياسي مؤقت بين البرلمان الأوروبي والمجلس
3. الربع الثاني من عام 2026 (تقديريًا) - النشر في الجريدة الرسمية للاتحاد الأوروبي؛ يدخل نظام تنظيم المنتجات البترولية حيز التنفيذ بعد 20 يومًا.
4. بعد مرور 18 شهرًا على دخولها حيز التنفيذ - الموعد النهائي للدول الأعضاء لنقل توجيه PSD3 إلى قوانينها الوطنية
5. بعد مرور 24 شهرًا على دخولها حيز التنفيذ ، يصبح شرط التحقق من رقم الحساب المصرفي الدولي (IBAN) / اسم المستفيد إلزاميًا (حوالي عام 2028).
6. بعد مرور 24-30 شهرًا من تاريخ الدخول — يتم الاحتفاظ بتصاريح PSD2 الحالية؛ ويمكن تمديدها إلى 30 شهرًا
7. الربع الثاني - الربع الثالث من عام 2028 (تقديريًا) - تطبيق كامل لتوجيهات PSD3/PSR؛ استبدال كامل لتوجيهات PSD2 وEMD2

لا تُعدّ فترة الانتقال البالغة 18 شهرًا فترة انتظار. تسري قواعد السلوك الخاصة بلوائح تنظيم المدفوعات (PSR) على مستوى الاتحاد الأوروبي بدءًا من اليوم العشرين من تاريخ النشر. ينبغي إجراء تحليل الفجوات مع لوائح تنظيم المدفوعات (PSR) - والذي يشمل تطبيق المصادقة القوية للعملاء (SCA)، وضوابط مكافحة الاحتيال، وبنية واجهات برمجة التطبيقات (API)، وترخيص العملات المشفرة بموجب قواعد التنسيق الخاصة بهيئة تنظيم الاتصالات (MiCA) - حاليًا.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.