Επεξήγηση του PSD3: Βασικές αλλαγές στις πληρωμές της ΕΕ και στο Open Banking
Οι ηλεκτρονικές πληρωμές στην ΕΕ έχουν ετήσια αξία περίπου 240 τρισεκατομμυρίων ευρώ. Οι κανόνες που τις διέπουν επανεξετάζονται.
Η PSD3, η Τρίτη Οδηγία για τις Υπηρεσίες Πληρωμών, αντικαθιστά πλήρως την PSD2. Δεν ενημερώνει απλώς τους παλιούς κανόνες — συνδυάζει την οδηγία με έναν άμεσα εφαρμόσιμο Κανονισμό για τις Υπηρεσίες Πληρωμών (PSR) που εξαλείφει την εθνική παραλλαγή που καθιστούσε την PSD2 ασυνεπή στις αγορές της ΕΕ. Οι κύριες αλλαγές είναι η ισχυρότερη προστασία από την απάτη, τα τυποποιημένα API ανοιχτής τραπεζικής και η ρητή ρύθμιση των διακριτικών ηλεκτρονικού χρήματος και των υπηρεσιών κρυπτοπληρωμής.
Μια προσωρινή πολιτική συμφωνία επιτεύχθηκε τον Νοέμβριο του 2025. Η δημοσίευση στην Επίσημη Εφημερίδα της ΕΕ αναμένεται το δεύτερο τρίμηνο του 2026. Η πλήρης εφαρμογή της οδηγίας τίθεται σε ισχύ γύρω στο 2028. Το κενό μεταξύ αυτών των ημερομηνιών έχει σημασία: η PSR ισχύει 20 ημέρες μετά τη δημοσίευση, πολύ πριν τα κράτη μέλη ολοκληρώσουν τη μεταφορά της οδηγίας στο εθνικό δίκαιο.
Τι είναι το PSD3;
Η ΕΕ λειτουργεί την αγορά πληρωμών της βάσει οδηγιών από το 2007. Η PSD1 θέσπισε το βασικό πλαίσιο. Η PSD2 ακολούθησε το 2015, προσθέτοντας ισχυρή επαλήθευση ταυτότητας πελατών και πρόσβαση τρίτων μέσω ανοιχτής τραπεζικής. Η PSD3 είναι η τρίτη γενιά — και αποτελεί μια μεγαλύτερη διαρθρωτική αλλαγή από οποιαδήποτε από τις δύο αυτές.
Σε αντίθεση με τους προκατόχους του, το PSD3 δεν είναι αυτόνομο. Συνοδεύεται από έναν Κανονισμό για τις Υπηρεσίες Πληρωμών (PSR) που ισχύει άμεσα σε κάθε κράτος μέλος της ΕΕ, χωρίς να απαιτείται μεταφορά στο εθνικό δίκαιο. Σύμφωνα με το PSD2, η Γερμανία και η Γαλλία εφάρμοσαν την ίδια οδηγία με διαφορετικό τρόπο. Ένας fintech έπρεπε να κατανοεί κάθε αγορά ξεχωριστά. Σύμφωνα με το PSR, αυτές οι διαφορές καταρρέουν — οι κανόνες δεοντολογίας είναι παντού ίδιοι.
Δύο άλλες αλλαγές έχουν δομική σημασία:
- Η Οδηγία για το Ηλεκτρονικό Χρήμα (EMD2), η οποία διέπει ξεχωριστά τα ιδρύματα ηλεκτρονικού χρήματος, ενσωματώνεται στην PSD3. Τα EMIs καθίστανται υποκατηγορία ιδρυμάτων πληρωμών στο πλαίσιο ενός ενιαίου πλαισίου.
- Τα ηλεκτρονικά κρυπτονομίσματα (e-money tokens), δηλαδή τα κρυπτονομίσματα stablecoins που χρησιμοποιούνται για σκοπούς πληρωμών, εντάσσονται για πρώτη φορά στον κανονισμό για τις υπηρεσίες πληρωμών της ΕΕ.
PSD3 vs PSD2: Τι άλλαξε
Έξι τομείς είδαν σημαντικές ενημερώσεις μεταξύ PSD2 και PSD3:
| Εκταση | PSD2 | PSD3 |
|---|---|---|
| Νομικό μέσο | Οδηγία (μεταφορά στο εθνικό δίκαιο) | Οδηγία + PSR (ομοιόμορφος κανονισμός της ΕΕ) |
| Πλαίσιο ΕΝΙ | Ξεχωριστή οδηγία EMD2 | Ενσωματώθηκε στο πλαίσιο του ιδρύματος πληρωμών |
| Απαιτήσεις SCA | Αυστηρές κατηγορίες παραγόντων | Αρχή της ανεξαρτησίας· μεγαλύτερη ευελιξία |
| Ανοιχτά API τραπεζικών συναλλαγών | Εθελοντικές μορφές, ασυνεπείς | Τυποποιημένες προδιαγραφές, υποχρεωτική αναφορά |
| Ευθύνη για απάτη μέσω APP | Ο πελάτης φέρει τον μεγαλύτερο κίνδυνο | Ο PSP ευθύνεται εκτός εάν αποδειχθεί βαριά αμέλεια |
| Κρυπτονομίσματα / ηλεκτρονικά νομίσματα | Δεν καλύπτεται | Ρητά εμπίπτει στο πεδίο εφαρμογής του PSR |
Η μετάβαση από την οδηγία μόνο στην οδηγία συν τη ρύθμιση έχει μεγαλύτερη σημασία από ό,τι ακούγεται. Ένα fintech που δραστηριοποιείται στη Γερμανία, τη Γαλλία και την Ολλανδία είχε προηγουμένως αντιμετωπίσει τρεις διαφορετικές μεταφερθείσες εκδόσεις του ίδιου νόμου. Σύμφωνα με την PSD3/PSR, οι κανόνες δεοντολογίας είναι πανομοιότυποι σε κάθε κράτος μέλος.
Επαλήθευση IBAN και Ευθύνη για Απάτη APP
Δύο από τις πιο εμπορικά σημαντικές διατάξεις του PSD3 στοχεύουν στην απάτη, και συγκεκριμένα στην απάτη Authorized Push Payment (APP), όπου οι πελάτες χειραγωγούνται ώστε να στέλνουν οικειοθελώς χρήματα σε έναν λογαριασμό με παράνομο τρόπο.
Η αντιστοίχιση ονομάτων IBAN είναι ο πρώτος μηχανισμός. Οι πάροχοι υπηρεσιών πληρωμών πρέπει να επαληθεύσουν ότι το όνομα του δικαιούχου πληρωμής ταιριάζει με το IBAN του πριν από την εκτέλεση μιας μεταφοράς πίστωσης. Ο έλεγχος πρέπει να ολοκληρωθεί εντός λίγων δευτερολέπτων και παρέχεται δωρεάν στους καταναλωτές. Αυτό αντικατοπτρίζει το σύστημα Επιβεβαίωσης Δικαιούχου (CoP) του Ηνωμένου Βασιλείου, το οποίο μείωσε σημαντικά την απάτη APP μετά την εφαρμογή του το 2020. Η απαίτηση τίθεται σε ισχύ 24 μήνες μετά την έναρξη ισχύος του PSD3, σύμφωνα με εκτιμήσεις γύρω στο 2028.
Η μετατόπιση ευθύνης είναι ο δεύτερος μηχανισμός. Σύμφωνα με το PSD2, το βάρος της απόδειξης σε υποθέσεις απάτης APP συνήθως έπεφτε στα θύματα για να αποδείξουν ότι δεν είχαν συναινέσει. Το PSD3 αντιστρέφει αυτό:
- Ο πελάτης αναφέρει μια μη εξουσιοδοτημένη ή δόλια προκληθείσα συναλλαγή
- Η PSP έχει 14 εργάσιμες ημέρες για να διεκπεραιώσει την αίτηση επιστροφής χρημάτων.
- Η PSP οφείλει να επιστρέψει το πλήρες ποσό, εκτός εάν μπορεί να αποδείξει ότι ο πελάτης ενήργησε δολίως ή με βαριά αμέλεια.
- Οι πάροχοι υπηρεσιών πληρωμών (PSP) που δεν εφαρμόζουν επαρκείς ελέγχους απάτης, συμπεριλαμβανομένης της επαλήθευσης του IBAN, αναλαμβάνουν την ευθύνη για τις ζημίες.
- Περιπτώσεις χειραγώγησης πληρωτή: εάν ο πάροχος υπηρεσιών πληρωμών δεν κοινοποίησε αναντιστοιχία ονόματος/IBAN, η ζημία βαρύνει τον ίδιο ανεξάρτητα από άλλους παράγοντες.
Τα ιδρύματα που αγνόησαν την ανοιχτή πρόθεση της PSD2 σχετικά με την ευθύνη για απάτη αντιμετωπίζουν τώρα υποχρεωτική οικονομική έκθεση. Αυτό δεν είναι απλώς ένα πλαίσιο ελέγχου συμμόρφωσης — είναι ένα άμεσο κίνητρο για επενδύσεις σε υποδομές απάτης.
Ανοιχτή Τραπεζική και Πρότυπα API
Οι φιλοδοξίες του PSD2 για ανοιχτές τραπεζικές συναλλαγές προσέκρουσαν σε ένα πρακτικό τείχος: οι τράπεζες εφάρμοσαν τα API όπως ήθελαν. Οι τρίτοι πάροχοι (TPPs), οι fintech που βασίζονταν σε τραπεζικά δεδομένα, αντιμετώπισαν δεκάδες ασύμβατες εφαρμογές σε όλες τις αγορές της ΕΕ. Μια γαλλική fintech που είχε πρόσβαση σε γερμανικά τραπεζικά δεδομένα λειτούργησε μέσω μιας εντελώς διαφορετικής διεπαφής από αυτήν που χρησιμοποιούσε στην Ισπανία.
Το PSD3 διορθώνει αυτό το πρόβλημα με υποχρεωτική τυποποίηση:
- Οι Πάροχοι Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμών (ASPSP) πρέπει να προσφέρουν αποκλειστικές διεπαφές που πληρούν τις τυποποιημένες προδιαγραφές της ΕΕ.
- Οι τράπεζες πρέπει να δημοσιεύουν τριμηνιαίες αναφορές απόδοσης σχετικά με τον χρόνο λειτουργίας του API, την καθυστέρηση και τα ποσοστά σφαλμάτων.
- Εάν το κύριο API μειωθεί, τα TPP αποκτούν εφεδρική πρόσβαση στην τυπική διεπαφή πελατών της τράπεζας.
- Οι πίνακες ελέγχου συναίνεσης πελατών καθίστανται υποχρεωτικοί — οι χρήστες μπορούν να βλέπουν ποια τρίτα μέρη έχουν πρόσβαση στους λογαριασμούς τους και να ανακαλούν την άδεια σε πραγματικό χρόνο
- Οι αποκλειστικές διεπαφές πρέπει να είναι αρκετά αξιόπιστες ώστε να εξαλείφουν την "απόξεση οθόνης" ως εφεδρική μέθοδο.
Για τις τράπεζες, αυτό σημαίνει πραγματική λογοδοσία για την ποιότητα των API, η οποία προηγουμένως ήταν εθελοντική και σε μεγάλο βαθμό αγνοούνταν. Για τις fintechs, σημαίνει συνεπή, ελέγξιμη πρόσβαση σε όλες τις αγορές της ΕΕ.
Ισχυρή επαλήθευση ταυτότητας πελάτη βάσει του PSD3
Οι κανόνες ισχυρού ελέγχου ταυτότητας πελατών (SCA) του PSD2 απαιτούσαν δύο παράγοντες ελέγχου ταυτότητας που να προέρχονται από τουλάχιστον δύο ξεχωριστές κατηγορίες: κάτι που γνωρίζετε (PIN, κωδικός πρόσβασης), κάτι που έχετε (συσκευή, κάρτα) ή κάτι που είστε (βιομετρικό). Το PSD3 διατηρεί την απαίτηση δύο παραγόντων, καταργεί τον κανόνα κατηγορίας.
Το νέο πρότυπο είναι η «ανεξαρτησία» και όχι ο διαχωρισμός κατηγοριών. Δύο παράγοντες είναι συμβατοί, εφόσον η παραβίαση του ενός δεν θέτει αυτόματα σε κίνδυνο τον άλλον. Αυτή είναι μια πραγματική νίκη στο σχεδιασμό για τους παρόχους πληρωμών που έχουν αναγκαστεί να χρησιμοποιήσουν μια αδέξια εμπειρία χρήστη (UX) για να ικανοποιήσουν έναν κανόνα κατηγορίας που δεν πρόσθετε μεγάλη πραγματική ασφάλεια.
Οι συναλλαγές που ξεκινούν από τον έμπορο αλλάζουν στην πράξη. Σύμφωνα με το PSD2, οι επαναλαμβανόμενες χρεώσεις μετά την αρχική ρύθμιση του SCA παρέμεναν σε γκρίζα ζώνη — οι κανόνες δεν είχαν σχεδιαστεί για χρέωση συνδρομής. Το PSD3 την κλείνει: Το SCA κατά τη δημιουργία εντολής καλύπτει τη συνεχιζόμενη σχέση. Οι επόμενες αυτόματες χρεώσεις δεν χρειάζονται εκ νέου έλεγχο ταυτότητας.
Η δημιουργία διακριτικών (tokenization) διευκρινίζεται επίσης. Το SCA ενεργοποιείται πλέον μόνο όταν ο κάτοχος της κάρτας συμμετέχει ενεργά στη ρύθμιση ενός διακριτικού. Μόλις δημιουργηθεί το διακριτικό, οι συναλλαγές εναντίον του δεν απαιτούν νέο έλεγχο ταυτότητας για κάθε χρέωση.
Η δυναμική σύνδεση μεταφέρεται από την PSD2 — ο κωδικός ελέγχου ταυτότητας εξακολουθεί να συνδέεται με το συγκεκριμένο ποσό συναλλαγής και τον δικαιούχο. Και το PSR παρέχει σαφέστερη καθοδήγηση σχετικά με τις εξαιρέσεις SCA, κάτι που θα πρέπει να μειώσει τις διακυμάνσεις από αγορά σε αγορά στον τρόπο εφαρμογής των εξαιρέσεων μόνο βάσει της οδηγίας.
PSD3, Κρυπτογραφικές Πληρωμές και Ηλεκτρονικά Μάρκες Χρήματος
Οι περισσότεροι οδηγοί PSD3 παραλείπουν εντελώς αυτήν την ενότητα ή την καλύπτουν σε μία μόνο πρόταση. Η σύνδεση μεταξύ του PSD3 και των κρυπτονομισμάτων είναι δομική και όχι περιφερειακή — επηρεάζει οποιαδήποτε επιχείρηση που επεξεργάζεται πληρωμές σε κρυπτονομίσματα στην ΕΕ.
Το σημείο εισόδου είναι τα ηλεκτρονικά κρυπτονομίσματα (e-money tokens). Σύμφωνα με τον MiCA, τον κανονισμό της ΕΕ για τα κρυπτονομίσματα που τέθηκε σε ισχύ το 2024, τα σταθερά κρυπτονομίσματα (stablecoins) που είναι συνδεδεμένα με ένα μόνο fiat νόμισμα ταξινομούνται ως ηλεκτρονικά κρυπτονομίσματα (e-money tokens) όταν χρησιμοποιούνται για σκοπούς πληρωμών. Για παράδειγμα, το USDC χρησιμοποιείται για την εξόφληση ενός τιμολογίου σε ευρώ. Το PSD3 εντάσσει αυτά τα κρυπτονομίσματα απευθείας στο πλαίσιο των υπηρεσιών πληρωμών.
Η κανονιστική εικόνα για έναν πάροχο υπηρεσιών πληρωμών κρυπτονομισμάτων στην ΕΕ:
| Τύπος οντότητας | Ισχύει ο κανονισμός |
|---|---|
| Παραδοσιακό ίδρυμα πληρωμών | PSD3 + PSR |
| Ίδρυμα ηλεκτρονικού χρήματος | PSD3 (ενωμένο πλαίσιο EMD2) |
| Κρυπτονομίσματα PSP χρησιμοποιώντας ηλεκτρονικά κρυπτονομίσματα (e-money tokens) | MiCA + PSD3/PSR (βελτιστοποιημένη εφαρμογή) |
| Πάροχος BNPL | PSD3 + κανόνες κεφαλαιακής επάρκειας |
| Πάροχος κρυπτονομισμάτων | Πλαίσιο ψηφιακού πορτοφολιού PSD3 |
Το ζήτημα της διπλής ρύθμισης είναι το σημείο στο οποίο οι περισσότερες ομάδες συμμόρφωσης υποτιμούν την πολυπλοκότητα. Ένας πάροχος υπηρεσιών κρυπτονομισμάτων (CASP) εξουσιοδοτημένος από την MiCA που εκδίδει ηλεκτρονικά κρυπτονομίσματα δεν χρειάζεται αυτόματα ξεχωριστή εξουσιοδότηση PSD3. Αλλά εάν παρέχει επίσης υπηρεσίες πληρωμών — αποστολή, λήψη, επεξεργασία — εφαρμόζεται μια απλοποιημένη εφαρμογή PSD3. Τα δύο καθεστώτα δεν καλύπτουν το ένα το άλλο εξ ορισμού.
Η BNPL είναι μια άλλη πρόσφατα καταγεγραμμένη κατηγορία. Οι πάροχοι που λειτουργούσαν σε μια γκρίζα ζώνη κανονιστικών ρυθμίσεων στις αγορές της ΕΕ αντιμετωπίζουν πλέον επίσημες απαιτήσεις αδειοδότησης ιδρυμάτων πληρωμών και κανόνες κεφαλαιακής επάρκειας. Το κόστος συμμόρφωσης για τον τομέα αυξάνεται σημαντικά.
Για επιχειρήσεις που δημιουργούν υποδομή κρυπτοπληρωμών, το Plisio αποτελεί παράδειγμα πύλης κρυπτοπληρωμών που πλοηγείται σε αυτό το κανονιστικό περιβάλλον — επιτρέποντας στους εμπόρους να δέχονται κρυπτονομίσματα καθώς το πλαίσιο συμμόρφωσης πληρωμών της ΕΕ εξελίσσεται στο πλαίσιο του PSD3 και του MiCA.
Σε ποιους απευθύνεται το PSD3;
Η PSD3 και η PSR ισχύουν για κάθε οντότητα που παρέχει υπηρεσίες πληρωμών εντός της ΕΕ, ανεξάρτητα από το πού έχει συσταθεί. Το πεδίο εφαρμογής:
- Πιστωτικά ιδρύματα (τράπεζες) που παρέχουν υπηρεσίες πληρωμών
- Ιδρύματα πληρωμών — μη τραπεζικοί πάροχοι υπηρεσιών πληρωμών, συμπεριλαμβανομένων των fintech, των neobanks, των φορέων μεταφοράς χρημάτων
- Ιδρύματα ηλεκτρονικού χρήματος — πλέον ενσωματωμένα στο πλαίσιο των ιδρυμάτων πληρωμών
- Πάροχοι BNPL — νέοι στο πεδίο εφαρμογής, υπόκεινται σε αδειοδότηση και κεφαλαιακές απαιτήσεις
- Πάροχοι υπηρεσιών κρυπτονομισμάτων που προσφέρουν υπηρεσίες πληρωμών — διπλά ρυθμιζόμενοι βάσει του MiCA + PSD3
- Τρίτοι πάροχοι (TPP) — πάροχοι υπηρεσιών πληροφοριών λογαριασμού (AISP) και πάροχοι υπηρεσιών εκκίνησης πληρωμών (PISP)
Οι πλατφόρμες και οι αγορές αντιμετωπίζουν την πιο ανατρεπτική αλλαγή. Σύμφωνα με το PSD2, πολλές απέφυγαν την άδεια παροχής υπηρεσιών πληρωμών μέσω της «εξαίρεσης εμπορικού αντιπροσώπου», ισχυριζόμενες ότι ενεργούσαν ως αντιπρόσωποι τόσο για τον αγοραστή όσο και για τον πωλητή και όχι ως επεξεργαστές πληρωμών. Το PSD3 αυστηροποιεί δραστικά αυτήν την εξαίρεση. Οι περισσότερες πλατφόρμες που βασίζονται σε αυτήν θα χρειαστούν επίσημη άδεια PSP, κεφαλαιακές απαιτήσεις και συνεχή κανονιστική εποπτεία — μια σημαντική λειτουργική μετατόπιση για τις επιχειρήσεις αγοράς που έχτισαν τη στοίβα τους γύρω από αυτήν την εξαίρεση.
Οντότητες με έδρα το Ηνωμένο Βασίλειο: Η PSD3 αποτελεί μόνο νομοθεσία της ΕΕ. Μετά το Brexit, το Ηνωμένο Βασίλειο εφαρμόζει το δικό του πλαίσιο FCA. Ο κανονισμός BNPL του Ηνωμένου Βασιλείου (FCA σε ισχύ από τον Ιούλιο του 2026) και το σύστημα Επιβεβαίωσης Δικαιούχου Πληρωμής ακολουθούν παρόμοια κατεύθυνση, αλλά οι επιχειρήσεις που δραστηριοποιούνται και στις δύο δικαιοδοσίες αντιμετωπίζουν εντελώς ξεχωριστές διαδρομές συμμόρφωσης.
Χρονοδιάγραμμα PSD3: Πότε τίθεται σε ισχύ;
Το PSD3 κυκλοφορεί σε φάσεις, όχι ως μεμονωμένος διακόπτης:
- 28 Ιουνίου 2023 — Η Ευρωπαϊκή Επιτροπή δημοσίευσε τις προτάσεις PSD3 και PSR
- 27 Νοεμβρίου 2025 — Επετεύχθη προσωρινή πολιτική συμφωνία μεταξύ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου
- Β' τρίμηνο 2026 (εκτιμώμενο) — Δημοσίευση στην Επίσημη Εφημερίδα της ΕΕ· η PSR τίθεται σε ισχύ 20 ημέρες αργότερα
- 18 μήνες μετά την έναρξη ισχύος — Προθεσμία για τα κράτη μέλη να μεταφέρουν την οδηγία PSD3 στο εθνικό τους δίκαιο
- 24 μήνες μετά την έναρξη ισχύος — Η απαίτηση επαλήθευσης του IBAN/ονόματος δικαιούχου καθίσταται υποχρεωτική (~2028)
- 24–30 μήνες μετά την έναρξη — Οι υφιστάμενες άδειες PSD2 έχουν εξαιρεθεί από το προϋφιστάμενο καθεστώς· πιθανή παράταση έως 30 μήνες
- Β' τρίμηνο–Γ' τρίμηνο 2028 (εκτίμηση) — Πλήρης εφαρμογή των PSD3/PSR· πλήρης αντικατάσταση των PSD2 και EMD2
Το χρονικό διάστημα μεταφοράς των 18 μηνών δεν αποτελεί περίοδο αναμονής. Οι κανόνες δεοντολογίας του PSR ισχύουν σε ολόκληρη την ΕΕ από την 20ή ημέρα δημοσίευσης. Η ανάλυση κενών σε σχέση με τον PSR — που καλύπτει την εφαρμογή του SCA, τους ελέγχους απάτης, την υποδομή API και την αδειοδότηση κρυπτονομισμάτων βάσει των κανόνων συντονισμού MiCA — θα πρέπει να βρίσκεται σε εξέλιξη τώρα.
