توضیح PSD3: تغییرات کلیدی در پرداخت‌های اتحادیه اروپا و بانکداری باز

پرداخت‌های الکترونیکی اتحادیه اروپا سالانه حدود ۲۴۰ تریلیون یورو ارزش جابه‌جا می‌کنند. قوانین حاکم بر همه این موارد در حال بازنویسی است.

PSD3، سومین دستورالعمل خدمات پرداخت، به طور کامل جایگزین PSD2 می‌شود. این دستورالعمل نه تنها قوانین قدیمی را به‌روزرسانی می‌کند، بلکه این دستورالعمل را با یک آیین‌نامه خدمات پرداخت (PSR) که مستقیماً قابل اجرا است، جفت می‌کند که تغییرات ملی که PSD2 را در بازارهای اتحادیه اروپا ناسازگار می‌کرد، حذف می‌کند. محافظت‌های قوی‌تر در برابر کلاهبرداری، APIهای استاندارد بانکداری باز و تنظیم صریح توکن‌های پول الکترونیکی و خدمات پرداخت رمزنگاری‌شده، تغییرات اصلی هستند.

یک توافق سیاسی موقت در نوامبر ۲۰۲۵ حاصل شد. انتظار می‌رود انتشار در ژورنال رسمی اتحادیه اروپا در سه‌ماهه دوم ۲۰۲۶ انجام شود. اجرای کامل حدود سال ۲۰۲۸ انجام می‌شود. فاصله بین این تاریخ‌ها مهم است: PSR بیست روز پس از انتشار، مدت‌ها قبل از اینکه کشورهای عضو، انتقال این دستورالعمل را به قانون ملی خود به پایان برسانند، اعمال می‌شود.

PSD3 چیست؟

اتحادیه اروپا از سال ۲۰۰۷ بازار پرداخت‌های خود را بر اساس دستورالعمل‌ها اداره کرده است. PSD1 چارچوب اولیه را ایجاد کرد. PSD2 در سال ۲۰۱۵ به دنبال آن آمد و احراز هویت قوی مشتری و دسترسی شخص ثالث را از طریق بانکداری باز اضافه کرد. PSD3 نسل سوم است - و تغییر ساختاری بزرگتری نسبت به هر دوی آنها است.

برخلاف قوانین قبلی، PSD3 به تنهایی عمل نمی‌کند. این قانون با یک آیین‌نامه خدمات پرداخت (PSR) ارائه می‌شود که مستقیماً در تمام کشورهای عضو اتحادیه اروپا اعمال می‌شود و نیازی به جابجایی ملی ندارد. تحت PSD2، آلمان و فرانسه همین دستورالعمل را به طور متفاوتی اجرا کردند. یک فین‌تک باید هر بازار را جداگانه درک می‌کرد. تحت PSR، این تفاوت‌ها از بین می‌روند - قوانین رفتاری در همه جا یکسان هستند.

دو تغییر دیگر از نظر ساختاری اهمیت دارند:

• دستورالعمل پول الکترونیکی (EMD2) که به طور جداگانه بر موسسات پول الکترونیکی نظارت داشت، در PSD3 ادغام می‌شود. موسسات پول الکترونیکی تحت یک چارچوب، به زیرمجموعه‌ای از موسسات پرداخت تبدیل می‌شوند.
• توکن‌های پول الکترونیکی، به معنی استیبل‌کوین‌های رمزنگاری‌شده‌ای که برای اهداف پرداخت استفاده می‌شوند، برای اولین بار وارد مقررات خدمات پرداخت اتحادیه اروپا می‌شوند.

PSD3 در مقابل PSD2: چه چیزی تغییر کرد

شش حوزه شاهد به‌روزرسانی‌های محتوایی بین PSD2 و PSD3 بودند:

تغییر از صرفاً دستورالعمل به دستورالعمل به‌علاوه‌ی مقررات، بیش از آنچه به نظر می‌رسد اهمیت دارد. یک فین‌تک که در آلمان، فرانسه و هلند فعالیت می‌کند، پیش از این با سه نسخه متفاوت از یک قانون سروکار داشت. طبق PSD3/PSR، قوانین رفتاری در هر کشور عضو یکسان است.

تأیید IBAN و مسئولیت کلاهبرداری APP

دو مورد از مهم‌ترین مفاد PSD3 از نظر تجاری، کلاهبرداری، به ویژه کلاهبرداری پرداخت اجباری مجاز (APP) را هدف قرار می‌دهند، که در آن مشتریان فریب می‌خورند تا داوطلبانه وجوه را به یک حساب مجرمانه ارسال کنند.

تطبیق نام IBAN اولین مکانیسم است. ارائه دهندگان خدمات پرداخت باید قبل از انجام انتقال اعتبار، تأیید کنند که نام گیرنده با IBAN آنها مطابقت دارد. بررسی باید ظرف چند ثانیه تکمیل شود و به صورت رایگان در اختیار مصرف کنندگان قرار می‌گیرد. این سیستم، سیستم تأیید گیرنده (CoP) بریتانیا را منعکس می‌کند که پس از اجرای آن در سال ۲۰۲۰، کلاهبرداری APP را به میزان قابل توجهی کاهش داد. این الزام ۲۴ ماه پس از لازم‌الاجرا شدن PSD3، که حدود سال ۲۰۲۸ تخمین زده می‌شود، لازم‌الاجرا می‌شود.

تغییر مسئولیت، دومین سازوکار است. طبق PSD2، بار اثبات در پرونده‌های کلاهبرداری APP معمولاً بر دوش قربانیان بود تا نشان دهند که رضایت نداده‌اند. PSD3 این را برعکس می‌کند:

1. مشتری تراکنش غیرمجاز یا کلاهبرداری را گزارش می‌دهد
2. PSP 14 روز کاری برای پردازش درخواست بازپرداخت فرصت دارد
3. PSP باید کل مبلغ را بازپرداخت کند، مگر اینکه بتواند ثابت کند مشتری متقلبانه یا با سهل‌انگاری فاحش عمل کرده است.
4. PSP هایی که کنترل‌های کافی برای کلاهبرداری، از جمله تأیید IBAN، را اجرا نمی‌کنند، مسئولیت ضرر و زیان را بر عهده می‌گیرند.
5. موارد دستکاری پرداخت‌کننده: اگر PSP نتواند عدم تطابق نام/IBAN را اعلام کند، صرف نظر از سایر عوامل، ضرر را متحمل می‌شود.

مؤسساتی که نیت آشکار PSD2 در مورد مسئولیت‌پذیری در برابر کلاهبرداری را نادیده گرفتند، اکنون با افشای اجباری مالی مواجه هستند. این فقط یک چک لیست انطباق نیست - بلکه یک انگیزه مستقیم برای سرمایه‌گذاری در زیرساخت‌های کلاهبرداری است.

بانکداری باز و استانداردهای API

جاه‌طلبی‌های بانکداری باز PSD2 به مانعی عملی برخورد کرد: بانک‌ها APIها را به هر شکلی که می‌خواستند پیاده‌سازی کردند. ارائه‌دهندگان شخص ثالث (TPPها)، فین‌تک‌هایی که بر اساس داده‌های بانکی ساخته می‌شدند، با ده‌ها پیاده‌سازی ناسازگار در بازارهای اتحادیه اروپا مواجه شدند. یک فین‌تک فرانسوی که به داده‌های بانک‌های آلمان دسترسی داشت، از طریق رابطی کاملاً متفاوت از رابطی که در اسپانیا استفاده می‌کرد، کار می‌کرد.

PSD3 این مشکل را با استانداردسازی اجباری برطرف می‌کند:

• ارائه‌دهندگان خدمات پرداخت خدمات حساب (ASPSP) باید رابط‌های اختصاصی مطابق با مشخصات استاندارد اتحادیه اروپا ارائه دهند.
• بانک‌ها باید گزارش‌های عملکرد فصلی در مورد زمان کارکرد، تأخیر و نرخ خطای API منتشر کنند.
• اگر API اصلی از کار بیفتد، TPPها به رابط استاندارد مشتری بانک دسترسی مجدد پیدا می‌کنند.
• داشبوردهای رضایت مشتری اجباری می‌شوند - کاربران می‌توانند ببینند کدام اشخاص ثالث به حساب‌هایشان دسترسی دارند و مجوز را در لحظه لغو کنند.
• رابط‌های اختصاصی باید به اندازه کافی قابل اعتماد باشند تا از "خراشیدن صفحه" به عنوان یک روش جایگزین جلوگیری شود.

برای بانک‌ها، این به معنای پاسخگویی واقعی در قبال کیفیت API است که قبلاً داوطلبانه بود و تا حد زیادی نادیده گرفته می‌شد. برای فین‌تک‌ها، به معنای دسترسی مداوم و قابل حسابرسی در سراسر بازارهای اتحادیه اروپا است.

احراز هویت قوی مشتری تحت PSD3

قوانین قوی احراز هویت مشتری (SCA) در PSD2 مستلزم دو عامل احراز هویت بود که حداقل از دو دسته جداگانه انتخاب شده بودند: چیزی که می‌دانید (پین، رمز عبور)، چیزی که دارید (دستگاه، کارت) یا چیزی که هستید (بیومتریک). PSD3 الزام دو عاملی را حفظ کرده و قانون دسته‌بندی را حذف کرده است.

استاندارد جدید «استقلال» است، نه تفکیک دسته‌بندی. دو عامل تا زمانی که به خطر انداختن یکی به طور خودکار دیگری را به خطر نیندازد، سازگار هستند. این یک پیروزی واقعی در طراحی برای ارائه‌دهندگان پرداخت است که مجبور به پذیرش تجربه کاربری ناخوشایندی برای رعایت یک قانون دسته‌بندی شده‌اند که امنیت واقعی زیادی را اضافه نکرده است.

تراکنش‌های آغاز شده توسط فروشنده بیشترین تغییر را در عمل ایجاد می‌کنند. طبق PSD2، هزینه‌های تکراری پس از راه‌اندازی اولیه SCA در یک منطقه خاکستری قرار داشتند - این قوانین برای صورتحساب اشتراک طراحی نشده بودند. PSD3 این منطقه را می‌بندد: SCA در زمان ایجاد مجوز، رابطه مداوم را پوشش می‌دهد. هزینه‌های خودکار بعدی نیازی به احراز هویت مجدد ندارند.

توکن‌سازی نیز شفاف‌سازی می‌شود. SCA اکنون تنها زمانی فعال می‌شود که دارنده کارت به طور فعال در راه‌اندازی یک توکن مشارکت داشته باشد. زمانی که توکن وجود داشته باشد، تراکنش‌های مربوط به آن برای هر بار شارژ نیازی به احراز هویت مجدد ندارند.

پیوند پویا از PSD2 به ارث رسیده است - کد احراز هویت همچنان به مبلغ تراکنش و گیرنده خاص مرتبط است. و PSR راهنمایی‌های واضح‌تری در مورد معافیت‌های SCA ارائه می‌دهد، که باید تفاوت‌های بازار به بازار در نحوه اعمال معافیت‌ها تحت این دستورالعمل را کاهش دهد.

PSD3، پرداخت‌های کریپتو و توکن‌های پول الکترونیکی

بیشتر راهنماهای PSD3 این بخش را به طور کامل نادیده می‌گیرند، یا آن را در یک جمله پوشش می‌دهند. ارتباط بین PSD3 و ارزهای دیجیتال ساختاری است، نه فرعی - این امر بر هرگونه پردازش تجاری پرداخت‌های ارزهای دیجیتال در اتحادیه اروپا تأثیر می‌گذارد.

نقطه ورود، توکن‌های پول الکترونیکی هستند. طبق MiCA، قانون دارایی‌های رمزنگاری‌شده اتحادیه اروپا که در سال ۲۰۲۴ لازم‌الاجرا شد، استیبل‌کوین‌های وابسته به یک ارز فیات واحد، در صورت استفاده برای اهداف پرداخت، به عنوان توکن‌های پول الکترونیکی طبقه‌بندی می‌شوند. به عنوان مثال، USDC برای تسویه فاکتور به یورو استفاده می‌شد. PSD3 این توکن‌ها را مستقیماً وارد چارچوب خدمات پرداخت می‌کند.

تصویر نظارتی برای یک ارائه دهنده خدمات پرداخت کریپتو در اتحادیه اروپا:

مسئله‌ی مقررات دوگانه جایی است که اکثر تیم‌های انطباق، پیچیدگی آن را دست کم می‌گیرند. یک ارائه‌دهنده‌ی خدمات دارایی‌های رمزنگاری‌شده (CASP) دارای مجوز MiCA که توکن‌های پول الکترونیکی صادر می‌کند، به طور خودکار به مجوز PSD3 جداگانه نیاز ندارد. اما اگر خدمات پرداخت - ارسال، دریافت، پردازش - را نیز ارائه دهد، یک برنامه‌ی PSD3 ساده اعمال می‌شود. این دو رژیم به طور پیش‌فرض یکدیگر را پوشش نمی‌دهند.

BNPL یکی دیگر از دسته‌های تازه وارد شده است. ارائه‌دهندگانی که در منطقه خاکستری نظارتی در بازارهای اتحادیه اروپا فعالیت می‌کردند، اکنون با الزامات مجوز رسمی موسسه پرداخت و قوانین کفایت سرمایه مواجه هستند. هزینه انطباق برای این بخش به طور قابل توجهی افزایش می‌یابد.

برای کسب‌وکارهایی که زیرساخت پرداخت با ارزهای دیجیتال را ایجاد می‌کنند، پلیسیو نمونه‌ای از یک درگاه پرداخت با ارزهای دیجیتال است که در این محیط نظارتی حرکت می‌کند و به بازرگانان این امکان را می‌دهد که همزمان با تکامل چارچوب انطباق پرداخت اتحادیه اروپا تحت PSD3 و MiCA، ارزهای دیجیتال را بپذیرند.

PSD3 برای چه کسانی اعمال می‌شود؟

PSD3 و PSR برای هر نهادی که خدمات پرداخت را در اتحادیه اروپا ارائه می‌دهد، صرف نظر از محل ثبت آن، اعمال می‌شود. دامنه کاربرد:

• موسسات اعتباری (بانک‌ها) ارائه دهنده خدمات پرداخت
• موسسات پرداخت - PSP های غیر بانکی شامل فین تک ها، نئوبانک ها، اپراتورهای انتقال پول
• موسسات پول الکترونیکی - اکنون در چارچوب موسسات پرداخت ادغام شده‌اند
• ارائه دهندگان BNPL - که به تازگی وارد بازار شده‌اند، مشمول مجوز و الزامات سرمایه‌ای هستند.
• ارائه دهندگان خدمات دارایی‌های دیجیتال که خدمات پرداخت ارائه می‌دهند - تحت نظارت دوگانه MiCA + PSD3
• ارائه دهندگان شخص ثالث (TPPs) - ارائه دهندگان خدمات اطلاعات حساب (AISPs) و ارائه دهندگان خدمات شروع پرداخت (PISPs)

پلتفرم‌ها و بازارها با بیشترین تغییر مخرب مواجه هستند. تحت PSD2، بسیاری از آنها از طریق «معافیت نمایندگی تجاری» از دریافت مجوز خدمات پرداخت اجتناب کردند و ادعا کردند که به عنوان نماینده خریدار و فروشنده عمل می‌کنند و نه به عنوان پردازنده پرداخت. PSD3 این معافیت را به شدت تشدید می‌کند. اکثر پلتفرم‌هایی که به آن متکی هستند، به مجوز رسمی PSP، الزامات سرمایه و نظارت نظارتی مداوم نیاز خواهند داشت - یک تغییر عملیاتی قابل توجه برای کسب‌وکارهای بازار که پشته خود را بر اساس آن معافیت بنا کرده‌اند.

نهادهای مستقر در بریتانیا: PSD3 فقط قانون اتحادیه اروپا است. پس از برگزیت، بریتانیا چارچوب FCA خود را اجرا می‌کند. مقررات BNPL بریتانیا (FCA از ژوئیه 2026 لازم‌الاجرا است) و سیستم تأیید دریافت‌کننده وجه مسیر مشابهی را دنبال می‌کنند، اما کسب‌وکارهایی که در هر دو حوزه قضایی فعالیت می‌کنند، با مسیرهای انطباق کاملاً جداگانه‌ای روبرو هستند.

جدول زمانی PSD3: چه زمانی لازم‌الاجرا می‌شود؟

PSD3 به صورت مرحله‌ای منتشر می‌شود، نه به صورت یک سوئیچ واحد:

1. ۲۸ ژوئن ۲۰۲۳ - کمیسیون اروپا پیشنهادهای PSD3 و PSR را منتشر کرد
2. ۲۷ نوامبر ۲۰۲۵ - توافق سیاسی موقت بین پارلمان و شورای اتحادیه اروپا
3. سه‌ماهه دوم ۲۰۲۶ (تخمین زده می‌شود) - انتشار در روزنامه رسمی اتحادیه اروپا؛ PSR بیست روز بعد لازم‌الاجرا می‌شود
4. ۱۸ ماه پس از لازم‌الاجرا شدن - مهلت کشورهای عضو برای تبدیل دستورالعمل PSD3 به قانون ملی
5. ۲۴ ماه پس از لازم‌الاجرا شدن - الزام تأیید نام IBAN/گیرنده وجه اجباری می‌شود (حدود ۲۰۲۸)
6. ۲۴ تا ۳۰ ماه پس از ورود - مجوزهای PSD2 موجود لغو می‌شوند؛ تمدید تا ۳۰ ماه امکان‌پذیر است
7. سه‌ماهه دوم تا سه‌ماهه سوم ۲۰۲۸ (تخمین زده می‌شود) - اجرای کامل PSD3/PSR؛ PSD2 و EMD2 به طور کامل جایگزین شدند

بازه زمانی ۱۸ ماهه برای انتقال، یک دوره انتظار نیست. قوانین رفتاری PSR از روز بیستم انتشار در سراسر اتحادیه اروپا اعمال می‌شود. تجزیه و تحلیل شکاف در برابر PSR - که شامل پیاده‌سازی SCA، کنترل کلاهبرداری، زیرساخت API و صدور مجوز رمزنگاری تحت قوانین هماهنگی MiCA می‌شود - باید اکنون در حال اجرا باشد.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.