PSD3 की व्याख्या: यूरोपीय संघ के भुगतान और ओपन बैंकिंग में प्रमुख बदलाव

यूरोपीय संघ में इलेक्ट्रॉनिक भुगतान के माध्यम से प्रतिवर्ष लगभग 240 ट्रिलियन यूरो का लेन-देन होता है। इन सभी लेन-देनों को नियंत्रित करने वाले नियमों को फिर से लिखा जा रहा है।

PSD3, तीसरा भुगतान सेवा निर्देश, PSD2 का पूर्णतः स्थान लेता है। यह केवल पुराने नियमों को अद्यतन नहीं करता, बल्कि यह निर्देश को एक सीधे लागू होने वाले भुगतान सेवा विनियमन (PSR) के साथ जोड़ता है, जो PSD2 के कारण यूरोपीय संघ के बाजारों में असंगति पैदा करने वाली राष्ट्रीय भिन्नता को समाप्त करता है। धोखाधड़ी से बेहतर सुरक्षा, मानकीकृत ओपन बैंकिंग API और ई-मनी टोकन तथा क्रिप्टो भुगतान सेवाओं का स्पष्ट विनियमन इसके प्रमुख परिवर्तन हैं।

नवंबर 2025 में एक अस्थायी राजनीतिक समझौता हुआ। यूरोपीय संघ के आधिकारिक जर्नल का प्रकाशन 2026 की दूसरी तिमाही में होने की उम्मीद है। पूर्ण प्रवर्तन लगभग 2028 में होगा। इन तिथियों के बीच का अंतर महत्वपूर्ण है: पीएसआर प्रकाशन के 20 दिन बाद लागू होता है, जो सदस्य देशों द्वारा निर्देश को राष्ट्रीय कानून में शामिल करने की प्रक्रिया पूरी होने से काफी पहले है।

PSD3 क्या है?

यूरोपीय संघ 2007 से ही अपने भुगतान बाजार को निर्देशों के आधार पर संचालित कर रहा है। PSD1 ने बुनियादी ढांचा स्थापित किया। इसके बाद 2015 में PSD2 आया, जिसमें ओपन बैंकिंग के माध्यम से ग्राहकों की मजबूत प्रमाणीकरण क्षमता और तृतीय-पक्ष पहुंच को जोड़ा गया। PSD3 तीसरी पीढ़ी है - और यह उन दोनों से कहीं अधिक बड़ा संरचनात्मक परिवर्तन है।

अपने पूर्ववर्तियों के विपरीत, PSD3 एक स्वतंत्र नीति नहीं है। इसके साथ एक भुगतान सेवा विनियमन (PSR) भी आता है जो यूरोपीय संघ के प्रत्येक सदस्य राज्य में सीधे लागू होता है, इसके लिए किसी राष्ट्रीय स्तर पर बदलाव की आवश्यकता नहीं है। PSD2 के तहत, जर्मनी और फ्रांस ने एक ही निर्देश को अलग-अलग तरीके से लागू किया था। एक फिनटेक कंपनी को प्रत्येक बाजार को अलग-अलग समझना पड़ता था। PSR के तहत, ये अंतर समाप्त हो जाते हैं - आचरण नियम हर जगह समान हैं।

संरचनात्मक दृष्टि से दो अन्य परिवर्तन भी महत्वपूर्ण हैं:

• ई-मनी संस्थानों को अलग से नियंत्रित करने वाला इलेक्ट्रॉनिक मनी डायरेक्टिव (ईएमडी2) अब पीएसडी3 में विलय हो गया है। ईएमआई एक ही ढांचे के तहत भुगतान संस्थानों की एक उप-श्रेणी बन गए हैं।
• ई-मनी टोकन, यानी भुगतान के लिए इस्तेमाल होने वाले क्रिप्टो स्टेबलकॉइन, पहली बार यूरोपीय संघ के भुगतान सेवा विनियमन के दायरे में आ रहे हैं।

PSD3 बनाम PSD2: क्या बदलाव हुए?

PSD2 और PSD3 के बीच छह क्षेत्रों में महत्वपूर्ण अद्यतन किए गए:

केवल निर्देश से निर्देश-सह-विनियमन की ओर बदलाव जितना लगता है उससे कहीं अधिक महत्वपूर्ण है। जर्मनी, फ्रांस और नीदरलैंड में कार्यरत एक फिनटेक कंपनी को पहले एक ही कानून के तीन अलग-अलग संस्करणों से निपटना पड़ता था। PSD3/PSR के तहत, आचरण नियम प्रत्येक सदस्य राज्य में समान हैं।

आईबीएएन सत्यापन और ऐप धोखाधड़ी देयता

PSD3 के दो सबसे व्यावसायिक रूप से महत्वपूर्ण प्रावधान धोखाधड़ी को लक्षित करते हैं, विशेष रूप से अधिकृत पुश पेमेंट (APP) धोखाधड़ी को, जहां ग्राहकों को हेरफेर करके स्वेच्छा से एक आपराधिक खाते में धनराशि भेजने के लिए मजबूर किया जाता है।

आईबैन नाम मिलान पहला तंत्र है। भुगतान सेवा प्रदाताओं को क्रेडिट हस्तांतरण से पहले यह सत्यापित करना होगा कि प्राप्तकर्ता का नाम उनके आईबैन से मेल खाता है। यह जांच कुछ ही सेकंडों में पूरी हो जानी चाहिए और उपभोक्ताओं को यह सुविधा निःशुल्क प्रदान की जाती है। यह यूके की कन्फर्मेशन ऑफ पेयी (सीओपी) प्रणाली के समान है, जिसने 2020 में लागू होने के बाद ऐप धोखाधड़ी को काफी हद तक कम कर दिया था। यह आवश्यकता PSD3 के लागू होने के 24 महीने बाद, लगभग 2028 में प्रभावी होगी।

दायित्व स्थानांतरण दूसरा तंत्र है। PSD2 के तहत, APP धोखाधड़ी के मामलों में सबूत का बोझ आमतौर पर पीड़ितों पर होता था कि उन्होंने सहमति नहीं दी थी। PSD3 इसे उलट देता है:

1. ग्राहक ने अनधिकृत या धोखाधड़ी से प्रेरित लेनदेन की रिपोर्ट की है।
2. PSP के पास रिफंड के दावे को प्रोसेस करने के लिए 14 कार्यदिवस हैं।
3. पीएसपी को पूरी राशि वापस करनी होगी, जब तक कि वह यह साबित न कर दे कि ग्राहक ने धोखाधड़ी या घोर लापरवाही बरती है।
4. वे पब्लिक सर्विस प्रोवाइडर जो आईबीएएन सत्यापन सहित पर्याप्त धोखाधड़ी नियंत्रण लागू करने में विफल रहते हैं, नुकसान के लिए डिफ़ॉल्ट रूप से उत्तरदायी होते हैं।
5. भुगतानकर्ता हेरफेर के मामले: यदि पीएसपी नाम/आईबीएएन बेमेल की सूचना देने में विफल रहता है, तो अन्य कारकों की परवाह किए बिना नुकसान उसी को उठाना पड़ता है।

जिन संस्थानों ने धोखाधड़ी के लिए जवाबदेही संबंधी PSD2 के स्पष्ट इरादे की अनदेखी की है, उन्हें अब अनिवार्य वित्तीय जवाबदेही का सामना करना पड़ेगा। यह केवल एक औपचारिकता नहीं है, बल्कि धोखाधड़ी के बुनियादी ढांचे में निवेश करने के लिए एक सीधा प्रोत्साहन है।

ओपन बैंकिंग और एपीआई मानक

PSD2 की ओपन बैंकिंग महत्वाकांक्षाओं को व्यावहारिक बाधाओं का सामना करना पड़ा: बैंकों ने अपनी इच्छानुसार API लागू किए। बैंक डेटा पर आधारित फिनटेक कंपनियां, जिन्हें थर्ड-पार्टी प्रोवाइडर्स (TPPs) कहा जाता है, यूरोपीय संघ के बाजारों में दर्जनों असंगत कार्यान्वयनों का सामना करना पड़ा। जर्मन बैंक डेटा तक पहुँचने वाली एक फ्रांसीसी फिनटेक कंपनी स्पेन में उपयोग किए जाने वाले इंटरफ़ेस से पूरी तरह भिन्न इंटरफ़ेस का उपयोग कर रही थी।

PSD3 अनिवार्य मानकीकरण के माध्यम से इस समस्या का समाधान करता है:

• खाता सेवा भुगतान सेवा प्रदाताओं (ASPSPs) को मानकीकृत यूरोपीय संघ विनिर्देशों को पूरा करने वाले समर्पित इंटरफेस प्रदान करने होंगे।
• बैंकों को एपीआई अपटाइम, लेटेंसी और त्रुटि दरों पर त्रैमासिक प्रदर्शन रिपोर्ट प्रकाशित करनी होगी।
• यदि प्राथमिक एपीआई काम करना बंद कर देता है, तो टीपीपी को बैंक के मानक ग्राहक इंटरफ़ेस तक वैकल्पिक पहुंच प्राप्त हो जाती है।
• ग्राहक सहमति डैशबोर्ड अनिवार्य हो जाते हैं — उपयोगकर्ता देख सकते हैं कि किन तृतीय पक्षों को उनके खातों तक पहुंच प्राप्त है और वे वास्तविक समय में अनुमति रद्द कर सकते हैं।
• समर्पित इंटरफेस इतने विश्वसनीय होने चाहिए कि वे बैकअप विधि के रूप में "स्क्रीन स्क्रैपिंग" को समाप्त कर सकें।

बैंकों के लिए, इसका मतलब है एपीआई की गुणवत्ता के लिए वास्तविक जवाबदेही, जो पहले स्वैच्छिक थी और जिसे बड़े पैमाने पर नजरअंदाज किया जाता था। फिनटेक कंपनियों के लिए, इसका मतलब है यूरोपीय संघ के बाजारों में लगातार और ऑडिट योग्य पहुंच।

PSD3 के तहत मजबूत ग्राहक प्रमाणीकरण

PSD2 के मजबूत ग्राहक प्रमाणीकरण (SCA) नियमों के अनुसार कम से कम दो अलग-अलग श्रेणियों से लिए गए दो प्रमाणीकरण कारकों की आवश्यकता थी: कुछ ऐसा जो आप जानते हैं (पिन, पासवर्ड), कुछ ऐसा जो आपके पास है (डिवाइस, कार्ड), या कुछ ऐसा जो आप हैं (बायोमेट्रिक)। PSD3 में दो-कारक प्रमाणीकरण की आवश्यकता बरकरार रखी गई है, लेकिन श्रेणी संबंधी नियम को हटा दिया गया है।

नया मानक "स्वतंत्रता" है, न कि श्रेणी विभाजन। दो कारक तब तक अनुपालन योग्य हैं जब तक कि एक में गड़बड़ी होने से दूसरे में स्वतः गड़बड़ी न हो जाए। यह भुगतान प्रदाताओं के लिए एक वास्तविक जीत है, जिन्हें एक ऐसे श्रेणी नियम को पूरा करने के लिए असुविधाजनक उपयोगकर्ता अनुभव (UX) अपनाने के लिए मजबूर किया गया था जिससे वास्तव में कोई खास सुरक्षा नहीं मिली थी।

व्यापारी द्वारा शुरू किए गए लेन-देन में सबसे व्यावहारिक बदलाव आया है। PSD2 के तहत, प्रारंभिक SCA सेटअप के बाद होने वाले आवर्ती शुल्क अस्पष्ट थे - नियम सदस्यता बिलिंग के लिए डिज़ाइन नहीं किए गए थे। PSD3 इसे स्पष्ट करता है: जनादेश निर्माण के समय SCA निरंतर संबंध को कवर करता है। बाद के स्वचालित शुल्कों के लिए पुनः प्रमाणीकरण की आवश्यकता नहीं होती है।

टोकनाइजेशन को भी स्पष्ट किया गया है। SCA अब तभी सक्रिय होगा जब कार्डधारक टोकन स्थापित करने में सक्रिय रूप से भाग लेगा। एक बार टोकन बन जाने के बाद, इसके माध्यम से किए गए लेन-देन के लिए प्रत्येक भुगतान पर नए प्रमाणीकरण की आवश्यकता नहीं होगी।

PSD2 से गतिशील लिंकिंग की सुविधा जारी है — प्रमाणीकरण कोड अभी भी विशिष्ट लेनदेन राशि और प्राप्तकर्ता से जुड़ा हुआ है। और PSR, SCA छूटों पर स्पष्ट मार्गदर्शन प्रदान करता है, जिससे निर्देश के तहत छूटों को लागू करने के तरीके में बाजार-दर-बाजार भिन्नता कम होनी चाहिए।

PSD3, क्रिप्टो भुगतान और ई-मनी टोकन

अधिकांश PSD3 गाइड इस अनुभाग को पूरी तरह से छोड़ देते हैं, या इसे एक वाक्य में ही कवर कर देते हैं। PSD3 और क्रिप्टोकरेंसी के बीच संबंध संरचनात्मक है, न कि सतही — यह यूरोपीय संघ में क्रिप्टो भुगतान संसाधित करने वाले किसी भी व्यवसाय को प्रभावित करता है।

प्रवेश बिंदु ई-मनी टोकन हैं। यूरोपीय संघ के क्रिप्टो-संपत्ति विनियमन, MiCA के तहत, जो 2024 में लागू हुआ, किसी एक फिएट मुद्रा से जुड़े स्टेबलकॉइन को भुगतान उद्देश्यों के लिए उपयोग किए जाने पर ई-मनी टोकन के रूप में वर्गीकृत किया जाता है। उदाहरण के लिए, USDC का उपयोग EUR-मूल्य वाले बिल का भुगतान करने के लिए किया जाता है। PSD3 इन टोकनों को सीधे भुगतान सेवाओं के ढांचे में लाता है।

यूरोपीय संघ में क्रिप्टो भुगतान सेवा प्रदाता के लिए नियामक परिदृश्य:

दोहरे विनियमन का मुद्दा वह जगह है जहां अधिकांश अनुपालन टीमें जटिलता को कम आंकती हैं। MiCA द्वारा अधिकृत क्रिप्टो-एसेट सेवा प्रदाता (CASP) जो ई-मनी टोकन जारी करता है, उसे स्वतः ही अलग से PSD3 प्राधिकरण की आवश्यकता नहीं होती है। लेकिन यदि वह भुगतान सेवाएं भी प्रदान करता है - भेजना, प्राप्त करना, संसाधित करना - तो एक सरलीकृत PSD3 आवेदन लागू होता है। ये दोनों व्यवस्थाएं स्वतः एक दूसरे को कवर नहीं करती हैं।

बीएनपीएल एक और नई श्रेणी है। यूरोपीय संघ के बाजारों में नियामक अस्पष्टता वाले क्षेत्र में काम करने वाले प्रदाताओं को अब औपचारिक भुगतान संस्थान प्राधिकरण आवश्यकताओं और पूंजी पर्याप्तता नियमों का पालन करना होगा। इस क्षेत्र के लिए अनुपालन की लागत में काफी वृद्धि हुई है।

क्रिप्टो भुगतान अवसंरचना का निर्माण करने वाले व्यवसायों के लिए, प्लिसियो एक क्रिप्टो भुगतान गेटवे का उदाहरण है जो इस नियामक वातावरण में कुशलता से काम कर रहा है - यह व्यापारियों को क्रिप्टोकरेंसी स्वीकार करने में सक्षम बनाता है क्योंकि PSD3 और MiCA के तहत यूरोपीय संघ का भुगतान अनुपालन ढांचा विकसित हो रहा है।

PSD3 किसके लिए लागू होता है?

PSD3 और PSR यूरोपीय संघ के भीतर भुगतान सेवाएं प्रदान करने वाली किसी भी संस्था पर लागू होते हैं, चाहे वह कहीं भी निगमित हो। दायरा:

• भुगतान सेवाएं प्रदान करने वाले ऋण संस्थान (बैंक)
• भुगतान संस्थान — गैर-बैंक पीएसपी जिनमें फिनटेक, नियोबैंक, मनी ट्रांसफर ऑपरेटर शामिल हैं
• इलेक्ट्रॉनिक मुद्रा संस्थान — अब भुगतान संस्थान ढांचे में विलय हो गए हैं
• बीएनपीएल प्रदाता — प्राधिकरण और पूंजी आवश्यकताओं के अधीन, अब दायरे में शामिल किए गए हैं
• क्रिप्टो-संपत्ति सेवा प्रदाता जो भुगतान सेवाएं प्रदान करते हैं — MiCA + PSD3 के तहत दोहरे विनियमन के अंतर्गत आते हैं
• तृतीय-पक्ष प्रदाता (टीपीपी) — खाता सूचना सेवा प्रदाता (एआईएसपी) और भुगतान आरंभ सेवा प्रदाता (पीआईएसपी)

प्लेटफ़ॉर्म और बाज़ारों को सबसे ज़्यादा उथल-पुथल का सामना करना पड़ रहा है। PSD2 के तहत, कई प्लेटफ़ॉर्म "कमर्शियल एजेंट छूट" का हवाला देकर भुगतान सेवा प्राधिकरण से बचते रहे, यह दावा करते हुए कि वे भुगतान प्रोसेसर के बजाय खरीदार और विक्रेता दोनों के एजेंट के रूप में काम करते हैं। PSD3 इस छूट को और भी सख्त बना देता है। इस पर निर्भर रहने वाले अधिकांश प्लेटफ़ॉर्मों को औपचारिक PSP प्राधिकरण, पूंजीगत आवश्यकताओं और निरंतर नियामक पर्यवेक्षण की आवश्यकता होगी - यह बाज़ार व्यवसायों के लिए एक महत्वपूर्ण परिचालन परिवर्तन है जिन्होंने इस छूट के आधार पर अपना ढांचा तैयार किया था।

ब्रिटेन स्थित संस्थाएँ: PSD3 केवल यूरोपीय संघ का कानून है। ब्रेक्जिट के बाद, ब्रिटेन अपना स्वयं का FCA ढांचा संचालित करता है। ब्रिटेन का BNPL विनियमन (FCA द्वारा जुलाई 2026 से प्रभावी) और भुगतानकर्ता की पुष्टि प्रणाली एक समान दिशा का अनुसरण करती है, लेकिन दोनों क्षेत्राधिकारों में काम करने वाले व्यवसायों को पूरी तरह से अलग-अलग अनुपालन प्रक्रियाओं का सामना करना पड़ता है।

PSD3 की समयरेखा: यह कब से प्रभावी होगा?

PSD3 को एक साथ नहीं बल्कि चरणों में लागू किया जाएगा:

1. 28 जून, 2023 — यूरोपीय आयोग ने PSD3 और PSR प्रस्ताव प्रकाशित किए।
2. 27 नवंबर, 2025 — यूरोपीय संघ की संसद और परिषद के बीच अंतरिम राजनीतिक समझौता हुआ
3. 2026 की दूसरी तिमाही (अनुमानित) — यूरोपीय संघ के आधिकारिक राजपत्र में प्रकाशन; पीएसआर 20 दिन बाद लागू होगा
4. लागू होने के 18 महीने बाद — सदस्य देशों के लिए PSD3 निर्देश को राष्ट्रीय कानून में शामिल करने की समय सीमा
5. लागू होने के 24 महीने बाद — आईबीएएन/भुगतानकर्ता के नाम का सत्यापन अनिवार्य हो जाएगा (~2028)
6. प्रवेश के 24-30 महीने बाद — मौजूदा PSD2 प्राधिकरणों को पूर्व-मान्यता प्राप्त रहेगी; 30 महीने तक विस्तार संभव है
7. 2028 की दूसरी-तीसरी तिमाही (अनुमानित) — PSD3/PSR का पूर्ण प्रवर्तन; PSD2 और EMD2 का पूर्ण प्रतिस्थापन

18 महीने की ट्रांसपोज़िशन अवधि प्रतीक्षा अवधि नहीं है। पीएसआर के आचरण नियम प्रकाशन के 20वें दिन से पूरे यूरोपीय संघ में लागू होते हैं। पीएसआर के विरुद्ध गैप विश्लेषण - जिसमें एससीए कार्यान्वयन, धोखाधड़ी नियंत्रण, एपीआई अवसंरचना और एमआईसीए समन्वय नियमों के तहत क्रिप्टो लाइसेंसिंग शामिल हैं - अब चल रहा होना चाहिए।

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.