Penjelasan PSD3: Perubahan Utama pada Pembayaran Uni Eropa dan Perbankan Terbuka
Pembayaran elektronik di Uni Eropa bernilai sekitar €240 triliun setiap tahunnya. Aturan yang mengatur semua transaksi tersebut sedang ditulis ulang.
PSD3, Direktif Layanan Pembayaran Ketiga, menggantikan PSD2 sepenuhnya. PSD3 tidak hanya memperbarui aturan lama—tetapi juga menggabungkan direktif ini dengan Regulasi Layanan Pembayaran (PSR) yang berlaku langsung, yang menghilangkan variasi nasional yang membuat PSD2 tidak konsisten di seluruh pasar Uni Eropa. Perlindungan terhadap penipuan yang lebih kuat, API perbankan terbuka yang terstandarisasi, dan regulasi eksplisit terhadap token uang elektronik dan layanan pembayaran kripto adalah perubahan utama.
Kesepakatan politik sementara tercapai pada November 2025. Publikasi Jurnal Resmi Uni Eropa diharapkan pada kuartal kedua tahun 2026. Pemberlakuan penuh akan terjadi sekitar tahun 2028. Jeda antara tanggal-tanggal tersebut penting: PSR berlaku 20 hari setelah publikasi, jauh sebelum negara-negara anggota menyelesaikan transposisi arahan tersebut ke dalam hukum nasional.
Apa itu PSD3?
Uni Eropa telah menjalankan pasar pembayarannya berdasarkan arahan sejak tahun 2007. PSD1 menetapkan kerangka dasar. PSD2 menyusul pada tahun 2015, menambahkan otentikasi pelanggan yang kuat dan akses pihak ketiga melalui perbankan terbuka. PSD3 adalah generasi ketiga — dan ini merupakan perubahan struktural yang lebih besar daripada kedua generasi sebelumnya.
Berbeda dengan pendahulunya, PSD3 tidak berdiri sendiri. Ia hadir bersamaan dengan Regulasi Layanan Pembayaran (PSR) yang berlaku langsung di setiap negara anggota Uni Eropa, tanpa memerlukan transposisi nasional. Di bawah PSD2, Jerman dan Prancis menerapkan arahan yang sama secara berbeda. Sebuah perusahaan fintech harus memahami setiap pasar secara terpisah. Di bawah PSR, perbedaan tersebut hilang — aturan perilaku identik di mana pun.
Dua perubahan lain yang penting secara struktural adalah:
- Direktif Uang Elektronik (EMD2), yang secara terpisah mengatur lembaga uang elektronik, digabungkan ke dalam PSD3. Lembaga uang elektronik menjadi subkategori lembaga pembayaran di bawah satu kerangka kerja.
- Token uang elektronik, yaitu stablecoin kripto yang digunakan untuk tujuan pembayaran, masuk ke dalam regulasi layanan pembayaran Uni Eropa untuk pertama kalinya.
PSD3 vs PSD2: Apa yang Berubah?
Enam area mengalami pembaruan material antara PSD2 dan PSD3:
| Daerah | PSD2 | PSD3 |
|---|---|---|
| Instrumen hukum | Direktif (transposisi nasional) | Direktif + PSR (peraturan Uni Eropa yang seragam) |
| Kerangka kerja EMI | Arahan EMD2 terpisah | Digabungkan ke dalam kerangka lembaga pembayaran |
| Persyaratan SCA | Kategori faktor yang ketat | Prinsip kemandirian; lebih banyak fleksibilitas |
| API perbankan terbuka | Format sukarela, tidak konsisten | Spesifikasi standar, pelaporan wajib |
| Tanggung jawab penipuan APP | Pelanggan menanggung sebagian besar risiko. | PSP bertanggung jawab kecuali terbukti adanya kelalaian berat. |
| Token kripto/uang elektronik | Tidak ditanggung | Secara eksplisit termasuk dalam cakupan PSR. |
Pergeseran dari hanya arahan (directive) ke arahan plus regulasi (directive plus regulation) memiliki arti lebih besar daripada yang terlihat. Sebuah perusahaan fintech yang beroperasi di Jerman, Prancis, dan Belanda sebelumnya berurusan dengan tiga versi hukum yang berbeda yang telah diimplementasikan. Di bawah PSD3/PSR, aturan perilaku identik di setiap negara anggota.
Verifikasi IBAN dan Tanggung Jawab Penipuan Aplikasi
Dua ketentuan PSD3 yang paling signifikan secara komersial menargetkan penipuan, khususnya penipuan Authorized Push Payment (APP), di mana pelanggan dimanipulasi untuk secara sukarela mengirimkan dana ke rekening kriminal.
Pencocokan nama IBAN adalah mekanisme pertama. Penyedia layanan pembayaran harus memverifikasi bahwa nama penerima pembayaran sesuai dengan IBAN mereka sebelum transfer kredit dieksekusi. Pemeriksaan harus selesai dalam beberapa detik dan diberikan secara gratis kepada konsumen. Ini mencerminkan sistem Konfirmasi Penerima Pembayaran (CoP) Inggris, yang secara signifikan mengurangi penipuan APP setelah peluncurannya pada tahun 2020. Persyaratan ini berlaku 24 bulan setelah PSD3 diberlakukan, diperkirakan sekitar tahun 2028.
Pengalihan tanggung jawab adalah mekanisme kedua. Di bawah PSD2, beban pembuktian dalam kasus penipuan APP biasanya jatuh pada korban untuk menunjukkan bahwa mereka tidak memberikan persetujuan. PSD3 membalikkan hal ini:
- Pelanggan melaporkan transaksi yang tidak sah atau dilakukan secara curang.
- PSP memiliki waktu 14 hari kerja untuk memproses klaim pengembalian dana.
- PSP wajib memberikan pengembalian dana penuh kecuali dapat membuktikan bahwa pelanggan bertindak curang atau lalai secara berat.
- Penyedia layanan pembayaran (PSP) yang gagal menerapkan kontrol penipuan yang memadai, termasuk verifikasi IBAN, akan memikul tanggung jawab default atas kerugian.
- Kasus manipulasi pembayaran: jika PSP gagal memberitahukan ketidaksesuaian nama/IBAN, maka PSP menanggung kerugian terlepas dari faktor-faktor lainnya.
Institusi yang mengabaikan maksud terbuka PSD2 tentang tanggung jawab atas penipuan kini menghadapi kewajiban finansial. Ini bukan sekadar formalitas kepatuhan—ini adalah insentif langsung untuk berinvestasi dalam infrastruktur pencegahan penipuan.
Perbankan Terbuka dan Standar API
Ambisi perbankan terbuka PSD2 menemui kendala praktis: bank-bank mengimplementasikan API sesuai keinginan mereka. Penyedia pihak ketiga (TPP), yaitu perusahaan fintech yang memanfaatkan data bank, menghadapi puluhan implementasi yang tidak kompatibel di seluruh pasar Uni Eropa. Sebuah perusahaan fintech Prancis yang mengakses data bank Jerman menggunakan antarmuka yang sama sekali berbeda dari yang digunakannya di Spanyol.
PSD3 mengatasi hal ini dengan standarisasi wajib:
- Penyedia Layanan Pembayaran (Account Servicing Payment Service Providers/ASPSPs) harus menawarkan antarmuka khusus yang memenuhi spesifikasi standar Uni Eropa.
- Bank wajib menerbitkan laporan kinerja triwulanan mengenai ketersediaan API, latensi, dan tingkat kesalahan.
- Jika API utama mengalami gangguan, TPP akan mendapatkan akses cadangan ke antarmuka pelanggan standar bank.
- Dasbor persetujuan pelanggan menjadi wajib — pengguna dapat melihat pihak ketiga mana yang memiliki akses ke akun mereka dan mencabut izin secara real-time.
- Antarmuka khusus harus cukup andal untuk menghilangkan "screen scraping" sebagai metode cadangan.
Bagi bank, ini berarti akuntabilitas nyata atas kualitas API yang sebelumnya bersifat sukarela dan sebagian besar diabaikan. Bagi perusahaan teknologi finansial (fintech), ini berarti akses yang konsisten dan dapat diaudit di seluruh pasar Uni Eropa.
Otentikasi Pelanggan yang Kuat di Bawah PSD3
Aturan otentikasi pelanggan yang kuat (SCA) PSD2 mensyaratkan dua faktor otentikasi yang diambil dari setidaknya dua kategori terpisah: sesuatu yang Anda ketahui (PIN, kata sandi), sesuatu yang Anda miliki (perangkat, kartu), atau sesuatu yang Anda miliki (biometrik). PSD3 mempertahankan persyaratan dua faktor, tetapi menghapus aturan kategori tersebut.
Standar barunya adalah "independensi," bukan pemisahan kategori. Dua faktor dianggap sesuai selama kompromi pada satu faktor tidak secara otomatis mengkompromikan faktor lainnya. Ini merupakan kemenangan desain nyata bagi penyedia pembayaran yang selama ini dipaksa menggunakan UX yang canggung untuk memenuhi aturan kategori yang sebenarnya tidak banyak menambah keamanan.
Transaksi yang diinisiasi oleh pedagang mengalami perubahan paling signifikan secara praktis. Di bawah PSD2, biaya berulang setelah pengaturan SCA awal berada di zona abu-abu — aturan tersebut tidak dirancang untuk penagihan berlangganan. PSD3 menutupnya: SCA pada saat pembuatan mandat mencakup hubungan yang berkelanjutan. Biaya otomatis selanjutnya tidak memerlukan otentikasi ulang.
Tokenisasi juga diperjelas. SCA sekarang hanya aktif ketika pemegang kartu secara aktif berpartisipasi dalam pembuatan token. Setelah token ada, transaksi yang dilakukan terhadap token tersebut tidak memerlukan otentikasi baru untuk setiap pembayaran.
Penautan dinamis dipertahankan dari PSD2 — kode otentikasi masih terkait dengan jumlah transaksi dan penerima pembayaran tertentu. Dan PSR memberikan panduan yang lebih jelas tentang pengecualian SCA, yang seharusnya mengurangi variasi antar pasar dalam penerapan pengecualian berdasarkan arahan tersebut.
PSD3, Pembayaran Kripto, dan Token Uang Elektronik
Sebagian besar panduan PSD3 melewatkan bagian ini sepenuhnya, atau membahasnya hanya dalam satu kalimat. Hubungan antara PSD3 dan mata uang kripto bersifat struktural, bukan sekadar pelengkap — hal ini memengaruhi bisnis apa pun yang memproses pembayaran kripto di Uni Eropa.
Titik masuknya adalah token uang elektronik. Berdasarkan MiCA, peraturan aset kripto Uni Eropa yang mulai berlaku pada tahun 2024, stablecoin yang dipatok ke mata uang fiat tunggal diklasifikasikan sebagai token uang elektronik ketika digunakan untuk tujuan pembayaran. USDC, misalnya, digunakan untuk menyelesaikan faktur dalam mata uang EUR. PSD3 membawa token-token ini langsung ke dalam kerangka layanan pembayaran.
Gambaran regulasi untuk penyedia layanan pembayaran kripto di Uni Eropa:
| Jenis entitas | Peraturan berlaku |
|---|---|
| Lembaga pembayaran tradisional | PSD3 + PSR |
| Lembaga uang elektronik | PSD3 (kerangka kerja EMD2 yang digabungkan) |
| Crypto PSP menggunakan token uang elektronik | MiCA + PSD3/PSR (aplikasi yang disederhanakan) |
| Penyedia BNPL | PSD3 + aturan kecukupan modal |
| Penyedia dompet kripto | Kerangka dompet digital PSD3 |
Isu regulasi ganda inilah yang seringkali diremehkan oleh sebagian besar tim kepatuhan. Penyedia layanan aset kripto (CASP) yang diotorisasi MiCA dan menerbitkan token uang elektronik tidak secara otomatis memerlukan otorisasi PSD3 terpisah. Namun, jika juga menyediakan layanan pembayaran — mengirim, menerima, memproses — maka aplikasi PSD3 yang disederhanakan berlaku. Kedua rezim tersebut tidak saling mencakup secara otomatis.
BNPL (Buy Now Pay Later) adalah kategori baru lainnya yang tercakup. Penyedia yang beroperasi di zona abu-abu regulasi di seluruh pasar Uni Eropa kini menghadapi persyaratan otorisasi lembaga pembayaran formal dan aturan kecukupan modal. Biaya kepatuhan untuk sektor ini meningkat secara signifikan.
Bagi bisnis yang membangun infrastruktur pembayaran kripto, Plisio adalah contoh gerbang pembayaran kripto yang mampu menavigasi lingkungan regulasi ini — memungkinkan pedagang untuk menerima mata uang kripto seiring berkembangnya kerangka kepatuhan pembayaran Uni Eropa di bawah PSD3 dan MiCA.
PSD3 berlaku untuk siapa?
PSD3 dan PSR berlaku untuk setiap entitas yang menyediakan layanan pembayaran di Uni Eropa, terlepas dari tempat pendiriannya. Cakupannya:
- Lembaga kredit (bank) yang menyediakan layanan pembayaran
- Lembaga pembayaran — penyedia layanan pembayaran non-bank termasuk perusahaan teknologi keuangan (fintech), bank digital (neobank), dan operator transfer uang.
- Lembaga uang elektronik — kini telah digabung ke dalam kerangka lembaga pembayaran.
- Penyedia BNPL — baru termasuk dalam cakupan, tunduk pada persyaratan otorisasi dan modal.
- Penyedia layanan aset kripto yang menawarkan layanan pembayaran — diatur ganda berdasarkan MiCA + PSD3
- Penyedia pihak ketiga (TPP) — penyedia layanan informasi akun (AISP) dan penyedia layanan inisiasi pembayaran (PISP)
Platform dan pasar online menghadapi perubahan yang paling mengganggu. Di bawah PSD2, banyak yang menghindari otorisasi layanan pembayaran melalui "pengecualian agen komersial," dengan mengklaim bahwa mereka bertindak sebagai agen untuk pembeli dan penjual, bukan sebagai pemroses pembayaran. PSD3 memperketat pengecualian tersebut secara tajam. Sebagian besar platform yang bergantung padanya akan membutuhkan otorisasi PSP formal, persyaratan modal, dan pengawasan peraturan yang berkelanjutan — sebuah pergeseran operasional yang signifikan bagi bisnis pasar online yang membangun infrastruktur mereka berdasarkan pengecualian tersebut.
Entitas yang berbasis di Inggris: PSD3 hanya merupakan hukum Uni Eropa. Pasca-Brexit, Inggris menjalankan kerangka kerja FCA-nya sendiri. Regulasi BNPL Inggris (FCA berlaku efektif Juli 2026) dan sistem Konfirmasi Penerima Pembayaran mengikuti arah yang serupa, tetapi bisnis yang beroperasi di kedua yurisdiksi menghadapi jalur kepatuhan yang sepenuhnya terpisah.
Timeline PSD3: Kapan Mulai Berlaku?
PSD3 diluncurkan secara bertahap, bukan sebagai peralihan tunggal:
- 28 Juni 2023 — Komisi Eropa menerbitkan proposal PSD3 dan PSR.
- 27 November 2025 — Kesepakatan politik sementara tercapai antara Parlemen dan Dewan Uni Eropa
- Kuartal ke-2 tahun 2026 (perkiraan) — Publikasi di Jurnal Resmi Uni Eropa; PSR mulai berlaku 20 hari kemudian
- 18 bulan setelah mulai berlaku — Batas waktu bagi negara-negara anggota untuk mengimplementasikan arahan PSD3 ke dalam hukum nasional.
- 24 bulan setelah berlaku — persyaratan verifikasi IBAN/nama penerima pembayaran menjadi wajib (~2028)
- 24–30 bulan setelah masuk — Otorisasi PSD2 yang sudah ada tetap berlaku; perpanjangan hingga 30 bulan dimungkinkan
- Kuartal 2–Kuartal 3 2028 (perkiraan) — Penerapan PSD3/PSR secara penuh; PSD2 dan EMD2 sepenuhnya digantikan
Jangka waktu transisi 18 bulan bukanlah masa tunggu. Aturan perilaku PSR berlaku di seluruh Uni Eropa mulai hari ke-20 publikasi. Analisis kesenjangan terhadap PSR — yang mencakup implementasi SCA, kontrol penipuan, infrastruktur API, dan perizinan kriptografi berdasarkan aturan koordinasi MiCA — harus dijalankan sekarang.
