Объяснение PSD3: ключевые изменения в платежах и открытом банкинге ЕС.
В ЕС ежегодно осуществляется электронных платежей на сумму около 240 триллионов евро. Правила, регулирующие все эти операции, переписываются.
Директива PSD3, третья директива о платежных услугах, полностью заменяет PSD2. Она не просто обновляет старые правила — она объединяет директиву с непосредственно применимым Регламентом о платежных услугах (PSR), который устраняет национальные различия, делавшие PSD2 непоследовательной на рынках ЕС. Главные изменения включают в себя усиление защиты от мошенничества, стандартизацию API открытого банкинга и явное регулирование токенов электронных денег и криптовалютных платежных сервисов.
Предварительное политическое соглашение было достигнуто в ноябре 2025 года. Публикация в Официальном журнале ЕС ожидается во втором квартале 2026 года. Полное вступление в силу запланировано примерно на 2028 год. Разница между этими датами имеет значение: ПСР вступает в силу через 20 дней после публикации, задолго до того, как государства-члены завершат транспонирование директивы в национальное законодательство.
Что такое PSD3?
С 2007 года ЕС управляет своим платежным рынком на основе директив. PSD1 заложила базовую основу. PSD2 последовала в 2015 году, добавив усиленную аутентификацию клиентов и доступ третьих лиц через открытое банковское обслуживание. PSD3 — это третье поколение директив, и это более масштабные структурные изменения, чем любые из них.
В отличие от своих предшественников, PSD3 не является самостоятельной директивой. Она включает в себя Регламент о платежных услугах (PSR), который применяется непосредственно во всех государствах-членах ЕС, без необходимости национальной имплементации. В рамках PSD2 Германия и Франция по-разному внедряли одну и ту же директиву. Финтех-компании должны были понимать каждый рынок отдельно. В рамках PSR эти различия стираются — правила поведения идентичны повсюду.
Два других изменения имеют важное структурное значение:
- Директива об электронных деньгах (EMD2), которая отдельно регулировала деятельность учреждений, работающих с электронными деньгами, объединяется с Директивой PSD3. Учреждения, работающие с электронными деньгами, становятся подкатегорией платежных учреждений в рамках единой системы.
- Токены электронных денег, то есть криптовалютные стейблкоины, используемые для платежей, впервые подпадают под действие законодательства ЕС о платежных услугах.
PSD3 против PSD2: что изменилось?
В период между PSD2 и PSD3 были внесены существенные изменения в шесть областей:
| Область | PSD2 | PSD3 |
|---|---|---|
| Правовой инструмент | Директива (национальная транспозиция) | Директива + ПСР (единый регламент ЕС) |
| Рамочная программа EMI | Отдельная директива EMD2 | Интегрировано в структуру платежного учреждения. |
| Требования SCA | Категории строгих факторов | Принцип независимости; большая гибкость |
| API открытого банкинга | Добровольные форматы, непоследовательные | Стандартизированные технические условия, обязательная отчетность |
| ответственность за мошенничество с приложениями | Наибольший риск несет клиент. | PSP несет ответственность, если не доказана грубая халатность. |
| Криптовалютные/электронные токены | Не покрывается страховкой | Входит в сферу действия Закона о защите персональных данных (PSR). |
Переход от директивы, ограничивающейся только регламентом, к директиве, дополненной регламентом, имеет большее значение, чем кажется на первый взгляд. Финтех-компания, работающая в Германии, Франции и Нидерландах, ранее сталкивалась с тремя различными версиями одного и того же закона. В соответствии с PSD3/PSR правила поведения идентичны во всех государствах-членах.
Проверка IBAN и ответственность за мошенничество с использованием приложения.
Два наиболее значимых с коммерческой точки зрения положения директивы PSD3 направлены на борьбу с мошенничеством, в частности, с мошенничеством, связанным с авторизованными платежами (APP), когда клиентов обманом заставляют добровольно переводить средства на преступный счет.
Первым механизмом является проверка соответствия имени получателя по IBAN . Поставщики платежных услуг должны убедиться, что имя получателя совпадает с его IBAN, прежде чем будет осуществлен перевод средств. Проверка должна быть завершена в течение нескольких секунд и предоставляется потребителям бесплатно. Это аналогично британской системе подтверждения получателя платежа (CoP), которая существенно сократила мошенничество с платежными приложениями после ее внедрения в 2020 году. Требование вступает в силу через 24 месяца после вступления в силу PSD3, ориентировочно в 2028 году.
Перекладывание ответственности — это второй механизм. В соответствии с PSD2 бремя доказывания в случаях мошенничества с использованием приложений обычно ложилось на жертв, которые должны были доказать, что не давали согласия. PSD3 меняет это положение:
- Клиент сообщает о несанкционированной или мошеннической транзакции.
- У PSP есть 14 рабочих дней на обработку заявления на возврат средств.
- PSP обязана вернуть полную сумму, если не докажет, что клиент действовал мошенническим путем или по грубой неосторожности.
- Платежные системы, которые не внедряют надлежащие меры контроля за мошенничеством, включая проверку IBAN, принимают на себя ответственность за убытки в случае неисполнения обязательств.
- Случаи манипуляций со стороны плательщиков: если поставщик платежных услуг не уведомил о несоответствии имени/IBAN, он несет убытки независимо от других факторов.
Учреждения, которые игнорировали открытое намерение PSD2 привлечь к ответственности за мошенничество, теперь сталкиваются с обязательным финансовым риском. Это не просто формальность — это прямой стимул к инвестициям в инфраструктуру противодействия мошенничеству.
Открытый банкинг и стандарты API
Амбиции PSD2 в области открытого банкинга столкнулись с практическим препятствием: банки внедряли API так, как им хотелось. Сторонние поставщики (TPP), финтех-компании, создающие решения на основе банковских данных, столкнулись с десятками несовместимых реализаций на рынках ЕС. Французская финтех-компания, получающая доступ к данным немецких банков, работала через совершенно другой интерфейс, чем тот, который она использовала в Испании.
В директиве PSD3 эта проблема решается путем обязательной стандартизации:
- Поставщики услуг по обслуживанию платежных счетов (ASPSP) должны предлагать выделенные интерфейсы, соответствующие стандартизированным спецификациям ЕС.
- Банки обязаны публиковать ежеквартальные отчеты о производительности, касающиеся времени безотказной работы API, задержки и частоты ошибок.
- Если основной API выйдет из строя, сторонние поставщики услуг получат резервный доступ к стандартному клиентскому интерфейсу банка.
- Панели мониторинга согласия клиентов становятся обязательными — пользователи могут видеть, какие третьи стороны имеют доступ к их учетным записям, и отзывать разрешение в режиме реального времени.
- Специализированные интерфейсы должны быть достаточно надежными, чтобы исключить «парсинг веб-страниц» в качестве резервного метода.
Для банков это означает реальную ответственность за качество API, которая ранее была добровольной и в значительной степени игнорировалась. Для финтех-компаний это означает последовательный, подлежащий аудиту доступ на рынках ЕС.
Усиленная аутентификация клиентов в соответствии с PSD3
В соответствии с правилами PSD2, для надежной аутентификации клиентов (SCA) требовались два фактора аутентификации, выбираемые как минимум из двух отдельных категорий: то, что вы знаете (PIN-код, пароль), то, что у вас есть (устройство, карта), или то, кем вы являетесь (биометрические данные). В PSD3 сохраняется требование о двухфакторной аутентификации, но отменяется правило о категориях.
Новый стандарт — это «независимость», а не разделение категорий. Два фактора считаются соответствующими требованиям, если компромисс в одном не приводит автоматически к компромиссу в другом. Это настоящая победа в области дизайна для платежных систем, которые были вынуждены использовать неудобный пользовательский интерфейс, чтобы соответствовать правилу категорий, которое не обеспечивало существенной реальной безопасности.
Наибольшие практические изменения коснулись транзакций, инициируемых продавцом. В соответствии с директивой PSD2, регулярные платежи после первоначальной настройки SCA находились в «серой зоне» — правила не были разработаны для подписки. PSD3 закрывает эту проблему: SCA при создании мандата распространяется на текущие отношения. Последующие автоматические платежи не требуют повторной аутентификации.
Также уточнена процедура токенизации. Теперь SCA срабатывает только тогда, когда держатель карты активно участвует в создании токена. После создания токена транзакции с его использованием не требуют повторной аутентификации для каждого платежа.
Динамическая привязка перешла из PSD2 — код аутентификации по-прежнему привязан к конкретной сумме транзакции и получателю платежа. Кроме того, PSR предоставляет более четкие указания по исключениям из SCA, что должно уменьшить различия между рынками в применении исключений в рамках одной только директивы.
PSD3, криптовалютные платежи и токены электронных денег
В большинстве руководств по PSD3 этот раздел полностью пропускается или описывается в одном предложении. Связь между PSD3 и криптовалютами носит структурный, а не косвенный характер — она затрагивает любой бизнес, обрабатывающий криптовалютные платежи в ЕС.
Точкой входа являются токены электронных денег. В соответствии с MiCA, регламентом ЕС по криптоактивам, вступившим в силу в 2024 году, стейблкоины, привязанные к одной фиатной валюте, классифицируются как токены электронных денег при использовании в платежных целях. Например, USDC использовался для оплаты счетов, номинированных в евро. PSD3 напрямую интегрирует эти токены в систему платежных услуг.
Нормативно-правовая база для поставщиков услуг криптоплатежей в ЕС:
| Тип сущности | Действуют правила. |
|---|---|
| Традиционное платежное учреждение | PSD3 + PSR |
| учреждение электронных денег | PSD3 (объединенная структура EMD2) |
| Криптовалютная PSP с использованием токенов электронных денег | MiCA + PSD3/PSR (упрощенная процедура подачи заявки) |
| Поставщик услуг BNPL | PSD3 + правила достаточности капитала |
| Поставщик криптокошельков | фреймворк цифрового кошелька PSD3 |
Проблема двойного регулирования – это то, в чем большинство команд, занимающихся вопросами соответствия, недооценивают сложность. Поставщику услуг в сфере криптоактивов (CASP), авторизованному в соответствии с MiCA и выпускающему токены электронных денег, не требуется автоматически отдельная авторизация по PSD3. Но если он также предоставляет платежные услуги – отправку, получение, обработку – применяется упрощенная процедура подачи заявки по PSD3. По умолчанию эти два режима не охватывают друг друга.
BNPL (Buy Now Pay Later — «купи сейчас, получи позже») — еще одна новая категория, подпадающая под действие закона. Провайдеры, работавшие в «серой зоне» регулирования на рынках ЕС, теперь сталкиваются с требованиями формальной авторизации платежных учреждений и правилами достаточности капитала. Стоимость соблюдения нормативных требований для этого сектора существенно возрастает.
Для компаний, создающих инфраструктуру для криптоплатежей, Plisio является примером платежного шлюза для криптовалют, который успешно адаптируется к существующей нормативно-правовой среде, позволяя продавцам принимать криптовалюту по мере развития системы соблюдения требований ЕС в отношении платежей в рамках директив PSD3 и MiCA.
На кого распространяется действие директивы PSD3?
Директивы PSD3 и PSR применяются ко всем организациям, предоставляющим платежные услуги в ЕС, независимо от места их регистрации. Сфера действия:
- Кредитные учреждения (банки), предоставляющие платежные услуги.
- Платежные учреждения — небанковские поставщики платежных услуг, включая финтех-компании, необанки и операторов денежных переводов.
- Институты электронных денег — теперь объединены в структуру платежных институтов.
- Поставщики услуг BNPL — новые участники рынка, подлежащие авторизации и требованиям к капиталу.
- Поставщики услуг в сфере криптоактивов, предлагающие платежные услуги, регулируются одновременно в рамках MiCA и PSD3.
- Сторонние поставщики услуг (TPP) — поставщики услуг по предоставлению информации о счетах (AISP) и поставщики услуг по инициированию платежей (PISP)
Платформы и торговые площадки сталкиваются с наиболее серьезными изменениями. В соответствии с директивой PSD2 многие избегали авторизации платежных услуг, используя «исключение для коммерческих агентов», утверждая, что они действовали как агенты как покупателя, так и продавца, а не как обработчики платежей. PSD3 резко ужесточает это исключение. Большинству платформ, использующих его, потребуется официальная авторизация платежных услуг, требования к капиталу и постоянный регуляторный надзор — это существенное изменение в операционной деятельности для маркетплейсов, которые построили свою систему на основе этого исключения.
Для компаний, базирующихся в Великобритании: PSD3 — это исключительно законодательство ЕС. После Brexit в Великобритании действует собственная система регулирования FCA. Британское регулирование BNPL (FCA вступило в силу в июле 2026 года) и система подтверждения получателя платежа следуют аналогичному направлению, но предприятия, работающие в обеих юрисдикциях, сталкиваются с совершенно разными процедурами соблюдения требований.
Сроки вступления в силу PSD3:
Внедрение PSD3 происходит поэтапно, а не единовременно:
- 28 июня 2023 г. — Европейская комиссия опубликовала предложения по PSD3 и PSR.
- 27 ноября 2025 г. — Между Парламентом и Советом ЕС достигнуто предварительное политическое соглашение.
- II квартал 2026 г. (ориентировочно) — публикация в Официальном журнале ЕС; ПСР вступает в силу через 20 дней.
- 18 месяцев после вступления в силу — Крайний срок для государств-членов по имплементации директивы PSD3 в национальное законодательство.
- Через 24 месяца после вступления в силу — требование о подтверждении имени получателя платежа (IBAN/имя получателя) становится обязательным (примерно в 2028 году).
- Через 24–30 месяцев после въезда — действующие разрешения PSD2 сохраняются; возможно продление до 30 месяцев.
- 2–3 квартал 2028 г. (ориентировочно) — Полное внедрение PSD3/PSR; полная замена PSD2 и EMD2.
18-месячный период для транспозиции не является периодом ожидания. Правила поведения, установленные в PSR, применяются по всей территории ЕС с 20-го дня после публикации. Анализ пробелов в соответствии с PSR, охватывающий внедрение SCA, контроль за мошенничеством, инфраструктуру API и лицензирование криптовалют в соответствии с правилами координации MiCA, должен быть запущен уже сейчас.
