PSD3 Açıklaması: AB Ödeme Sistemleri ve Açık Bankacılıkta Önemli Değişiklikler
AB'de elektronik ödemeler her yıl yaklaşık 240 trilyon avro değerinde işlem görüyor. Tüm bu işlemleri düzenleyen kurallar yeniden yazılıyor.
Üçüncü Ödeme Hizmetleri Direktifi olan PSD3, PSD2'nin yerini tamamen alıyor. Sadece eski kuralları güncellemekle kalmıyor, aynı zamanda direktifi, AB pazarlarında PSD2'yi tutarsız kılan ulusal farklılıkları ortadan kaldıran doğrudan uygulanabilir bir Ödeme Hizmetleri Yönetmeliği (PSR) ile birleştiriyor. Daha güçlü dolandırıcılık korumaları, standartlaştırılmış açık bankacılık API'leri ve e-para token'larının ve kripto ödeme hizmetlerinin açık bir şekilde düzenlenmesi, başlıca değişiklikler arasında yer alıyor.
Kasım 2025'te geçici bir siyasi anlaşmaya varıldı. AB Resmi Gazetesi'nde yayımlanmasının 2026'nın ikinci çeyreğinde olması bekleniyor. Tam uygulama ise 2028 civarında gerçekleşecek. Bu tarihler arasındaki süre önemlidir: PSR, yayımlanmasından 20 gün sonra, üye devletlerin direktifi ulusal yasalarına aktarmayı tamamlamalarından çok önce yürürlüğe girer.
PSD3 Nedir?
AB, 2007'den beri ödeme piyasasını direktifler doğrultusunda yönetiyor. PSD1 temel çerçeveyi oluşturdu. 2015'te PSD2 yürürlüğe girdi ve güçlü müşteri kimlik doğrulaması ile açık bankacılık yoluyla üçüncü taraf erişimini ekledi. PSD3 ise üçüncü nesil direktif olup, önceki iki direktiften daha büyük bir yapısal değişiklik içeriyor.
Önceki sürümlerden farklı olarak, PSD3 tek başına değil. Her AB üye devletinde doğrudan uygulanan ve ulusal uyarlama gerektirmeyen bir Ödeme Hizmetleri Yönetmeliği (PSR) ile birlikte geliyor. PSD2 kapsamında, Almanya ve Fransa aynı direktifi farklı şekillerde uygulamıştı. Bir fintech şirketinin her pazarı ayrı ayrı anlaması gerekiyordu. PSR kapsamında ise bu farklılıklar ortadan kalkıyor; davranış kuralları her yerde aynı.
Yapısal açıdan önem taşıyan diğer iki değişiklik şunlardır:
- Elektronik Para Direktifi (EMD2), elektronik para kuruluşlarını ayrı olarak düzenlerken, PSD3 ile birleşiyor. Elektronik para kuruluşları, tek bir çerçeve altında ödeme kuruluşlarının bir alt kategorisi haline geliyor.
- Ödeme amacıyla kullanılan kripto para birimleri olan elektronik para tokenları, ilk kez AB ödeme hizmetleri düzenlemelerine tabi tutuluyor.
PSD3 ve PSD2 Arasında Neler Değişti?
PSD2 ve PSD3 arasında altı alanda önemli güncellemeler yapıldı:
| Alan | PSD2 | PSD3 |
|---|---|---|
| Hukuki araç | Yönerge (ulusal uyarlama) | Direktif + PSR (AB'nin tek tip düzenlemesi) |
| EMI çerçevesi | Ayrı EMD2 yönergesi | Ödeme kurumu çerçevesine entegre edildi. |
| SCA gereksinimleri | Kesin faktör kategorileri | Bağımsızlık ilkesi; daha fazla esneklik |
| Açık bankacılık API'leri | Gönüllü formatlar, tutarsız | Standartlaştırılmış özellikler, zorunlu raporlama |
| APP dolandırıcılık sorumluluğu | Riskin büyük kısmını müşteri üstlenir. | PSP, ağır ihmal kanıtlanmadığı sürece sorumludur. |
| Kripto / elektronik para tokenleri | Kapsam dışı | PSR kapsamında açıkça belirtilmiştir. |
Sadece yönergeden yönerge artı düzenlemeye geçiş, göründüğünden daha önemlidir. Almanya, Fransa ve Hollanda'da faaliyet gösteren bir fintech şirketi daha önce aynı yasanın üç farklı şekilde uygulanmış versiyonuyla karşı karşıya kalmıştı. PSD3/PSR kapsamında, davranış kuralları her üye devlette aynıdır.
IBAN Doğrulama ve Uygulama Dolandırıcılığı Sorumluluğu
PSD3'ün ticari açıdan en önemli iki hükmü, özellikle müşterilerin gönüllü olarak suçlu bir hesaba para göndermeye yönlendirildiği Yetkilendirilmiş Ödeme (APP) dolandırıcılığı olmak üzere, sahtekarlığı hedef almaktadır.
IBAN isim eşleştirmesi ilk mekanizmadır. Ödeme hizmeti sağlayıcıları, kredi transferi gerçekleşmeden önce alıcının adının IBAN'ıyla eşleştiğini doğrulamalıdır. Bu kontrol birkaç saniye içinde tamamlanmalıdır ve tüketicilere ücretsiz olarak sunulmaktadır. Bu, 2020'deki uygulamaya geçişinden sonra APP dolandırıcılığını önemli ölçüde azaltan İngiltere'nin Alıcı Onayı (CoP) sistemini yansıtmaktadır. Bu gereklilik, PSD3'ün yürürlüğe girmesinden 24 ay sonra, yaklaşık 2028 yılında yürürlüğe girecektir.
Sorumluluk kayması ikinci mekanizmadır. PSD2 kapsamında, APP dolandırıcılığı davalarında ispat yükü genellikle mağdurların rıza göstermediklerini kanıtlamalarına düşüyordu. PSD3 bunu tersine çeviriyor:
- Müşteri, yetkisiz veya hileli bir işlem bildirmektedir.
- PSP'nin geri ödeme talebini işleme koymak için 14 iş günü süresi vardır.
- PSP, müşterinin hileli davrandığını veya ağır ihmalkarlıkla hareket ettiğini kanıtlayamadığı sürece, tutarı tam olarak iade etmek zorundadır.
- Yeterli dolandırıcılık kontrol önlemlerini (IBAN doğrulaması dahil) uygulamayan ödeme hizmeti sağlayıcıları, kayıplardan doğan sorumluluğu üstlenirler.
- Ödeme yapan tarafın manipülasyonu vakaları: Eğer ödeme hizmeti sağlayıcısı isim/IBAN uyuşmazlığını bildirmekte başarısız olursa, diğer faktörlerden bağımsız olarak zararı üstlenir.
PSD2'nin dolandırıcılık sorumluluğu konusundaki açık niyetini görmezden gelen kurumlar artık zorunlu mali sorumlulukla karşı karşıya. Bu sadece bir uyumluluk kontrol listesi değil, dolandırıcılık altyapısına yatırım yapılması için doğrudan bir teşviktir.
Açık Bankacılık ve API Standartları
PSD2'nin açık bankacılık hedefleri pratik bir duvara çarptı: bankalar API'leri istedikleri gibi uyguladılar. Banka verileri üzerine kurulu fintech şirketleri olan üçüncü taraf sağlayıcılar (TPP'ler), AB pazarlarında onlarca uyumsuz uygulamayla karşılaştı. Alman banka verilerine erişen bir Fransız fintech şirketi, İspanya'da kullandığı arayüzden tamamen farklı bir arayüz üzerinden çalıştı.
PSD3, zorunlu standardizasyon ile bu sorunu çözüyor:
- Hesap Hizmeti Sağlayan Ödeme Servisi Sağlayıcıları (ASPSP'ler), AB standartlaştırılmış şartnamelerine uygun özel arayüzler sunmalıdır.
- Bankaların API çalışma süresi, gecikme süresi ve hata oranlarına ilişkin üç aylık performans raporları yayınlamaları zorunludur.
- Birincil API devre dışı kalırsa, üçüncü taraf ödeme sağlayıcıları (TPP'ler) bankanın standart müşteri arayüzüne yedek erişim elde eder.
- Müşteri onay panoları zorunlu hale geliyor; kullanıcılar hangi üçüncü tarafların hesaplarına erişimi olduğunu görebiliyor ve izinlerini gerçek zamanlı olarak iptal edebiliyor.
- Özel arayüzler, yedek yöntem olarak "ekran kazıma"yı ortadan kaldıracak kadar güvenilir olmalıdır.
Bankalar için bu, daha önce gönüllü olan ve büyük ölçüde göz ardı edilen API kalitesi konusunda gerçek bir hesap verebilirlik anlamına geliyor. Fintech şirketleri için ise AB pazarlarında tutarlı ve denetlenebilir erişim anlamına geliyor.
PSD3 Kapsamında Güçlü Müşteri Kimlik Doğrulaması
PSD2'nin güçlü müşteri kimlik doğrulama (SCA) kuralları, en az iki ayrı kategoriden alınan iki kimlik doğrulama faktörü gerektiriyordu: bildiğiniz bir şey (PIN, parola), sahip olduğunuz bir şey (cihaz, kart) veya olduğunuz bir şey (biyometrik). PSD3, iki faktörlü kimlik doğrulama şartını korurken, kategori kuralını kaldırıyor.
Yeni standart "bağımsızlık"tır, kategori ayrımı değil. İki faktör, birinin tehlikeye atılmasının diğerini otomatik olarak tehlikeye atmaması koşuluyla uyumludur. Bu, gerçek bir güvenlik kazanımı sağlayan ancak aslında pek bir şey katmayan bir kategori kuralını karşılamak için garip kullanıcı deneyimine zorlanan ödeme sağlayıcıları için gerçek bir tasarım başarısıdır.
Satıcı tarafından başlatılan işlemler en pratik şekilde değişiyor. PSD2 kapsamında, ilk SCA kurulumundan sonraki yinelenen ücretlendirmeler gri bir bölgedeydi; kurallar abonelik faturalandırması için tasarlanmamıştı. PSD3 bunu kapatıyor: Yetki oluşturma aşamasındaki SCA, devam eden ilişkiyi kapsıyor. Sonraki otomatik ücretlendirmeler yeniden kimlik doğrulaması gerektirmiyor.
Tokenizasyon da açıklığa kavuşturuluyor. SCA artık yalnızca kart sahibi aktif olarak bir token oluşturma işlemine katıldığında tetikleniyor. Token oluşturulduktan sonra, ona karşı yapılan işlemler her ödeme için yeni bir kimlik doğrulaması gerektirmiyor.
Dinamik bağlantı PSD2'den devralındı; kimlik doğrulama kodu hala belirli işlem tutarı ve alıcıyla bağlantılı. Ayrıca PSR, SCA muafiyetleri konusunda daha net bir rehberlik sağlıyor; bu da, muafiyetlerin yalnızca direktif kapsamında nasıl uygulandığına ilişkin piyasa bazındaki farklılıkları azaltmalıdır.
PSD3, Kripto Ödemeler ve Elektronik Para Tokenleri
Çoğu PSD3 kılavuzu bu bölümü tamamen atlıyor veya tek bir cümleyle geçiştiriyor. PSD3 ile kripto para birimi arasındaki bağlantı yapısal olup, yüzeysel değildir; AB'de kripto ödemelerini işleyen her işletmeyi etkiler.
Giriş noktası elektronik para tokenlarıdır. 2024 yılında yürürlüğe giren AB'nin kripto varlık düzenlemesi MiCA kapsamında, tek bir itibari para birimine sabitlenmiş stablecoin'ler, ödeme amacıyla kullanıldıklarında elektronik para tokenları olarak sınıflandırılır. Örneğin, EUR cinsinden bir faturayı ödemek için kullanılan USDC. PSD3, bu tokenları doğrudan ödeme hizmetleri çerçevesine dahil ediyor.
AB'de kripto para ödeme hizmeti sağlayıcıları için düzenleyici tablo:
| Varlık türü | Yönetmelik geçerlidir. |
|---|---|
| Geleneksel ödeme kurumu | PSD3 + PSR |
| Elektronik para kurumu | PSD3 (birleştirilmiş EMD2 çerçevesi) |
| Kripto para birimi ödeme hizmeti sağlayıcısı (PSP), elektronik para token'larını kullanıyor. | MiCA + PSD3/PSR (basitleştirilmiş uygulama) |
| BNPL sağlayıcısı | PSD3 + sermaye yeterliliği kuralları |
| Kripto cüzdan sağlayıcısı | PSD3 dijital cüzdan çerçevesi |
Çifte düzenleme sorunu, çoğu uyumluluk ekibinin karmaşıklığını hafife aldığı noktadır. MiCA onaylı bir kripto varlık hizmet sağlayıcısı (CASP), elektronik para token'ları ihraç ediyorsa, otomatik olarak ayrı bir PSD3 yetkilendirmesine ihtiyaç duymaz. Ancak aynı zamanda ödeme hizmetleri (gönderme, alma, işleme) sağlıyorsa, basitleştirilmiş bir PSD3 başvurusu geçerlidir. İki rejim varsayılan olarak birbirini kapsamaz.
BNPL (Şimdi Al, Sonra Öde) yeni eklenen bir diğer kategori. AB pazarlarında düzenleyici gri bölgede faaliyet gösteren sağlayıcılar artık resmi ödeme kurumu yetkilendirme gereksinimleri ve sermaye yeterliliği kurallarıyla karşı karşıya. Sektör için uyumluluk maliyeti önemli ölçüde artıyor.
Kripto ödeme altyapısı kuran işletmeler için Plisio , bu düzenleyici ortamda yol alan bir kripto ödeme ağ geçidi örneğidir ve AB ödeme uyumluluk çerçevesi PSD3 ve MiCA kapsamında gelişirken satıcıların kripto para birimlerini kabul etmelerini sağlar.
PSD3 Kimler İçin Geçerlidir?
PSD3 ve PSR, nerede kurulduğuna bakılmaksızın, AB içinde ödeme hizmetleri sağlayan tüm kuruluşlar için geçerlidir. Kapsam:
- Ödeme hizmetleri sağlayan kredi kuruluşları (bankalar)
- Ödeme kuruluşları — fintech şirketleri, yeni nesil bankalar, para transferi operatörleri de dahil olmak üzere banka dışı ödeme hizmeti sağlayıcıları
- Elektronik para kuruluşları artık ödeme kuruluşu çerçevesine entegre edildi.
- BNPL sağlayıcıları — yeni kapsama dahil, yetkilendirme ve sermaye şartlarına tabi.
- Kripto varlık hizmet sağlayıcıları tarafından sunulan ödeme hizmetleri — MiCA + PSD3 kapsamında çift düzenlemeye tabi.
- Üçüncü taraf sağlayıcılar (TPP'ler) — hesap bilgisi hizmet sağlayıcıları (AISP'ler) ve ödeme başlatma hizmet sağlayıcıları (PISP'ler)
Platformlar ve pazar yerleri en büyük değişimle karşı karşıya. PSD2 kapsamında, birçoğu ödeme işlemcisi olarak değil, hem alıcı hem de satıcı için aracı olarak hareket ettiklerini iddia ederek "ticari acente muafiyeti" yoluyla ödeme hizmeti yetkilendirmesinden kaçınıyordu. PSD3 bu muafiyeti önemli ölçüde sıkılaştırıyor. Buna dayanan çoğu platformun resmi ödeme hizmeti sağlayıcısı yetkilendirmesine, sermaye gereksinimlerine ve sürekli düzenleyici denetime ihtiyacı olacak; bu da altyapılarını bu muafiyet üzerine kurmuş pazar yeri işletmeleri için önemli bir operasyonel değişiklik anlamına geliyor.
Birleşik Krallık merkezli kuruluşlar: PSD3 yalnızca AB yasasıdır. Brexit sonrası Birleşik Krallık kendi FCA çerçevesini uygulamaktadır. Birleşik Krallık'ın BNPL düzenlemesi (FCA Temmuz 2026'da yürürlüğe girecek) ve Ödeme Alıcısının Onaylanması sistemi benzer bir yönde ilerlemektedir, ancak her iki yargı alanında faaliyet gösteren işletmeler tamamen ayrı uyumluluk süreçleriyle karşı karşıyadır.
PSD3 Zaman Çizelgesi: Ne Zaman Yürürlüğe Girecek?
PSD3 tek seferde değil, aşamalar halinde kullanıma sunuluyor:
- 28 Haziran 2023 — Avrupa Komisyonu PSD3 ve PSR önerilerini yayınladı.
- 27 Kasım 2025 — AB Parlamentosu ve Konseyi arasında geçici siyasi anlaşmaya varıldı.
- 2026'nın 2. çeyreği (tahmini) — AB Resmi Gazetesi'nde yayımlanması; PSR 20 gün sonra yürürlüğe girer.
- Yürürlüğe girmesinden 18 ay sonra — Üye devletlerin PSD3 direktifini ulusal yasalarına aktarmaları için son tarih
- Yürürlüğe girmesinden 24 ay sonra — IBAN/alıcı adı doğrulama zorunluluğu getiriliyor (~2028)
- Giriş tarihinden itibaren 24-30 ay — Mevcut PSD2 yetkilendirmeleri geçerliliğini korur; 30 aya kadar uzatma mümkündür.
- 2028'in 2. ve 3. çeyrekleri (tahmini) — PSD3/PSR'nin tam olarak uygulanması; PSD2 ve EMD2'nin tamamen değiştirilmesi.
18 aylık geçiş süresi bir bekleme süresi değildir. PSR'nin davranış kuralları, yayınlanmasının 20. gününden itibaren AB genelinde geçerlidir. SCA uygulaması, dolandırıcılık kontrolleri, API altyapısı ve MiCA koordinasyon kuralları kapsamında kripto para lisanslaması konularını kapsayan PSR'ye karşı boşluk analizi şu anda çalışıyor olmalıdır.
