Пояснення PSD3: ключові зміни в платежах ЄС та відкритому банкінгу
Щорічно обсяг електронних платежів в ЄС становить близько 240 трильйонів євро. Правила, що регулюють усі ці операції, переписуються.
PSD3, Третя директива про платіжні послуги, повністю замінює PSD2. Вона не просто оновлює старі правила — вона поєднує директиву з безпосередньо застосовним Регламентом про платіжні послуги (PSR), який усуває національні відмінності, що робили PSD2 несумісною на ринках ЄС. Основними змінами є посилений захист від шахрайства, стандартизовані API відкритого банкінгу та чітке регулювання токенів електронних грошей та послуг криптовалютних платежів.
Попередню політичну угоду було досягнуто у листопаді 2025 року. Очікується, що публікація Офіційного вісника ЄС буде опублікована у другому кварталі 2026 року. Повне впровадження набуде чинності приблизно у 2028 році. Розрив між цими датами має значення: PSR застосовується через 20 днів після публікації, задовго до того, як держави-члени завершать транспонування директиви у національне законодавство.
Що таке PSD3?
ЄС керує своїм ринком платежів на основі директив з 2007 року. PSD1 встановила базову структуру. PSD2 з'явилася у 2015 році, додавши надійну автентифікацію клієнтів та доступ третіх сторін через відкритий банкінг. PSD3 — це третє покоління, і це більша структурна зміна, ніж будь-яка з них.
На відміну від своїх попередників, PSD3 не існує окремо. Вона постачається з Регламентом про платіжні послуги (PSR), який застосовується безпосередньо в кожній державі-члені ЄС, без необхідності транспонування на національному рівні. Згідно з PSD2, Німеччина та Франція впровадили ту саму директиву по-різному. Фінтех-компаніям доводилося розуміти кожен ринок окремо. Згідно з PSR, ці відмінності руйнуються — правила поведінки однакові скрізь.
Дві інші зміни мають структурне значення:
- Директива про електронні гроші (EMD2), яка окремо регулювала установи електронних грошей, об'єднується з PSD3. Платіжні установи стають підкатегорією платіжних установ в рамках єдиної системи.
- Токени електронних грошей, тобто криптовалютні стейблкоїни, що використовуються для платежів, вперше потрапляють до регулювання платіжних послуг ЄС.
PSD3 проти PSD2: що змінилося
У шести сферах було зафіксовано суттєві оновлення між PSD2 та PSD3:
| Площа | PSD2 | PSD3 |
|---|---|---|
| Правовий інструмент | Директива (транспонування на національному рівні) | Директива + PSR (єдине регулювання ЄС) |
| Структура електромагнітних виплат | Окрема директива EMD2 | Об'єднано з системою платіжних установ |
| Вимоги SCA | Суворі категорії факторів | Принцип незалежності; більша гнучкість |
| API відкритого банкінгу | Добровільні формати, непослідовні | Стандартизовані специфікації, обов'язкова звітність |
| Відповідальність за шахрайство у сфері додатків | Клієнт несе найбільший ризик | PSP несе відповідальність, якщо не буде доведено грубу недбалість |
| Криптовалюти / токени електронних грошей | Не покривається | Чітко входить до сфери застосування PSR |
Перехід від директивного режиму до режиму «директива плюс регулювання» має більше значення, ніж здається. Фінтех-компанія, що працює в Німеччині, Франції та Нідерландах, раніше мала справу з трьома різними транспонованими версіями одного й того ж закону. Згідно з PSD3/PSR, правила поведінки однакові в кожній державі-члені.
Перевірка IBAN та відповідальність за шахрайство в додатку
Два найважливіших з комерційної точки зору положення PSD3 спрямовані на шахрайство, зокрема на шахрайство з авторизованими push-платежами (APP), коли клієнтів маніпулюють, змушуючи їх добровільно надсилати кошти на злочинний рахунок.
Зіставлення імені IBAN – це перший механізм. Постачальники платіжних послуг повинні перевірити, чи ім'я отримувача платежу відповідає його IBAN, перш ніж буде виконано кредитний переказ. Перевірка має бути завершена протягом кількох секунд і надається споживачам безкоштовно. Це відображає систему підтвердження отримувача платежу (CoP) у Великій Британії, яка суттєво зменшила шахрайство APP після її впровадження у 2020 році. Вимога набуває чинності через 24 місяці після набрання чинності PSD3, що за оцінками станеться приблизно у 2028 році.
Перекладання відповідальності – це другий механізм. Згідно з PSD2, тягар доведення у справах про шахрайство з APP зазвичай покладався на жертв, які мали продемонструвати, що вони не давали згоди. PSD3 протилежна цьому:
- Клієнт повідомляє про несанкціоновану або шахрайсько спричинену транзакцію
- PSP має 14 робочих днів для обробки заявки на повернення коштів
- PSP повинен повернути кошти повністю, якщо не зможе довести, що клієнт діяв шахрайським шляхом або з грубою недбалістю.
- Постачальники платіжних послуг, які не впроваджують належних заходів контролю за шахрайством, включаючи перевірку IBAN, беруть на себе відповідальність за збитки за замовчуванням.
- Випадки маніпуляцій з платником: якщо постачальник платних послуг не повідомив про невідповідність імені/IBAN, він несе збитки незалежно від інших факторів.
Установи, які проігнорували відкритий намір PSD2 щодо відповідальності за шахрайство, тепер стикаються з обов'язковим фінансовим ризиком. Це не просто прапорець для дотримання вимог — це прямий стимул інвестувати в інфраструктуру шахрайства.
Відкритий банкінг та стандарти API
Амбіції PSD2 щодо відкритого банкінгу зіткнулися з практичним недоліком: банки впроваджували API так, як хотіли. Сторонні постачальники (TPP), фінтех-компанії, що будують свою діяльність на базі банківських даних, зіткнулися з десятками несумісних реалізацій на ринках ЄС. Французька фінтех-компанія, яка отримувала доступ до німецьких банківських даних, працювала через зовсім інший інтерфейс, ніж той, що використовувався в Іспанії.
PSD3 виправляє це за допомогою обов'язкової стандартизації:
- Постачальники платіжних послуг з обслуговування рахунків (ASPSP) повинні пропонувати спеціальні інтерфейси, що відповідають стандартизованим специфікаціям ЄС
- Банки повинні публікувати щоквартальні звіти про ефективність роботи API, затримки та рівень помилок.
- Якщо основний API вийде з ладу, постачальники послуг третьої сторони (TPP) отримають резервний доступ до стандартного клієнтського інтерфейсу банку.
- Панелі згоди клієнтів стають обов’язковими — користувачі можуть бачити, які треті сторони мають доступ до їхніх облікових записів, і скасовувати дозвіл у режимі реального часу
- Виділені інтерфейси повинні бути достатньо надійними, щоб виключити "скрейпінг екрану" як резервний метод
Для банків це означає реальну відповідальність за якість API, яка раніше була добровільною та значною мірою ігнорувалася. Для фінтех-компаній це означає послідовний, перевірений доступ на всіх ринках ЄС.
Надійна автентифікація клієнтів згідно з PSD3
Правила PSD2 щодо суворої автентифікації клієнтів (SCA) вимагали двох факторів автентифікації, взятих щонайменше з двох окремих категорій: щось, що ви знаєте (PIN-код, пароль), щось, що у вас є (пристрій, картка), або щось, чим ви є (біометричні дані). PSD3 зберігає вимогу двох факторів, але виключає правило категорії.
Новий стандарт — це «незалежність», а не розділення на категорії. Два фактори є сумісними, якщо компрометація одного автоматично не ставить під загрозу інший. Це справжня перемога в дизайні для постачальників платіжних послуг, які були змушені використовувати незручний UX, щоб задовольнити правило категорії, яке не додавало багато фактичної безпеки.
Найбільш практично змінюються транзакції, ініційовані продавцем. Згідно з PSD2, періодичні платежі після початкового налаштування SCA перебували в сірій зоні — правила не були розроблені для виставлення рахунків за підписку. PSD3 її закриває: SCA під час створення доручення охоплює поточні відносини. Наступні автоматичні платежі не потребують повторної автентифікації.
Також уточнюється токенізація. SCA тепер спрацьовує лише тоді, коли власник картки активно бере участь у налаштуванні токена. Після того, як токен існує, транзакції з ним не потребують нової автентифікації для кожного списання коштів.
Динамічне зв’язування перенесено з PSD2 — код автентифікації все ще прив’язується до конкретної суми транзакції та отримувача платежу. А PSR надає чіткіші вказівки щодо винятків SCA, що має зменшити різницю між ринками у тому, як винятки застосовувалися лише згідно з директивою.
PSD3, криптовалютні платежі та токени електронних грошей
Більшість посібників PSD3 повністю пропускають цей розділ або охоплюють його одним реченням. Зв'язок між PSD3 та криптовалютою є структурним, а не периферійним — він впливає на будь-який бізнес, що обробляє криптовалютні платежі в ЄС.
Точкою входу є токени електронних грошей. Згідно з MiCA, регламентом ЄС щодо криптоактивів, який набрав чинності у 2024 році, стейблкоїни, прив'язані до однієї фіатної валюти, класифікуються як токени електронних грошей, коли використовуються для платежів. USDC, наприклад, використовується для розрахунку за рахунком-фактурою, деномінованим у євро. PSD3 безпосередньо вводить ці токени в систему платіжних послуг.
Нормативна картина для постачальника послуг криптовалютних платежів у ЄС:
| Тип сутності | Застосовується положення |
|---|---|
| Традиційна платіжна установа | PSD3 + PSR |
| Установа електронних грошей | PSD3 (об'єднана структура EMD2) |
| Крипто PSP, що використовує токени електронних грошей | MiCA + PSD3/PSR (спрощене застосування) |
| Постачальник BNPL | PSD3 + правила достатності капіталу |
| Постачальник криптогаманців | Фреймворк цифрового гаманця PSD3 |
Проблема подвійного регулювання полягає в тому, що більшість команд з дотримання вимог недооцінюють складність. Постачальник послуг з криптоактивами (CASP), авторизований MiCA, який випускає токени електронних грошей, не потребує автоматично окремої авторизації PSD3. Але якщо він також надає платіжні послуги — надсилання, отримання, обробку — застосовується спрощена програма PSD3. Ці два режими не охоплюють один одного за замовчуванням.
BNPL – це ще одна нещодавно охоплена категорія. Постачальники, які працювали в регуляторній сірій зоні на ринках ЄС, тепер стикаються з вимогами щодо офіційної авторизації платіжних установ та правил достатності капіталу. Вартість дотримання вимог для цього сектору суттєво зростає.
Для компаній, що створюють інфраструктуру криптовалютних платежів, Plisio є прикладом шлюзу криптовалютних платежів, який орієнтується в цьому регуляторному середовищі, дозволяючи продавцям приймати криптовалюту, оскільки система дотримання вимог ЄС щодо платежів розвивається відповідно до PSD3 та MiCA.
На кого поширюється PSD3?
PSD3 та PSR застосовуються до будь-якої організації, яка надає платіжні послуги в межах ЄС, незалежно від місця її реєстрації. Сфера застосування:
- Кредитні установи (банки), що надають платіжні послуги
- Платіжні установи — небанківські постачальники платіжних послуг, включаючи фінтех-компанії, необанків, операторів грошових переказів
- Установи електронних грошей — тепер об’єднані з системою платіжних установ
- Постачальники BNPL — нещодавно охоплені сферою застосування, підлягають вимогам щодо ліцензування та капіталу
- Постачальники послуг з криптоактивами, що пропонують платіжні послуги — подвійне регулювання згідно з MiCA + PSD3
- Сторонні постачальники (TPP) — постачальники послуг з надання інформації про рахунки (AISP) та постачальники послуг ініціації платежів (PISP)
Найбільш руйнівними змінами стикаються платформи та торговельні майданчики. Згідно з PSD2, багато хто уникав авторизації платіжних послуг через «виняток для комерційних агентів», стверджуючи, що вони діяли як агенти як для покупця, так і для продавця, а не як платіжні оператори. PSD3 різко посилює цей виняток. Більшість платформ, які покладаються на нього, потребуватимуть офіційного дозволу PSP, вимог до капіталу та постійного регуляторного нагляду — значних операційних змін для торговельних майданчиків, які побудували свій стек навколо цього винятка.
Організації, що базуються у Великій Британії: PSD3 є лише законодавством ЄС. Після Brexit Велика Британія використовує власну систему FCA. Регламент BNPL у Великій Британії (FCA набуває чинності з липня 2026 року) та система підтвердження отримувача платежу йдуть подібним шляхом, але підприємства, що працюють в обох юрисдикціях, стикаються з абсолютно різними шляхами дотримання вимог.
Хронологія PSD3: Коли він набуде чинності?
PSD3 розгортається поетапно, а не як єдиний перехідник:
- 28 червня 2023 р. — Європейська комісія опублікувала пропозиції PSD3 та PSR
- 27 листопада 2025 р. — Досягнуто попередньої політичної угоди між Парламентом та Радою ЄС
- 2 квартал 2026 року (орієнтовно) — публікація в Офіційному журналі ЄС; PSR набуває чинності через 20 днів
- 18 місяців після набрання чинності — Кінцевий термін для держав-членів щодо транспозиції директиви PSD3 у національне законодавство
- Через 24 місяці після набрання чинності — вимога щодо перевірки IBAN/імені отримувача платежу стає обов’язковою (~2028 р.)
- 24–30 місяців після набрання чинності — Існуючі дозволи PSD2 залишаються чинними; можливе продовження до 30 місяців
- 2–3 квартал 2028 року (орієнтовно) — Повне впровадження PSD3/PSR; PSD2 та EMD2 повністю замінені
18-місячне вікно транспозиції не є періодом очікування. Правила поведінки PSR застосовуються по всьому ЄС з 20-го дня публікації. Аналіз прогалин у PSR, що охоплює впровадження SCA, контроль шахрайства, інфраструктуру API та ліцензування криптовалют згідно з правилами координації MiCA, має бути проведений вже зараз.
