Giải thích về PSD3: Những thay đổi quan trọng đối với hệ thống thanh toán và ngân hàng mở của EU
Các giao dịch thanh toán điện tử của EU có giá trị khoảng 240 nghìn tỷ euro mỗi năm. Các quy định quản lý toàn bộ lĩnh vực này đang được viết lại.
PSD3, Chỉ thị Dịch vụ Thanh toán thứ ba, thay thế hoàn toàn PSD2. Nó không chỉ cập nhật các quy tắc cũ mà còn kết hợp chỉ thị này với Quy định Dịch vụ Thanh toán (PSR) áp dụng trực tiếp, loại bỏ sự khác biệt giữa các quốc gia khiến PSD2 không nhất quán trên các thị trường EU. Những thay đổi nổi bật bao gồm: tăng cường bảo vệ chống gian lận, API ngân hàng mở được tiêu chuẩn hóa và quy định rõ ràng về token tiền điện tử và dịch vụ thanh toán tiền điện tử.
Một thỏa thuận chính trị tạm thời đã đạt được vào tháng 11 năm 2025. Việc công bố trên Công báo chính thức của EU dự kiến vào quý 2 năm 2026. Việc thực thi đầy đủ sẽ diễn ra vào khoảng năm 2028. Khoảng thời gian giữa các mốc thời gian này rất quan trọng: Quy định về an ninh công cộng (PSR) có hiệu lực 20 ngày sau khi công bố, trước khi các quốc gia thành viên hoàn tất việc chuyển đổi chỉ thị thành luật quốc gia.
PSD3 là gì?
Từ năm 2007, EU đã vận hành thị trường thanh toán của mình dựa trên các chỉ thị. PSD1 đã thiết lập khuôn khổ cơ bản. PSD2 ra đời năm 2015, bổ sung thêm xác thực khách hàng mạnh mẽ và quyền truy cập của bên thứ ba thông qua ngân hàng mở. PSD3 là thế hệ thứ ba - và nó là một sự thay đổi cấu trúc lớn hơn so với cả hai phiên bản trước đó.
Không giống như các phiên bản tiền nhiệm, PSD3 không đứng độc lập. Nó đi kèm với Quy định về Dịch vụ Thanh toán (PSR) áp dụng trực tiếp trên tất cả các quốc gia thành viên EU, không cần luật chuyển đổi quốc gia. Theo PSD2, Đức và Pháp đã thực hiện cùng một chỉ thị theo những cách khác nhau. Các công ty fintech phải hiểu rõ từng thị trường riêng biệt. Theo PSR, những khác biệt đó biến mất — các quy tắc ứng xử là giống nhau ở mọi nơi.
Hai thay đổi khác có ý nghĩa quan trọng về mặt cấu trúc:
- Chỉ thị về tiền điện tử (EMD2), vốn quản lý riêng các tổ chức tiền điện tử, được hợp nhất vào PSD3. Các tổ chức tiền điện tử trở thành một tiểu loại của các tổ chức thanh toán trong một khuôn khổ duy nhất.
- Các token tiền điện tử, tức là các stablecoin tiền điện tử được sử dụng cho mục đích thanh toán, lần đầu tiên được đưa vào quy định về dịch vụ thanh toán của EU.
PSD3 so với PSD2: Những thay đổi
Sáu lĩnh vực đã có những cập nhật quan trọng giữa PSD2 và PSD3:
| Khu vực | PSD2 | PSD3 |
|---|---|---|
| Văn bản pháp lý | Chỉ thị (chuyển đổi quốc gia) | Chỉ thị + PSR (quy định thống nhất của EU) |
| khung EMI | Chỉ thị EMD2 riêng biệt | Được tích hợp vào khuôn khổ của tổ chức thanh toán |
| Yêu cầu SCA | Các loại yếu tố nghiêm ngặt | Nguyên tắc độc lập; tính linh hoạt cao hơn |
| API ngân hàng mở | Các định dạng tự nguyện, không nhất quán | Thông số kỹ thuật tiêu chuẩn hóa, báo cáo bắt buộc |
| Trách nhiệm pháp lý về gian lận APP | Khách hàng chịu phần lớn rủi ro. | PSP phải chịu trách nhiệm trừ khi có bằng chứng về sự sơ suất nghiêm trọng. |
| Mã thông báo tiền điện tử / tiền điện tử | Không được bảo hiểm | Nằm trong phạm vi điều chỉnh của PSR một cách rõ ràng. |
Việc chuyển từ chỉ thị đơn thuần sang chỉ thị kết hợp với quy định có ý nghĩa quan trọng hơn nhiều so với vẻ bề ngoài. Một công ty fintech hoạt động tại Đức, Pháp và Hà Lan trước đây phải đối phó với ba phiên bản luật khác nhau của cùng một đạo luật. Theo PSD3/PSR, các quy tắc ứng xử là giống hệt nhau ở mọi quốc gia thành viên.
Xác minh IBAN và trách nhiệm pháp lý đối với gian lận APP
Hai trong số những điều khoản quan trọng nhất về mặt thương mại của PSD3 nhắm vào các hành vi gian lận, cụ thể là gian lận Thanh toán Chuyển khoản Được Ủy quyền (APP), trong đó khách hàng bị thao túng để tự nguyện chuyển tiền vào tài khoản của tội phạm.
Xác minh tên người nhận tiền qua IBAN là cơ chế đầu tiên. Các nhà cung cấp dịch vụ thanh toán phải xác minh rằng tên người nhận tiền khớp với số IBAN của họ trước khi thực hiện chuyển khoản. Quá trình kiểm tra phải hoàn tất trong vòng vài giây và được cung cấp miễn phí cho người tiêu dùng. Điều này tương tự như hệ thống Xác nhận Người nhận tiền (CoP) của Vương quốc Anh, hệ thống này đã giảm đáng kể gian lận APP sau khi được triển khai vào năm 2020. Yêu cầu này có hiệu lực 24 tháng sau khi PSD3 có hiệu lực, ước tính vào khoảng năm 2028.
Chuyển trách nhiệm là cơ chế thứ hai. Theo PSD2, gánh nặng chứng minh trong các vụ gian lận APP thường thuộc về nạn nhân, họ phải chứng minh mình không đồng ý. PSD3 đảo ngược điều này:
- Khách hàng báo cáo về một giao dịch trái phép hoặc bị lừa đảo.
- PSP có 14 ngày làm việc để xử lý yêu cầu hoàn tiền.
- PSP phải hoàn tiền đầy đủ trừ khi có thể chứng minh khách hàng đã hành động gian lận hoặc cẩu thả nghiêm trọng.
- Các nhà cung cấp dịch vụ thanh toán (PSP) không triển khai các biện pháp kiểm soát gian lận đầy đủ, bao gồm cả việc xác minh số tài khoản ngân hàng (IBAN), sẽ phải chịu trách nhiệm mặc định đối với các tổn thất.
- Các trường hợp thao túng người trả tiền: nếu nhà cung cấp dịch vụ thanh toán (PSP) không thông báo về sự không khớp giữa tên và số IBAN, họ sẽ phải chịu tổn thất bất kể các yếu tố khác.
Các tổ chức phớt lờ ý định rõ ràng của PSD2 về trách nhiệm pháp lý đối với gian lận giờ đây phải đối mặt với rủi ro tài chính bắt buộc. Đây không chỉ là một thủ tục tuân thủ đơn thuần mà còn là động lực trực tiếp để đầu tư vào cơ sở hạ tầng chống gian lận.
Ngân hàng mở và các tiêu chuẩn API
Tham vọng về ngân hàng mở của PSD2 đã gặp phải rào cản thực tế: các ngân hàng triển khai API theo cách họ muốn. Các nhà cung cấp bên thứ ba (TPP), các công ty fintech xây dựng dựa trên dữ liệu ngân hàng, phải đối mặt với hàng tá cách triển khai không tương thích trên khắp các thị trường EU. Một công ty fintech của Pháp truy cập dữ liệu ngân hàng Đức đã sử dụng một giao diện hoàn toàn khác so với giao diện mà họ sử dụng ở Tây Ban Nha.
PSD3 khắc phục điều này bằng cách áp dụng tiêu chuẩn hóa bắt buộc:
- Các nhà cung cấp dịch vụ thanh toán quản lý tài khoản (ASPSP) phải cung cấp các giao diện chuyên dụng đáp ứng các tiêu chuẩn kỹ thuật của EU.
- Các ngân hàng phải công bố báo cáo hiệu suất hàng quý về thời gian hoạt động, độ trễ và tỷ lệ lỗi của API.
- Nếu API chính gặp sự cố, các TPP sẽ có quyền truy cập dự phòng vào giao diện khách hàng tiêu chuẩn của ngân hàng.
- Bảng điều khiển sự đồng ý của khách hàng trở nên bắt buộc — người dùng có thể xem bên thứ ba nào có quyền truy cập vào tài khoản của họ và thu hồi quyền truy cập ngay lập tức.
- Các giao diện chuyên dụng phải đủ tin cậy để loại bỏ phương pháp "trích xuất dữ liệu màn hình" như một giải pháp dự phòng.
Đối với các ngân hàng, điều này có nghĩa là trách nhiệm thực sự về chất lượng API, vốn trước đây chỉ mang tính tự nguyện và phần lớn bị bỏ qua. Đối với các công ty fintech, điều này có nghĩa là quyền truy cập nhất quán và có thể kiểm toán được trên khắp các thị trường EU.
Xác thực khách hàng mạnh mẽ theo PSD3
Các quy tắc xác thực khách hàng mạnh (SCA) của PSD2 yêu cầu hai yếu tố xác thực được lấy từ ít nhất hai danh mục riêng biệt: thứ bạn biết (mã PIN, mật khẩu), thứ bạn có (thiết bị, thẻ) hoặc thứ bạn là (sinh trắc học). PSD3 vẫn giữ yêu cầu hai yếu tố, nhưng bỏ quy tắc về danh mục.
Tiêu chuẩn mới là "độc lập", chứ không phải phân loại. Hai yếu tố được coi là tuân thủ miễn là việc vi phạm một yếu tố không tự động làm ảnh hưởng đến yếu tố còn lại. Đây thực sự là một thắng lợi về mặt thiết kế đối với các nhà cung cấp dịch vụ thanh toán, những người trước đây bị buộc phải sử dụng trải nghiệm người dùng khó chịu để đáp ứng một quy tắc phân loại mà không thực sự tăng thêm nhiều tính bảo mật.
Các giao dịch do người bán khởi xướng thay đổi về mặt thực tiễn nhiều nhất. Theo PSD2, các khoản phí định kỳ sau khi thiết lập SCA ban đầu nằm trong vùng xám — các quy tắc không được thiết kế cho việc lập hóa đơn đăng ký. PSD3 đã giải quyết vấn đề này: SCA khi tạo ủy quyền bao gồm mối quan hệ đang diễn ra. Các khoản phí tự động tiếp theo không cần xác thực lại.
Quy trình mã hóa token cũng được làm rõ hơn. SCA giờ đây chỉ được kích hoạt khi chủ thẻ chủ động tham gia thiết lập token. Sau khi token tồn tại, các giao dịch sử dụng token đó không yêu cầu xác thực lại cho mỗi lần thanh toán.
Liên kết động được kế thừa từ PSD2 — mã xác thực vẫn gắn liền với số tiền giao dịch cụ thể và người nhận thanh toán. Và PSR cung cấp hướng dẫn rõ ràng hơn về các trường hợp miễn trừ SCA, điều này sẽ làm giảm sự khác biệt giữa các thị trường về cách áp dụng các trường hợp miễn trừ theo chỉ thị này.
PSD3, Thanh toán bằng tiền điện tử và Mã thông báo tiền điện tử
Hầu hết các hướng dẫn về PSD3 đều bỏ qua hoàn toàn phần này, hoặc chỉ đề cập đến nó trong một câu duy nhất. Mối liên hệ giữa PSD3 và tiền điện tử mang tính cấu trúc, chứ không phải thứ yếu — nó ảnh hưởng đến bất kỳ doanh nghiệp nào xử lý thanh toán bằng tiền điện tử tại EU.
Điểm khởi đầu là các token tiền điện tử. Theo MiCA, quy định về tài sản tiền điện tử của EU có hiệu lực vào năm 2024, các stablecoin được neo vào một loại tiền tệ pháp định duy nhất được phân loại là token tiền điện tử khi được sử dụng cho mục đích thanh toán. Ví dụ, USDC được sử dụng để thanh toán hóa đơn bằng EUR. PSD3 đưa các token này trực tiếp vào khuôn khổ dịch vụ thanh toán.
Tình hình pháp lý đối với nhà cung cấp dịch vụ thanh toán tiền điện tử tại EU:
| Loại thực thể | Quy định được áp dụng |
|---|---|
| Tổ chức thanh toán truyền thống | PSD3 + PSR |
| Tổ chức tiền điện tử | PSD3 (khung EMD2 hợp nhất) |
| Crypto PSP sử dụng token tiền điện tử | MiCA + PSD3/PSR (quy trình ứng dụng đơn giản) |
| Nhà cung cấp BNPL | PSD3 + các quy tắc về vốn tự có |
| Nhà cung cấp ví tiền điện tử | Khung ví điện tử PSD3 |
Vấn đề quản lý kép là nơi mà hầu hết các nhóm tuân thủ thường đánh giá thấp sự phức tạp. Một nhà cung cấp dịch vụ tài sản tiền điện tử (CASP) được ủy quyền theo MiCA phát hành token tiền điện tử không tự động cần giấy phép PSD3 riêng. Nhưng nếu họ cũng cung cấp các dịch vụ thanh toán — gửi, nhận, xử lý — thì một ứng dụng PSD3 đơn giản hóa sẽ được áp dụng. Hai chế độ này không tự động bao trùm lẫn nhau.
BNPL (Mua trước trả sau) là một hạng mục mới được đưa vào diện điều chỉnh. Các nhà cung cấp hoạt động trong vùng xám pháp lý trên khắp các thị trường EU giờ đây phải đối mặt với các yêu cầu cấp phép chính thức từ các tổ chức thanh toán và các quy định về vốn tự có. Chi phí tuân thủ đối với lĩnh vực này tăng lên đáng kể.
Đối với các doanh nghiệp xây dựng cơ sở hạ tầng thanh toán tiền điện tử, Plisio là một ví dụ về cổng thanh toán tiền điện tử đang hoạt động hiệu quả trong môi trường pháp lý này — cho phép các thương gia chấp nhận tiền điện tử khi khung pháp lý tuân thủ thanh toán của EU phát triển theo PSD3 và MiCA.
PSD3 áp dụng cho đối tượng nào?
PSD3 và PSR áp dụng cho bất kỳ tổ chức nào cung cấp dịch vụ thanh toán trong EU, bất kể tổ chức đó được thành lập ở đâu. Phạm vi áp dụng:
- Các tổ chức tín dụng (ngân hàng) cung cấp dịch vụ thanh toán
- Các tổ chức thanh toán — các nhà cung cấp dịch vụ thanh toán phi ngân hàng bao gồm các công ty fintech, ngân hàng số, nhà điều hành chuyển tiền
- Các tổ chức tiền điện tử — hiện đã được sáp nhập vào khuôn khổ tổ chức thanh toán.
- Các nhà cung cấp dịch vụ BNPL — thuộc phạm vi điều chỉnh mới, phải tuân thủ các yêu cầu về giấy phép và vốn.
- Các nhà cung cấp dịch vụ tài sản tiền điện tử cung cấp dịch vụ thanh toán — chịu sự quản lý kép theo MiCA + PSD3
- Các nhà cung cấp bên thứ ba (TPP) — các nhà cung cấp dịch vụ thông tin tài khoản (AISP) và các nhà cung cấp dịch vụ khởi tạo thanh toán (PISP)
Các nền tảng và thị trường đang đối mặt với sự thay đổi mang tính đột phá nhất. Theo PSD2, nhiều nền tảng đã tránh được việc cấp phép dịch vụ thanh toán thông qua "miễn trừ đại lý thương mại", tuyên bố rằng họ hoạt động như đại lý cho cả người mua và người bán chứ không phải là đơn vị xử lý thanh toán. PSD3 siết chặt đáng kể điều khoản miễn trừ này. Hầu hết các nền tảng dựa vào đó sẽ cần được cấp phép PSP chính thức, đáp ứng các yêu cầu về vốn và giám sát quy định liên tục — một sự thay đổi hoạt động đáng kể đối với các doanh nghiệp thị trường đã xây dựng hệ thống của họ dựa trên điều khoản miễn trừ đó.
Đối với các thực thể có trụ sở tại Vương quốc Anh: PSD3 chỉ là luật của EU. Sau Brexit, Vương quốc Anh vận hành khung pháp lý riêng của FCA. Quy định BNPL của Vương quốc Anh (có hiệu lực từ tháng 7 năm 2026) và hệ thống Xác nhận người nhận thanh toán (Confirmation of Payee) đi theo hướng tương tự, nhưng các doanh nghiệp hoạt động trên cả hai khu vực pháp lý phải tuân thủ các quy định hoàn toàn riêng biệt.
Lịch trình PSD3: Khi nào có hiệu lực?
PSD3 được triển khai theo từng giai đoạn, chứ không phải là một sự thay đổi đột ngột:
- Ngày 28 tháng 6 năm 2023 — Ủy ban Châu Âu công bố các đề xuất về PSD3 và PSR.
- Ngày 27 tháng 11 năm 2025 — Thỏa thuận chính trị tạm thời đạt được giữa Nghị viện và Hội đồng Liên minh châu Âu.
- Quý 2 năm 2026 (ước tính) — Công bố trên Công báo của EU; Quy định về an ninh trật tự công cộng (PSR) có hiệu lực sau 20 ngày.
- 18 tháng sau khi có hiệu lực — Hạn chót để các quốc gia thành viên chuyển đổi chỉ thị PSD3 thành luật quốc gia.
- 24 tháng sau khi có hiệu lực — Yêu cầu xác minh số IBAN/tên người nhận tiền trở thành bắt buộc (~2028)
- 24–30 tháng sau khi nhập cảnh — Giấy phép PSD2 hiện có được giữ nguyên; có thể gia hạn lên đến 30 tháng.
- Quý 2-Quý 3 năm 2028 (ước tính) — Thực thi đầy đủ PSD3/PSR; PSD2 và EMD2 được thay thế hoàn toàn.
Thời hạn chuyển đổi 18 tháng không phải là thời gian chờ đợi. Các quy tắc ứng xử của PSR được áp dụng trên toàn EU kể từ ngày thứ 20 sau khi công bố. Phân tích khoảng cách so với PSR — bao gồm việc triển khai SCA, kiểm soát gian lận, cơ sở hạ tầng API và cấp phép tiền điện tử theo các quy tắc phối hợp MiCA — cần được tiến hành ngay bây giờ.
