PSD3详解：欧盟支付和开放银行的关键变化

发表于 May 31, 2026 作者 Simon Chartan

欧盟电子支付每年交易额约为240万亿欧元。所有相关规则正在被重新修订。

第三版支付服务指令（PSD3）完全取代了第二版支付服务指令（PSD2）。它不仅更新了旧规则，还与一项直接适用的支付服务条例（PSR）相结合，消除了PSD2在欧盟各市场间造成的国家差异。更强有力的欺诈保护、标准化的开放银行API以及对电子货币代币和加密支付服务的明确监管是其主要变化。

2025年11月达成了一项临时政治协议。欧盟官方公报预计将于2026年第二季度发布。全面实施预计将于2028年左右开始。这些日期之间的差距至关重要：临时政治协议在发布20天后生效，远早于成员国完成将该指令转化为国内法的过程。

什么是PSD3？

自2007年以来，欧盟一直依据指令管理其支付市场。PSD1确立了基本框架。PSD2于2015年发布，增加了强客户认证和通过开放银行实现的第三方访问。PSD3是第三代指令，其结构性变革比前两代都更为重大。

与之前的版本不同，PSD3并非独立存在。它附带一项支付服务条例（PSR），该条例直接适用于所有欧盟成员国，无需各国自行转换。在PSD2下，德国和法国对同一指令的实施方式有所不同。金融科技公司必须分别了解每个市场的运作机制。而在PSR下，这些差异不复存在——行为准则在各地完全一致。

还有两项结构性变化至关重要：

单独监管电子货币机构的电子货币指令（EMD2）并入支付服务指令3（PSD3）。电子货币机构成为同一框架下支付机构的一个子类别。
电子货币代币，即用于支付目的的加密稳定币，首次纳入欧盟支付服务监管范围。

PSD3 与 PSD2：有哪些变化

PSD2 和 PSD3 之间有六个领域发生了实质性变化：

区域	PSD2	PSD3
法律文书	指令（国家转化）	指令 + PSR（欧盟统一法规）
EMI框架	单独的 EMD2 指令	并入支付机构框架
SCA 要求	严格的因素分类	独立原则；更大的灵活性
开放银行API	自愿格式，不一致	标准化规范，强制性报告
应用程序欺诈责任	客户承担最大风险	除非能证明存在重大过失，否则支付服务提供商（PSP）应承担责任。
加密货币/电子货币代币	未涵盖	明确属于PSR的适用范围

从仅指令到指令加监管的转变意义远比表面看起来要大。一家业务遍及德国、法国和荷兰的金融科技公司此前需要应对同一法律的三种不同翻译版本。而在PSD3/PSR下，所有成员国的行为准则都完全相同。

PSD3详解：欧盟支付和开放银行的关键变化

IBAN验证和APP欺诈责任

PSD3 中最具商业意义的两项条款针对欺诈行为，特别是授权推送支付 (APP) 欺诈，即操纵客户自愿向犯罪账户发送资金。

IBAN名称匹配是第一道机制。支付服务提供商必须在执行转账前验证收款人姓名是否与其IBAN相符。该验证必须在几秒钟内完成，并且对消费者免费。这与英国的收款人确认（CoP）系统类似，该系统在2020年推出后显著降低了应用程序支付欺诈。该要求将在PSD3生效24个月后生效，预计在2028年左右。

责任转移是第二种机制。根据PSD2，在APP欺诈案件中，举证责任通常落在受害者身上，由他们证明自己没有同意。PSD3则颠覆了这一做法：

客户举报未经授权或欺诈性诱导的交易
PSP有14个工作日来处理退款申请。
除非支付服务提供商 (PSP) 能证明客户存在欺诈或重大过失行为，否则必须全额退款。
未能实施充分的欺诈控制措施（包括IBAN验证）的支付服务提供商，须承担相应的损失责任。
付款方操纵案件：如果支付服务提供商 (PSP) 未通知姓名/IBAN 不匹配，则无论其他因素如何，PSP 都将承担损失。

那些忽视PSD2关于欺诈责任的明确意图的机构，现在将面临强制性的财务风险。这不仅仅是合规性上的一个选项，而是直接激励机构投资于反欺诈基础设施。

开放银行和API标准

PSD2开放银行的愿景遭遇了实际障碍：银行自行决定API的实现方式。第三方服务提供商（TPP），即基于银行数据构建系统的金融科技公司，在欧盟市场面临着数十种互不兼容的实现方案。一家法国金融科技公司访问德国银行数据时，使用的接口与在西班牙使用的接口完全不同。

PSD3 通过强制标准化解决了这个问题：

账户服务支付服务提供商 (ASPSP) 必须提供符合欧盟标准化规范的专用接口
银行必须按季度发布关于API正常运行时间、延迟和错误率的绩效报告。
如果主API出现故障，第三方支付服务商（TPP）将通过备用方案访问银行的标准客户界面。
客户授权控制面板将成为强制性功能——用户可以查看哪些第三方有权访问他们的帐户，并实时撤销授权。
专用接口必须足够可靠，以消除将“屏幕抓取”作为备用方法的可能性。

对银行而言，这意味着对API质量真正承担责任，而此前这种责任是自愿的，且很大程度上被忽视了。对金融科技公司而言，这意味着在欧盟市场获得一致且可审计的访问权限。

根据 PSD3 进行强客户认证

PSD2 的强客户认证 (SCA) 规则要求使用至少来自两个不同类别的两种认证因素：您知道的信息（PIN 码、密码）、您拥有的物品（设备、银行卡）或您自身的特征（生物特征）。PSD3 保留了双因素认证要求，但取消了类别规则。

新标准是“独立性”，而非类别划分。只要损害其中一个因素不会自动损害另一个因素，这两个因素就都符合规定。这对支付服务提供商来说是一项真正的设计胜利，他们之前被迫接受笨拙的用户体验，以满足一项并未真正提升多少安全性的类别规则。

商户发起的交易变化最为实际。在PSD2下，初始SCA设置后的循环收费处于灰色地带——规则并非为订阅计费而设计。PSD3解决了这个问题：授权创建时的SCA涵盖了后续的合作关系。后续的自动收费无需重新验证。

令牌化机制也得到了进一步阐明。现在，只有当持卡人主动参与创建令牌时，才会触发强客户认证 (SCA)。令牌创建完成后，使用该令牌进行的交易无需每次扣款都重新进行身份验证。

动态链接机制沿用了PSD2的理念——认证码仍然与特定的交易金额和收款人关联。此外，PSR对强客户认证（SCA）豁免条款提供了更清晰的指导，这应该会减少仅凭该指令在不同市场间豁免条款适用方式的差异。

PSD3、加密支付和电子货币代币

大多数PSD3指南完全忽略了这一部分，或者只用一句话带过。PSD3与加密货币之间的联系是结构性的，而非次要的——它会影响欧盟境内任何处理加密货币支付的企业。

切入点是电子货币代币。根据欧盟将于2024年生效的加密资产监管条例MiCA，与单一法定货币挂钩的稳定币在用于支付目的时被归类为电子货币代币。例如，USDC曾被用于结算欧元计价的发票。PSD3将这些代币直接纳入支付服务框架。

欧盟加密货币支付服务提供商的监管概况：

实体类型	法规适用
传统支付机构	PSD3 + PSR
电子货币机构	PSD3（合并后的EMD2框架）
使用电子货币代币的加密支付服务提供商	MiCA + PSD3/PSR（简化申请）
先买后付提供商	PSD3 + 资本充足率规则
加密钱包提供商	PSD3数字钱包框架

双重监管问题是大多数合规团队低估其复杂性的地方。获得MiCA授权的加密资产服务提供商（CASP）发行电子货币代币并不需要单独的PSD3授权。但如果它还提供支付服务（包括发送、接收和处理），则需要申请一套简化的PSD3流程。默认情况下，这两种监管体系并不相互涵盖。

先买后付（BNPL）是另一个新近纳入监管范畴的领域。此前在欧盟市场监管灰色地带运营的支付服务提供商，如今面临着正式的支付机构授权要求和资本充足率规定。该行业的合规成本显著增加。

对于构建加密支付基础设施的企业而言， Plisio就是一个加密支付网关的例子，它能够应对这种监管环境——随着欧盟支付合规框架在 PSD3 和 MiCA 下不断发展，Plisio 使商家能够接受加密货币。

PSD3详解：欧盟支付和开放银行的关键变化

PSD3适用于哪些对象？

PSD3 和 PSR 适用于在欧盟境内提供支付服务的任何实体，无论其注册地位于何处。适用范围：

提供支付服务的信贷机构（银行）
支付机构——非银行支付服务提供商，包括金融科技公司、新型银行和汇款运营商。
电子货币机构——现已并入支付机构框架
先买后付 (BNPL) 提供商——新增纳入监管范围，需获得授权并满足资本要求
提供支付服务的加密资产服务提供商——受MiCA和PSD3双重监管
第三方提供商（TPP）——账户信息服务提供商（AISP）和支付发起服务提供商（PISP）

平台和市场面临着最具颠覆性的变革。在PSD2框架下，许多平台和市场通过“商业代理豁免”规避了支付服务授权，声称它们同时作为买卖双方的代理人，而非支付处理商。PSD3大幅收紧了这一豁免。大多数依赖该豁免的平台将需要获得正式的支付服务提供商（PSP）授权、满足资本要求并接受持续的监管——对于那些围绕该豁免构建其技术栈的市场平台企业而言，这将是一项重大的运营转变。

英国实体：PSD3 仅适用于欧盟法律。脱欧后，英国将运行其自身的 FCA 框架。英国的“先买后付”（BNPL）监管（FCA 将于 2026 年 7 月生效）和收款人确认制度朝着类似的方向发展，但跨两个司法管辖区运营的企业将面临完全不同的合规流程。

PSD3时间表：何时生效？

PSD3的推出是分阶段进行的，而不是一次性切换：

2023年6月28日——欧盟委员会发布了PSD3和PSR提案
2025年11月27日——欧盟议会和理事会达成临时政治协议
预计2026年第二季度——在欧盟官方公报上公布；采购系统监管条例（PSR）于20天后生效
生效后18个月——成员国将PSD3指令转化为国内法的最后期限
生效 24 个月后——IBAN/收款人姓名验证要求成为强制性要求（约 2028 年）
入境后 24 至 30 个月——现有 PSD2 授权继续有效；可延长至 30 个月。
预计2028年第二季度至第三季度——全面实施PSD3/PSR；PSD2和EMD2完全取代

18 个月的过渡期并非等待期。支付系统监管条例 (PSR) 的行为准则自发布之日起第 20 天起在欧盟范围内适用。针对 PSR 的差距分析（涵盖强客户认证 (SCA) 实施、欺诈控制、API 基础设施以及根据 MiCA 协调规则进行的加密货币许可）应立即启动。

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.