Запропонована ще в 2015 році, Директива PSD2 встановила основні правила для індустрії платежів. Вона запровадила відкритий банкінг і дозволила стороннім постачальникам ефективно співпрацювати з традиційними фінансовими установами.
Сьогодні більшість повсякденних процесів обробки транзакцій, надання банківських послуг і функціонування фінтех-бізнесу в ЄС і за його межами базуються на концепціях PSD2. Однак у 2023 році Європейська комісія представила третю директиву щодо платіжних послуг. Тому зараз підприємства мають адаптуватися до змін у директиві, які, ймовірно, найближчим часом будуть втілені у закони.
Які ж ключові зміни передбачені в PSD3? Чим ця директива відрізняється від попередньої? Та як зміни вплинуть на платіжний сектор Європи?
PSD3: що нового?
Улітку минулого року Європейська комісія висунула пропозиції щодо оновлення правил регулювання платежів і фінансового сектора. Ці пропозиції внесуть зміни в директиву PSD2 та модернізують її, перетворивши на PSD3, а також запровадять Регламент платіжних послуг (PSR).
PSD3 спрямована на захист прав споживачів і особистої інформації, одночасно покращуючи конкуренцію в платіжній галузі. Її затвердження дозволить споживачам безпечно ділитися своїми даними та сприятиме розширенню спектру інноваційних фінансових продуктів і послуг. Оскільки це директива, правила PSD3 необхідно перенести в національні закони різних держав-членів ЄС.
PSD3 охоплює більшість частин PSD2, таких як прозорість, відповідальність і відкритий банкінг. Проте PSD3 встановлює більш розширені правила сильної автентифікації клієнтів (SCA) і суворіші правила доступу до платіжних систем та інформації про облікові записи порівняно з PSD2. Це відіграє ключову роль у захисті платіжних операцій і протидії шахрайству з платежами.
Сильна автентифікація клієнтів (SCA)
Дані
Згідно з директивою PSD3, бізнесам потрібно буде надавати більше даних емітентам, що дозволить їм відстежувати характеристики навколишнього середовища та поведінки клієнтів, такі як місцезнаходження користувача, час транзакції, використовувані пристрої, купівельні звички, історія транзакцій, дані сеансу та IP-адреса пристрою. У результаті рівень схвалення транзакцій може зрости.
Відповідно до Загального регламенту захисту даних (GDPR) платіжним схемам і постачальникам платіжних сервісів (PSP) також буде дозволено обробляти персональні дані для запобігання шахрайству без явної згоди користувача. Це стосується лише тих випадків, коли вони використовують дані для запобігання шахрайству.
Шахрайство
Пропозиції, внесені в PSD3, також передбачають перенесення відповідальності за шахрайство. Платіжні схеми, постачальники технічних послуг (наприклад, постачальники гаманців) і платіжні шлюзи нестимуть відповідальність за шахрайство, якщо вони не застосовують SCA. Це захищатиме клієнтів від технічних збоїв і стимулюватиме постачальників підтримувати високу якість обслуговування.
Емітенти також будуть нести відповідальність у разі шахрайства зі спуфінгом, тобто коли шахрай видає себе за працівника банку, щоб змусити користувача автентифікувати платіж. Якщо ж клієнт діє шахрайським шляхом або з грубою недбалістю, він залишатиметься відповідальним за втрати.
Аутентифікація
PSD2 вимагав, щоб фактори SCA належали до двох категорій із наступних трьох: знання (те, що клієнт знає, наприклад пароль), володіння (то, що є у клієнта у володінні, наприклад мобільний телефон) і спадковість (те, чим клієнт унікально характеризується, наприклад відбиток пальця). PSD3 дозволить використання двох однакових категорій, як-от токен і одноразовий пароль із SMS, або навіть два паролі.
Делегування SCA емітентами третім сторонам, таким як Apple Pay, тепер кваліфікується як аутсорсинг і має відповідати правилам аутсорсингу для автентифікації власника картки.
Винятки
Транзакції, ініційовані продавцем, такі як підписки, тепер виключені з правила SCA. Лише перша транзакція потребує SCA. Подібним чином не потрібно автентифікувати за допомогою SCA замовлення поштою та телефоном. Це звільнення принесе значну користь таким секторам, як туристична індустрія.
Щодо токенізації, то SCA потрібний, лише якщо власник картки ініціює транзакцію, наприклад, під час додавання картки в цифровий гаманець.
Інклюзивність і доступність
Із затвердженням PSD3 SCA має бути доступним для вразливої групи клієнтів, таких як люди похилого віку, люди з обмеженими можливостями та споживачі, які не розбираються в цифрових технологіях. Тобто, необхідно забезпечити методи автентифікації, які не покладаються виключно на смартфони.
Вплив на відкритий банкінг: доступ до платіжних систем та інформації про рахунок
Регламент платіжних послуг (PSR) внесе зміни в існуючу структуру відкритого банкінгу, усуваючи перешкоди для надання відкритих банківських послуг.
Постачальникам послуг ініціювання платежів (PISP) і постачальникам послуг надання інформації про рахунок (AISP) буде дозволено створювати власні інтерфейси, які підключаються до банків та інших фінансових установ.
Банки та фінансові установи, в свою чергу, повинні будуть надавати більше інформації про ефективність своїх API, публікуючи щоквартальну статистику доступності та продуктивності інтерфейсу, забезпечуючи вищий рівень прозорості. Це надасть компаніям більш точне уявлення про платіжні системи, допомагаючи їм приймати обґрунтовані рішення про те, якого партнера вони хочуть вибрати для обробки платежів.
У разі простою або збоїв у роботі банку банки повинні дозволити третім сторонам (AISP та PISP) використовувати їхні власні банківські інтерфейси, що забезпечить більш ефективні платіжні процеси для компаній та їхніх клієнтів.
Банки зобов’язані надавати клієнтам інформаційну панель дозволів. Ця інформаційна панель дозволяє клієнтам постійно відстежувати та зручно керувати дозволами, наданими AISP.
Що далі?
Наразі чітких часових рамок впровадження PSD3 і PSR немає. 22 квітня 2024 року Європейський парламент випустив прес-реліз, в якому зазначено, що він прийняв позицію в першому читанні щодо проєкту Директиви про платіжні послуги та послуги електронних грошей (PSD3) і проєкту Регламенту платіжних послуг (PSR). Країни-члени зазвичай отримують 18-місячний перехідний період, таким чином, PSD3 і PSR можуть набути чинності приблизно в 2026 році.
Оновлені правила для індустрії платежів можуть принести користь банкам і провайдерам платіжних послуг. Зокрема, дозволять керівництву прийняти стратегічні підходи, а не орієнтуватися лише на відповідність вимогам, сприятимуть співпраці між відділами, а також заохочуватимуть більш ефективне планування змін. Окрім того, передбачається, що PSD3 стимулюватиме нових учасників виходити на ринок.