De viktigste forandringene:
Payment Services Directive 3 (PSD3) er en oppdatert versjon av Payment Services Directive 2 (PSD2) og består av regler knyttet til sikkerheten for elektroniske/digitale betalinger og finansielle tjenester i EU. Målet er å styrke konkurransen og innovasjonen innen finansindustrien.
PSD3 innebærer enda sterkere beskyttelse enn Strong Customer Authentication (SCA) og strengere regler for betalingssystemer og kontoinformasjon.
Hensikten med PSD3 er å beskytte forbrukerens integritet og personopplysninger, samtidig som regelverket skal fremme konkurransen innen betalingsindustrien.
De nye forslagene omfatter også et nytt direktiv kalt Payment Services Regulation (PSR), som skal gi forbrukeren økt beskyttelse. Dette regelverket praktiseres direkte mot EUs medlemsland.
Tidslinje: Det finnes foreløpig ingen tydelig tidslinje for implementeringen av PSD3 og PSR. De endelige versjonene av regelverkene kan bli tilgjengelige i slutten av 2024. Medlemslandene får vanligvis en overgangsperiode på 18 måneder, noe som antyder at lovene trer i kraft for alvor en eller annen gang i løpet av 2026.
Etter innføringen av det tidligere betalingstjenestedirektivet Payment Services Directive (PSD) har EUs marked for betalingstjenester gjennomgått store forandringer. Dette skyldes fremfor alt økningen i digitale betalinger og nye leverandører som tilbyr åpne banktjenester.
Hovedformålet med det siste betalingstjenestedirektivet Payment Services Directive (PSD2) var å sørge for like vilkår mellom eksisterende og nye leverandører av kort-, internett- og mobilbetalinger.
På grunn av markedsutviklingen var det nødvendig med en oppdatering av lovverket og direktivene knyttet til betalinger. 28. juni la EU-kommisjonen frem forslag for å få betalinger og den finansielle sektoren som helhet inn i den digitale tidsalderen. Disse forslagene kommer til å endre og modernisere PSD2, som blir det nye PSD3, og innføre en betalingstjenesteforordning, Payment Services Regulation (PSR).
I dette blogginnlegget gir vi dere en oversikt over EU-kommisjonens betalingstjenestedirektiv PSD3 og hva det inneholder, hvordan det kan sammenlignes med PSD2 og hvordan det kan påvirke bransjen for betalingstjenester.
Hva er PSD3?
PSD3 er et EU-direktiv som består av regler som gjelder godkjenning og tilsyn av betalingstjenesteleverandører, payment service providers (PSPs), i EU. Direktivet har som mål å beskytte forbrukernes rettigheter og personopplysninger, samtidig som det har som ambisjon å styrke konkurransen på markedet for betalinger. Slik kan man hjelpe forbrukerne med å dele data på en sikrere måte, samtidig som de kan bidra til mer innovative produkter og tjenester innen bank og finans. Siden PSD3 er et EU-direktiv, må det implementeres i lovgivningen i EU-medlemslandene.
Hva er PSR?
PSR er en EU-forordning som vil gjelde for alle EU-medlemsstater når den trer i kraft. PSR kommer til å gjelde umiddelbart, uten at medlemslandene trenger å implementere forordningen på nasjonalt nivå. Dette bidrar til enhetlig og konsekvent implementering i hele EU. Målet med PSR er å styrke forbrukerbeskyttelsen, et område der det er avgjørende med koherens i regelverkene.
PSD2 vs PSD3
PSD3 vil omfatte flere områder enn PSD2. Dette gjør direktivet bedre egnet for dagens betalinger med tanke på den inkonsekvente implementeringen av regler som i dag kan føre til at regelverket utnyttes. PSD3 dekker de fleste deler av PSD2, som transparens, ansvar og open banking, men PSD3 omfatter i tillegg mer omfattende regler for Strong Customer Authentication (SCA) og strengere regler for tilgang til betalingssystemer og kontoinformasjon enn PSD2. Dette spiller en avgjørende rolle for å beskytte transaksjoner og motvirke svindel.
Les mer om hvordan PSD2 og SCA har fungert hittil.
PSR er en EU-forordning som vil gjelde for alle EUs medlemsland så snart den er vedtatt og har trådt i kraft. PSR vil gjelde umiddelbart, uten at medlemslandene behøver å implementere regelverket i sin nasjonale lovgivning. Dette bidrar til enhetlig og konsekvent implementering i hele EU. Målet med PSR er å styrke forbrukerbeskyttelsen, et område der det er avgjørende med tydelighet og koherens i reglene.
Slik påvirker PSD3 betalinger
Endringene knyttet til Strong Customer Authentication (SCA) og tilgang til betalingssystemer og kontoopplysninger kommer til å påvirke betalingsindustrien. La oss se nærmere på disse forandringene og hvordan de kommer til å påvirke bransjen.
Strong Customer Authentication
PSD3s påvirkning på SCA kommer til å bidra til tryggere kundereiser. Det vil bli innført nye regler for deling av data, svindelforebygging, autentisering og transaksjoner.
Data Bedriftene må dele mer data med kortutstedende banker, slik at de kan overvåke ting som brukerens plassering, transaksjonstid, enheter som benyttes, kjøpevaner, transaksjonshistorikk, sesjonsdata og IP-adresse. Dermed kan de øke andelen godkjente betalinger ved å avgjøre bedre hvilke transaksjoner som skal godkjennes, og hvilke som skal avvises. Betalingssystemene og PSP-ene vil også kunne behandle personopplysninger for å hindre svindel uten eksplisitt tillatelse fra brukerne ifølge den generelle personvernforordningen (GDPR). Dette gjelder kun hvis de bruker opplysningene for å hindre svindel.
Svindel De nye forslagene innebærer også et skifte i ansvar når det gjelder svindel. Kortnettverk, leverandører av digitale tjenester (f.eks. mobile lommebøker) og payment gateways kommer til å bære ansvaret for svindel hvis de ikke har benyttet seg av SCA. Dette beskytter kundene mot tekniske havarier og oppmuntrer leverandørene til å opprettholde høy kvalitet på tjenesten.
Kortutstederne kommer også til å ha ansvar i tilfeller av såkalt spoof-svindel. Dette innebærer at en svindler utgir seg for å være ansatt i en bank for at brukeren skal autentisere en betaling. Hvis betaleren også begår svindel eller opptrer grovt uaktsomt, bærer de ansvaret.
Autentisering PSD2 krever at SCA-faktorer tilhører to av de tre følgende kategoriene: kunnskap (f.eks. passord), eierskap (f.eks. kodebrikke) og tilhørighet (f.eks. fingeravtrykk). Med PSD3 er det mulig å bruke to av samme kategori, for eksempel token og SMS OTP eller til og med to passord.
SCA-delegering fra kortutstedende bank til tredjepartsleverandører, som for eksempel Apple Pay, er nå klassifisert som outsourcing og må følge reglene for outsourcing for å kunne legitimere kortinnehaveren. Adyen forutså at outsourcing innen SCA ville bli regulert og utviklet derfor løsningen Delegert Autentisering som gjør det mulig for Adyen å håndtere autentiseringen.
Unntak Transaksjoner som initieres av forhandleren (Merchant-initiated transactions, MIT), for eksempel abonnementer, er utelukket fra SCA. Det er kun første transaksjon som krever SCA. Såkalte MITs kommer til å ha rett til uvilkårlig tilbakebetaling innen åtte uker på lik linje med det som eksisterer innenfor rammene av SEPA Direct Debits.
Det samme gjelder ved kortbaserte hjembestillinger eller telefonbestillinger, også kalt MOTO-transaksjoner – disse må heller ikke autentiseres via SCA. Dette unntaket vil være gunstig for besøksnæringen.
Ved tokenisering kreves SCA bare hvis kortinnehaveren initierer transaksjonen, for eksempel ved card-on-file-transaksjoner eller hvis kortinnehaveren kobler kortet sitt til en mobil lommebok for første gang.
Tilgjengelighet SCA må nå være tilgjengelig for sårbare kunder som for eksempel pensjonister, personer med funksjonsnedsettelser og lignende grupper i samfunnet ved at de utstyres med autentiseringsmetoder som ikke bare baserer seg på smarttelefoner.
Tilgang til betalingssystemer og kontoopplysninger
PSR-direktivet medfører endringer i det eksisterende Open Banking-rammeverket som forenkler open banking-tjenester og øker den såkalte oppetiden for bank- og finanstjenestene.
Payment Initiation Service Providers (PISPs) og Account Information Service Providers (AISPs) vil få tillatelse til å bygge skreddersydde grensesnitt som kan kobles sammen med banker og andre finansielle institusjoner.
Banker og finansielle institusjoner må da dele informasjon om API-enes ytelse ved å publisere statistikk om grensesnittets tilgjengelighet og ytelse på kvartalsbasis, for å øke transparensen i bransjen. Dette gir bedriftene mer treffsikre innsikter i betalingssystemene og hjelper bedriftene med å ta informerte beslutninger om hvilken partner de kan eller bør samarbeide med når det gjelder betalinger.
Når det gjelder bankenes nedetid og forstyrrelser, må bankene tillate at tredjepartsleverandører (AISPs og PISPs) bruker sine egne grensesnitt for banktjenestene, for å oppnå en mer effektiv betalingsprosess for digitale bedrifter og deres kunder. Ifølge gjeldende lov beholder bedriften også retten til å kreve erstatning for eventuelle tap.
Bankene må gi kundene et dashboard for godkjenning. Dette dashboardet gir kundene mulighet til kontinuerlig å overvåke og håndtere fullmaktene som er gitt til ulike AISPs på en enkel måte.
Hva skjer nå?
PSD3 og PSR-forslagene sikrer at forbrukere i EU kan fortsette å betale elektronisk på en sikker måte, både innenlands og utenlands, både i euro og andre valutaer. Forslagene har som mål å øke valgfriheten når det gjelder betalingsleverandører og øke sikkerheten for forbrukerne.
Adyen samarbeider med regulatoriske beslutningstakere og kortnettverk for å sikre at alt på plattformen vår er klart for PSD3. I øyeblikket behøver vi ikke å gjøre noe mer. Vi holder kundene våre oppdatert på den siste regulatoriske utviklingen på e-post og systemmeldinger på plattformen vår.
Tidslinjen for PSD3 og PSR er fremdeles uklar. EU-parlamentet og Europarådet skal gjennomgå forslaget først. De endelige versjonene kan bli tilgjengelige mot slutten av 2024. Medlemslandene får vanligvis en tidsfrist på 18 måneder for å implementere nødvendige endringer, noe som signaliserer at PSD3 og PSR kan tre i kraft en gang i løpet av 2026. Hvis dere vil vite mer, kan dere lese de offisielle dokumentene her.
Les mer om hvordan man balanserer bekvemmelighet og sikkerhet med bedre autentisering her.
Meld deg på vårt nyhetsbrev
Abonner på e-postvarsler
Jeg bekrefter at jeg har lest Adyens personvernpolicy og at jeg godtar at opplysningene mine brukes i samsvar med policyen.