Viktigaste förändringarna:
Payment Services Directive 3 (PSD3) är en uppdaterad version av Payment Services Directive 2 (PSD2) och utgörs av regler kring säkerheten för elektroniska/digitala betalningar och finansiella tjänster inom EU. Målet är att stärka konkurrens och innovation inom finansindustrin.
PSD3 tillämpar än starkare skydd än Strong Customer Authentication (SCA) och mer strikta regler vad gäller betalsystem och kontoinformation.
PSD3 ämnar skydda konsumentens integritet och personliga information samtidigt som regelverket ska främja konkurrensen inom betalindustrin.
De nya förslagen inkluderar även ett nytt direktiv kallat Payment Services Regulation (PSR) för att stärka konsumentskyddet. Detta regelverk tillämpas direkt gentemot EU-medlemsländer.
Tidslinje: Det finns ännu ingen tydlig tidslinje för implementeringen av PSD3 och PSR. De slutgiltiga versionerna av regelverken kan bli tillgängliga i slutet av 2024. Medlemsstaterna får vanligtvis en övergångsperiod om 18 månader, vilket indikerar att lagarna träder i kraft på riktigt någon gång under 2026.
Sedan det tidigare betaltjänstdirektivet Payment Services Directive (PSD) infördes, har EU:s marknad för betaltjänster genomgått stora förändringar. Detta beror framförallt på ökningen av digitala betalningar och nya leverantörer som erbjuder öppna banktjänster.
Huvudsyftet med det senaste betaltjänstdirektivet Payment Services Directive (PSD2) var att säkerställa lika villkor mellan befintliga och nya leverantörer av kort-, internet- och mobilbetalningar.
På grund av utvecklingen på marknaden behövde lagarna och direktiven kring betalningar en uppdatering. Den 28 juni presenterade EU-kommissionen förslag för att ta betalningar och den bredare finansiella sektorn in i den digitala tidsåldern. Dessa förslag kommer att ändra och modernisera PSD2, som kommer att bli nya PSD3, och införa en betaltjänstförordning, Payment Services Regulation (PSR).
I denna blogg kommer vi att ge er en överblick på EU-kommissionens betaltjänstdirektiv PSD3 och dess innehåll, hur det kan jämföras med PSD2 och hur det kan komma att påverka industrin för betaltjänster.
Vad är PSD3?
PSD3 är ett EU-direktiv som utgörs av regler kring godkännandet och tillsynen av betaltjänstleverantörer, payment service providers (PSPs), inom EU. Direktivet har som mål att skydda konsumenternas rättigheter och personliga information samtidigt som det ämnar stärka konkurrensen på marknaden för betalningar. På så vis kan man hjälpa konsumenter att dela sin data på ett säkrare sätt samtidigt som de kan bidra till mer innovativa produkter och tjänster inom bank och finans. Eftersom PSD3 är ett EU-direktiv behöver det implementeras i lagstiftningen för medlemsstaterna inom EU.
Vad är PSR?
PSR är en EU-förordning som gäller alla EU-medlemsstater när den träder i kraft. PSR kommer att vara direkt tillämplig utan att medlemsstaterna behöver implementera förordningen på nationell nivå. Detta bidrar till en enhetlig och konsekvent implementering i hela EU. PSR syftar till att förbättra konsumentskyddet, ett område där koherens i regelverk är avgörande.
PSD2 vs PSD3
PSD3 kommer att omfatta fler områden än PSD2. Detta gör direktivet mer lämpat för dagens betalningar med tanke på den inkonsekventa implementeringen av regler som idag kan uppmuntra till utnyttjande av regelverket. PSD3 täcker de flesta delar av PSD2, såsom transparens, ansvar och open banking. PSD3 innefattar dock mer omfattande regler för Strong Customer Authentication (SCA) och strängare regler för åtkomst till betalningssystem och kontoinformation jämfört med PSD2. Detta spelar en avgörande roll för att skydda transaktioner och motverka bedrägerier.
Läs mer om hur PSD2 och SCA har fungerat tills nu.
PSR är en EU-förordning som gäller alla EU:s medlemsstater så fort den har antagits och trätt i kraft. PSR kommer att vara direkt tillämplig utan att medlemsstaterna behöver implementera regelverket i sin nationella lagstiftning. Detta bidrar till en enhetlig och konsekvent implementering inom hela EU. PSR syftar till att förbättra konsumentskyddet, ett område där tydlighet och koherens i reglerna är avgörande.
Så påverkar PSD3 betalningar
Ändringarna kring Strong Customer Authentication (SCA) och tillgång till betalningssystem och kontoinformation kommer att påverka industrin för betalningar. Låt oss titta närmare på dessa förändringar och hur de kommer påverka industrin.
Strong Customer Authentication
PSD3s påverkan på SCA kommer att bidra till säkrare kundresor. Nya regler kommer att tillämpas för delning av data, förebyggande av bedrägerier, autentisering och transaktioner.
Data Företag kommer att behöva dela mer data med kortutgivande banker, så att de kan övervaka saker som användarens plats, transaktionstid, enheter som används, köpvanor, transaktionshistorik, sessionsdata och IP-adress. Som ett resultat kan de öka andelen godkända betalningar genom att bättre avgöra vilka transaktioner som ska godkännas och vilka som ska avvisas. Betalningssystem och PSP:er kommer också att tillåtas att behandla personuppgifter för att förhindra bedrägeri utan explicit medgivande från användare enligt den allmänna dataskyddsförordningen (GDPR). Detta gäller endast om de använder uppgifterna för att förhindra bedrägerier.
Bedrägeri De nya förslagen föreslår även ett skifte i ansvar vad gäller bedrägeri. Kortnätverk, leverantörer av digitala tjänster (t.ex. mobila plånböcker) och payment gateways kommer att bära ansvar för bedrägerier om de inte har använt sig av SCA. Detta skyddar kunder från tekniska haverier och uppmuntrar leverantörer till att upprätthålla en hög kvalitet på sin tjänst.
Kortutgivare kommer också bära ansvar när s.k. spoof-bedrägerier förekommer. Detta innebär att en bedragare utger sig för att vara anställd på en bank för att användaren ska autentisera en betalning. Om betalaren också begår bedrägeri eller agerar med grov vårdslöshet så bär de ansvaret.
Autentisering PSD2 kräver att SCA-faktorer tillhör två kategorier av följande tre: kunskap (ex lösenord), ägande (ex säkerhetsdosa) och tillhörighet (ex fingeravtryck). Med PSD3 är det möjligt att använda två av samma kategorier, som exempelvis token och SMS OTP eller till och med två lösenord.
SCA-delegering från kortutgivande bank till tredjepartsleverantörer som exempelvis Apple Pay är numera klassat som outsourcing och måste följa reglerna för outsourcing för att kunna legitimera kortinnehavaren. Adyen förutspådde att outsourcing inom SCA skulle regleras och skapade därför lösningen Delegerad Autentisering som möjliggör för Adyen att sköta autentiseringen.
Undantag Transaktioner som initieras av handlaren (Merchant-initiated transactions, MIT), exempelvis prenumerationer, är exkluderade från SCA. Det är endast den första transaktionen som kräver SCA. S.k. MIT:s kommer att ha samma rätt till ovillkorlig återbetalning inom åtta veckor som finns inom ramen för SEPA Direct Debits.
Samma sak gäller vid kortbaserade hembeställningar eller telefonbeställningar, även kallade MOTO-transaktioner - dessa behöver inte autentiseras genom SCA. Detta undantag kommer att gynna besöksnäringen.
Vid tokenisering krävs SCA endast om kortinnehavaren initierar transaktion, genom exempelvis card-on-file-transaktioner eller om kortinnehavaren kopplar sitt kort till en mobil plånbok för första gången.
Tillgänglighet SCA måste numera vara tillgängligt för sårbara kunder som exempelvis pensionärer, personer med funktionshinder och dylika grupper i samhället genom att förse dessa med autentiseringsmetoder som inte endast förlitar sig på smartphones.
Tillgång till betalsystem och kontoinformation
PSR-direktivet medför förändringar till det existerande Open Banking-ramverket som förenklar open banking-tjänster och ökar s.k. upptid för bank- och finanstjänster.
Payment Initiation Service Providers (PISP:s) och Account Information Service Providers (AISP:s) kommer att få tillstånd att bygga skräddarsydda gränssnitt som kan kopplas ihop med banker och andra finansiella institutioner.
Banker och finansiella institutioner kommer då behöva dela information om sina API:ers prestation genom att publicera statistik om gränssnittets tillgänglighet och prestation på kvartalsbasis, för att öka transparensen i branschen. Detta ger företag mer träffsäkra insikter om betalsystemen och hjälper företagen att fatta informerade beslut om vilken partner de kan eller bör arbeta med vad gäller betalningar.
Vad gäller bankernas nertid och störningar kommer banker behöva tillåta att tredjepartsleverantörer (AISP:s och PISP:s) använder sina egna gränssnitt för sina banktjänster, för att skapa en effektivare betalningsprocess för digitala företag och deras kunder. Enligt tillämpligt lagrum behåller företaget även rätten att kräva skadestånd för eventuella förluster.
Banker måste ge kunder en dashboard för godkännande. Denna dashboard ger kunder möjligheten att kontinuerligt övervaka och hantera de behörigheter som har beviljats till olika AISP:s på ett enkelt sätt.
Vad händer nu?
PSD3 och PSR-förslagen säkerställer att konsumenter inom EU kan fortsätta att betala elektroniskt på ett säkert sätt, såväl inrikes som utrikes med euro och övriga valutor. Förslagen har som målsättning att utöka valfriheten av betalleverantörer och öka säkerheten för konsumenter.
Vi på Adyen arbetar med regulatoriska beslutsfattare och kortnätverk för att säkerställa att allt på vår plattform är redo för PSD3. Just nu behöver vi inte göra något mer. Vi håller våra kunder uppdaterade med de senaste regulatoriska utvecklingarna via email och systemmeddelanden på vår plattform.
Tidslinjen för PSD3 och PSR är fortfarande oklar. EU-parlamentet och Europeiska rådet kommer att se över förslaget först. Slutversionerna kan bli tillgängliga under slutet av 2024. Medlemsstaterna brukar få en tidsfrist på 18 månader för att implementera nödvändiga förändringar, vilket signalerar att PSD3 och PSR kan träda i kraft någon gång 2026. Vill ni veta mer kan ni läsa de officiella dokumenten här.
Läs mer om hur man balanserar bekvämlighet och säkerhet genom bättre autentisering här.
Anmäl dig till Adyens nyhetsbrev
Kontakta vårt kommunikationsteam
Jag bekräftar att jag har läst Adyens integritetspolicy och jag godkänner användandet av min data i enlighet med policyn.