De vigtigste ændringer:
Payment Services Directive 3 (PSD3) er en opdateret version af Payment Services Directive 2 (PSD2) og består af regler for sikkerheden ved elektroniske/digitale betalinger og finansielle tjenester i EU. Målet er at styrke konkurrence og innovation inden for finansindustrien.
PSD3 anvender endnu stærkere beskyttelse end Strong Customer Authentication (SCA) og strengere regler for betalingssystemer og kontooplysninger.
PSD3 har til formål at beskytte forbrugernes privatliv og personoplysninger og samtidig fremme konkurrencen i betalingsindustrien.
De nye forslag omfatter også en ny forordning kaldet Payment Services Regulation (PSR) for at styrke forbrugerbeskyttelsen. Denne lovgivning gælder direkte for EU's medlemsstater.
Tidsplan: Der er endnu ikke en klar tidsplan for implementeringen af PSD3 og PSR. De endelige versioner af lovgivningen kan være tilgængelige i slutningen af 2024. Medlemslandene får normalt en overgangsperiode på 18 måneder, hvilket betyder, at lovene for alvor vil træde i kraft engang i 2026.
Siden indførelsen af det tidligere betalingstjenestedirektiv Payment Services Directive (PSD) har EU's marked for betalingstjenester gennemgået store forandringer. Det skyldes primært væksten i antallet af digitale betalinger og nye udbydere, der tilbyder open banking-tjenester.
Hovedformålet med det seneste betalingstjenestedirektiv Payment Services Directive (PSD2) var at sikre lige vilkår for eksisterende og nye udbydere af kort-, internet- og mobilbetalinger.
På grund af markedsudviklingen var det nødvendigt at opdatere love og direktiver om betalinger. Den 28. juni fremlagde Europa-Kommissionen forslag for at bringe betalinger og den bredere finansielle sektor ind i den digitale tidsalder. Disse forslag vil ændre og modernisere PSD2, som vil blive det nye PSD3, og indføre en forordning om betalingstjenester Payment Services Regulation (PSR).
I denne blog vil vi give jer et overblik over Europa-Kommissionens betalingstjenestedirektiv PSD3 og dets indhold, hvordan det kan sammenlignes med PSD2, og hvordan det kan påvirke industrien for betalingstjenester.
Hvad er PSD3?
PSD3 er et EU-direktiv, der består af regler for godkendelse af og tilsyn med betalingstjenesteudbydere, payment service provider (PSP'er) i EU. Direktivet har til formål at beskytte forbrugernes rettigheder og personoplysninger og samtidig styrke konkurrencen på betalingsmarkedet. Det vil hjælpe forbrugerne med at dele deres data mere sikkert og samtidig bidrage til mere innovative produkter og tjenester inden for bank- og finanssektoren. Da PSD3 er et EU-direktiv, skal det implementeres i lovgivningen i EU's medlemslande.
Hvad er PSR?
PSR er en EU-forordning, der gælder for alle EU's medlemslande, når den træder i kraft. PSR finder direkte anvendelse, uden at medlemslandene behøver at implementere forordningen på nationalt plan. Det er med til at sikre en ensartet og konsekvent implementering i hele EU. PSR har til formål at forbedre forbrugerbeskyttelsen, et område, hvor sammenhæng i lovgivningen er afgørende.
PSD2 vs PSD3
PSD3 vil dække flere områder end PSD2. Det gør direktivet mere egnet til nutidens betalinger taget i betragtning af den inkonsekvente implementering af regler, der i øjeblikket kan tilskynde til misbrug. PSD3 dækker de fleste elementer i PSD2, såsom gennemsigtighed, ansvar og open banking. PSD3 indeholder dog mere omfattende regler for Strong Customer Authentication (SCA) og strengere regler for adgang til betalingssystemer og kontooplysninger sammenlignet med PSD2. Det spiller en afgørende rolle for at beskytte betalinger og forhindre svindel.
Læs mere om, hvordan PSD2 og SCA har fungeret indtil nu.
PSR er en EU-forordning, der gælder for alle EU-medlemslande, når den er blevet vedtaget og er trådt i kraft. PSR finder direkte anvendelse, uden at medlemslandene behøver at implementere den i deres nationale lovgivning. Det er med til at sikre en ensartet og konsekvent implementering i hele EU. PSR har til formål at forbedre forbrugerbeskyttelsen, et område, hvor klarhed og sammenhæng i reglerne er afgørende.
Sådan påvirker PSD3 betalingerne
Ændringerne omkring Strong Customer Authentication (SCA) og adgang til betalingssystemer og kontooplysninger vil påvirke betalingsindustrien. Lad os se nærmere på disse ændringer, og hvordan de vil påvirke branchen.
Strong Customer Authentication
PSD3's indvirkning på SCA vil bidrage til sikrere kunderejser. Der vil gælde nye regler for datadeling, forebyggelse af svindel, autentificering og betalinger.
Data: Virksomheder bliver nødt til at dele flere data med kortudstedende banker, så de kan overvåge ting som fx brugerens placering, tidspunkt for gennemførelse af betalingen, anvendte enheder, købsvaner, betalingshistorik, sessionsdata og IP-adresse. Det betyder, at de kan øge andelen af godkendte betalinger ved bedre at kunne afgøre, hvilke betalinger der skal godkendes, og hvilke der skal afvises. Betalingssystemer og betalingsudbydere vil også få lov til at behandle personoplysninger for at forhindre svindel uden udtrykkeligt samtykke fra brugerne i henhold til persondataforordningen (GDPR). Det gælder kun, hvis de bruger oplysningerne til at forhindre svindel.
Svindel: De nye forslag foreslår også et skift i ansvaret for svindel. Kortnetværk, udbydere af digitale tjenester (f.eks. mobile tegnebøger) og payment gateways vil være ansvarlige for svindel, hvis de ikke har brugt SCA. Det beskytter kunderne mod tekniske fejl og tilskynder udbyderne til at opretholde en høj kvalitet i deres tjenester.
Kortudstedere vil også være ansvarlige, når svindlere bruger spoofing. Spoofing er, når en svindler udgiver sig for at være ansat i en bank for at få brugeren til at godkende en betaling. Hvis betaleren også begår svindel eller handler groft uagtsomt, er vedkommende ansvarlig.
Autentificering: PSD2 kræver, at SCA-faktorer tilhører to kategorier ud af følgende tre: viden (f.eks. adgangskode), ejerskab (f.eks. nøgleviser) og tilhørsforhold (f.eks. fingeraftryk). Med PSD3 er det muligt at bruge to af de samme kategorier, f.eks. token og SMS OTP eller endda to adgangskoder.
SCA-delegering fra den kortudstedende bank til tredjepartsudbydere som Apple Pay er nu klassificeret som outsourcing og skal overholde outsourcing-reglerne for at kunne legitimere kortindehaveren. Adyen forudså, at outsourcing inden for SCA ville blive reguleret, og skabte løsningen Delegeret Autentificering, der gør det muligt for Adyen at administrere autentificeringen.
Undtagelser: Betalinger, som er igangsat af forhandleren (Merchant-initiated transactions (MIT), fx abonnementer, er udelukket fra SCA. Kun den første betaling kræver SCA. MIT'er vil have den samme ret til en ubetinget tilbagebetaling inden for otte uger, som findes inden for rammerne af SEPA Direct Debits.
Det samme gælder for kortbaserede postordrer eller telefonordrer, også kendt som MOTO-transaktioner – disse behøver ikke at blive autentificeret via SCA. Denne undtagelse vil gavne hotel- og restaurationsbranchen.
I forbindelse med tokenisering kræves SCA kun, hvis kortindehaveren igangsætter betalingen, f.eks. ved card-on-file-transaktioner, eller hvis kortholderen knytter sit kort til en mobil tegnebog for første gang.
Tilgængelighed: SCA skal nu være tilgængelig for sårbare kunder som pensionister, mennesker med handicap og lignende grupper i samfundet ved at give dem autentificeringsmetoder, der ikke kun er afhængige af smartphones.
Adgang til betalingssystemer og kontooplysninger
Forordningen om betalingstjenester (PSR) medfører ændringer til den eksisterende Open Banking-rammelovgivning, der forenkler open banking-tjenester og øger oppetiden for bank- og finansielle tjenester.
Payment Initiation Service Providers (PISP'er) og Account Information Service Providers (AISP'er) vil få tilladelse til at bygge skræddersyede grænseflader, der kan forbindes med banker og andre finansielle institutioner.
Banker og finansielle institutioner skal derefter dele oplysninger om deres API'ers ydeevne ved at offentliggøre statistikker om grænsefladens tilgængelighed og ydeevne på kvartalsbasis for at øge gennemsigtigheden i branchen. Det giver virksomhederne en mere præcis indsigt i betalingssystemerne og hjælper dem med at træffe informerede beslutninger om, hvilken partner de kan eller bør samarbejde med om betalinger.
Med hensyn til nedetid og afbrydelser skal bankerne tillade tredjepartsudbydere (AISP'er og PISP'er) at bruge deres egne grænseflader til deres banktjenester for at skabe en mere effektiv betalingsproces for digitale virksomheder og deres kunder. I henhold til gældende lovgivning har virksomheden også ret til at kræve erstatning for eventuelle tab.
Bankerne skal give kunderne et dashboard til godkendelse. Dette dashboard giver kunderne mulighed for løbende at overvåge og administrere de tilladelser, der er givet til forskellige AISP'er, på en nem måde.
Hvad sker der nu?
PSD3- og PSR-forslagene sikrer, at forbrugerne i EU fortsat kan betale elektronisk på en sikker måde, både nationalt og internationalt i euro og andre valutaer. Forslagene sigter mod at udvide valgfriheden af betalingsudbydere og forbedre sikkerheden for forbrugerne.
Hos Adyen samarbejder vi med beslutningstagere inden for lovgivning og kortnetværk for at sikre, at alt på vores platform er klar til PSD3. Indtil videre behøver vi ikke at gøre andet. Vi holder vores kunder opdaterede om den seneste udvikling i lovgivningen via e-mail og systemmeddelelser på vores platform.
Tidsplanen for PSD3 og PSR er stadig uklar. Europa-Parlamentet og Europarådet vil først gennemgå forslaget. De endelige versioner kan være tilgængelige i slutningen af 2024. Medlemslandene får normalt en frist på 18 måneder til at implementere de nødvendige ændringer, hvilket betyder, at PSD3 og PSR kan træde i kraft engang i 2026. Hvis I vil vide mere, kan I læse de officielle dokumenter her.
Læs mere om, hvordan man opnår den bedste balance mellem bekvemmelighed og sikkerhed via bedre autentificering her.
Skriv dig op til vores nyhedsbrev
Jeg bekræfter, at jeg har læst Adyens politik om databeskyttelse, og jeg accepterer, at mine oplysninger anvendes i overensstemmelse hermed.