Alle ins en outs over PSD3

Sinds de introductie van de vorige Payment Services Directive (PSD), heeft de betaalindustrie in de EU aanzienlijke veranderingen ondergaan. Dit komt onder andere door de groei van elektronische betaalmethoden en nieuwe bedrijven die diensten zoals open banking services aanbieden.  Het doel van de vorige Payment Services Directive (PSD2) was het waarborgen van een gelijk speelveld tussen bestaande en nieuwe aanbieders van kaart-, internet- en mobiele betalingen.  Door ontwikkelingen in de markt waren de regels en voorschriften rondom betalingen toe aan een update. Op 28 juni kwam de Europese Commissie met voorstellen om betalingen, en de bredere financiële industrie, verder het digitale tijdperk in te brengen. Deze voorstellen wijzigen en moderniseren PSD2, wat nu PSD3 wordt, en introduceren een Payment Services Regulation (PSR).  We leggen uit wat het voorstel van de Europese Commissie voor de Payment Services Directive 3 (PSD3) inhoudt, hoe het zich verhoudt tot PSD2 en hoe dit jou gaat beïnvloeden. Zo kan jij veilig uitbreiden terwijl je tegelijkertijd voldoet aan de nieuwe wet- en regelgeving.

Wat is PDS3?

PSD3 is een Europese richtlijn met regels gericht op het toezicht en autorisatie van niet-bancaire payment service providers (PSP's) in de EU. PSD3 heeft als doel om de persoonlijke informatie en rechten van consumenten te beschermen. Dit gaat consumenten in staat stellen hun gegevens veilig te delen om zo bij te dragen aan een breder scala van innovatieve financiële producten en diensten. Daarnaast streeft PSD3 naar een eerlijker speelveld tussen de verschillende partijen in de betaalindustrie. Aangezien het een richtlijn is, moeten de PSD3 regels nog worden omgezet in de nationale wetgeving van de verschillende Europese lidstaten.

Wat is PSR?

PSR is een Europese richtlijn die van toepassing is op de Europese lidstaten. De PSR is bedoeld om de bescherming van consumenten te verbeteren, een gebied waarop consistentie van regels van cruciaal belang is. Daarom zal PSR meteen van toepassing zijn, zonder dat het nodig is voor de lidstaten om de regels nog om te zetten in de nationale wetgeving. Dit draagt vooral bij aan een consistente uitvoering van de regels in de hele EU. 

Het verschil tussen de oude en nieuwe PSD

PSD3 wordt uitgebreider dan PSD2, waardoor het beter past bij het huidige betaallandschap. Dit is belangrijk vanwege de ongelijke naleving van regels, wat kan leiden tot het ontduiken van regelgeving. PSD3 omvat de meeste onderdelen van de vorige PSD, zoals transparantie, aansprakelijkheid en open banking. PSD3 bevat echter uitgebreidere SCA-regelgeving (Strong Customer Authentication) en strengere regels met betrekking tot toegang tot betaalsystemen en accountinformatie. Dit speelt een cruciale rol bij het beveiligen van transacties en het tegengaan van betaalfraude.  Lees meer over de wisselwerking tussen PSD2 en SCA tot nu toe.

De impact van PSD3 op betalingen

De veranderingen met betrekking tot Strong Customer Authentication (SCA) en toegang tot betaalsystemen en accountinformatie hebben impact op de betaalindustrie en jouw betalingen. We leggen uit wat het effect hiervan zal zijn.  Strong Customer Authentication De veranderingen in PSD3 met betrekking tot SCA gaan bijdragen aan een veiligere koopervaringen voor consumenten. Er komen nieuwe regels voor het delen van data, fraudepreventie, authenticatie van betalingen, transacties en beschikbaarheid van data.  Data Bedrijven zullen meer data moeten delen met issuers, zodat zij omgevings- en gedragskenmerken kunnen monitoren. Denk hierbij aan bijvoorbeeld de locatie van de gebruiker, transactietijd, gebruikte apparaten, uitgavenpatroon, transactiegeschiedenis, sessiegegevens en IP-adres van een apparaat. Daardoor kunnen issuers de goedkeuringspercentages van betalingen verhogen doordat ze beter kunnen inschatten welke transacties worden goedgekeurd en welke moeten worden geweigerd.  Betaalnetwerken en payment service providers mogen onder de Algemene Verordening Gegevensbescherming (ook wel GDPR) ook persoonsgegevens verwerken voor fraudepreventie, zonder hiervoor expliciete toestemming van de gebruiker nodig te hebben. Dit geldt alleen als ze de data gebruiken om fraude te voorkomen. Fraude De nieuwe voorstellen betekenen ook een verschuiving in de aansprakelijkheid op het gebied van fraude. Creditcardmaatschappijen, technische service providers (zoals aanbieders van digitale wallets) en betaalgateways zullen aansprakelijk zijn voor fraude wanneer ze SCA niet toepassen. Dit beschermt betalers tegen technische storingen en moedigt aanbieders aan om een hoge kwaliteit van dienstverlening te handhaven.  Issuers worden ook aansprakelijk voor spoofing-fraude. Dit is wanneer een fraudeur zich voordoet als een medewerker van een bank om de gebruiker de betaling te laten authenticeren. Wanneer de betaler fraude pleegt of ernstig nalatig handelt, blijft die persoon verantwoordelijk. Authenticatie PSD2 vereist dat SCA factoren tot twee van de volgende drie categorieën behoren: ‘iets dat je weet (een wachtwoord)’, ‘iets wat je bezit (een smartphone)’ of ‘iets wat je bent (een vingerafdruk)’. Met PSD3 is het mogelijk om twee van dezelfde categorieën te gebruiken, zoals een token en SMS OTP (one time password die je via een SMS krijgt) of zelfs twee wachtwoorden.  Wanneer issuers SCA delegatie toewijzen aan derden, zoals Apple Pay, wordt dit nu beschouwd als uitbesteding en moeten ze voldoen aan de uitbestedingsregels om de kaarthouder te authenticeren. Adyen heeft geanticipeerd op het feit dat uitbesteding gereguleerd zou worden en heeft een Delegated Authentication oplossing ontwikkeld waarmee we niet uitbesteden aan een derde partij, maar in plaats daarvan de authenticatie zelf doen. Issuers kunnen SCA dus aan ons delegeren. Uitzonderingen Transacties die vanuit een bedrijf geïnitieerd worden, zoals abonnementen, zijn nu uitgesloten van SCA. Alleen voor de eerste transactie is SCA vereist. Hiervoor geldt het normale terugbetalingsrecht van 8 weken ('no question asked') net zoals voor SEPA-incasso's.  Op dezelfde manier hoeven bestellingen die per post of telefonisch worden gedaan, ook wel MOTO-transacties genoemd, niet te worden geverifieerd met SCA. Deze uitzondering is een groot voordeel voor sectoren zoals de reisindustrie.  Wat tokenization betreft, is SCA alleen vereist wanneer de kaarthouder de transactie initieert, bijvoorbeeld tijdens een card-on-file transactie of wanneer een kaarthouder zijn kaart voor het eerst aanmeldt in een digitale wallet. Beschikbaarheid SCA dient nu beschikbaar te zijn voor kwetsbare klanten zoals ouderen, mensen met een handicap, of consumenten die niet digitaal onderlegd zijn. Dit kan je doen door authenticatiemethoden aan te bieden die niet alleen afhankelijk zijn van smartphones.

Toegang tot betaalsystemen en accountinformatie

De PSR zal veranderingen doorvoeren in het huidige Open Banking systeem om zo obstakels voor het aanbieden van open banking diensten weg te nemen en daarmee de beschikbaarheid van bank- en financiële diensten te verbeteren. Payment Initiation Service Providers (PISP's) en Account Information Service Providers (AISP's) mogen interfaces op maat bouwen om verbinding te maken met banken en andere financiële instellingen.  Banken en financiële instellingen zullen meer informatie over hun API-prestaties moeten delen door elk kwartaal statistieken over de beschikbaarheid en prestaties van interfaces te publiceren, waardoor er meer transparantie ontstaat. Dit geeft bedrijven een nauwkeuriger inzicht in de betaalsystemen, zodat ze weloverwogen beslissingen kunnen nemen over welke partner ze willen kiezen voor hun behoeften op het gebied van betaalverwerking. In het geval van uitval of downtime moeten banken derde partijen (zoals AISP's en PISP's) toestaan om hun eigen bank interfaces te gebruiken. Dit leidt tot efficiëntere betaalprocessen voor digitale bedrijven en hun klanten. Volgens het toepasselijke burgerlijk recht behouden bedrijven ook het recht om schadevergoeding te eisen voor de geleden verliezen. Banken zijn verplicht om klanten een omgeving aan te bieden waarmee klanten in staat zijn om de aan AISP's verleende toestemming te controleren en eenvoudig te beheren. Wat gaat er nu gebeuren? De PSD3- en PSR-voorstellen zorgen ervoor dat consumenten veilig en betrouwbaar elektronische betalingen en transacties kunnen blijven verrichten in heel Europa met alle valuta. Het doel is om een grotere keuze aan payment service providers te bieden en tegelijkertijd klanten te beschermen.  Bij Adyen werken we samen met toezichthouders en betaalnetwerken (zoals Visa, Mastercard en American Express) om ervoor te zorgen dat alles klaar staat voor PSD3. Op dit moment zijn er geen verdere acties nodig. We houden je op de hoogte van de laatste ontwikkelingen van de regelgeving via e-mail en systeemberichten in onze Customer Area.  Er is nog geen duidelijke timing voor de implementatie van PSD3 en PSR. Het Europees Parlement en de Europese Raad zullen de voorgestelde wijzigingen beoordelen. De definitieve versies zouden eind 2024 beschikbaar kunnen zijn. De lidstaten krijgen dan een overgangsperiode van 18 maanden, wat betekent dat PSD3 en PSR rond 2026 van kracht gaan. Wil je meer weten? Bezoek dan de officiële documenten hier. Lees hier meer over hoe je gemak en veiligheid in balans brengt door betere authenticatie.