У 2024 році європейський фінтех активно заговорив про третю версію директиви платіжних послуг – один з основних документів, яким Єврокомісія регулює діяльність платіжної сфери на території ЄС. Як і у випадку з іншими законодавчими ініціативами – наприклад, алгоритмом вимог цифрової стійкості DORA ,– дія подібних актів розповсюджується не тільки на бізнес країн ЄС, а й на іноземні компанії, які мають представництва у згаданих країнах. А PSD3 планує низку важливих змін: найголовніші з них я зібрав у цій колонці, про які розповім максимально детально.
Що взагалі таке Payment Service Directive?
Грубо кажучи, це «правила гри» на ринку платіжних послуг. В рамках кожної з версій директив описуються вимоги до учасників ринку, реалізація ними відповідних функцій, захисту та можливостей для мерчантів, отримувачів, посередників та кінцевого споживача.
PSD1 був презентований у далекому 2007 році і став першою спробою опису регуляції фінтеху, що робив перші кроки. Саме ця директива дозволила проводити низку фінансових послуг компаніям без банківської ліцензії.
А от актуальну версію платіжної директиви PSD2, презентовану в 2015 році та імплементовану в 2018-му, можна сміливо називати революційною. Її окремі пункти реалізовувалися до 2023-го – майже до моменту анонсу PSD3. Саме PSD2 активно лібералізувала досить консервативне платіжне законодавство ЄС: в рамках цього документа було запроваджено «відкритий банкінг». Нагадаю: згідно з цією концепцією, запроваджується відкритий API. Завдяки йому та низці вимог безпеки забезпечується структурований і безпечний обмін даними між надавачами платіжних послуг та технологічним оператором таких послуг. Такий принцип дуже спрощує розробку та запуск будь-якого фінтех-продукту і дав солідний поштовх до розвитку фінансових послуг (насамперед грошових переказів) при збереженні безпеки. По суті, PSD2 дозволила робити будь-який проєкт, якщо він:
- Не порушував вимоги чинного законодавства.
- Захищав дані клієнтів.
Однією з головних вимог безпеки було введення обов’язкової норми сек’юрності SCA (Strong Customer Authentication). По суті, це додаткова верифікація клієнта (нерідко біометрична), аби фінустанова переконалася, що платіж створюєте саме ви. Технічно це було реалізовано через 3D Secure 2.0 – всім знайомий алгоритм, коли замість одноразової СМС ви стали підтверджувати платіж у застосунку свого банку.
І все це спрацювало: згідно зі звітом Deloitte, на момент 2021 року кількість учасників ринку платіжних послуг в ЄС зросла на 33% порівняно зі стартом директиви. Непоганий буст, правда? В Україні дорожня карта PSD3 була прийнята з великим запізненням – у серпні 2023 року, однак це не заважало вітчизняному фінтеху розвивати окремі положення директиви, адаптуючи їх до реалій українського законодавства (той же 3D Secure 2.0).
Якщо все так добре, чому PSD3 анонсували?
Простою відповіддю буде те, що світ змінюється, а тому потрібно розвиватися. Більш складною буде те, що імплементація PSD2 не проходила однаково швидко та безболісно в різних країнах. PSD3 можна вважати не стільки новою революцією, скільки апгрейдом та систематизацією великих змін з минулої директиви, що покликані:
- Посилити безпеку транзакцій через реалізацію нового регламенту платіжних послуг (PSR).
- Спростити та уніфікувати комплаєнс-процедуру для бізнесів на території всіх країн ЄС.
Запуск всіх описаних нижче ініціатив не варто очікувати раніше 2026-2027 року, а от готуватися до них вже пора.
Головні тези PSD3
Лейтмотив PSD3 – оптимізація чинних операційних процедур. Нова директива наголошує на уніфікованій та більш спрощеній нормативній базі для psp, яка має бути послідовно впроваджена по всьому ЄС.
- Згадана раніше SCA має оптимізуватися (тепер можна використовувати і токен, і OTP SMS), враховувати потреби людей без смартфона, а також мати винятки для «безпечних» транзакцій (поновлення підписки, додавання картки у цифровий гаманець).
- Ліквідовується прогалина у статусі Commercial Agent Exemption. У нормативці PSD2 вона дозволяла деяким e-commerce платформам обійти вимоги ліцензування. PSD3 встановлює чітке правило: платформи, які діють як агенти, не можуть надавати платіжні послуги без ліцензії.
- Реалізуються більш надійні антифрод-інструменти (відтепер компанії мають надавати емітентам більше даних про клієнтів, наприклад про локацію, таймінг транзакції, девайс, на якому вона була здійснена, а також споживацькі звички, історію транзакцій, дані сеансу та IP-адресу пристрою).
- Просувається подальший розвиток банківських API у бік стандартизації та більшої прозорості. Доданий пункт про вимогу квартальної статистичної звітності доступності та продуктивності інтерфейсу, забезпечуючи вищий рівень прозорості.
- Стійкість: у випадку збоїв у роботі банку банки повинні дозволити постачальникам інформаційних послуг та постачальникам послуг ініціації платежу (AISP та PISP) використовувати їх інтерфейси.
Крім того, PSD3 надає платіжним установам і емітентам електронних грошей доступ до TARGET2 (платіжна система, до якої мали доступ лише банки). Це нові конкурентні переваги для фінтех-проєктів.
Що це змінює для мерчантів
Насправді не так вже й багато. Нові вимоги до безпеки та запуск нових ініціатив – це завжди додаткові витрати, а тому баки та psp будуть проводити як оптимізацію власних витрат, так і більший контроль за мерчантами у питаннях дотримання умов.
Чи вигідно це бізнесу? З одного боку – звісно ні, бо рано чи пізно буде порушене питання комісій та додаткових витрат на інтеграцію та підтримку платіжного рішення. Однак у перспективі від нової директиви виграють всі, адже подальша систематизація та якісний нагляд за платежами будуть стимулювати зростання якості сервісу для кінцевого клієнта.