Vad innebär det nya betaltjänstdirektivet PSD3?
Huvudsakliga förändringar jämfört med tidigare PSD2
Det andra betaltjänstdirektivet (PSD2) offentliggjordes den 23 december 2015. Tidsfristen för det nationella genomförandet av detta så kallade andra betaltjänstdirektiv var den 13 januari 2018.
Syftet med detta direktiv är att reglera ett bredare utbud av betaltjänster och samtidigt anpassa regleringen av betaltjänster till marknadsutvecklingen.
I Sverige har PSD2-direktivet införlivats i den nationella lagstiftningen främst genom lag (2010:751) om betaltjänster.
PDS2 utvidgade tillämpningsområdet för lagen om betaltjänster genom att betaltjänstleverantörer som levererar tjänster som tredje part (Third-Party Payment Service Providers, ”TPP”), även omfattas av reglering och tillsyn.
De nya betaltjänsteleverantörerna var:
Leverantörer av tjänster för betalningsinitiering (Payment Initiation Service Providers , ”PISP”)
Leverantörer av kontoinformationstjänster (Account Information Service Providers , ”AISP”)
Kontohavande banker måste tillåta dessa tredjepartsleverantörer att få tillgång till kundernas konton med deras uttryckliga samtycke. Leverantören av betalningsuppdragstjänster och leverantören av kontoinformationstjänster ska ha rätt att använda de förfaranden för stark autentisering, som den bank som innehar betalkontot tillhandahåller kunden.
Med PSD2 reglerades också utfärdandet av kortbaserade betalningsinstrument (Card Based Payment Instrument Issuer, ”CBPII”).
Nytt var också kravet på stark kundidentifiering för elektroniska betalningstransaktioner som internetbetalningar och tillgång till betalkonton online.
PSD3
Behovet av en lagstiftningsreform har åter aktualiserats mot bakgrund av en snabbt föränderlig verksamhetsmiljö. EU:s marknad för e-betalningar och volymen av e-betalningar har ökat betydligt sedan PSD2 trädde i kraft. Behovet av förändring drivs bland annat av den allt snabbare digitaliseringen av finanssektorn, utvidgningen och förtydligandet av dataskyddsreglerna och spridningen av kryptovalutor.
I maj 2022 offentliggjorde Europeiska kommissionen en fyra månader lång samrådsperiod för att bedöma behovet av ändringar i direktivet. Under denna period var syftet att bedöma om den nuvarande lagstiftningen fortfarande är lämplig och vad som behöver ändras mot bakgrund av den föränderliga miljön.
Den 28 juni 2023 presenterade EU-kommissionen förslag till ett tredje betaltjänstdirektiv (PSD3) och en ny betaltjänstförordning (Payment Services Regulation, ”PSR”), vars huvudsakliga syfte är att stärka den grund som lagts av de tidigare betaltjänstdirektiven. Större delen av PSD2 kommer att införlivas i PSR, vilket kommer att bidra till enhetliga regler i medlemsstaterna tack vare dess direkta tillämplighet.
PSD2 innebar krav på stark kundidentifiering och krav för bankerna att utföra ytterligare kontroller för att verifiera konsumenttransaktioner. Trots detta är användare av betaltjänster fortfarande utsatta för bedrägeririsker, och de förluster som orsakas av cyberbrottslighet är fortfarande stora.
Genom PSD3 och PSR strävar EU-kommissionen efter att stärka säkerheten mot nya hot, förbättra konsumentskyddet och öka konkurrensen inom elektroniska betalningar.
Huvudsakliga förändringarna i PSD3
Det tredje betaltjänstdirektivet (”PSD3”) kommer, precis som det tidigare direktivet, att innehålla bestämmelser om stark identifiering och öppna bankstandarder. Den nya förordningen syftar till att påskynda betalningar och förbättra säkerheten.
En viktig del av lagstiftningsreformen har varit Open Banking-funktionerna (”OBP”) som möjliggjorts genom PSD2. Detta avser metoder där banker delar finansiell information och tillgång till banktjänster med tredje part på grundval av kundernas samtycke, genom öppna gränssnitt, och där kunderna godkänner betalningar från sina bankkonton.
För konsumenterna innebär förändringarna bland annat att betalningsmottagarens konto ska bekräftas för varje SEPA-betalning som görs inom EES, att konsumenternas rättigheter och personuppgifter ska skyddas bättre och att kunderna ska kunna se alla medgivanden som de har lämnat. Reformerna kommer även att öka konkurrensen i den finansiella sektorn, vilket gör det möjligt att erbjuda nya och bättre produkter.
Ur bankernas perspektiv innebär reformerna bland annat att open banking ska stärkas och att nya banktjänster ska kunna erbjudas. PSD3 kommer också att innebära striktare skyldigheter för bankerna, till exempel när det gäller att utveckla tekniska lösningar och sanktioner. Reformerna kommer att ytterligare harmonisera nationella skillnader inom EU.
Den nya förordningen kan också leda till att undantag från PSD2 ändras, tas bort eller läggs till. Vidare kommer kapitaltäckningskraven för betalningsinstitut och utgivare av elektroniska pengar att förtydligas genom att harmonisera kapitalkraven för AISP:er och PISP:er och införa ytterligare kapitalkrav för utlånande betalningsinstitut.
PSD3 innebär också utvidgningar till nya oreglerade områden. Dessa omfattar betalningstransaktioner med kryptovalutor, "köp nu - betala senare"-tjänster och digitala plånbokstjänster.
PSD3 är en uppdaterad version av PSD2 och innehåller nya regler som ska göra onlinebetalningar och finansiella tjänster i EU mer effektiva och säkra, samtidigt som de främjar konkurrens och innovation. PSD3 stärker identifieringsskyldigheterna och tillgången till betalningssystem och kontoinformation. Ett av de viktigaste syftena med ändringarna är att skydda konsumenternas rättigheter och dataskydd.
PSD3 och PSR förväntas träda i kraft 2026.