Zagreb, 9 listopad 2024

PSD3 (Direktiva o platnim uslugama 3) ─ što očekivati?

Kako će PSD3 (Direktiva o platnim uslugama 3) pomoći Europi da ostane ukorak sa stalnim izmjenama u industriji plaćanja?

Uoči finalizacije, usvajanja i implementacije PSD3 (Direktive o platnim uslugama 3), razgovaramo sa Željkom Perok iz Nexi Croatia. Željka nam daje uvid u to kako će PSD3 pomoći Europi da ostane ukorak sa stalnim izmjenama u industriji plaćanja.

Razgovor sa stručnjacima Nexi Croatia: Željka Perok

"PSD3 smatram sljedećim važnim korakom u evoluciji plaćanja. Razvoj financijskih tehnologija te e-commercea mora biti praćen adekvatnom regulativom – to je najbolji put prema plaćanjima koja su sigurnija, konkurentnija i ugodnija za potrošača.“

Što je PSD3 i što možemo očekivati?

PSD3, ili Direktiva o platnim uslugama 3, je nadolazeći paket odredbi za platnu industriju na području Europske unije. Cilj joj je nastaviti unaprjeđenja uvedena kroz PSD2 (Payment Service Directive 2, Direktivu finaliziranu u 2015.), te adresirati aktualne izazove i mogućnosti koje dolaze uz stalni razvoj i izmjene u procesima plaćanja. I PSD2 i PSD3 imaju za cilj modernizirati i poboljšati platne usluge u EU. Ciljevi su im jednaki, no nekoliko je ključnih razlika.

Djelokrug Direktive

PSD2 se prvenstveno usredotočio na plaćanja u maloprodaji, uzevši dakle u obzir online, kartična i mobilna plaćanja. PSD3 sad širi djelokrug obuhvaćajući širu paletu platnih usluga kao što su korporativna plaćanja, online plaćanja s posebnim naglaskom na e-commerce, te međunarodna (cross-border) plaćanja. Širi djelokrug rezultat je sve složenijih i raznolikijih platnih transakcija u današnje digitalno doba.

Zahtjevi za snažnu korisničku autentifikaciju

PSD2 je uveo zahtjeve za snažnu korisničku autentifikaciju (eng. Strong Customer Authentication ili SCA) tijekom online plaćanja radi veće sigurnosti od zlouporaba i cyber napada. PSD3 nastavlja taj proces daljnjim jačanjem zahtjeva vezanih uz SCA i uvođenjem novih autentifikacijskih metoda. Cilj izmjena je osigurati učinkovitost autentifikacije bez obzira na sve naprednije metode zlouporabitelja i taktike njihovih napada.

Pojačana sigurnost

PSD3 donosi razna poboljšanja sigurnosti elektroničkih plaćanja te smanjuje rizik od zlouporaba, primjerice uvođenjem prevencije spoofinga. Spoofing je vrsta cyber-napada u kojem se napadač pretvara da je neka druga osoba ili kompanija, pokušavajući tako zadobiti povjerenje osobe od koje želi oteti osjetljive podatke kao što su podaci o plaćanju ili vjerodajnice. PSD3 zahtijeva od pružatelja platnih usluga (PSPs) da uvedu dodatne sigurnosne mjere vezane za snažne autentifikacijske metode, autentifikacija procjenom rizika (risk-based authentication ili RBA) i autentifikacija otiskom prsta. 

Pored toga, od pružatelja platnih usluga očekuju se dodatne mjere kao što su:

  • Enkripcija platnih podataka: Platni podaci moraju biti enkriptirani tijekom cijelog platnog procesa, od iniciranja do autorizacije, kako bi se spriječilo presretanje i otuđivanje podataka
  • Maskiranje podataka: Platni podaci moraju biti maskirani uvijek ako to nije neophodno potrebno za autorizaciju transakcije
  • Upravljanje ranjivošću (vulnerability management): pružatelji platnih usluga moraju implementirati robusni program upravljanja ranjivošću kako bi identificirali i umanjili sigurnosne slabosti vlastitih sustava.

Pristup platnim podacima

PSD2 je regulirao ograničen pristup platnim podacima za pružatelje usluga pružanja informacija o računu (Account Information Service Providers ili AISPs), omogućivši tako korisnicima da dijele arhivu transakcija i ostale relevantne podatke s trećim stranama. PSD3 sad širi opseg tih podataka, što će omogućiti takvim pružateljima usluga širi raspon inovativnih financijskih usluga, primjerice alata za budžetiranje, financijskog savjetovanja ili alata za otkrivanje zlouporaba. PSD3 također želi osigurati pravo pružatelja platnih usluga (PSPs), onih koji nisu banke, dajući im pravo pristupa podacima o računu korisnika.

Cilj ove inicijative je rješavanje problema s kojim se suočavaju takvi pružatelji kojima banke odbijaju pristup podacima s računa. Ujednačujući tako pozicije pružatelja platnih usluga iz bankarskog sustava i onih koji to nisu, PSD3 bi trebao doprinijeti inovativnijim rješenjima, nižim cijenama i boljem korisničkom iskustvu.

Zaštita potrošačkih prava

PSD3 će uvesti poboljšanja u zaštiti potrošačkih prava u industriji plaćanja, s ciljem sigurnijih, transparentnijih i korektnijih postupaka plaćanja. Pružatelji platnih usluga (PSPs) će morati biti transparentniji u komuniciranju svojih naknada te uvjeta poslovanja. Na taj će način potrošači lakše uspoređivati proizvode i usluge uz smanjenu mogućnost da budu zavedeni opisom proizvoda ili da im se naplate preveliki iznosi.

Inovacija

PSD2 je potaknuo inovacije u maloprodajnim plaćanjima stvorivši konkurentnije i dinamičnije tržište plaćanja. PSD3 se sad snažno usredotočuje na inovacije u cijelom ekosustavu plaćanja kako bi ostala ukorak s trendovima i potrebama potrošača. To znači poticanje razvoja novih metoda plaćanja, primjerice otvorenog bankarstva i plaćanja u stvarnom vremenu, te usvajanje novih tehnologija kao što su umjetna inteligencija i blockchain. Tako će kroz poticanje inovativnosti i konkurentnosti industrija financijskih usluga stvoriti veći izbor i bolju vrijednost za korisnika.

Uvođenje PSD3 podrazumijeva neke ključne izmjene:

  • Nova Uredba o platnim uslugama (eng. Payment Services Regulation ili PSR): PSD3 i PSR će ažurirati pravila snažne korisničke autentifikacije s naglaskom na jasniju definiciju plaćanja koja su obuhvaćena tim pravilima
  • Opsežnije odredbe vezane uz snažnu korisničku autentifikaciju (SCA): po PSD3, svi pružatelji platnih usluga morat će implementirati SCA za sva plaćanja, neovisno o iznosu ili kanalu plaćanja. Izmjene će dodatno smanjiti mogućnost zlouporaba i tako povećati zaštitu potrošača
  • Stroža pravila vezano za pristup platnim sustavima i podacima s korisničkih računa: PSD3 će potrošačima osigurati veću kontrolu nad osobnim podacima i olakšati im prijelaz s jednog pružatelja platnih usluga na drugog

Učinak PSD3 na platnu industriju

Očekivanja od PSD3 su velika – očekujemo značajne promjene za pružatelje platnih usluga, ali i platnu industriju u cijelosti, uključujući:

  • Jačanje konkurentnosti: kroz mogućnost ovlaštenog pristupa podacima o računima, brojni pružatelji platnih usluga mogu ponuditi dodatne usluge, bolje i sofisticiranije od onih što ih banke omogućuju, primjerice bolje korisničko iskustvo za A2A (account-to-account), ili neke posve nove usluge
  • Sigurnija plaćanja: zahtjevi za sve snažnijom autentifikacijom bolja su zaštita protiv zlouporaba i prijevara, čineći plaćanja sigurnijim za korisnike
  • Mogućnost izbora i više kontrole za korisnike: PSD3 će ponuditi veću standardizaciju platnog procesa u svim europskim zemljama, s jačim zahtjevima za sukladnošću 

Što možemo učiniti danas?

Direktiva još uvijek nije finalizirana,  a završni prijedlog se očekuje do kraja 2024. Implementacija PSD3 će vjerojatno biti planirana u fazama tijekom trogodišnjeg razdoblja, a krajnji rok za usvajanje je 2027. godina.

No, sad je trenutak da se svi dionici platne industrije počnu pripremati za PSD3, počevši od revidiranja procesa autentifikacije i pripreme za usklađivanje s novim zahtjevima.

Pružatelji platnih usluga se trebaju pripremiti za uvođenje ostalih promjena iza PSD3, konkretno za nova pravila pristupa platnim sustavima i podacima o korisničkim računima.

I potrošači se mogu početi pripremati za implementaciju Direktive – važno je da razumiju svoja prava i načine zaštite osobnih podataka, ali i da se pripreme za potencijalno novo iskustvo plaćanja ako/kad se promijene zahtjevi za snažnu korisničku autentifikaciju.