Открыть сервис

Директива о платежных услугах

Директива о платежных услугах — это совокупность нормативных правовых актов Европейского союза, регулирующих предоставление платежных услуг на территории ЕС и Европейской экономической зоны (ЕЭЗ). Основной целью директив является создание единого рынка платежных услуг, повышение их безопасности, прозрачности и эффективности, а также защита прав потребителей и стимулирование конкуренции между участниками рынка, включая традиционные банки и небанковские организации (платежные учреждения, операторы электронных денег).

История и предпосылки принятия

До введения единого регулирования рынок платежных услуг в Европе был фрагментирован. Каждое государство-член ЕС устанавливало собственные требования к лицензированию, капиталу и отчетности для платежных организаций. Это создавало барьеры для трансграничной деятельности и препятствовало развитию инновационных платежных решений, таких как электронные кошельки, мобильные платежи и услуги по инициированию платежей.

Первым значимым шагом к унификации стало принятие Первой платежной директивы (PSD1) в 2007 году. Она установила базовые правила для платежных услуг, ввела понятие «платежного учреждения» как нового типа финансового посредника, не являющегося банком, и определила требования к прозрачности условий и информации о платежах. Однако PSD1 имела ряд недостатков: она не охватывала все виды платежных услуг (например, услуги по инициированию платежа и агрегации счетов), а также оставляла значительные различия в национальных имплементациях.

В ответ на развитие технологий (FinTech, открытые банковские интерфейсы) и рост популярности онлайн-торговли в 2015 году была принята Вторая платежная директива (PSD2), которая вступила в силу в большинстве стран ЕС с 13 января 2018 года. PSD2 стала основным действующим актом в этой сфере.

Ключевые положения PSD2

Сфера применения и определения

PSD2 распространяется на широкий круг платежных услуг, включая:

  • перевод денежных средств (в том числе кредитовые переводы и прямые дебеты);
  • операции с платежными картами;
  • выпуск и приобретение (эквайринг) платежных инструментов;
  • услуги по инициированию платежа (PISP — Payment Initiation Service Provider);
  • услуги по предоставлению информации о счете (AISP — Account Information Service Provider);
  • услуги, связанные с электронными деньгами (в части, не противоречащей Директиве об электронных деньгах).

Из сферы действия исключены операции, совершаемые наличными, чеками, векселями, а также платежи между профессиональными участниками рынка, не связанные с обслуживанием клиентов.

Новые типы поставщиков платежных услуг

PSD2 ввела две новые категории регулируемых организаций:

  1. Поставщики услуг по инициированию платежа (PISP) — компании, которые по поручению пользователя инициируют платеж с его банковского счета в пользу продавца, не имея доступа к самим средствам. Пользователь не покидает сайт продавца, а авторизуется через интерфейс PISP, который затем передает команду банку.
  2. Поставщики услуг по предоставлению информации о счете (AISP) — организации, которые с согласия пользователя агрегируют и отображают информацию о его счетах в разных банках в едином интерфейсе (например, в мобильном приложении для управления личными финансами).

Требования к безопасности и аутентификации

Одним из центральных элементов PSD2 является Сильная аутентификация клиента (SCA — Strong Customer Authentication). Она обязательна для большинства электронных платежей и действий, связанных с доступом к счету. SCA должна основываться на двух или более независимых факторах:

  • знание (например, PIN-код, пароль);
  • владение (например, мобильный телефон, карта);
  • неотъемлемая характеристика (например, отпечаток пальца, сканирование лица).

Исключения из SCA возможны для низкорисковых операций (например, бесконтактные платежи на небольшие суммы, регулярные платежи на фиксированную сумму в адрес одного получателя).

Открытые банковские интерфейсы (Open Banking)

PSD2 обязала банки предоставлять третьим сторонам (PISP и AISP) доступ к платежным счетам клиентов через стандартизированные программные интерфейсы (API) при условии получения явного согласия клиента. Это стало основой концепции Open Banking — открытой архитектуры, позволяющей финтех-компаниям создавать новые сервисы на основе банковских данных. Банки обязаны обеспечить равный уровень безопасности и надежности как для собственных интерфейсов, так и для сторонних.

Защита прав потребителей

PSD2 усилила ответственность поставщиков платежных услуг за несанкционированные операции. В случае утери или кражи платежного инструмента (например, карты) ответственность клиента ограничена суммой в 50 евро (если клиент не действовал с умыслом или грубой небрежностью). Если несанкционированная операция была проведена без использования SCA, поставщик услуг обязан немедленно возместить ущерб клиенту. Также введены строгие правила по возврату средств (chargeback) при прямых дебетах.

Влияние на рынок и критика

Положительные эффекты

  • Рост конкуренции: появление PISP и AISP снизило доминирование банков в сфере платежей, особенно в онлайн-торговле.
  • Инновации: стимулировало развитие финтех-стартапов, мобильных кошельков, сервисов управления финансами.
  • Удобство для потребителей: возможность совершать платежи без ввода данных карты, а также видеть все счета в одном приложении.
  • Повышение безопасности: внедрение SCA значительно снизило уровень мошенничества с платежными картами в интернете.

Критика и проблемы

  • Сложность имплементации: банки и финтех-компании столкнулись с техническими трудностями при разработке и тестировании API, а также с неоднозначностью требований к SCA (например, в случае с подписками и регулярными платежами).
  • Нагрузка на потребителей: требование SCA при каждом онлайн-платеже (даже на небольшие суммы) привело к временному росту числа отказов в транзакциях (false declines) и снижению конверсии в интернет-магазинах.
  • Неравенство регулирования: PSD2 не распространяется на платежные системы, не зарегистрированные в ЕС (например, некоторые криптовалютные сервисы), что создает неравные условия.
  • Вопросы конфиденциальности: передача данных о счетах третьим сторонам (AISP) вызвала опасения по поводу защиты персональных данных, несмотря на требования согласия клиента.

Связь с другими директивами ЕС

PSD2 тесно связана с рядом других актов европейского финансового права:

  • Директива об электронных деньгах (EMD2) — регулирует выпуск и обращение электронных денег, часто дополняя PSD2.
  • Общий регламент по защите данных (GDPR) — устанавливает правила обработки персональных данных, которые обязаны соблюдать все участники платежного рынка.
  • Директива о борьбе с отмыванием денег (AMLD) — предъявляет требования к идентификации клиентов (KYC) и мониторингу транзакций.

Будущее регулирования: PSD3 и PSR

В 2023 году Европейская комиссия предложила пакет мер по дальнейшему развитию платежного рынка, включающий Третью платежную директиву (PSD3) и Регламент о платежных услугах (PSR). Основные цели:

  • устранение оставшихся пробелов в регулировании (например, в сфере криптовалютных платежей и BNPL — «покупай сейчас, плати потом»);
  • усиление защиты потребителей от мошенничества, особенно в контексте социальной инженерии;
  • дальнейшее упрощение трансграничных платежей;
  • повышение конкуренции на рынке платежных карт (в частности, через регулирование межбанковских комиссий).

Ожидается, что PSD3 и PSR вступят в силу ориентировочно в 2025–2026 годах, заменив PSD2 в качестве основного акта.

Применение в России

Российская Федерация не является членом ЕС, поэтому директивы PSD1 и PSD2 не имеют прямой юридической силы на её территории. Однако их положения оказали значительное влияние на развитие российского платежного законодательства, в частности:

  • Федеральный закон «О национальной платежной системе» (№ 161-ФЗ) содержит нормы, аналогичные европейским, в части лицензирования небанковских кредитных организаций (НКО), требований к переводу денежных средств и защите прав потребителей.
  • Концепция Open Banking в России реализуется в рамках пилотного проекта Банка России по внедрению открытых API, начатого в 2021 году. Проект опирается на опыт PSD2, но адаптирован к российской специфике (включая требования к кибербезопасности и защите персональных данных).

Источники

  • Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market (PSD2).
  • Directive 2007/64/EC of the European Parliament and of the Council of 13 November 2007 on payment services in the internal market (PSD1).
  • European Banking Authority (EBA) — Guidelines on Strong Customer Authentication and Secure Communication.
  • Proposal for a Directive of the European Parliament and of the Council on payment services and electronic money services in the internal market (PSD3), 2023.
  • Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
  • Материалы Банка России по проекту «Открытые API» (2021–2024).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →