Открыть сервис

PSD2

PSD2 (Payment Services Directive 2, Директива об услугах платежей 2) — это директива Европейского союза (ЕС) 2015/2366, регулирующая платежные услуги на территории Европейской экономической зоны (ЕЭЗ). Она вступила в силу 13 января 2018 года, заменив предыдущую директиву PSD (2007/64/EC). Основная цель PSD2 — повышение безопасности электронных платежей, стимулирование инноваций в сфере финансовых технологий (финтеха) и усиление защиты прав потребителей. Ключевым нововведением стало обязательное открытие банками доступа к данным счетов клиентов сторонним поставщикам платежных услуг (Third-Party Providers, TPP) с согласия самого клиента.

История и предпосылки создания

Развитие цифровых платежей и появление большого числа небанковских финансовых сервисов (например, PayPal, онлайн-кошельки) потребовали обновления правовой базы. Первая Директива о платежных услугах (PSD), принятая в 2007 году, установила единые правила для платежных операций в ЕС, но не охватывала стремительно развивающийся сегмент открытых банковских интерфейсов (API) и услуг, основанных на доступе к банковским данным.

После консультаций с участниками рынка и регуляторами Европейская комиссия в 2013 году предложила проект PSD2. Директива была принята Европейским парламентом и Советом ЕС в 2015 году. Государства-члены ЕС были обязаны имплементировать её положения в национальное законодательство к 13 января 2018 года. Однако из-за сложности внедрения технических стандартов (Regulatory Technical Standards, RTS) для аутентификации и безопасного обмена данными, окончательный срок полного вступления в силу был перенесен на 14 сентября 2019 года.

Ключевые положения и нововведения

Открытый банкинг (Open Banking)

Центральное нововведение PSD2 — концепция открытого банкинга. Банки (как держатели счетов) обязаны предоставлять сторонним поставщикам платежных услуг (TPP) доступ к платежным счетам клиентов через стандартизированные интерфейсы (API) при условии явного согласия клиента. Это позволяет TPP инициировать платежи со счета клиента (PISP) или собирать консолидированную информацию о счетах клиента в разных банках (AISP).

Типы сторонних поставщиков (TPP)

Директива вводит два основных типа регулируемых TPP:

  • Платежные сервисы по инициированию платежа (Payment Initiation Service Provider, PISP): Сервис, который позволяет инициировать платеж со счета клиента в банке напрямую, без использования банковской карты или перехода в интернет-банк. Например, при оплате в онлайн-магазине PISP может списать деньги со счета покупателя и перевести продавцу.
  • Сервисы по предоставлению информации о счете (Account Information Service Provider, AISP): Сервис, который собирает и консолидирует информацию о всех банковских счетах клиента в разных банках в одном интерфейсе (например, в приложении для управления личными финансами). AISP может видеть балансы, историю операций, но не может инициировать платежи.

Усиление аутентификации (SCA)

Для повышения безопасности онлайн-платежей PSD2 вводит обязательную строгую аутентификацию клиента (Strong Customer Authentication, SCA). SCA требует использования как минимум двух из трёх независимых факторов:

  1. Знание: Что-то, что знает только клиент (пароль, PIN-код).
  2. Владение: Что-то, чем владеет только клиент (телефон, токен, банковская карта).
  3. Свойство: Что-то, чем является клиент (биометрические данные: отпечаток пальца, сканирование лица).

SCA применяется при инициировании электронных платежей и при удаленном доступе к платежному счету. Исключения возможны для низкорисковых операций (например, небольшие суммы, платежи по подписке на фиксированную сумму).

Усиление защиты прав потребителей

Директива расширяет права потребителей:

  • Право на возврат средств (refund): В случае несанкционированного платежа или ошибки, потребитель имеет право на полное возмещение от банка, если не докажет свою небрежность или мошенничество.
  • Ограничение ответственности: В случае утери или кражи платежного инструмента (карты, телефона) ответственность клиента ограничена 50 евро (или эквивалентом в национальной валюте), если не доказана грубая небрежность.
  • Прозрачность комиссий: Банки и TPP обязаны четко информировать клиента о всех комиссиях и сборах до совершения операции.

Технические стандарты и API

Для реализации PSD2 Европейское банковское управление (EBA) разработало Регуляторные технические стандарты (RTS). Они определяют:

  • Требования к SCA и безопасной коммуникации.
  • Стандарты интерфейсов API, которые должны предоставлять банки для TPP.
  • Порядок аутентификации и авторизации TPP.

Большинство банков в ЕС перешли на использование открытых API (Open API), которые позволяют TPP получать доступ к данным счетов и инициировать платежи в стандартизированном и безопасном формате. API обычно соответствуют спецификациям, разработанным отраслевыми консорциумами, такими как Berlin Group, STET или UK Open Banking.

Влияние на финансовую индустрию

PSD2 оказала значительное влияние на финансовый сектор:

  • Рост финтеха: Директива создала правовую основу для появления тысяч новых финтех-компаний, предлагающих услуги PISP и AISP. Это усилило конкуренцию с традиционными банками.
  • Трансформация банков: Банки были вынуждены инвестировать в развитие API, цифровые платформы и партнерство с финтехами. Многие банки начали предоставлять собственные услуги на основе открытых данных.
  • Повышение безопасности: Внедрение SCA снизило уровень мошенничества с онлайн-платежами, хотя и вызвало неудобства для пользователей (необходимость проходить двухфакторную аутентификацию).
  • Изменение пользовательского опыта: Потребители получили возможность управлять финансами из единого приложения, видеть все счета в одном месте и быстрее совершать платежи.

Критика и ограничения

PSD2 не лишена критики:

  • Сложность внедрения: Многие банки и TPP столкнулись с техническими сложностями при разработке и интеграции API, особенно в первые годы после вступления в силу.
  • Проблемы с SCA: Требования SCA иногда приводили к отказам в проведении платежей (например, из-за несовместимости устройств) или к дополнительным шагам аутентификации, что ухудшало пользовательский опыт.
  • Вопросы конфиденциальности: Передача данных счетов третьим сторонам (TPP) вызывает опасения по поводу безопасности и конфиденциальности персональных данных, несмотря на требования согласия клиента.
  • Неравномерность имплементации: Разные страны ЕС имплементировали директиву с разной скоростью и с некоторыми национальными особенностями, что создавало фрагментацию рынка.

Перспективы и развитие

В 2023 году Европейская комиссия начала работу над PSD3 (третьей версией директивы), которая должна устранить недостатки PSD2, упростить регулирование, улучшить защиту потребителей и стимулировать дальнейшее развитие открытых финансов (Open Finance), включая доступ к данным по страхованию, инвестициям и другим финансовым продуктам. PSD3, как ожидается, будет принята в середине 2020-х годов.

Применение в России

Российская Федерация не является членом ЕС, поэтому PSD2 не имеет прямой юридической силы на её территории. Однако принципы открытого банкинга и усиленной аутентификации нашли отражение в российском законодательстве. В частности, с 2020 года в России действует закон о Системе быстрых платежей (СБП), который позволяет физическим лицам инициировать переводы и платежи по номеру телефона. Также Банк России разрабатывает концепцию открытых API (Open API) для финансового рынка, которая во многом основана на опыте PSD2. Внедрение строгой аутентификации (SCA) для онлайн-платежей в России регулируется нормативными актами ЦБ РФ, но не является прямой копией европейской директивы.

Источники

  • Директива Европейского парламента и Совета ЕС 2015/2366 от 25 ноября 2015 года о платежных услугах на внутреннем рынке (PSD2).
  • Регуляторные технические стандарты (RTS) по строгой аутентификации клиента и безопасной коммуникации (EBA).
  • Материалы Европейского банковского управления (EBA) по имплементации PSD2.
  • Публикации Банка России о развитии открытых API и Системы быстрых платежей.
  • Аналитические отчеты консалтинговых компаний (McKinsey, Deloitte) о влиянии PSD2 на финансовую индустрию.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →