PSD2
PSD2 (Payment Services Directive 2, Директива об услугах платежей 2) — это директива Европейского союза (ЕС) 2015/2366, регулирующая платежные услуги на территории Европейской экономической зоны (ЕЭЗ). Она вступила в силу 13 января 2018 года, заменив предыдущую директиву PSD (2007/64/EC). Основная цель PSD2 — повышение безопасности электронных платежей, стимулирование инноваций в сфере финансовых технологий (финтеха) и усиление защиты прав потребителей. Ключевым нововведением стало обязательное открытие банками доступа к данным счетов клиентов сторонним поставщикам платежных услуг (Third-Party Providers, TPP) с согласия самого клиента.
История и предпосылки создания
Развитие цифровых платежей и появление большого числа небанковских финансовых сервисов (например, PayPal, онлайн-кошельки) потребовали обновления правовой базы. Первая Директива о платежных услугах (PSD), принятая в 2007 году, установила единые правила для платежных операций в ЕС, но не охватывала стремительно развивающийся сегмент открытых банковских интерфейсов (API) и услуг, основанных на доступе к банковским данным.
После консультаций с участниками рынка и регуляторами Европейская комиссия в 2013 году предложила проект PSD2. Директива была принята Европейским парламентом и Советом ЕС в 2015 году. Государства-члены ЕС были обязаны имплементировать её положения в национальное законодательство к 13 января 2018 года. Однако из-за сложности внедрения технических стандартов (Regulatory Technical Standards, RTS) для аутентификации и безопасного обмена данными, окончательный срок полного вступления в силу был перенесен на 14 сентября 2019 года.
Ключевые положения и нововведения
Открытый банкинг (Open Banking)
Центральное нововведение PSD2 — концепция открытого банкинга. Банки (как держатели счетов) обязаны предоставлять сторонним поставщикам платежных услуг (TPP) доступ к платежным счетам клиентов через стандартизированные интерфейсы (API) при условии явного согласия клиента. Это позволяет TPP инициировать платежи со счета клиента (PISP) или собирать консолидированную информацию о счетах клиента в разных банках (AISP).
Типы сторонних поставщиков (TPP)
Директива вводит два основных типа регулируемых TPP:
- Платежные сервисы по инициированию платежа (Payment Initiation Service Provider, PISP): Сервис, который позволяет инициировать платеж со счета клиента в банке напрямую, без использования банковской карты или перехода в интернет-банк. Например, при оплате в онлайн-магазине PISP может списать деньги со счета покупателя и перевести продавцу.
- Сервисы по предоставлению информации о счете (Account Information Service Provider, AISP): Сервис, который собирает и консолидирует информацию о всех банковских счетах клиента в разных банках в одном интерфейсе (например, в приложении для управления личными финансами). AISP может видеть балансы, историю операций, но не может инициировать платежи.
Усиление аутентификации (SCA)
Для повышения безопасности онлайн-платежей PSD2 вводит обязательную строгую аутентификацию клиента (Strong Customer Authentication, SCA). SCA требует использования как минимум двух из трёх независимых факторов:
- Знание: Что-то, что знает только клиент (пароль, PIN-код).
- Владение: Что-то, чем владеет только клиент (телефон, токен, банковская карта).
- Свойство: Что-то, чем является клиент (биометрические данные: отпечаток пальца, сканирование лица).
SCA применяется при инициировании электронных платежей и при удаленном доступе к платежному счету. Исключения возможны для низкорисковых операций (например, небольшие суммы, платежи по подписке на фиксированную сумму).
Усиление защиты прав потребителей
Директива расширяет права потребителей:
- Право на возврат средств (refund): В случае несанкционированного платежа или ошибки, потребитель имеет право на полное возмещение от банка, если не докажет свою небрежность или мошенничество.
- Ограничение ответственности: В случае утери или кражи платежного инструмента (карты, телефона) ответственность клиента ограничена 50 евро (или эквивалентом в национальной валюте), если не доказана грубая небрежность.
- Прозрачность комиссий: Банки и TPP обязаны четко информировать клиента о всех комиссиях и сборах до совершения операции.
Технические стандарты и API
Для реализации PSD2 Европейское банковское управление (EBA) разработало Регуляторные технические стандарты (RTS). Они определяют:
- Требования к SCA и безопасной коммуникации.
- Стандарты интерфейсов API, которые должны предоставлять банки для TPP.
- Порядок аутентификации и авторизации TPP.
Большинство банков в ЕС перешли на использование открытых API (Open API), которые позволяют TPP получать доступ к данным счетов и инициировать платежи в стандартизированном и безопасном формате. API обычно соответствуют спецификациям, разработанным отраслевыми консорциумами, такими как Berlin Group, STET или UK Open Banking.
Влияние на финансовую индустрию
PSD2 оказала значительное влияние на финансовый сектор:
- Рост финтеха: Директива создала правовую основу для появления тысяч новых финтех-компаний, предлагающих услуги PISP и AISP. Это усилило конкуренцию с традиционными банками.
- Трансформация банков: Банки были вынуждены инвестировать в развитие API, цифровые платформы и партнерство с финтехами. Многие банки начали предоставлять собственные услуги на основе открытых данных.
- Повышение безопасности: Внедрение SCA снизило уровень мошенничества с онлайн-платежами, хотя и вызвало неудобства для пользователей (необходимость проходить двухфакторную аутентификацию).
- Изменение пользовательского опыта: Потребители получили возможность управлять финансами из единого приложения, видеть все счета в одном месте и быстрее совершать платежи.
Критика и ограничения
PSD2 не лишена критики:
- Сложность внедрения: Многие банки и TPP столкнулись с техническими сложностями при разработке и интеграции API, особенно в первые годы после вступления в силу.
- Проблемы с SCA: Требования SCA иногда приводили к отказам в проведении платежей (например, из-за несовместимости устройств) или к дополнительным шагам аутентификации, что ухудшало пользовательский опыт.
- Вопросы конфиденциальности: Передача данных счетов третьим сторонам (TPP) вызывает опасения по поводу безопасности и конфиденциальности персональных данных, несмотря на требования согласия клиента.
- Неравномерность имплементации: Разные страны ЕС имплементировали директиву с разной скоростью и с некоторыми национальными особенностями, что создавало фрагментацию рынка.
Перспективы и развитие
В 2023 году Европейская комиссия начала работу над PSD3 (третьей версией директивы), которая должна устранить недостатки PSD2, упростить регулирование, улучшить защиту потребителей и стимулировать дальнейшее развитие открытых финансов (Open Finance), включая доступ к данным по страхованию, инвестициям и другим финансовым продуктам. PSD3, как ожидается, будет принята в середине 2020-х годов.
Применение в России
Российская Федерация не является членом ЕС, поэтому PSD2 не имеет прямой юридической силы на её территории. Однако принципы открытого банкинга и усиленной аутентификации нашли отражение в российском законодательстве. В частности, с 2020 года в России действует закон о Системе быстрых платежей (СБП), который позволяет физическим лицам инициировать переводы и платежи по номеру телефона. Также Банк России разрабатывает концепцию открытых API (Open API) для финансового рынка, которая во многом основана на опыте PSD2. Внедрение строгой аутентификации (SCA) для онлайн-платежей в России регулируется нормативными актами ЦБ РФ, но не является прямой копией европейской директивы.
Источники
- Директива Европейского парламента и Совета ЕС 2015/2366 от 25 ноября 2015 года о платежных услугах на внутреннем рынке (PSD2).
- Регуляторные технические стандарты (RTS) по строгой аутентификации клиента и безопасной коммуникации (EBA).
- Материалы Европейского банковского управления (EBA) по имплементации PSD2.
- Публикации Банка России о развитии открытых API и Системы быстрых платежей.
- Аналитические отчеты консалтинговых компаний (McKinsey, Deloitte) о влиянии PSD2 на финансовую индустрию.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →