De tweede Payment Services Directive of PSD2 introduceerde grote veranderingen in hoe betalingen werken voor platforms en marktplaatsen in Europa. PSD2 veranderde ook de manier waarop externe betaaldienstverleners met toestemming toegang kunnen krijgen tot bankrekeningen en betalingen kunnen afhandelen en Strong Customer Authentication (SCA) werd geïntroduceerd om betalingen veiliger te maken.
De Europese Commissie heeft nu het huidige kader herzien en voorstellen gedaan voor een derde Payment Services Directive 3 en Payment Services Regulation. De nieuwe betalingsregels moeten zorgen voor een grotere harmonisatie van de regels in de hele EU, een gelijk speelveld voor betaaldienstverleners verder ontwikkelen en verbeteringen in de bescherming van klanten tegen fraude introduceren.
Hoewel de onderhandelingen tussen het Europees Parlement en de EU-lidstaten nog gaande zijn en we niet verwachten dat de definitieve regels voor 2026 van kracht worden, is er een aantal belangrijke veranderingen waar (met name) platforms en marktplaatsen zich bewust van moeten zijn en waar ze zich nu al op kunnen voorbereiden. Deze gids geeft een overzicht van deze veranderingen, zodat je je goed kunt voorbereiden op de nieuwe Europese betalingsregels.
De Europese Bankautoriteit (EBA) moet van de Europese Commissie aanvullende technische regelgevingsnormen (RTS) uitvaardigen en gedetailleerde regels opstellen voor belangrijke elementen van de PSD3/PSR, zoals SCA (sterke cliëntauthenticatie), om bedrijven te helpen bij de implementatie.
Overzicht: wat verandert er met PSD3?
|
Direct toepasselijke regels in de hele EU
|
De nieuwe regelgeving voor betaaldiensten is grotendeels overgenomen van de regels die al bestonden onder PSD2, waaronder die over fraude en aansprakelijkheid, transparantie, Open Banking en SCA. Deze regels zijn nu echter direct toepasselijk in alle lidstaten. Dit verkleint de ruimte voor EU-lidstaten om de regels verschillend te interpreteren en betekent dat de betalingsregels in de hele EU op een meer uniforme manier zullen worden toegepast, waardoor de uitvoering gemakkelijker wordt voor bedrijven. |
|---|---|
|
Betalingsinstellingen kunnen elektronisch geld uitgeven
|
In PSD3 worden de wettelijke kaders voor instellingen voor elektronisch geld en betalingsinstellingen samengevoegd. In de toekomst zullen instellingen voor elektronisch geld een vergunning krijgen als betalingsinstellingen onder PSD3. Betalingsinstellingen mogen straks elektronisch geld uitgeven en de Richtlijn elektronisch geld (EMD2) wordt ingetrokken. |
|
Verdere aanscherping van de vrijstelling voor handelsagenten
|
De nieuwe regels scherpen de eisen voor platforms en marktplaatsen die gebruik kunnen maken van de vrijstelling voor handelsagenten verder aan en beperken de omstandigheden waarin ze gebruik kunnen maken van de vrijstelling voor betalingen. |
|
Maatregelen om betalingen via Open Banking te versterken
|
Er komen nieuwe benchmarks om de prestaties van Open Banking API's te verbeteren en om bestaande belemmeringen weg te nemen die externe aanbieders hebben om toegang te krijgen tot bankrekeningen van klanten. Verwacht wordt dat dit het functioneren en de invoering van Open Banking zal verbeteren. |
|
Uitbreiding van de aansprakelijkheid voor fraude
|
Betaaldienstverleners (PSP's) zullen vaker aansprakelijk worden gesteld voor fraude en worden verplicht extra maatregelen te nemen om fraude te bestrijden (bijvoorbeeld door klanten voor te lichten over frauderisico's of door relevante informatie te delen met andere financiële instellingen). |
|
Nieuwe regels voor SCA en transactiemonitoring
|
De regels omtrent de toepassing van SCA worden verduidelijkt (bijvoorbeeld in het geval van door verkopers geïnitieerde transacties en transacties voor bestellingen per post en telefoon). Nieuwe wettelijke technische standaarden van de Europese Bankautoriteit zullen waarschijnlijk ook leiden tot wijzigingen in de vereisten voor transactiemonitoring en SCA-vrijstellingen. |
Wat zijn de gevolgen van PSD3 voor platforms en marktplaatsen?
Betalingen voor platforms en marktplaatsen onder de huidige PSD2-regels
Het PSD-kader reguleert betalingen voor platforms en marktplaatsen. Wanneer een platform bijvoorbeeld in het bezit is van of controle heeft over geld dat een koper verschuldigd is en dit later vereffent met de verkoper, verricht het platform gereguleerde betaaldiensten (zoals het exploiteren van een betaalrekening, het uitvoeren van betaaltransacties of het overmaken van geld). Er is een belangrijke uitzondering op deze regel, de vrijstelling voor handelsagenten, waarop platforms zich in het verleden vaak probeerden te beroepen om geen vergunning te hoeven aanvragen.
Met PSD2 is de vrijstelling voor handelsagenten aangescherpt, zodat deze uitsluitend van toepassing is in gevallen waarin een platform of marktplaats alleen optreedt namens de betaler of de begunstigde, maar niet namens beide. Als een platform namens allebei handelt, kan het alleen een vergunningsplicht omzeilen wanneer het geen geld bezit of beheert (het is dus afhankelijk van een betaaldienstverlener met vergunning). Dit was bedoeld om het kredietrisico van platform- en marktplaatsondernemingen te verminderen door de afhandeling van verworven geld te beperken tot een gereguleerde entiteit die moet voldoen aan lokale beschermingsvereisten.
Met de vrijstelling voor handelsagenten kunnen partijen zonder vergunning betaaldiensten verlenen in situaties waarin zij optreden als handelsagent namens een betaler of begunstigde.
Strengere regels onder PSD3 voor platforms en marktplaatsen
PSD3 stelt voor om de vereisten voor platforms en marktplaatsen die gebruikmaken van de vrijstelling voor handelsagenten, verder aan te scherpen. Als gevolg hiervan zal de vrijstelling voor handelsagenten waarschijnlijk slechts in zeer beperkte omstandigheden beschikbaar zijn voor platforms en marktplaatsen. Platforms of ondernemingen die momenteel gebruikmaken van de vrijstelling voor handelsagenten, moeten zich goed voorbereiden op de impact van PSD3.
De nieuwe regels introduceren verdere voorwaarden waaraan moet worden voldaan om de commerciële vrijstelling van toepassing te laten zijn: de agent moet door de betaler of begunstigde worden gemachtigd om namens hem/haar te onderhandelen/transacties af te sluiten en de betaler of begunstigde moet een reële marge hebben om met de agent te onderhandelen. In de inleiding tot PSD3 wordt herhaald dat e-commerceplatforms die optreden als agenten namens zowel individuele kopers als verkopers, geen commerciële agenten zijn en daarom geen betaaldiensten kunnen verlenen zonder vergunning.
PSD3 geeft de Europese Bankautoriteit ook de opdracht om specifieke richtlijnen uit te vaardigen die verdere duidelijkheid en convergentie tussen de EU-lidstaten verschaffen, naast een lijst met toepassingen die onder de vrijstelling vallen.
Hoe Stripe platforms en marktplaatsen helpt om aan de nieuwe vereisten te voldoen
Stripe heeft er altijd naar gestreefd om producten te maken die de regelgevingsdruk voor onze gebruikers tot een minimum beperken. We hebben de last van PSD2 voor platforms weggenomen door Connect te ontwikkelen, waarmee platforms een technische oplossing kunnen gebruiken waarmee ze niet aan de wettelijke vereisten hoeven te voldoen. Connect biedt hetzelfde voordeel aan platforms en marktplaatsen onder PSD3 door hen een betaaloplossing te bieden waarvoor ze geen betaalvergunning hoeven aan te vragen.
Als Stripe de gereguleerde service levert, kunnen platforms zich richten op waar ze het beste in zijn: geweldige marktplaatsen opzetten voor hun gebruikers. Vele honderden platforms met verkopers in heel Europa maken al gebruik van Connect, zodat ze niet hun eigen betaalvergunningen hoeven aan te vragen of hoeven aan te tonen dat ze onder een vrijstelling vallen.
Platformbetalingen met Connect
Als je nog vragen hebt over Stripe Connect horen we graag van je.
Wat zijn de nieuwe regels voor SCA?
De rol van SCA in het tegengaan van fraude
SCA (sterke cliëntauthenticatie) is in Europa geïntroduceerd via PSD2 om fraude tegen te gaan en online en contactloze betalingen veiliger te maken. Via SCA is tweefactorauthenticatie vereist. Zie onze gids voor sterke cliëntauthenticatie voor meer informatie over SCA.
Uit de evaluatie van PSD2 door de Europese Commissie is gebleken dat SCA succesvol is geweest in het tegengaan van fraude. PSD3/PSR wil voortbouwen op SCA en het verbeteren door belangrijke definities te verduidelijken, vrijstellingen voor transacties met een laag risico nader te specificeren en een evenwicht te blijven zoeken tussen veiligheid en de ontwikkeling van gebruiksvriendelijke, innovatieve en toegankelijke betaalmiddelen.
Volgens ons kunnen de nieuwe regels de ervaring van klanten bij het online afrekenen verder verbeteren. Ze geven financiële instellingen, kaartnetwerken en betaaldienstverleners meer duidelijkheid om SCA-uitzonderingen toe te passen voor transacties met een lager risico of voor terugkerende transacties. Op langere termijn kunnen de nieuwe regels ook de mogelijkheid bieden voor verdere vrijstellingen, afhankelijk van het risico van een transactie en in lijn met verbeteringen in de technologie. Ondernemingen moeten hun SCA-engine blijven optimaliseren onder de nieuwe regels om de beste verificatieresultaten te krijgen.
|
MIT's
|
Voor door verkoper geïnitieerde transacties (MIT's) hoeft SCA alleen te worden toegepast bij het opstellen van het mandaat, maar niet bij daaropvolgende MIT's. Voor MIT's wordt een onvoorwaardelijk terugbetalingsrecht van acht weken ingevoerd, vergelijkbaar met automatische SEPA-incasso's. |
|---|---|
|
MOTO's
|
Voor transacties bij bestellingen per post en telefoon (MOTO) hoeft alleen het initiëren van een betalingstransactie niet-digitaal te zijn om die transactie vrij te stellen van SCA. |
|
Dynamische links
|
Elementen van SCA die de transactie dynamisch aan een specifiek bedrag en een specifieke begunstigde koppelen, moeten worden gebruikt voor elektronische betalingstransacties waarbij een betaling wordt gedaan via het apparaat van de betaler via nabijheidstechnologie (bijvoorbeeld Near Field Communication of NFC) en voor de toepassing van SCA internet moet worden gebruikt op het apparaat van de betaler. |
|
Diensten voor accountgegevens
|
Voor betaaldienstverleners die diensten voor accountgegevens leveren in het kader van Open Banking, is SCA alleen vereist bij de eerste toegang tot gegevens. SCA is echter vereist wanneer klanten toegang hebben tot verzamelde accountgegevens op het domein van de dienstverlener voor accountgegevens, ten minste elke 180 dagen. |
|
Tokenisatie
|
Voor tokenisatie moet SCA worden toegepast als de kaarthouder actief betrokken is bij het tokenisatieproces (bijvoorbeeld bij het registreren of vervangen van een kaart in een wallet of een oplossing voor opgeslagen kaarten). |
|
Transactiemonitoring
|
De Europese Bankautoriteit brengt wettelijke technische normen uit voor het gebruik van transactiemonitoring door betaaldienstverleners, onder andere via omgevings- en gedragskenmerken (zoals de locatie of bestedingsgewoonten van klanten). Dit ligt ten grondslag aan het gebruik van SCA-vrijstellingen voor transacties met een laag risiconiveau (dat wil zeggen, vrijstellingen voor de analyse van transactierisico's). |
|---|---|
|
SCA-vrijstellingen
|
De EBA is ook belast met het ontwikkelen van verdere wettelijke technische normen voor SCA-vereisten en -vrijstellingen, rekening houdend met een risicogebaseerde aanpak en het gebruik van technologie. |
|
Tweefactorauthenticatie
|
Volgens de nieuwe regels hoeven de factoren die voor tweefactorauthenticatie onder SCA worden gebruikt niet tot verschillende categorieën te behoren, zolang ze maar volledig onafhankelijk blijven. Zo kunnen klanten zich authenticeren met twee wachtwoorden, of met een fingerprint en gezichtsherkenning. |
|
Toegankelijkheid
|
Betaaldienstverleners moeten verschillende manieren aanbieden om SCA uit te voeren, zoals via sms, waarvoor de gebruiker geen slim apparaat hoeft te hebben. |
|
Aansprakelijkheid voor TSP's
|
Technische dienstverleners (TSP's) en exploitanten van betaalsystemen zijn aansprakelijk als ze de toepassing van SCA niet ondersteunen. Dit moet zorgen voor meer samenwerking tussen alle partijen die betrokken zijn bij de uitvoering van SCA. |
|---|---|
|
Uitbesteding
|
Betaaldienstverleners die afhankelijk zijn van TSP's voor de levering en verificatie van SCA-elementen moeten uitbestedingsovereenkomsten sluiten met deze TSP's. De EBA zal eisen stellen aan deze uitbestedingsovereenkomsten. |
Verdere maatregelen om fraude te voorkomen en consumenten te beschermen
Naast de bijgewerkte SCA-vereisten introduceren de nieuwe regels verdere maatregelen om de consumentenbescherming te versterken en betaaldienstverleners aan te moedigen extra maatregelen te nemen om fraude te voorkomen. Deze omvatten vereisten voor PSP's om klanten voor te lichten over fraudetrends, regelmatige interne trainingsprogramma's uit te voeren, samen te werken met aanbieders van elektronische communicatiediensten en informatie te delen met andere financiële instellingen. Ze verplichten PSP's ook om gebruikers van betaaldiensten terug te betalen voor frauduleuze transacties in geval van imitatiefraude.
Hoe Stripe u helpt te voldoen aan de SCA-vereisten
De introductie van SCA in PSD2 heeft de internethandel in Europa diepgaand beïnvloed. Om een soepele overgang naar de nieuwe regels te garanderen, werkte Stripe samen met ondernemingen en partners aan de implementatie van de nieuwe vereisten en het beheren van de impact op de conversiepercentages. Dit omvatte het ondersteunen van authenticatiemethoden zoals 3D Secure 2 en het ontwikkelen van nieuwe methoden voor tweefactorauthenticatie om een soepele authenticatie-ervaring voor ondernemingen en hun klanten te garanderen.
Onze producten, waaronder Stripe Checkout en Billing, zijn gebouwd op onze Payments API die de SCA-logica van Stripe gebruikt om 3D Secure te activeren wanneer dat nodig is. Onze SCA-oplossing omvat een succesvolle afhandeling van vrijstellingen als een belangrijk onderdeel voor het opbouwen van een eersteklas betaalervaring die wrijving minimaliseert en tegelijkertijd de beste beveiliging in zijn klasse biedt. We optimaliseren de toepassing van SCA voor verschillende regels van regelgevende instanties, banken en kaartnetwerken en passen relevante uitzonderingen toe, zoals betalingen met een laag risico of beveiligde zakelijke betalingen, zodat 3D Secure alleen wordt geactiveerd en/of tweefactorauthenticatie wordt toegepast wanneer dat nodig is.
SCA-authenticatieflow
De authenticatie-engine van Stripe maakt ook gebruik van machine-learning-modellen die risico's in realtime detecteren en waarmee ondernemingen hun klanten een eersteklas ervaring kunnen bieden en tegelijkertijd de naleving van SCA garanderen.
We zullen de komende wijzigingen in SCA blijven volgen. Onze bijgewerkte SCA-oplossing kan je helpen bij de toepassing van SCA en je helpen het aantal geslaagde authenticaties en de conversiepercentages te verhogen, terwijl je tegelijkertijd voldoet aan de SCA-regels en fraude tot een minimum beperkt. Meer informatie over hoe je je omzet kunt verhogen met hogere autorisatiepercentages door gebruik te maken van Stripe.
Wat is de volgende stap?
PSD3 en PSR zijn een belangrijke update van de Europese betalingsregels. Ter voorbereiding op de herziene regels zullen platforms en marktplaatsen het gebruik van vrijstellingen zoals de commerciële vrijstelling, indien van toepassing, moeten herzien of blijven vertrouwen op gereguleerde betaaldienstverleners om betalingsoplossingen aan te bieden.
Met het oog op PSD3/PSR en eventuele toekomstige EBA-richtlijnen zullen ondernemingen ook de vereisten voor SCA voortdurend moeten herzien. Betaaldienstverleners die SCA-updates in hun authenticatie-engine hebben ingebouwd, kunnen helpen bij het optimaliseren van het aantal betalingen waarvoor SCA nodig is en het maximaliseren van het succespercentage van tweefactorauthenticatie terwijl fraude wordt geminimaliseerd.
In de loop van 2024 en 2025 zullen de Europese Commissie, het Europees Parlement en de EU-lidstaten de laatste hand leggen aan de nieuwe regels. PSD3 moet vervolgens door de EU-lidstaten worden omgezet in nationale wetgeving. Hoewel er op dit moment geen duidelijke tijdlijnen zijn voor de onderhandelingen en de implementatieperiode, is het onwaarschijnlijk dat de regels vóór 2026 van kracht worden.
Stripe voert gesprekken met relevante beleidsmakers om onze inzichten te delen over hoe de toekomstige Europese betalingsregels het beste kunnen werken voor ondernemingen en hun klanten. We zullen deze pagina bijwerken zodra er meer informatie beschikbaar is.
Als je meer wilt weten over hoe Stripe je kan helpen bij de voorbereiding op de herziene regels of als je ideeën met ons wilt delen, neem dan contact op met uw Stripe-team of stuur een e-mail naar ons PSD3-team op psd3@stripe.com.
Zie deze pagina met veelgestelde vragen voor antwoorden op veelgestelde vragen van gebruikers over de wettelijke status van Stripe Connect in Europa.