Andra betaltjänstdirektivet eller PSD2 introducerade stora ändringar till hur betalningar fungerar för plattformar och marknadsplatser i Europa. Det ändrade även hur tredjepartsleverantörer av betalningar kan få åtkomst till bankkonton och hantera betalningar, samt införde stark kundautentisering (SCA) för att göra betalningar säkrare.
Europeiska kommissionen har nu reviderat det nuvarande regelverket och utfärdat förslag till betaltjänstdirektiv 3 och betaltjänstförordningen. De nya betalningsreglerna syftar till att säkerställa en större harmonisering av reglerna i hela EU, ytterligare utveckla lika villkor för betalleverantörer och införa förbättringar av kund- och bedrägeriskyddet.
Medan förhandlingar pågår mellan Europaparlamentet och EU:s medlemsstater, och fastän vi inte förväntar oss att de slutgiltiga reglerna kommer att träda i kraft före 2026, finns det vissa viktiga förändringar som plattformar och marknadsplatser (i synnerhet) bör vara medvetna om och kan börja förbereda sig för idag. Den här guiden ger en översikt över tillämpliga ändringar i syfte att hjälpa dig att förbereda dig för Europas nya betalningsregler.
Europeiska banktillsynsmyndigheten (EBA) kommer att få i uppdrag av Europeiska kommissionen att utfärda kompletterande tekniska standarder för tillsyn och fastställa detaljerade regler om viktiga delar av PSD3/PSR – såsom stark kundautentisering – för att hjälpa företag att genomföra dem.
Översikt: Vad ändras i PSD3?
|
Direkt tillämpliga regler i hela EU
|
Den nya betaltjänstförordningen innehåller de flesta av de redan befintliga reglerna enligt PSD2, inklusive regler om bedrägeri och ersättningsansvar, transparens, open banking och SCA. Dessa regler kommer dock nu att vara direkt tillämpliga i alla medlemsstater. Detta minskar EU-ländernas möjligheter att tolka reglerna på olika sätt, och innebär att betalningsreglerna kommer att tillämpas mer enhetligt i hela EU, vilket gör det lättare för företagen att tillämpa dem. |
|---|---|
|
Betalningsinstitut kan utfärda e-pengar
|
PSD3 slår samman de rättsliga ramarna som gäller för institut för elektroniska pengar och betalningsinstitut. I framtiden kommer institut för elektroniska pengar att licensieras som betalningsinstitut enligt PSD3. Betalningsinstitut kommer att kunna utfärda e-pengar och direktivet om digitala pengar (EMD2) kommer att upphävas. |
|
Ytterligare skärpning av undantaget för handelsombud
|
De nya reglerna skärper kraven ytterligare för plattformar och marknadsplatser som kan utnyttja undantaget för handelsombud, vilket begränsar under vilka omständigheter de kan utnyttja undantaget för betalningar. |
|
Åtgärder för att stärka open banking-betalningar
|
Nya riktmärken kommer att introduceras för att förbättra open banking-API:ernas prestanda och undanröja befintliga hinder som tredjepartsleverantörer har för att få tillgång till kundernas bankkonton. Detta förväntas förbättra funktionen och införandet av open banking. |
|
Ökat ersättningsansvar för bedrägerier
|
Betaltjänstleverantörer kommer att finnas ersättningsansvariga för bedrägerier i fler fall och vara skyldiga att vidta ytterligare åtgärder för att bekämpa bedrägerier (t.ex. utbilda kunder om bedrägeririsker eller dela relevant information med andra finansinstitut). |
|
Nya regler för SCA och transaktionsövervakning
|
Reglerna kring tillämpningen av SCA kommer att förtydligas (t.ex. när det gäller transaktioner som initieras av handlare och via postorder eller telefonbeställning). Nya tekniska tillsynsstandarder från Europeiska banktillsynsmyndigheten kommer sannolikt också att innebära förändringar i kraven på transaktionsövervakning och SCA-undantag. |
Hur kommer tredje betaltjänstdirektivet att påverka plattformar och marknadsplatser?
Betalningar för plattformar och marknadsplatser enligt nuvarande PSD2-regler
PSD-ramverket reglerar betalningar för plattformar och marknadsplatser. När en plattform exempelvis kommer i besittning eller kontroll av medel som en köpare är skyldig och betalar dem till säljaren anses plattformen tillhandahålla reglerade betaltjänster (t.ex. driva ett betalkonto, utföra betalningstransaktioner eller slutföra penningöverföringar). Det finns ett viktigt undantag från denna regel – undantaget för handelsombud – som många plattformar tidigare hade försökt förlita sig på för att undvika att inskaffa en licens.
I och med PSD2 skärptes undantaget för handelsombud så att det endast gäller i fall där en plattform eller marknadsplats agerar för antingen köparens eller betalningsmottagarens räkning, men inte båda. Om en plattform agerar för bådas räkning kan den bara undvika ett licenskrav om den inte innehar eller kontrollerar medel (dvs. förlitar sig på en licensierad betaltjänstleverantör). Syftet med detta var att minska kreditrisken för plattforms- och marknadsplatsföretag genom att begränsa hanteringen av förvärvade medel till en reglerad enhet som måste uppfylla lokala skyddskrav.
Undantaget för handelsombud gör det möjligt för parter att tillhandahålla betaltjänster utan licens i situationer där de agerar som handelsombud för en köpares eller betalningsmottagares räkning.
Strängare regler för plattformar och marknadsplatser i PSD3
PSD3 föreslår att kraven för plattformar och marknadsplatser som använder undantaget för handelsombud ska skärpas ytterligare. Till följd av detta kommer undantaget för handelsombud sannolikt endast att vara tillgängligt för plattformar och marknadsplatser under mycket begränsade omständigheter. Om du är en plattform eller ett företag som för närvarande förlitar dig på undantaget för handelsombud bör du noga överväga effekterna av PSD3.
I och med de nya reglerna införs ytterligare villkor som måste vara uppfyllda för att det kommersiella undantaget ska gälla: ombudet måste ha tillstånd av köparen eller betalningsmottagaren att förhandla/genomföra transaktioner för deras räkning och ge köparen eller betalningsmottagaren en tydlig marginal för att förhandla med ombudet. I ingressen till PSD3 upprepas att e-handelsplattformar som agerar som agenter för både enskilda köpare och säljare inte är kommersiella ombud och därför inte kan bedriva betaltjänstverksamhet utan licens.
PSD3 ger också Europeiska banktillsynsmyndigheten i uppdrag att utfärda särskilda riktlinjer som ger ytterligare klarhet och konvergens mellan EU:s medlemsstater, utöver en förteckning över användningsfall som omfattas av undantaget.
Så hjälper Stripe plattformar och marknadsplatser att möta de nya kraven
Stripe har alltid strävat efter att skapa produkter som minimerar regelbördan för våra användare. Vi tog bort bördan av PSD2 på plattformar genom att skapa Connect, som gör det möjligt för plattformar att använda en teknisk lösning för att isolera sig från de lagstadgade kraven. Connect erbjuder plattformar och marknadsplatser samma fördelar vad gäller PSD3, genom att förse dem med en betalningslösning som inte kräver att de skaffar en betalningslicens.
Genom att Stripe tillhandahåller den reglerade tjänsten kan plattformarna fokusera på det de är bäst på: bygga fantastiska marknadsplatser för sina användare. Över 4 000 plattformar med säljare över hela Europa har redan valt att förlita sig på Connect i stället för att behöva skaffa en egen betalningslicens eller tillhandahålla bevis på att de omfattas av undantag.
Plattformsbetalningar med Connect
Om du har frågor om Stripe Connect får du gärna kontakta oss.
Vilka är de nya reglerna för SCA?
SCA:s roll i bedrägeribekämpningen
Stark kundautentisering introducerades i Europa genom PSD2 för att minska bedrägerier och göra onlinebetalningar och kontaktlösa betalningar säkrare. SCA kräver autentisering genom tvåfaktorsautentisering. För mer information om SCA, se vår guide till stark kundautentisering.
EU-kommissionens utvärdering av PSD2 drog slutsatsen att SCA har varit framgångsrikt när det gäller att minska bedrägerier. PSD3/PSR syftar till att bygga vidare på och förbättra SCA genom att förtydliga viktiga definitioner, ytterligare specificera undantag för lågrisktransaktioner och fortsätta att balansera säkerhet med utvecklingen av användarvänliga, innovativa och tillgängliga betalningsmedel.
Vi anser att de nya reglerna ytterligare kan förbättra kundernas upplevelse när de betalar online. De ger mer klarhet för finansinstitut, kortbetalningsnätverk och betalleverantörer att tillämpa SCA-undantag för transaktioner med lägre risk eller för återkommande transaktioner. På längre sikt kan de nya reglerna också ge möjlighet till ytterligare undantag beroende på transaktionsrisken och i linje med tekniska förbättringar. Företag bör fortsätta att optimera sin SCA-motor enligt de nya reglerna för att få bästa möjliga autentiseringsresultat.
|
MIT
|
För transaktioner som initieras av handlaren (MIT) behöver SCA endast tillämpas när medgivandet upprättas, men inte för efterföljande transaktioner. En åtta veckors ovillkorlig återbetalningsrätt – liknande SEPA-autogiron – införs för MIT. |
|---|---|
|
MOTO
|
För MOTO-transaktioner (postorder/telefonbeställning) behöver endast initieringen av en betalningstransaktion vara icke-digital för att transaktionen ska undantas från SCA. |
|
Dynamisk länkning
|
Delar av SCA som dynamiskt kopplar transaktionen till ett visst belopp och en viss betalningsmottagare bör användas för elektroniska betalningstransaktioner där en betalning görs via betalarens enhet med hjälp av kontaktlös teknik (t.ex. närfältskommunikation eller NFC) och tillämpningen av SCA kräver användning av internet på betalarens enhet. |
|
Kontoinformationstjänster
|
För betaltjänstleverantörer som tillhandahåller kontoinformationstjänster inom ramen för open banking krävs SCA endast vid den första dataåtkomsten. SCA krävs dock när kunder får åtkomst till aggregerade kontodata via kontoinformationsleverantörens domän, minst var 180:e dag. |
|
Tokenisering
|
Tokenisering kräver tillämpning av SCA när kortinnehavaren är aktivt involverad i tokeniseringsprocessen (t.ex. när ett kort registreras eller ersätts i en plånbok eller liknande lösning). |
|
Transaktionsövervakning
|
Europeiska banktillsynsmyndigheten kommer att utfärda tekniska tillsynsstandarder för betaltjänstleverantörers användning av transaktionsövervakning, bland annat genom miljö- och beteendemässiga egenskaper (t.ex. kundens plats eller konsumtionsvanor). Detta ligger till grund för användningen av SCA-undantag för transaktioner som utgör en låg risknivå (dvs. undantag för transaktionsriskanalys). |
|---|---|
|
SCA-undantag
|
Europeiska banktillsynsmyndigheten har också i uppdrag att utarbeta ytterligare tekniska tillsynsstandarder för krav och undantag för SCA som vilar på en riskbaserad metod och användningen av teknik. |
|
Tvåfaktorsautentisering
|
De nya reglerna innebär att de faktorer som används för tvåfaktorsautentisering enligt SCA inte behöver tillhöra olika kategorier, så länge deras oberoende bevaras fullt ut. Detta kan göra det möjligt för kunder att autentisera med två lösenord eller fingeravtryck och ansikts-id. |
|
Tillgänglighet
|
Betaltjänstleverantörer måste erbjuda olika sätt att utföra SCA, till exempel via SMS, som inte är beroende av innehav av en smart enhet. |
|
Skyldighet för leverantörer av tekniska tjänster
|
Ansvaret vilar på leverantörer av tekniska tjänster och operatörer av betalningssystem i händelse av att tillämpningen av SCA inte stöds. Detta för att säkerställa ett ökat samarbete mellan alla aktörer som är involverade i utförandet av SCA. |
|---|---|
|
Outsourcing
|
Betaltjänstleverantörer som förlitar sig på leverantörer av tekniska tjänster för tillhandahållande och verifiering av SCA-komponenter måste ingå outsourcingavtal med dessa leverantörer. Europeiska banktillsynsmyndigheten kommer att fastställa krav för dessa outsourcingavtal. |
Ytterligare åtgärder för att förebygga bedrägerier och skydda konsumenterna
Utöver de uppdaterade SCA-kraven innebär de nya reglerna ytterligare åtgärder för att stärka konsumentskyddet och uppmuntra betaltjänstleverantörer att vidta ytterligare åtgärder för att förhindra bedrägerier. Det handlar bland annat om krav på att betaltjänstleverantörer ska utbilda sina kunder om bedrägeritrender, genomföra regelbundna interna utbildningsprogram, samarbeta med leverantörer av elektroniska kommunikationstjänster och dela information med andra finansinstitut. De ålägger också betaltjänstleverantörer att återbetala betaltjänstanvändare för bedrägliga transaktioner i händelse av bedrägeri med identitetsstöld.
Så hjälper Stripe dig att uppfylla SCA-kraven
Införandet av SCA i PSD2 hade stora konsekvenser för internethandeln i Europa. För att säkerställa en smidig övergång till de nya reglerna arbetade Stripe med berörda företag och partner för att implementera de nya kraven och hantera påverkan på konverteringsgraden. Detta inkluderade stöd för autentiseringsmetoder som 3D Secure 2 och utveckling av nya metoder för tvåfaktorsautentisering för att säkerställa en smidig autentiseringsupplevelse för företag och deras kunder.
Våra produkter, inklusive Stripe Checkout och Billing, bygger på vårt Payments-API som använder Stripe SCA-logik för att utlösa 3D Secure vid behov. Vår SCA-lösning inkluderar framgångsrik hantering av undantag som en nyckelkomponent för att bygga en förstklassig betalningsupplevelse som minimerar friktion samtidigt som den ger förstklassig säkerhet. Vi optimerar tillämpningen av SCA för olika tillsyns-, bank- och nätverksregler och tillämpar relevanta undantag – till exempel för lågriskbetalningar eller säkra företagsbetalningar – för att endast aktivera 3D Secure och/eller tillämpa tvåfaktorsautentisering när så krävs.
Autentiseringsflöde för stark kundautentisering
Stripes autentiseringsmotor utnyttjar också maskininlärningsmodeller som identifierar risker i realtid och gör det möjligt för företag att erbjuda sina kunder en förstklassig upplevelse samtidigt som SCA-efterlevnad säkerställs.
Vi fortsätter att bevaka kommande förändringar av SCA. Vår uppdaterade SCA-lösning kan hjälpa dig med tillämpningen av SCA och därmed öka konverteringsgraden och antalet lyckade autentiseringar samtidigt som vi säkerställer efterlevnad av SCA-reglerna och minimerar risken för bedrägerier. Läs mer om hur du kan öka dina intäkter med högre godkännandefrekvens med hjälp av Stripe.
Vad händer nu?
PSD3 och PSR innebär en betydande uppdatering av EU:s betalningsregler. Som förberedelse för de reviderade reglerna måste plattformar och marknadsplatser i tillämpliga fall se över användningen av undantag, t.ex. det kommersiella undantaget för handelsombud, eller fortsätta att förlita sig på reglerade betalleverantörer för att erbjuda betalningslösningar.
Mot bakgrund av PSD3/PSR och eventuella kommande EBA-riktlinjer måste företag även kontinuerligt se över kraven för stark kundautentisering. Betalleverantörer som har inbyggda SCA-uppdateringar i sin autentiseringsmotor kan hjälpa till med att optimera antalet betalningar som kräver SCA och maximera andelen lyckade tvåfaktorsautentiseringar samtidigt som bedrägerier minimeras.
Under 2024 och 2025 kommer EU-kommissionen, Europaparlamentet och EU:s medlemsländer att färdigställa de nya reglerna. PSD3 kommer därefter att behöva införlivas i nationell lagstiftning av EU:s medlemsstater. Fastän det i detta skede inte finns några tydliga tidsfrister för förhandlingarna och genomförandeperioden är det osannolikt att reglerna kommer att träda i kraft före 2026.
Stripe för diskussioner med relevanta beslutsfattare för att dela med oss av våra insikter om hur Europas framtida betalningsregler kan främja företag och deras kunder. Vi uppdaterar den här sidan när mer information blir tillgänglig.
Om du vill veta mer om hur Stripe kan hjälpa dig att förbereda dig för de reviderade reglerna, eller om du vill dela dina tankar är du välkommen att kontakta ditt Stripe-team eller skicka e-post till vårt PSD3-team på psd3@stripe.com.
För svar på vanliga användarfrågor om den rättsliga statusen för Stripe Connect i Europa, se denna sida.