PSD2, Динамічне Зв’язування та Аутентифікатори FIDO
Оновлена Директива про платіжні послуги (PSD2) є суттєвим етапом еволюції у сфері регулювання платіжних послуг у Європі, оновлюючи оригінальну версію PSD від 2007 року. Ця директива має на меті створення більш інтегрованого ринку платіжних послуг у ЄС, підвищення рівня безпеки, захист прав споживачів та стимулювання інновацій шляхом відкриття банківської інфраструктури для третіх сторін. З моменту повного впровадження між 2018 і 2020 роками, PSD2 докорінно змінила спосіб взаємодії між фінансовими установами, постачальниками платіжних послуг та споживачами. У цій статті розглянуто основні компоненти PSD2, вимоги до її впровадження, заходи безпеки, вплив на різні зацікавлені сторони, а також виклики й можливості, які вона створює у мінливому ландшафті фінансових послуг.
Розуміння основних цілей та правової бази PSD2
PSD2 оновлює та вдосконалює правила ЄС, встановлені початковою Директивою про платіжні послуги, прийнятою у 2007 році. Вона набула чинності 12 січня 2016 року, а країни-члени ЄС мали час до 13 січня 2018 року для імплементації у національне законодавство. Директива адмініструється Європейською комісією та регулює платіжні послуги та постачальників платіжних послуг у межах Європейського Союзу та Європейської економічної зони.
Чотири основні цілі PSD2 чітко визначені: сприяти більш інтегрованому та ефективному ринку платіжних послуг у Європі; вирівнювати умови для постачальників платіжних послуг шляхом залучення нових гравців; зробити платежі безпечнішими та надійнішими; а також посилити захист європейських споживачів і бізнесу. Загалом, PSD2 підтримує інновації та конкуренцію у сфері роздрібних платежів, одночасно зміцнюючи захист транзакцій і персональних даних споживачів.
Правова база PSD2 включає два основних розділи. "Правила ринку" визначають, які типи організацій можуть надавати платіжні послуги, включаючи кредитні установи (банки), установи електронних грошей та нову категорію — "платіжні установи" зі своїми правилами пруденційного нагляду. "Правила ділової поведінки" встановлюють вимоги щодо прозорості для постачальників платіжних послуг, зокрема стосовно комісій, обмінних курсів, референцій транзакцій, максимального часу виконання, а також прав і обов’язків обох сторін — постачальників і користувачів.
PSD2 доповнюється нормативно-технічними стандартами, розробленими Європейським банківським органом у співпраці з ЄЦБ. Ці стандарти охоплюють надійну автентифікацію користувача, загальні та безпечні відкриті стандарти комунікації, звітність про інциденти, а також заходи з безпеки для операційних і кіберризиків. Усі ці елементи працюють разом, створюючи комплексну правову рамку для модернізації платіжних послуг по всій Європі.
Надійна автентифікація клієнта (SCA): Вимоги та впровадження
У центрі PSD2 — концепція Надійної автентифікації клієнта (SCA), захід безпеки, спрямований на зменшення шахрайства та підвищення рівня безпеки онлайн-платежів. SCA вимагає від постачальників платіжних послуг впровадження багатофакторної автентифікації для електронних платежів та доступу до облікових записів, що значно підвищує стандарти безпеки в європейському платіжному середовищі.
Згідно з директивою, автентифікація клієнта вважається "надійною", якщо вона базується на використанні двох або більше незалежних елементів із таких категорій: знання (щось, що знає тільки користувач, наприклад, пароль або PIN-код), володіння (щось, що має тільки користувач, наприклад, картка або пристрій для автентифікації), та властивості (щось, чим є користувач, наприклад, відбиток пальця або розпізнавання голосу). Ці елементи мають бути незалежними, тобто порушення одного елементу не має впливати на надійність інших.
Для дистанційних транзакцій, таких як онлайн-платежі, вимоги до безпеки йдуть ще далі, вимагаючи динамічного зв’язку із конкретною сумою транзакції та рахунком одержувача. Це забезпечує додатковий захист у випадках помилок або шахрайських атак. Найбільш поширеним підходом до підтвердження особи власника картки відповідно до вимог SCA є 3D Secure 2.0, що покращує досвід користувача, зменшуючи кількість додаткових кроків для автентифікації.
Однак існує кілька винятків із вимог SCA, що покликані знайти баланс між безпекою та зручністю. До них належать транзакції з низькою вартістю (менше €30), транзакції з низьким ризиком (на основі оцінки ризику в реальному часі), повторювані платежі однієї суми на користь одного одержувача, а також транзакції на користь довірених одержувачів, яких клієнт раніше додав до білого списку. Постачальники платіжних послуг можуть запитувати такі винятки при обробці платежів, але остаточне рішення приймає банк власника картки.
Відкрите банкінг середовище та треті сторони у межах PSD2
PSD2 відкриває ринок платіжних послуг ЄС для третіх сторін, вимагаючи від банків надання доступу до інформації про рахунки клієнтів та можливості ініціації платежів через відкриті інтерфейси прикладного програмування (API). Цей фундаментальний перехід від закритих банківських систем до відкритих започаткував нову конкурентну та інтегровану фінансову екосистему, часто звану "Відкритий банкінг".
Директива конкретно охоплює три типи послуг, що надаються третіми сторонами (TPP): послуги ініціювання платежів, послуги інформації про рахунки та інструменти для здійснення карткових платежів. Послуги ініціювання платежів допомагають споживачам здійснювати онлайн-платежі та одразу інформують продавців про початок транзакції, що дозволяє негайно надавати товари чи послуги. Послуги інформації про рахунки дають споживачам і бізнесу загальний огляд їх фінансового становища шляхом об’єднання інформації з різних рахунків. Інструменти карткових платежів дозволяють третім сторонам запитувати підтвердження наявності коштів у платіжного постачальника, який обслуговує рахунок.
PSD2 вимагає, щоб усі такі постачальники платіжних послуг третіх сторін були авторизовані та регульовані відповідними органами. Країни-члени повинні гарантувати, що постачальники платіжних послуг, які обслуговують рахунки (переважно банки), не блокують і не перешкоджають використанню цих сервісів. Вони можуть відмовити в доступі лише у випадку несанкціонованості третьої сторони або підозри у шахрайстві. Важливо, що для здійснення будь-якої транзакції вимагається явна згода платника.
Ця модель відкритого банкінгу надала фінтех-компаніям можливість впроваджувати інновації та пропонувати персоналізовані фінансові продукти й сервіси. Завдяки доступу до даних клієнтів і банківської інфраструктури через API, нові гравці можуть надавати об’єднані огляди фінансів, оптимізувати платіжні процеси та розробляти інноваційні інструменти фінансового управління, які раніше були неможливими в умовах закритої банківської системи.
Технічні вимоги та API: Інфраструктура, що лежить в основі PSD2
Інтерфейси прикладного програмування (API) є технологічною основою для реалізації вимог PSD2. Ці інтерфейси забезпечують безпечну комунікацію між банками та сторонніми постачальниками, дозволяючи обмінюватися фінансовими даними та платіжними інструкціями на основі згоди клієнта. Успішне впровадження PSD2 значною мірою залежить від розробки надійних, безпечних і стандартизованих API.
Відповідно до PSD2, банки та інші постачальники платіжних послуг, що обслуговують рахунки, зобов’язані надати щонайменше один спеціальний інтерфейс для доступу до відкритих банківських даних. Ці інтерфейси повинні відповідати конкретним вимогам щодо продуктивності та функціональності, щоб забезпечити стабільну та надійну роботу для сторонніх постачальників. Регуляторні технічні стандарти також вимагають створення "пісочниці" — середовища, в якому треті сторони можуть тестувати свої застосунки перед запуском у виробниче середовище.
Група Berlin Group, загальноєвропейська ініціатива з впровадження стандартів сумісності платіжних систем, розробила NextGenPSD2, відкритий, загальний та гармонізований європейський стандарт API, який дозволяє третім сторонам отримувати доступ до банківських рахунків відповідно до PSD2. Цей стандарт покликаний спростити для платіжних провайдерів отримання дозволу клієнта на доступ до його рахунків і ініціацію платежів. Багато банків впровадили цей стандарт, хоча й досі існує певна фрагментація у його реалізації в різних країнах.
Технічна інфраструктура також повинна підтримувати потужні заходи безпеки, включаючи шифрування конфіденційних даних, безпечну ідентифікацію сторін і захист від шахрайства та кіберзагроз. Для безпечної ідентифікації треті сторони повинні використовувати кваліфіковані сертифікати, визначені eIDAS, для автентифікації вебсайтів і електронні печатки для обміну інформацією між фінансовими учасниками. Ці сертифікати гарантують, що лише уповноважені організації можуть отримувати доступ до даних клієнтів і ініціювати платежі.
Захист прав споживачів через PSD2
Однією з головних цілей PSD2 є підвищення рівня захисту споживачів і їхніх прав у цифровому середовищі платежів. Директива містить низку положень, спрямованих на те, щоб надати клієнтам більший контроль над своїми фінансовими даними та забезпечити надійніший захист від шахрайства та несанкціонованих транзакцій.
У разі несанкціонованих транзакцій PSD2 передбачає негайне повернення коштів користувачу платіжних послуг. Клієнт не несе відповідальності, якщо він не мав змоги виявити втрату, що сталася внаслідок крадіжки або неправомірного використання платіжного інструменту, як-от витоку даних чи хакерських атак. В інших випадках, наприклад при втраті або крадіжці платіжного інструменту, як-от загублений гаманець, користувач може бути відповідальним максимум на суму €50, за умови, що він належно повідомив провайдера та не діяв недбало чи шахрайськи.
Директива також забороняє торговцям стягувати з клієнтів додаткову плату за використання певних способів оплати. Ця заборона застосовується, якщо і банк споживача, і постачальник платіжних послуг продавця знаходяться в межах Європейської економічної зони, а споживач використовує дебетову або кредитну картку, пряме дебетування або переказ. Навіть якщо заборона не діє, будь-яка нарахована плата не може перевищувати фактичні витрати продавця на приймання такого способу оплати.
PSD2 забезпечує клієнтам більшу прозорість і контроль над їхніми фінансовими даними. Перед тим як треті сторони отримають доступ до інформації про рахунок, клієнти повинні надати чітку згоду, і вони мають право відкликати цю згоду в будь-який час. Щоб допомогти користувачам керувати цими дозволами, постачальники платіжних послуг, які обслуговують рахунки, зобов’язані надати "панель керування", інтегровану в їхній інтерфейс, яка дозволяє контролювати, які треті сторони мають доступ до даних.
Вплив PSD2 на фінансові установи та їхні бізнес-моделі
PSD2 змусила традиційні банки переглянути свої позиції та бізнес-моделі на фоні зростаючої конкуренції та змін у споживчих очікуваннях. Зобов’язання надавати доступ до даних клієнтів і можливості ініціації платежів третім сторонам створило як виклики, так і нові можливості для усталених фінансових установ.
Одним із найбільших впливів є посилення тиску на ціноутворення та маржинальність. Технологічно гнучкі постачальники платіжних послуг, що мають автоматизований доступ до рахунків клієнтів, посилюють конкуренцію, особливо у сфері переказів з рахунку на рахунок, які можуть загрожувати традиційному бізнесу з випуску та обслуговування платіжних карток. На великих ринках Європи такі рішення можуть поставити під загрозу від €50 до €100 мільйонів доходів банків.
Банки опинилися перед стратегічним вибором: стати комунальними провайдерами стандартизованих банківських послуг з мінімальною взаємодією з клієнтами або скористатися можливістю перетворитися на інноваційних цифрових провайдерів послуг, використовуючи наявні відносини з клієнтами, довіру та великі обсяги даних для створення нових ціннісних пропозицій. Багато банків обрали другий варіант, розглядаючи відповідність PSD2 як частину ширшої цифрової трансформації.
Найпрогресивніші установи розробляють нові бізнес-моделі, які використовують можливості відкритого банкінгу. Серед них — створення порталів API, що дозволяють третім сторонам створювати сервіси на основі інфраструктури банку; розробка сервісів агрегації рахунків, які надають клієнтам зведену інформацію про фінанси з різних джерел; та побудова екосистем фінансових і нефінансових послуг, що охоплюють ширший спектр потреб клієнтів. Наприклад, деякі банки вже запустили платформи, які поєднують власні продукти з послугами фінтех-партнерів, створюючи повноцінний фінансовий сервіс.
Графік впровадження PSD2 та ключові етапи
Впровадження PSD2 було поетапним процесом, який тривав кілька років і включав низку ключових етапів. Розуміння цього графіка допомагає усвідомити еволюцію регулювання платіжних послуг у Європі.
Початок бере з першої Директиви про платіжні послуги (PSD), яка набула чинності у 2007 році. Вона була спрямована на створення єдиного ринку платежів у межах ЄС та регулювання платіжних послуг. Проте з розвитком цифрових технологій, особливо масового використання смартфонів і онлайн-покупок, виникла потреба в оновленні законодавчої бази.
У липні 2013 року Європейська комісія представила пропозицію щодо другої Директиви про платіжні послуги (PSD2), щоб усунути недоліки попередньої версії та врахувати нові технології й способи оплати. 25 листопада 2015 року Європейський парламент прийняв директиву, яка набула чинності 12 січня 2016 року.
Країни-члени ЄС мали час до 13 січня 2018 року для імплементації PSD2 у національне законодавство — це став перший етап практичного впровадження. Найважливіші ж технічні стандарти — особливо щодо сильної автентифікації клієнта та безпечної комунікації — були опубліковані пізніше, 13 березня 2018 року, в Офіційному журналі ЄС.
Ці регуляторні технічні стандарти набули чинності з 14 вересня 2019 року, створивши перехідний період, протягом якого платіжні провайдери могли працювати відповідно до PSD2, але ще не зобов’язані були впроваджувати всі заходи безпеки. Через складнощі з впровадженням Європейський банківський орган дозволив продовжити дедлайн для сильної автентифікації клієнта до 31 грудня 2020 року.
Упродовж усього цього періоду банки та треті сторони працювали над створенням необхідної технічної інфраструктури, зокрема API, для безпечного обміну даними та ініціації платежів. До 14 березня 2019 року всі фінансові установи, які пропонують API-рішення, мали забезпечити їхню доступність для зовнішнього тестування третіми сторонами — це стало ще однією важливою віхою у впровадженні PSD2.
Виклики, можливості та майбутня еволюція регулювання платіжних послуг
Хоч PSD2 і запровадила суттєві інновації у платіжному середовищі Європи, її впровадження не обійшлося без труднощів. Фінансові установи зіткнулися зі значними технічними викликами у створенні безпечних та ефективних API, що відповідають регуляторним вимогам. Багатьом банкам довелося оновлювати застарілі системи та інвестувати в нову цифрову інфраструктуру, що спричинило додаткові витрати. Особливо складною виявилась реалізація сильної автентифікації без шкоди для зручності користувача, адже зростали ризики залишення кошика в інтернет-магазинах.
Незважаючи на ці труднощі, PSD2 створила значні можливості для інновацій у фінансовому секторі. Фінтех-компанії використали відкритий банкінг для розробки нових сервісів, що надають споживачам більший контроль над власними фінансами — від інструментів управління персональними фінансами до спрощених методів оплати. Для бізнесу, особливо малого та середнього, PSD2 відкрила нові можливості для управління грошовими потоками, доступу до кількох рахунків і оптимізації платіжних процесів.
У майбутньому розвиток регулювання платіжних послуг, ймовірно, ґрунтуватиметься на основі, закладеній PSD2. Європейська комісія вже оголосила про плани розробки PSD3, яка оновить і модернізує чинну директиву. Очікується, що нова версія посилить захист від шахрайства, покращить комунікацію зі споживачами та вдосконалить механізми відкритого банкінгу.
Це матиме також глобальний вплив, оскільки регулятори в інших країнах, таких як Австралія, Бразилія та Сінгапур, уже впровадили або розробляють подібні до PSD2 рамки відкритого банкінгу. Це свідчить про глобальну тенденцію до уніфікації платіжних систем і потенційне створення єдиного кроскордонного середовища для платежів у майбутньому.
Зі стрімким розвитком технологій, таких як блокчейн, штучний інтелект і цифрові валюти, регулювання платіжних послуг також має адаптуватися. Європейська комісія вже досліджує концепцію цифрового євро та пов’язані з цим регулювання, що свідчить про постійну еволюцію законодавчого середовища в напрямку забезпечення безпеки, конкуренції та захисту споживачів.
