A guide to PSD3 compliance: what businesses need to know

It might sound like the third instalment of a popular movie series. But, the 3rd Payment Services Directive (PSD3) is the latest EU regulation to modernise and streamline electronic payments by building on the foundation originally laid down by PSD2.

PSD3 is going to mandate some key changes in the European payments industry, particularly in open banking over the next three years. In this blog, we'll look at how they are going to impact your business operations.

What are the Payment Services Directive 3 (PSD3) and the Payment Services Regulation (PSR)?

The evolution of the 2nd Payments Directive, or PSD2, has resulted in two components: PSD3 and the PSR. Whilst actual enforcement of PSD3/PSR is not expected to take effect before 2027, there are steps that you should take now to prepare.

But firstly, what are PSD3 and the PSR?

PSD3

Introduced in June 2023, PSD3 is an EU directive that applies to banks and Payment Service Providers (PSPs), including electronic money institutions (EMIs), payment institutions (PIs), and payment initiation service providers (PISPs), operating within the EU and EEA. Additionally, non-bank PSPs will also be required to comply with the directive, as it aims to improve their access to payment systems and bank accounts.

The directive also includes third-party service providers under its scope, emphasizing their role in combating payment fraud and enhancing access to innovative financial services. This inclusion under PSD3 seeks to foster competition by allowing these non-bank entities equal access to payment systems.

It is aimed at improving consumer protection, boosting market competition, and strengthening payment security within the EU. This will be achieved by improving open banking accessibility and adoption, clarifying rules for PSPs, and increasing transparency in cross-border payments and financial data access.

PSR

In the context of PSD3, the PSR is separate but closely aligned payment services regulation that sets out the specific rules and standards for how PSPs must operate within the EU.

The PSR empowers them to share fraud-related information, improve competition between banks and non-banks, and facilitate more innovative financial services through open banking, ultimately enhancing consumer protection and user experience.

Its key objective is to enhance consumer protection regarding payments, data and security, combat fraud and promote open banking by further closing the gap between traditional banks and non-bank PSPs.

PSD3 vs PSR

PSD3 is a directive focused on licensing and supervision, meaning it must be enacted within each EU member state’s local law before it can be enforced.

In contrast, the PSR introduces the requirements for security, Strong Customer Authentication (SCA), and PSP responsibilities. It doesn’t need to be enacted within local law.

Additionally, PSD3 and PSR address open banking services differently, with PSD3 facilitating secure financial data sharing between banks and payment service providers, thereby increasing electronic payment options and addressing new types of fraud.

Whilst both PSD3/PSR apply in Europe, it is also important for informing future U.S. regulatory approaches.

What is PSD3 and why is it needed?

The Payment Services Directive 3 (PSD3) is a regulatory framework aimed at enhancing the security, efficiency, and innovation of payment services within the European Economic Area (EEA). PSD3 is needed to address the evolving needs of the payment industry, including the rise of new payment technologies and increased competition. It also ensures ongoing consumer protection and data security to help build confidence in new payment services.

The European Commission proposed PSD3 in June 2023 to update the existing Payment Services Directive (PSD2) and introduce a new Payment Services Regulation (PSR). PSD3 aims to create a more integrated, efficient, and secure payments ecosystem, promoting financial inclusion, competition, innovation, and stability.

What is the difference between PSD2 and PSD3?

PSD2 came into force on January 13, 2018, and set out requirements for PSPs. It was an update to the original Payment Services Directive (PSD), which was adopted in 2007.

It revolutionized the financial services industry facilitating innovation and increasing efficiency in payment processing. PSD2 directly addressed the explosive growth of fintechs, in answer to the monopoly of legacy banking institutions.

PSD2 mandated that banks must allow access to customer data via APIs (Application Programming Interfaces) when requested by Third Party Providers (TPPs) following the customer's consent.

PSD2 also introduced opening banking to the EU and established Strong Customer Authentication to beef up security measures for electronic payments.

However, with the rapid evolution of payments, particularly during the COVID-19 pandemic, areas for the improvement and expansion of PSD2 became apparent to achieve a level playing field for PSPs.

Welcome PSD3! The primary goal of PSD3 is to clear up any inconsistencies and remove boundaries to avoid silos. Whilst it follows the themes of the previous directives it goes much further to implement SCA rules, open banking integration and enhanced security measures.

PSD2からPSD3への主な変更点は？

では、新指令から予想される最も重要な変更点とは何だろうか？

1.消費者保護の強化

オープン・バンキングの顧客導入が妨げられているのは、信頼の欠如と消費者保護が不十分であるためだと多くの人が考えている。消費者は、自分たちのデータのより一層の管理と透明性を求めている。

アメリカン・エキスプレスの調査によると、英国の消費者の41%は、銀行振込による支払いがより安全だと思えば、銀行振込による支払いを利用すると回答している。これについては、当社のホワイトペーパー「Reaching the tipping point.オープンバンキング決済の可能性を実現するには。

そのため、PSD3では、消費者の権利と個人情報の保護に一層重点を置き、オンライン決済の信頼性を向上させ、ひいてはオープン・バンキングの普及を促すことになる。

2.より広範なSCAルール

欧州委員会によるPSD2の評価では、SCAが不正行為の削減に有効であることが確認された。その結果、PSD3/PSRでは、SCAを以下のように強化・改良することを目指している：

本質的な定義を明確にすることによって。

より低リスクの取引に対する更なる適用除外を概説する。

安全性と、ユーザーフレンドリーで革新的かつ利用しやすい決済ソリューションの導入とのバランスを維持する。

PSD3はまた、決済取引のセキュリティを強化するためにSCA規制を拡大し、決済システムの口座データへのアクセスに関する要件を厳格化することで、保護措置を強化している。PSRの導入も同様に、消費者保護を直接的に改善することを目的としている。

しかし、慎重に管理しなければ、こうした措置がコンバージョン率を低下させる可能性がある。企業は、決済プロバイダーと緊密に連携し、認証が必要な場合にのみ実行され、全体的なユーザーエクスペリエンスが最大化されるようにする必要がある。

払い戻しに対するSCAの適用については、現在も活発な議論が行われている。一つの見解は、加盟店主導の払い戻しは、加盟店が支払人である別個の支払取引であり、したがってSCAが必要であるというものである。

しかし、加盟店の立場からすれば、ただでさえ時間のかかる支払い処理に好ましくない摩擦が加わるだけで、顧客満足度を損なう可能性がある。

3.APIとエクスペリエンスの改善

今回の変更案は、欧州委員会がオープン・バンキングが直面している現実的な課題とその解決策を理解していることを示している。  

PSD3は、APIを改善し、オープン・バンキング機能の最低要件を定めることで、競争条件をさらに公平化することに重点を置いている。PSD3のこの側面は消費者に焦点を当てたものであり、顧客体験を向上させ、銀行送金やリアルタイム決済の導入を促すものである。

最終的には、リアルタイム決済がカードスキームに代わる信頼できる選択肢となることを後押しする。

2024年初め、欧州理事会は、EUおよびEEA諸国の消費者および企業がユーロでの即時決済を完全に利用できるようにする規則を採択した。

インスタント・ペイメント規制により、営業時間外を含め、いつでも10秒以内に送金できるようになる。これは、同一国内だけでなく、EU加盟国間の送金も可能になる。  

4.包括性の強化

最後に、PSD3 は、高齢者、障害者、およびデジタル・スキルのない個人の認証方法を考慮し、より包括的であることを目指している。同指令は、PSPに対し、これらの層へのアクセスを作成し、普遍的なSCA方法を確保することを求めている。  

その中心は、スマートフォンだけに頼らない認証方法を提供することだ。  

PSD3の実施スケジュールは？

この新指令の正式な採択は2025年前半になると予想されている。

その後、加盟国には1年半の移行期間が設けられると予想されており、2027年前後にPSD3が実施される可能性がある。  

PSD3は加盟店にどのような影響を与えるのか？

電子決済が急増し、新たなオープンバンキング・サービス・プロバイダーが市場に参入した後、PSD2はEUの決済サービスに重要な付加価値を与えるものと見なされた。現在、PSD3は、カード決済、インターネット決済、モバイル決済において、既存事業者と新規事業者の間に公平な競争条件を設けることを目的としている。

PSD3は銀行サービスの進化にも対応しており、第三者プロバイダーに関連する詐欺リスクを軽減するためのセキュリティ対策に準拠する必要性を強調している。

PSD3 は消費者を対象としており、消費者の権利と個人情報を保護することを目的としている。加盟店は、認証のためにエクスペリエンスが犠牲になることを懸念しているが、それは必ずしも、ビジネスの収益性が犠牲になることを意味するものではない。

いずれにせよ、PSD3の実施要件と影響は、オンライン加盟店や業界のその他の主要プレーヤーに及ぶだろう。

不正は減少したが、誤った辞退が増える可能性がある

EU PSRは、クレジット送金の受取人詳細の確認など、支払詐欺の防止・削減を目的とした一連の措置を導入している。関連する詳細が一致しない場合、支払人のPSPは、支払いを確定する前に、支払人にそのような不一致を通知しなければならない。

一方、企業はより多くのデータを発行者と共有する必要があり、環境や行動の特性を監視できるようになる。これには、ユーザーの位置情報、取引時間、使用デバイス、消費習慣、取引履歴、セッションデータ、デバイスIPなどが含まれる。その結果、どの取引を承認し、どの取引を拒否するかをより適切に判断することで、承認率を高めることができる。

このような変化は加盟店にとって有益である一方、注意深く管理しなければ、多くの加盟店はより多くの誤認辞退を経験する可能性がある。加盟店は、誤認辞退を不正防止に固有のコストとして分類することが多く、これが一般的に最大の関心事となっている。しかし、いくつかの微妙な支払い最適化ルールを適用することで、その影響を相殺することができるはずです。

不正防止はコストと評判の両面から重要であるが、当社の最新の調査によると、加盟店は誤った辞退によって失われるドルと比較して、不正防止を過大評価している可能性がある。

収益性を最大化するために、加盟店は、その結果生じる可能性のある売上増の貢献利益率（つまり、製品を生産するのにかかる変動費を差し引いた後に残る収益）に基づいて、支払いの最適化を決定することができる。

支払いの最適化については、ホワイトペーパー「Accelerating Revenue Growth」をご覧ください。

よりシームレスな定期支払いとサブスクリプション

PSD3では、より厳格なSCAが追加される一方で、特定のビジネスにとってメリットのある適用除外もある。定期購入のような商人主導の取引（MIT）は、現在SCAの対象外となっている。最初の取引のみがSCAを必要とする。

同時に、カードによる通信販売や電話注文（MOTO取引）は、SCAによる認証が不要となる。この免除は、旅行業界などの加盟店に大きな利益をもたらす。

選択肢と公正な価格設定の促進

PSD3は、決済業界におけるイノベーションを促すと期待されている。これにより、新たな決済サービスやビジネスモデルが開発される可能性があり、競争が激化し、決済の選択肢が増えることで、加盟店にメリットがもたらされる可能性がある。

選択肢が増えるということは、加盟店にとっては、手数料や利用可能な価格モデルに関して、競争が激化することを意味する。

SCAの責任転換で協力体制を強化

最終的には、SCAの変更は、より安全な購買体験と、より良い取引監視のためのデータ共有の強化に貢献するだろう。

新しい提案では、スキーム、技術サービスプロバイダー（ウォレットプロバイダーなど）、ペイメントゲートウェイがSCAの適用に失敗した場合、詐欺の責任を負うことが示唆されている。これは、SCAの実施に関与するすべてのプレーヤー間の協力関係を強化するためである。

新たなSCAルールは、決済時点における顧客の体験を改善する可能性が高い。金融機関、カードネットワーク、ペイメントプロバイダーが、リスクの低い取引や定期的な取引にSCAの適用除外を適用することがより明確になる。

PSD3への不遵守に対する罰則

PSD3への不遵守は、罰金やライセンス剥奪の可能性など、重大な罰則につながる可能性がある。

PSD3の要件に従わない機関やサービス・プロバイダーは、風評被害、顧客の信頼喪失、財務上の損失に直面する可能性がある。

欧州銀行監督機構（EBA）および各国の所轄当局は、PSD3の遵守状況を監視し、違反した場合には罰則を適用する。

PSPはPSD3のコンプライアンスに真剣に取り組み、必要なリソースと専門知識に投資して、新規制要件を確実に満たす必要がある。

PSD3への不遵守は深刻な結果をもたらす可能性があり、PSPはコンプライアンスとリスク管理を優先することが不可欠である。

PSD3に対する加盟店の懸念の克服

PSD3をめぐる加盟店の最大の懸念は、顧客との関係に影響を及ぼす可能性があることだ。新しいセキュリティー対策があまりに複雑であれば、顧客の不満や不満を招き、コンバージョンや収益の減少につながる可能性がある。

PSD2への準拠は、SCAの要件が厳しかったため、加盟店にとっては導入コストが高くついた。PSD3における新たなセキュリティ対策が、より費用対効果の高いものになるかどうかは不明である。

ペイメント・サービス・プロバイダー（PSP）は、消費者保護を推進し、競争を改善し、電子決済の安全性を高める役割を担っているため、この文脈において極めて重要な役割を果たしている。

新ルールは、金融サービスをデジタル時代の最新動向に対応させ、不正行為に対処し、進化する金融情勢において銀行とノンバンクの双方のPSPが公平な競争条件を確保することを目的としている。

しかし、PSD3は、PSD2規制を加盟国間でより統一的に実施するためのものであり、PSD2よりも小規模なステップの変更となることを、改めて指摘しておきたい。

Nuveiがお手伝いできること

重要なのは、PSD3 が消費者の権利と保護を強化することである。これには、利用規約の明確化、紛争解決メカニズムの改善、決済サービスの透明性の向上などが含まれる。当然ながら、加盟店や決済サービス・プロバイダーにも影響は及ぶだろうが、適切なパートナーシップと準備が整っていれば、影響は最小限にとどまるだろう。

したがって、こうした課題をうまく乗り切るには、パートナーシップや明確な戦略、運用の変更、リスク評価、綿密な実行が必要となる。

最終的に、加盟店は詐欺のリスクを最小限に抑えながら、コンバージョンを増やしたいと考えている。ペイメントサービスプロバイダーとの緊密な連携は、展開を通して非常に重要である。

例えば、NuveiPayments Optimizationスイートは、取引前、取引ルーティング中、取引後など、あらゆる段階で機能や特徴を適用し、可能な限り最高の承認率を達成する。  

重要なことは、PSD3 は消費者の権利と保護、ひいては現代の金融サービスに対する消費者の信頼を強化することが期待されていることである。これには、利用規約の明確化、紛争解決メカニズムの改善、決済サービスの透明性の向上などが含まれる。

当然、加盟店や決済サービス・プロバイダーへの打撃はあるが、適切なパートナーシップと準備があれば、影響は最小限に抑えられるだろう。

Nuveiでは、これらの変革的な変化を通じて加盟店を導くことに尽力しています。私たちの専門家は、規制の更新を議論し、シームレスな移行を確保するために手にあります。我々は、彼らが強力な顧客認証（SCA）、データ共有、およびインスタント転送のようなPSD3の主要な側面をナビゲートするように加盟店をサポートします。

ヌヴェイとランクのケーススタディ：PSD2時の最適化

Rankは1937年以来イギリス国民を楽しませており、現在では年間270万人以上の顧客にサービスを提供している。そのデジタルチャンネルであるRank Interactiveは、オンラインビンゴ、カジノ、スロットゲーム、ポーカー、スポーツブックを提供している。  

PDS2法の施行は、新たな認証要件により、iGamingセクターのオペレーターと顧客の双方に大きな課題を突きつけた。

PSD2の実施を通じて、NuveiはRankと緊密に連携し、決済パフォーマンスを最適化し、フリクションレス・フローのために大量の低リスク取引を適格化しました。同時に、Rankが認証ステップアップで高リスクの預金を管理するのを支援し、市場全体でデータの単一ビューを提供しました。

決済の摩擦は緩和され、顧客体験、預金額、収益は保護された。ランクは、PSD2実施後も安定した承認率を確認できたことに満足している。  

過去4年間だけでも、PSD2による規制の大幅な変更にもかかわらず、ランクの取引量は前年比平均17%増となっている。ケーススタディの全文を読む

加盟店は次に何をすべきか？

加盟店は、コンプライアンス要件、決済プロセス、および消費者の権利に備えるため、PSD3およびPSRの動向に関する情報を常に入手する必要があります。  

人間主導のペイメントプロバイダーとして、NuveiはPSD3への移行をサポートする専門チームと真のエキスパートを擁しています。 私たちは、PSD3とPSRの進化する規制のランドスケープをナビゲートし、当社のパートナーと加盟店のためのコンプライアンスと最適なサービスを確保することにコミットしています。

当社は、PSD3への対応に向けて、規制当局やカードスキームと積極的に協力しています。加盟店様にご質問やご不明な点がございましたら、専門家がお手伝いいたします。既存のお客様は、リレーションシップ・マネージャーにお問い合わせください。