Lewati ke konten utama
Didit Raih $7,5 Juta untuk Membangun Infrastruktur Identitas dan Fraud
Didit
Kembali ke blog
Blog · 21 Mei 2026

PSD3 dan PSR: Perubahan untuk Perusahaan Fintech dan PSP (ID)

PSD3 dan Peraturan Layanan Pembayaran Uni Eropa mengubah kewajiban penipuan, SCA, verifikasi nama-IBAN, dan pembagian data. Berikut adalah perubahan dari PSD2 dan implikasinya secara operasional untuk fintech dan PSP.

Oleh DiditDiperbarui
psd3-payment-services-directive.png

Arahan Layanan Pembayaran Kedua (PSD2) Uni Eropa telah membentuk ulang pembayaran di Eropa. PSD3 — dan regulasi pendampingnya, Peraturan Layanan Pembayaran (PSR) — melangkah lebih jauh: ini mengalihkan tanggung jawab penipuan secara lebih tegas kepada penyedia layanan pembayaran (PSP), memperketat Otentikasi Pelanggan Kuat (SCA), mewajibkan verifikasi nama-IBAN, dan memformalkan pembagian data penipuan lintas industri. Bagi fintech, neobank, dan PSP, ini adalah beban kepatuhan sekaligus keunggulan kompetitif.

PSD3 adalah arahan (negara anggota mentransposisikannya); PSR adalah peraturan (berlaku langsung di seluruh Uni Eropa). Bersama-sama, keduanya menggantikan PSD2 dan menciptakan landasan hukum yang lebih seragam — sebagian besar aturan operasional berada dalam PSR, yang berlaku langsung setelah mulai berlaku, sementara negara anggota mendapatkan periode transisi untuk PSD3. Perlakukan linimasa sebagai indikatif dan lacak melalui sumber resmi Uni Eropa.

Apa saja yang berubah

1. Tanggung jawab penipuan — penipuan APP dan PSP penerima pembayaran

Perubahan struktural yang signifikan adalah perluasan tanggung jawab kepada PSP penerima pembayaran (institusi yang menerima pembayaran penipuan) dalam kasus penipuan APP. Di bawah PSD2, fokusnya hampir seluruhnya pada PSP pembayar; kerangka kerja baru memperkenalkan pembagian tanggung jawab — di mana PSP penerima pembayaran gagal bertindak atas sinyal bahwa rekening penerima digunakan untuk penipuan, ia menanggung sebagian kerugian. PSP di kedua belah pihak sekarang membutuhkan sinyal penipuan yang lebih baik, tidak hanya otentikasi di sisi pembayar.

2. Otentikasi Pelanggan Kuat — aturan yang lebih jelas, cakupan yang lebih ketat

Aturan SCA PSD2 benar secara prinsip tetapi kacau dalam praktik. PSD3/PSR menjelaskan:

  • Delegasi otentikasi: PSP dapat mendelegasikan SCA kepada pihak ketiga dengan lebih jelas — penting untuk alur yang tertanam di pedagang dan penyedia dompet.
  • Kerangka pengecualian: pengecualian analisis risiko transaksi (TRA) dan ambang batas nilai rendah diperketat — pengecualian memerlukan model risiko yang didokumentasikan, dan pendekatan gesekan rendah secara menyeluruh menghadapi pengawasan.
  • Akun korporat: korporasi besar yang menggunakan protokol pembayaran khusus mendapatkan jalur pengecualian yang lebih jelas.
  • SCA untuk akses akun: persyaratan otentikasi ulang senyap 90 hari yang membuat alur open banking PSD2 frustrasi kini dirasionalisasi.

Definisi teknis tidak berubah; yang berubah adalah siapa yang bertanggung jawab ketika SCA gagal atau salah dikecualikan.

3. Verifikasi Penerima Pembayaran — nama-IBAN diwajibkan

Verifikasi Penerima Pembayaran mengharuskan PSP pembayar untuk memeriksa bahwa nama yang terlampir pada instruksi pembayaran cocok dengan nama yang terdaftar di IBAN tujuan sebelum eksekusi. Jika ada ketidakcocokan, PSP harus memperingatkan pembayar; jika pembayar tetap melanjutkan, tanggung jawab beralih kepada mereka. PSR memindahkan VoP dari pilihan nasional menjadi persyaratan lintas Uni Eropa dengan API dan kode respons standar — sehingga PSP pembayar di Spanyol dapat memverifikasi IBAN penerima pembayaran di Polandia. Bagi PSP, ini berarti pencarian nama penerima pembayaran secara real-time sebelum eksekusi.

4. Pembagian data penipuan — interoperabilitas wajib

Di bawah PSD3, PSP akan diwajibkan untuk berpartisipasi dalam kerangka kerja pembagian intelijen penipuan. Pengaturan bilateral sukarela digantikan dengan persyaratan interoperabilitas yang diatur: institusi harus dapat menerima dan bertindak atas sinyal penipuan dari PSP lain. Standar teknis EBA akan mengisi detailnya.

5. Akses open banking — lebih sedikit hambatan untuk TPP

PSD2 menciptakan hak hukum bagi penyedia pihak ketiga (TPP) untuk mengakses akun pembayaran melalui API; PSD3 memperluas dan menegakkannya. Antarmuka khusus harus memenuhi standar kinerja (uptime, latensi, kelengkapan data), fallback screen-scraping dihilangkan untuk antarmuka yang patuh, dan TPP mendapatkan alur persetujuan yang lebih bersih.

Apa arti PSD3 secara operasional bagi fintech dan PSP

Ketentuan-ketentuan tersebut diterjemahkan menjadi persyaratan konkret di seluruh siklus hidup. Pada onboarding, pemeriksaan identitas yang lemah melemahkan posisi tanggung jawab PSP penerima; KYC yang kuat adalah garis pertahanan pertama. Pada otentikasi, PIN empat digit dengan SMS OTP patuh tetapi semakin berisiko; pencocokan wajah biometrik memberikan jaminan yang lebih tinggi. Pada eksekusi pembayaran, VoP berarti panggilan API pencocokan nama sebelum pengiriman — memblokir, bukan setelah kejadian. Dalam pemantauan berkelanjutan, ketentuan PSP penerima pembayaran membuat pemantauan masuk sama pentingnya dengan pemantauan keluar — pencocokan pola real-time, bukan tinjauan batch.

Bagaimana Didit membantu

Didit adalah infrastruktur untuk identitas dan penipuan — satu API yang mencakup otentikasi, verifikasi, dan pemantauan. Modul-modul yang sesuai dengan persyaratan PSD3/PSR sudah tersedia.

Otentikasi biometrik kelas SCA

SCA memerlukan "inherence" sebagai salah satu faktor. Modul Otentikasi Biometrik Didit ($0,10) memberikan pencocokan wajah langsung terhadap biometrik KYC asli, bukan hanya wajah itu sendiri. Dikombinasikan dengan pengikatan perangkat, ini memenuhi inherence pada tingkat yang tidak dapat dicapai oleh SCA berbasis PIN pasif. Tumpukan yang sama tersedia sebagai Liveness Aktif ($0,15) atau Liveness Pasif ($0,10).

Verifikasi identitas saat onboarding

Alur inti KYC — Verifikasi ID + Liveness Pasif + Pencocokan Wajah + Analisis IP/Perangkat — berjalan pada $0,33 per pemeriksaan, mencakup 14.000+ jenis dokumen di 220+ negara, dan selesai dalam waktu kurang dari 2 detik. Ini memberi Anda identitas terverifikasi untuk mengamankan otentikasi ulang, ditambah catatan audit uji tuntas. Didit adalah satu-satunya penyedia identitas yang secara resmi diakui oleh pemerintah negara anggota Uni Eropa — Tesoro Spanyol, Banco de España (BdE), dan SEPBLAC — sebagai lebih aman daripada verifikasi langsung, yang penting saat menunjukkan kepatuhan kepada pengawas. Pembacaan NFC ($0,15) menambahkan verifikasi chip untuk dokumen yang mendukung NFC — tingkat jaminan tertinggi.

Penyaringan AML

PSD3 mempertajam konsekuensi dari onboarding pelanggan atau bisnis yang terkait dengan kejahatan keuangan. Penyaringan AML Didit ($0,20) berjalan terhadap 1.300+ daftar sanksi, PEP, dan media buruk secara real time. Pemantauan AML Berkelanjutan ($0,07/pengguna/tahun) menyaring ulang populasi yang terdaftar secara terus-menerus — jika profil risiko berubah setelah onboarding, Anda akan tahu sebelum transaksi berikutnya.

Pemantauan Transaksi

Ketentuan PSP penerima pembayaran membuat pemantauan berkelanjutan pada alur masuk menjadi persyaratan PSD3 dalam segala hal kecuali namanya. Pemantauan Transaksi Didit ($0,02 per transaksi) menjalankan mesin aturan real-time — 11 bundel aturan awal yang mencakup kecepatan, anomali jumlah, geografi, dan pola perilaku — dengan manajemen kasus, alur kerja SAR, dan loop remediasi otomatis AWAITING_USER yang meminta bukti identitas tambahan tanpa intervensi manual. Penyaringan AML pada transaksi yang ditandai ditagih $0,20 saat dipicu, menjaga biaya dasar tetap rendah untuk alur yang bersih.

Analisis Perangkat & IP

Penipuan APP dan pengambilalihan akun mengandalkan konteks perangkat yang dipalsukan. Analisis Perangkat & IP Didit ($0,03) berjalan secara otomatis di setiap sesi verifikasi, mengembalikan sidik jari perangkat, sinyal perangkat duplikat, deteksi VPN/proxy/Tor, dan peringatan ketidakcocokan geo-dokumen — sinyal perilaku yang melengkapi pemeriksaan kredensial identitas.

Kasus penggunaan

Onboarding Neobank. Jalankan alur inti KYC saat pendaftaran — dokumen + liveness + pencocokan wajah + analisis perangkat — untuk identitas terverifikasi, referensi biometrik, dan pengikatan perangkat sebelum akun dibuka. Biometrik yang terdaftar menjadi faktor inherence SCA untuk otentikasi selanjutnya.

Pencegahan penipuan APP — PSP sisi penerima pembayaran. Jalankan bundel aturan Pemantauan Transaksi pada pembayaran masuk di atas ambang batas; akun yang menerima beberapa transfer dari pengirim yang berbeda dalam waktu singkat akan muncul untuk ditinjau, dengan KYB Tertaut menambahkan konteks AML entitas pada akun bisnis.

Peningkatan SCA untuk pembayaran bernilai tinggi. Ketika TRA menandai pembayaran untuk peningkatan, picu pemeriksaan Otentikasi Biometrik — pencocokan wajah terhadap identitas yang terdaftar — alih-alih SMS OTP, untuk jaminan yang lebih tinggi dan log audit. Alur yang sama memverifikasi ulang akun yang tidak aktif sebelum reaktivasi, dicocokkan dengan biometrik onboarding asli.

Pertanyaan yang sering diajukan

Kapan PSD3 berlaku?

PSD3 adalah arahan — negara anggota harus mentransposisikannya ke dalam hukum nasional dalam periode yang ditentukan setelah adopsi formal. PSR, sebagai peraturan, berlaku langsung setelah mulai berlaku. Proses ini masih berjalan melalui institusi Uni Eropa pada pertengahan 2026; periksa publikasi resmi Komisi Eropa dan EBA untuk linimasa saat ini daripada sumber sekunder.

Apa perbedaan antara PSD3 dan PSR?

PSD3 adalah arahan yang menetapkan kerangka kerja — perizinan, pasporing, hak akses — dan mengharuskan negara anggota untuk memberlakukan undang-undang nasional. PSR adalah peraturan yang berlaku langsung dan seragam tanpa transposisi, dan membawa sebagian besar aturan operasional (SCA, tanggung jawab penipuan, VoP, pembagian data).

Apakah PSD3 berlaku untuk PSP kripto?

Layanan pembayaran yang melibatkan aset kripto termasuk dalam cakupan di mana transaksi melibatkan konversi fiat atau akun pembayaran yang diatur. Transfer murni kripto-ke-kripto yang tidak menyentuh akun pembayaran yang diatur berada di bawah MiCA (Peraturan Pasar dalam Aset Kripto). Bisnis yang mencakup keduanya harus menilai kewajiban di bawah keduanya.

Apa yang termasuk SCA di bawah PSD3?

SCA memerlukan setidaknya dua faktor independen dari kategori yang berbeda: pengetahuan (PIN, kata sandi), kepemilikan (perangkat, token), dan inherence (biometrik). Pindaian wajah mengkonfirmasi inherence; token yang terikat perangkat mengkonfirmasi kepemilikan. PIN dan kata sandi yang dihafal keduanya adalah pengetahuan — itu bukan SCA.

Apakah kita perlu menerapkan Verifikasi Penerima Pembayaran sebelum PSD3 mulai berlaku?

Untuk Transfer Kredit Instan di bawah Peraturan Pembayaran Instan Uni Eropa, persyaratan verifikasi nama-IBAN sudah berlaku sebelum linimasa PSD3/PSR penuh. Jika Anda memproses transfer kredit instan ke penerima di Uni Eropa, kewajiban VoP mungkin sudah berlaku — periksa panduan otoritas kompeten nasional Anda.

Siap untuk memulai?

Kepatuhan PSD3 berlapis — identitas saat onboarding, otentikasi biometrik saat peningkatan, AML dan pemantauan transaksi setelah persetujuan. Didit mencakup seluruh tumpukan dari satu API, dengan harga publik dan tanpa minimum.

Infrastruktur untuk identitas dan fraud.

Satu API untuk KYC, KYB, Transaction Monitoring, dan Wallet Screening. Integrasi dalam 5 menit.

Mulai gratisHubungi kami
Minta AI untuk merangkum halaman ini
PSD3 & PSR: Panduan untuk Fintech | Didit.