PSD3 및 PSR 심층 분석: 핀테크 및 PSP의 변화 (KO)

EU의 제2차 결제 서비스 지침(PSD2)은 유럽 결제 시장을 재편했습니다. PSD3와 그 동반 규정인 결제 서비스 규정(PSR)은 여기서 더 나아가 사기 책임을 결제 서비스 제공업체(PSP)에 더욱 명확하게 부과하고, 강력한 고객 인증(SCA)을 강화하며, IBAN-이름 확인을 의무화하고, 산업 간 사기 데이터 공유를 공식화합니다. 핀테크, 네오뱅크 및 PSP에게 이는 규정 준수 부담이자 경쟁 우위가 될 것입니다.

PSD3는 지침(회원국이 국내법으로 전환)이며, PSR은 규정(EU 전역에 직접 적용)입니다. 이들은 함께 PSD2를 대체하고 더욱 통일된 법적 기반을 마련합니다. 대부분의 운영 규칙은 PSR에 포함되어 발효 즉시 직접 적용되며, PSD3는 회원국에 전환 기간이 주어집니다. 일정은 참고용으로 간주하고 공식 EU 출처를 통해 추적하십시오.

실질적인 변화

1. 사기 책임 – APP 사기 및 수취인 PSP

중요한 구조적 변화는 APP 사기 사건에서 수취인 PSP(사기성 결제를 받는 기관)에 대한 책임이 확대된다는 점입니다. PSD2에서는 거의 전적으로 송금인 PSP에 초점을 맞췄지만, 새로운 프레임워크는 책임 공유를 도입합니다. 수취인 PSP가 수취 계좌가 사기에 사용되고 있다는 신호에 따라 조치를 취하지 못한 경우, 손실의 일부를 부담하게 됩니다. 이제 양측 PSP는 송금인 측의 인증뿐만 아니라 더 나은 사기 신호가 필요합니다.

2. 강력한 고객 인증(SCA) – 더 명확한 규칙, 더 엄격한 범위

PSD2의 SCA 규칙은 원칙적으로는 옳았지만 실제로는 혼란스러웠습니다. PSD3/PSR은 다음을 명확히 합니다.

• 인증 위임: PSP는 SCA를 제3자에게 더 명확하게 위임할 수 있습니다. 이는 판매자 내장형 흐름 및 지갑 제공업체에 중요합니다.
• 면제 프레임워크: 거래 위험 분석(TRA) 면제 및 저가 임계값이 강화됩니다. 면제는 문서화된 위험 모델을 요구하며, 포괄적인 저마찰 접근 방식은 면밀한 조사를 받습니다.
• 법인 계정: 전용 결제 프로토콜을 사용하는 대기업은 더 명확한 면제 경로를 얻습니다.
• 계정 접근을 위한 SCA: PSD2 오픈 뱅킹 흐름을 방해했던 90일 무음 재인증 요구 사항이 합리화됩니다.

기술적 정의는 변경되지 않습니다. 변경되는 것은 SCA가 실패하거나 잘못 면제될 때 누가 책임지는가입니다.

3. 수취인 확인 – IBAN-이름 의무화

수취인 확인은 송금인 PSP가 결제 지시를 실행하기 전에 결제 지시에 첨부된 이름이 대상 IBAN에 등록된 이름과 일치하는지 확인하도록 요구합니다. 불일치 시 PSP는 송금인에게 경고해야 합니다. 송금인이 그럼에도 불구하고 진행하면 책임은 송금인에게 넘어갑니다. PSR은 VoP를 국가 선택 사항에서 표준화된 API 및 응답 코드를 갖춘 EU 전역 요구 사항으로 전환합니다. 따라서 스페인의 송금인 PSP는 폴란드의 수취인 IBAN을 확인할 수 있습니다. PSP의 경우 이는 실행 전에 실시간 수취인 이름 조회를 의미합니다.

4. 사기 데이터 공유 – 의무적인 상호 운용성

PSD3에 따라 PSP는 사기 정보 공유 프레임워크에 참여해야 합니다. 자발적인 양자 협정은 규제된 상호 운용성 요구 사항으로 대체됩니다. 기관은 다른 PSP로부터 사기 신호를 수신하고 조치할 수 있어야 합니다. EBA 기술 표준이 세부 사항을 채울 것입니다.

5. 오픈 뱅킹 접근 – TPP의 장애물 감소

PSD2는 제3자 제공업체(TPP)가 API를 통해 결제 계정에 접근할 수 있는 법적 권리를 만들었습니다. PSD3는 이를 확장하고 시행합니다. 전용 인터페이스는 성능 표준(가동 시간, 지연 시간, 데이터 완전성)을 충족해야 하며, 규정 준수 인터페이스에 대한 스크린 스크래핑 폴백은 제거되고, TPP는 더 명확한 동의 흐름을 얻습니다.

PSD3가 핀테크 및 PSP의 운영에 미치는 영향

이러한 조항들은 수명 주기 전반에 걸쳐 구체적인 요구 사항으로 전환됩니다. 온보딩 시, 약한 신원 확인은 수취 PSP의 책임 위치를 약화시킵니다. 강력한 KYC는 첫 번째 방어선입니다. 인증 시, SMS OTP가 포함된 4자리 PIN은 규정을 준수하지만 점점 더 위험합니다. 생체 인식 얼굴 매치는 더 높은 보증을 제공합니다. 결제 실행 시, VoP는 보내기 전에 이름 일치 API 호출을 의미하며, 사후가 아닌 차단입니다. 지속적인 모니터링에서, 수취인-PSP 조항은 아웃바운드만큼 인바운드 모니터링을 중요하게 만듭니다. 즉, 배치 검토가 아닌 실시간 패턴 매칭입니다.

Didit의 도움 방식

Didit은 인증, 확인 및 모니터링을 포괄하는 단일 API를 제공하는 신원 및 사기 방지 인프라입니다. PSD3/PSR 요구 사항에 매핑되는 모듈은 이미 운영 중입니다.

SCA 등급 생체 인식 인증

SCA는 한 가지 요소로 "고유성"을 요구합니다. Didit의 생체 인식 인증 모듈($0.10)은 원본 KYC 생체 인식 데이터에 대한 얼굴 일치 생체 인식을 제공하며, 단순히 얼굴 자체에 대한 일치가 아닙니다. 기기 바인딩과 결합하여 수동 PIN 기반 SCA가 제공하지 못하는 수준의 고유성을 충족합니다. 동일한 스택은 능동적 생체 인식($0.15) 또는 수동적 생체 인식($0.10)으로 사용할 수 있습니다.

온보딩 시 신원 확인

KYC 핵심 흐름 – 신원 확인 + 수동적 생체 인식 + 얼굴 매치 + IP/기기 분석 –은 체크당 $0.33에 실행되며, 220개 이상의 국가에서 14,000개 이상의 문서 유형을 다루고 2초 이내에 완료됩니다. 이는 재인증을 위한 검증된 신원과 실사 감사 기록을 제공합니다. Didit은 EU 회원국 정부(스페인 Tesoro, Banco de España(BdE), SEPBLAC)로부터 대면 확인보다 안전하다고 공식적으로 인정받은 유일한 신원 제공업체이며, 이는 감독 기관에 대한 규정 준수를 입증할 때 중요합니다. NFC 읽기($0.15)는 NFC 지원 문서에 대한 칩 확인을 추가하여 최고 수준의 보증을 제공합니다.

AML 심사

PSD3는 금융 범죄와 관련된 고객 또는 기업 온보딩의 결과를 강화합니다. Didit의 AML 심사($0.20)는 1,300개 이상의 제재, PEP 및 부정적 미디어 목록에 대해 실시간으로 실행됩니다. 지속적인 AML 모니터링(사용자당 $0.07/년)은 등록된 인구를 지속적으로 재심사합니다. 온보딩 후 위험 프로필이 변경되면 다음 거래 전에 알 수 있습니다.

거래 모니터링

수취인-PSP 조항은 인바운드 흐름에 대한 지속적인 모니터링을 사실상 PSD3 요구 사항으로 만듭니다. Didit의 거래 모니터링(거래당 $0.02)은 실시간 규칙 엔진을 실행합니다. 속도, 금액 이상, 지리 및 행동 패턴을 다루는 11개의 시드 규칙 번들이 사례 관리, SAR 워크플로 및 수동 개입 없이 추가 신원 증명을 요청하는 AWAITING_USER 자동 교정 루프와 함께 제공됩니다. 플래그가 지정된 거래에 대한 AML 심사는 트리거될 때 $0.20으로 청구되어 깨끗한 흐름에 대한 기본 비용을 낮게 유지합니다.

기기 및 IP 분석

APP 사기 및 계정 탈취는 스푸핑된 기기 컨텍스트에 의존합니다. Didit의 기기 및 IP 분석($0.03)은 모든 확인 세션에서 자동으로 실행되어 기기 지문, 중복 기기 신호, VPN/프록시/Tor 감지 및 지리-문서 불일치 경고를 반환합니다. 이는 신원 자격 증명 확인을 보완하는 행동 신호입니다.

사용 사례

네오뱅크 온보딩. 계좌 개설 전에 KYC 핵심 흐름(문서 + 생체 인식 + 얼굴 매치 + 기기 분석)을 실행하여 검증된 신원, 생체 인식 참조 및 기기 바인딩을 확보합니다. 등록된 생체 인식 데이터는 이후 인증을 위한 SCA 고유성 요소가 됩니다.

APP 사기 방지 – 수취인 측 PSP. 임계값을 초과하는 인바운드 결제에 대해 거래 모니터링 규칙 번들을 실행합니다. 짧은 시간 내에 여러 발송인으로부터 여러 이체를 받는 계정은 검토를 위해 표시되며, Linked KYB는 비즈니스 계정에 대한 법인 AML 컨텍스트를 추가합니다.

고액 결제를 위한 SCA 스텝업. TRA가 결제를 스텝업으로 플래그 지정할 때, SMS OTP 대신 생체 인식 인증 확인(등록된 신원에 대한 얼굴 매치)을 트리거하여 더 높은 보증과 감사 로그를 확보합니다. 동일한 흐름은 비활성 계정을 재활성화하기 전에 원본 온보딩 생체 인식 데이터와 일치시켜 재확인합니다.

자주 묻는 질문

PSD3는 언제 적용됩니까?

PSD3는 지침입니다. 회원국은 공식 채택 후 정해진 기간 내에 이를 국내법으로 전환해야 합니다. PSR은 규정으로서 발효 즉시 직접 적용됩니다. 이 과정은 2026년 중반 현재 EU 기관을 통해 진행 중입니다. 보조 출처가 아닌 유럽 위원회 및 EBA의 공식 발행물을 통해 현재 일정을 확인하십시오.

PSD3와 PSR의 차이점은 무엇입니까?

PSD3는 라이선스, 패스포팅, 접근 권한과 같은 프레임워크를 설정하고 회원국이 국내법을 제정하도록 요구하는 지침입니다. PSR은 전환 없이 직접적이고 균일하게 적용되며, 대부분의 운영 규칙(SCA, 사기 책임, VoP, 데이터 공유)을 포함하는 규정입니다.

PSD3는 암호화폐 PSP에 적용됩니까?

거래에 법정 통화 전환 또는 규제된 결제 계정이 포함되는 경우 암호화폐 자산과 관련된 결제 서비스가 범위에 포함됩니다. 규제된 결제 계정을 거치지 않는 순수한 암호화폐 간 이체는 MiCA(암호화폐 자산 시장 규정)에 속합니다. 두 가지 모두에 걸쳐 있는 기업은 두 규정의 의무를 평가해야 합니다.

PSD3에 따른 SCA로 간주되는 것은 무엇입니까?

SCA는 서로 다른 범주의 최소 두 가지 독립적인 요소를 요구합니다. 지식(PIN, 비밀번호), 소유(기기, 토큰) 및 고유성(생체 인식). 얼굴 스캔은 고유성을 확인하고, 기기 바인딩 토큰은 소유를 확인합니다. PIN과 기억된 비밀번호는 모두 지식에 해당하며, 이는 SCA가 아닙니다.

PSD3가 발효되기 전에 수취인 확인을 구현해야 합니까?

EU 즉시 결제 규정에 따른 즉시 신용 이체의 경우, IBAN-이름 확인 요구 사항은 전체 PSD3/PSR 일정보다 먼저 이미 적용됩니다. EU 수취인에게 즉시 신용 이체를 처리하는 경우, VoP 의무가 이미 시행 중일 수 있습니다. 해당 국가의 권한 있는 기관 지침을 확인하십시오.

시작할 준비가 되셨습니까?

PSD3 규정 준수는 온보딩 시 신원 확인, 스텝업 시 생체 인식 인증, 승인 후 AML 및 거래 모니터링 등 여러 계층으로 이루어져 있습니다. Didit은 단일 API에서 전체 스택을 커버하며, 공개 가격 책정 및 최소 금액 제한이 없습니다.

• 플랫폼 알아보기 → Didit 문서
• 제품 보기 → 사용자 확인 · 거래 모니터링
• 가격 확인 → 가격 — KYC 핵심 흐름 $0.33, TM 거래당 $0.02, 월 500회 무료 확인
• 무료로 시작하기 → business.didit.me