PSD3 и PSR: Новые правила для финтеха и поставщиков платежных услуг (RU)

Вторая директива ЕС о платежных услугах (PSD2) изменила европейские платежи. PSD3 — и сопутствующее ей Положение о платежных услугах (PSR) — идет дальше: оно более четко возлагает ответственность за мошенничество на поставщиков платежных услуг (PSP), ужесточает строгую аутентификацию клиента (SCA), обязывает проверять IBAN-имя и формализует обмен данными о мошенничестве между отраслями. Для финтех-компаний, необанков и PSP это одновременно и бремя соблюдения требований, и конкурентное преимущество.

PSD3 — это директива (государства-члены транспонируют ее); PSR — это регламент (непосредственно применим на всей территории ЕС). Вместе они заменяют PSD2 и создают более унифицированную правовую основу — большинство операционных правил содержатся в PSR, который применяется непосредственно после вступления в силу, в то время как государства-члены получают период для транспонирования PSD3. Сроки следует рассматривать как ориентировочные и отслеживать их через официальные источники ЕС.

Что на самом деле меняется

1. Ответственность за мошенничество — мошенничество с подменой получателя (APP fraud) и PSP получателя

Значительным структурным изменением является распространение ответственности на PSP получателя (учреждение, получающее мошеннический платеж) в случаях мошенничества с подменой получателя (APP fraud). В рамках PSD2 основное внимание уделялось почти исключительно PSP плательщика; новая система вводит разделение ответственности — если PSP получателя не предпринял действий по сигналам о том, что принимающий счет используется для мошенничества, он несет часть убытков. PSP с обеих сторон теперь нуждаются в более эффективных сигналах о мошенничестве, а не только в аутентификации со стороны плательщика.

2. Строгая аутентификация клиента — более четкие правила, более узкий охват

Правила SCA в PSD2 были правильными в принципе, но запутанными на практике. PSD3/PSR уточняет:

• Делегирование аутентификации: PSP может более четко делегировать SCA третьей стороне — это важно для встроенных в торговые операции потоков и поставщиков кошельков.
• Система исключений: исключения на основе анализа рисков транзакций (TRA) и пороги низких значений ужесточаются — исключения требуют документированных моделей рисков, а массовые подходы с низкой степенью трения подвергаются проверке.
• Корпоративные счета: крупные корпорации, использующие выделенные платежные протоколы, получают более четкий путь исключения.
• SCA для доступа к счету: требование бесшумной повторной аутентификации каждые 90 дней, которое затрудняло потоки открытого банкинга PSD2, рационализировано.

Техническое определение не изменилось; меняется то, кто несет ответственность, когда SCA не срабатывает или ошибочно исключается.

3. Верификация получателя — обязательная проверка IBAN-имени

Верификация получателя требует от PSP плательщика проверки соответствия имени, указанного в платежном поручении, имени, зарегистрированному для целевого IBAN, до исполнения платежа. В случае несоответствия PSP должен предупредить плательщика; если плательщик все же продолжает, ответственность переходит на него. PSR переводит VoP из национальной опции в общеевропейское требование со стандартизированными API и кодами ответов — таким образом, PSP плательщика в Испании может верифицировать IBAN получателя в Польше. Для PSP это означает поиск имени получателя в реальном времени до исполнения платежа.

4. Обмен данными о мошенничестве — обязательная интероперабельность

В соответствии с PSD3 PSP будут обязаны участвовать в системах обмена информацией о мошенничестве. Добровольные двусторонние соглашения заменяются регулируемым требованием интероперабельности: учреждения должны иметь возможность получать и действовать по сигналам о мошенничестве от других PSP. Технические стандарты EBA уточнят детали.

5. Доступ к открытому банкингу — меньше препятствий для TPP

PSD2 создала законное право для сторонних поставщиков (TPP) на доступ к платежным счетам через API; PSD3 расширяет и обеспечивает его. Выделенные интерфейсы должны соответствовать стандартам производительности (время безотказной работы, задержка, полнота данных), резервное копирование с использованием screen-scraping исключается для совместимых интерфейсов, а TPP получают более чистые потоки согласия.

Что PSD3 означает в операционном плане для финтех-компаний и PSP

Положения преобразуются в конкретные требования на протяжении всего жизненного цикла. При регистрации слабые проверки личности ослабляют позицию PSP-получателя в отношении ответственности; надежный KYC является первой линией защиты. При аутентификации четырехзначный PIN-код с SMS OTP соответствует требованиям, но становится все более рискованным; биометрическая идентификация по лицу обеспечивает более высокую степень уверенности. При исполнении платежа VoP означает вызов API для сопоставления имен перед отправкой — блокировку, а не постфактум. При постоянном мониторинге положения о PSP-получателе делают входящий мониторинг таким же важным, как и исходящий — сопоставление паттернов в реальном времени, а не пакетные проверки.

Как Didit помогает

Didit — это инфраструктура для идентификации и борьбы с мошенничеством — единый API, охватывающий аутентификацию, верификацию и мониторинг. Модули, соответствующие требованиям PSD3/PSR, уже запущены.

Биометрическая аутентификация класса SCA

SCA требует «фактора присущности» как одного из факторов. Модуль Биометрическая аутентификация Didit (0,10 долл. США) обеспечивает проверку живости по лицу на основе исходной биометрии KYC, а не просто сопоставление лица с самим собой. В сочетании с привязкой устройства это удовлетворяет требованию присущности на уровне, недоступном для пассивной SCA на основе PIN-кода. Тот же стек доступен как Активная проверка живости (0,15 долл. США) или Пассивная проверка живости (0,10 долл. США).

Проверка личности при регистрации

Основной поток KYC — проверка удостоверения личности + пассивная проверка живости + сопоставление лица + анализ IP/устройства — выполняется за 0,33 долл. США за проверку, охватывает более 14 000 типов документов в более чем 220 странах и завершается менее чем за 2 секунды. Он предоставляет вам верифицированную личность для повторной аутентификации, а также запись аудита должной осмотрительности. Didit — единственный поставщик идентификации, официально подтвержденный правительством государства-члена ЕС — Казначейством Испании, Банком Испании (BdE) и SEPBLAC — как более безопасный, чем личная проверка, что важно при демонстрации соответствия надзорным органам. Чтение NFC (0,15 долл. США) добавляет проверку чипа для документов с поддержкой NFC — самый высокий уровень гарантии.

AML-скрининг

PSD3 ужесточает последствия привлечения клиентов или компаний, связанных с финансовыми преступлениями. AML-скрининг Didit (0,20 долл. США) выполняется в режиме реального времени по более чем 1300 спискам санкций, PEP и неблагоприятных СМИ. Постоянный AML-мониторинг (0,07 долл. США/пользователь/год) постоянно перепроверяет зарегистрированное население — если профиль риска меняется после регистрации, вы узнаете об этом до следующей транзакции.

Мониторинг транзакций

Положения о PSP-получателе делают постоянный мониторинг входящих потоков требованием PSD3, хотя и не явно. Мониторинг транзакций Didit (0,02 долл. США за транзакцию) использует механизм правил в реальном времени — 11 предварительно настроенных наборов правил, охватывающих скорость, аномалии сумм, географию и поведенческие паттерны — с управлением кейсами, рабочим процессом SAR и циклом автоматического исправления AWAITING_USER, который запрашивает дополнительные доказательства личности без ручного вмешательства. AML-скрининг по помеченным транзакциям оплачивается по 0,20 долл. США при срабатывании, что сохраняет низкую базовую стоимость для чистых потоков.

Анализ устройств и IP

Мошенничество с подменой получателя (APP fraud) и захват учетных записей основаны на поддельных контекстах устройств. Анализ устройств и IP Didit (0,03 долл. США) автоматически выполняется в каждой сессии верификации, возвращая отпечаток устройства, сигналы о дублировании устройств, обнаружение VPN/прокси/Tor и предупреждения о несоответствии географических данных — поведенческий сигнал, дополняющий проверку учетных данных.

Сценарии использования

Регистрация в необанке. Выполните основной поток KYC при регистрации — документ + проверка живости + сопоставление лица + анализ устройства — для получения верифицированной личности, биометрической ссылки и привязки устройства до открытия счета. Зарегистрированная биометрия становится фактором присущности SCA для последующей аутентификации.

Предотвращение мошенничества с подменой получателя (APP fraud) — PSP на стороне получателя. Запустите набор правил мониторинга транзакций для входящих платежей, превышающих пороговое значение; счета, получающие несколько переводов от разных отправителей за короткий промежуток времени, выявляются для проверки, а Linked KYB добавляет контекст AML для бизнес-счетов.

Повышение уровня SCA для высокостоимостных платежей. Когда TRA помечает платеж для повышения уровня, запустите проверку биометрической аутентификации — сопоставление лица с зарегистрированной личностью — вместо SMS OTP, для более высокой гарантии и журнала аудита. Тот же поток повторно верифицирует неактивные счета перед повторной активацией, сопоставляя их с исходной биометрией при регистрации.

Часто задаваемые вопросы

Когда применяется PSD3?

PSD3 — это директива: государства-члены должны транспонировать ее в национальное законодательство в течение определенного периода после официального принятия. PSR, как регламент, применяется непосредственно после вступления в силу. Процесс все еще находится в институтах ЕС по состоянию на середину 2026 года; проверяйте официальные публикации Европейской Комиссии и EBA для получения актуальных сроков, а не вторичные источники.

В чем разница между PSD3 и PSR?

PSD3 — это директива, которая устанавливает рамки — лицензирование, паспортизацию, права доступа — и требует от государств-членов принятия национального законодательства. PSR — это регламент, который применяется непосредственно и единообразно без транспонирования, и содержит большинство операционных правил (SCA, ответственность за мошенничество, VoP, обмен данными).

Применяется ли PSD3 к крипто-PSP?

Платежные услуги, связанные с криптоактивами, подпадают под действие, если транзакция включает конвертацию фиатных денег или регулируемый платежный счет. Чисто крипто-крипто переводы, которые не затрагивают регулируемые платежные счета, подпадают под MiCA (Положение о рынках криптоактивов). Компании, работающие в обеих сферах, должны оценивать обязательства по обоим.

Что считается SCA в рамках PSD3?

SCA требует как минимум двух независимых факторов из разных категорий: знание (PIN, пароль), владение (устройство, токен) и присущность (биометрия). Сканирование лица подтверждает присущность; токен, привязанный к устройству, подтверждает владение. PIN-код и запомненный пароль — это оба знания — это не SCA.

Нужно ли нам внедрять верификацию получателя до вступления в силу PSD3?

Для мгновенных кредитных переводов в соответствии с Положением ЕС о мгновенных платежах требования к проверке IBAN-имени уже применяются до полного срока действия PSD3/PSR. Если вы обрабатываете мгновенные кредитные переводы бенефициарам в ЕС, обязательства VoP могут уже действовать — проверьте рекомендации вашего национального компетентного органа.

Готовы начать?

Соблюдение PSD3 многогранно — идентификация при регистрации, биометрическая аутентификация при повышении уровня, AML и мониторинг транзакций после одобрения. Didit охватывает весь стек из единого API, с публичными ценами и без минимумов.

• Изучите платформу → Документация Didit
• Посмотрите продукт → Проверка пользователя · Мониторинг транзакций
• Проверьте цену → Цены — основной поток KYC за 0,33 долл. США, TM за 0,02 долл. США/транзакция, 500 бесплатных проверок/месяц
• Начните бесплатно → business.didit.me