Kesiapan PSD3 Bukan Masalah Masa Depan. Ini Adalah Masalah Saat Ini.

Banyak bank Eropa masih membicarakan PSD3 seolah-olah itu adalah tonggak yang jauh, meskipun kesepakatan politik telah dicapai pada November 2025 dan tim hukum sekarang menempatkan tahun 2026 sebagai pusat perencanaan transisi. Industri kehabisan waktu untuk menganggap ini sebagai sesuatu yang akan pasti terjadi nanti.

Salah satu masalahnya adalah kepercayaan bahwa PSD3 pada dasarnya adalah PSD2 dengan beberapa lapisan tambahan — semacam PSD2.0. Tidak demikian. Paket baru ini — Third Payment Services Directive dan Payment Services Regulation (PSR) yang langsung berlaku — meningkatkan standar tentang bagaimana izin diatur, bagaimana autentikasi dibuktikan, dan bagaimana akses pihak ketiga dikelola.

Ini juga datang pada saat di mana pembayaran antar rekening, dompet digital, dan model berbagi data yang lebih luas menuntut infrastruktur yang sama yang dibangun bank untuk PSD2 menjadi lebih berat.

Dalam kerja sama kami dengan institusi Eropa, kami melihat pendekatan yang sangat berbeda. Beberapa bank menunggu teks akhir sebelum membuat keputusan. Yang lain sudah membangun kembali komponen-komponen yang akan menentukan apakah PSD3 menjadi peningkatan yang terkendali atau retrofit yang mengganggu. Perbedaannya tidak ada hubungannya dengan interpretasi regulasi dan semuanya berkaitan dengan arsitektur.

Di mana bank masih rentan

Banyak bank masih memandang PSD3 melalui lensa interpretasi kebijakan, meskipun tekanan sebenarnya terletak pada sistem di bawahnya. Banyak dari apa yang dibangun di bawah PSD2 dirakit dengan cepat untuk memenuhi tenggat waktu, dan banyak bank tidak pernah kembali memperkuat komponen-komponen tersebut setelah tekanan langsung berlalu.

Contohnya adalah persetujuan. Banyak bank masih mengandalkan penyimpanan persetujuan khusus saluran atau dashboard yang dipasang selama PSD2. Pengaturan tersebut menyulitkan pengelolaan izin secara detail seperti yang diharapkan PSD3, dan semakin sulit lagi untuk mencabut atau membuktikan izin tersebut secara bersih. Autentikasi sering kali berada di tempat yang sama. Membuktikan bahwa langkah Strong Customer Authentication (SCA) telah dilakukan tidak cukup; bank perlu menunjukkan konteks autentikasi dan status otorisasi dari pihak yang memulai saat transaksi disetujui.

Kontrol penipuan menambah tekanan lagi. Mereka sekarang harus menunjukkan bagaimana risiko dinilai secara real-time, bukan direkonstruksi setelahnya. Hal ini menjadi lebih sulit jika alat pemantauan tetap terfragmentasi atau data transaksi tersebar di sistem yang terputus. Platform seperti BPC’s SmartVista Fraud Management, yang menggabungkan pemantauan transaksi online dengan pengelolaan data terpusat dan dukungan AI/ML, menunjukkan jenis arsitektur yang dibutuhkan bank. Mereka membutuhkan arsitektur yang dapat menilai aktivitas saat terjadi dan menunjukkan bagaimana keputusan tersebut dibuat. Kinerja API juga termasuk dalam ruang lingkup ini. PSR menempatkan lebih banyak bobot pada apakah antarmuka tetap aktif, menangani kesalahan secara konsisten, dan menyampaikan data secara andal di seluruh saluran. Akses pihak ketiga dan proses onboarding membutuhkan pergeseran yang sama — dari pemeriksaan berkala dan langkah manual, menuju verifikasi berkelanjutan dan model pengelolaan hak akses yang lebih jelas.

Institusi yang memperkuat fondasi ini setelah PSD2, kini beradaptasi dengan PSD3 dengan gangguan yang jauh lebih sedikit. Mereka yang membiarkan pembangunan PSD2 mereka tidak tersentuh sekarang menghadapi tantangan yang lebih berat.

Apa yang ditinggalkan PSD2

PSD2 meninggalkan seperangkat keputusan teknis yang kini menentukan seberapa sulit PSD3 akan diimplementasikan. Banyak institusi membangun dengan cepat untuk memenuhi tenggat waktu: dashboard izin terpisah untuk berbagai saluran, logika autentikasi yang tersebar di berbagai produk, API gateway yang disetel untuk volume rendah dan langkah manual untuk memeriksa atau mengintegrasikan pihak ketiga. Pilihan tersebut menyelesaikan masalah langsung. Sekarang mereka menjadi pusat beban kerja PSD3.

Yang lain menggunakan PSD2 untuk merapikan fondasi. Mereka menggabungkan izin ke satu tempat, memperlakukan autentikasi sebagai layanan bersama, berinvestasi dalam API yang lebih andal, dan memperkenalkan kontrol akses yang lebih jelas. Semua ini tidak dilakukan dengan mempertimbangkan PSD3, tetapi memberi mereka ruang untuk beradaptasi tanpa harus membongkar sistem mereka.

PSD3 dan PSR mengungkapkan perbedaan antara kedua jalur ini. Kerangka kerja baru mengharapkan bank mengetahui secara real-time siapa yang mengakses apa, dengan izin apa, dan dengan tingkat jaminan apa. Mengharapkan API berperilaku konsisten, pemeriksaan penipuan dibuktikan saat transaksi, dan hak akses diverifikasi secara terus-menerus. Ekspektasi ini sangat berbeda tergantung pada bagaimana fondasi PSD2 dibangun.

Pekerjaan yang dilakukan di bawah PSD2 sekarang menentukan seberapa mengganggu PSD3 nantinya.

Keputusan yang tidak bisa ditunda

Beberapa panggilan arsitektur sudah ada di meja, dan menunggu teks akhir tidak akan memudahkan mereka. Izin perlu memiliki satu tempat; penyimpanan persetujuan yang tersebar selama PSD2 menyulitkan pengelolaan detail, pencabutan akses secara bersih, atau menunjukkan apa yang ada saat persetujuan diberikan.

Autentikasi perlu berfungsi sebagai satu layanan, bukan sekadar langkah di tingkat produk, karena PSD3 mengharapkan bank menunjukkan seluruh konteks persetujuan, bukan hanya bahwa acara SCA terjadi.

Hak akses perlu diverifikasi secara terus-menerus, bukan hanya pada interval tertentu, dengan cara yang lebih bersih dalam mengelola siapa yang diizinkan melakukan apa dari waktu ke waktu. Dan API perlu diperlakukan sebagai infrastruktur operasional, dengan tingkat keandalan dan konsistensi yang kini dituntut PSR.

Ini juga alasan mengapa bank mulai melihat ke luar perbaikan satu kali dan menuju platform modular yang dapat menyerap perubahan regulasi dengan lebih bersih. Bagi institusi yang sudah mapan, infrastruktur yang siap masa depan sama pentingnya dengan kepatuhan saat ini. Platform seperti BPC SmartVista, yang dirancang sebagai arsitektur modular, berbasis cloud, dan dibangun untuk skala besar, memberikan jalan yang lebih praktis untuk adaptasi PSD3 dan mengurangi risiko bahwa perubahan regulasi berikutnya memicu pembangunan ulang yang mahal. Bank membutuhkan platform yang memudahkan transisi, mendukung kepatuhan seiring berkembangnya persyaratan, dan memberi ruang untuk beradaptasi tanpa harus membuka seluruh tumpukan sistem.

Pilihan-pilihan ini akan sangat menentukan apakah PSD3 akan menjadi peningkatan yang dapat dikelola atau pembangunan ulang yang mahal. Bergerak lebih awal memberi bank ruang untuk beradaptasi sesuai keinginan mereka sendiri. Menunggu teks akhir berisiko mempersempit waktu untuk bertindak.