Готовность к PSD3 - это не проблема будущего. Это проблема настоящего.

Многие европейские банки по-прежнему рассматривают PSD3 как далёкую веху, хотя политическое соглашение было достигнуто в ноябре 2025 года, а юридические команды уже ставят 2026 год в центр планирования перехода. Отрасль исчерпала возможность считать это чем-то, что «станет яснее позже».

Частью проблемы является убеждение, что PSD3 — это по сути PSD2 с несколькими дополнительными слоями — своего рода PSD2.0. Это не так. Новый пакет — Третья директива по платежным услугам и напрямую применимый Регламент по платежным услугам (PSR) — повышает требования к тому, как регулируются разрешения, как подтверждается аутентификация и как управляется доступ третьих сторон.

Он также появляется в момент, когда платежи «счет на счет», цифровые кошельки и более широкие модели обмена данными требуют всё большего от той же инфраструктуры, которая была создана для PSD2.

В рамках нашей работы с европейскими институтами мы наблюдаем очень разные подходы. Некоторые банки ждут окончательного текста, прежде чем принимать решения. Другие уже перестраивают компоненты, которые определят, станет ли PSD3 контролируемым обновлением или разрушительным ретрофитом. Разница не связана с регуляторной интерпретацией, а исключительно с архитектурой.

Где банки всё ещё уязвимы

Многие банки по-прежнему рассматривают PSD3 через призму политики, хотя реальное давление сосредоточено в системах, лежащих в основе. Большая часть того, что было создано по PSD2, собиралась быстро для соблюдения сроков, и многие банки так и не вернулись к укреплению этих компонентов после того, как давление прошло.

Примером служит согласие. Многие банки по-прежнему используют хранилища согласий или панели управления, добавленные во время PSD2. Эти системы усложняют управление разрешениями на уровне, которого ожидает PSD3, и ещё больше усложняют их отзыв или доказательство их наличия.

Аутентификация часто находится в том же месте. Доказать, что был выполнен этап сильной аутентификации клиента (SCA), недостаточно; банки должны показывать контекст аутентификации и статус авторизации инициирующей стороны в момент одобрения транзакции.

Контроль мошенничества добавляет ещё больше давления. Теперь необходимо показывать, как риск оценивался в реальном времени, а не восстанавливаться после. Это становится сложнее, когда инструменты мониторинга остаются фрагментированными или данные транзакций хранятся в разрозненных системах. Платформы, такие как SmartVista Fraud Management от BPC, объединяющие онлайн-мониторинг транзакций, централизованное управление данными и поддержку ИИ/МЛ, показывают, какая архитектура необходима. Она должна уметь оценивать активность по мере её возникновения и показывать, как принимались решения. Производительность API также важна. PSR делает акцент на стабильности интерфейсов, их способности обрабатывать ошибки и надежной доставке данных по каналам. Доступ третьих сторон и процесс их подключения требуют такого же сдвига — от периодических проверок и ручных шагов к постоянной верификации и более ясной модели управления правами доступа.

Институты, укрепившие эти основы после PSD2, сейчас адаптируются к PSD3 с меньшими потрясениями. Те, кто оставил свои системы PSD2 без изменений, сталкиваются с более сложным переходом.

Что осталось после PSD2

PSD2 оставила набор технических решений, которые сейчас определяют сложность внедрения PSD3. Многие учреждения быстро построили системы для соблюдения сроков: отдельные панели разрешений для разных каналов, разбросанная по продуктам логика аутентификации, API-шлюзы, настроенные на низкие объемы, и ручные процедуры проверки или подключения третьих сторон. Эти решения решили текущие задачи, но сейчас они лежат в основе нагрузки по PSD3.

Другие использовали PSD2 для упорядочивания основ. Они объединили разрешения в одном месте, сделали аутентификацию общим сервисом, инвестировали в более надежные API и внедрили более четкие механизмы контроля доступа. Всё это делалось без учета PSD3, но дает им возможность адаптироваться без полного разрушения систем.

PSD3 и PSR показывают разницу между этими двумя путями. Новый регламент требует, чтобы банки в реальном времени знали, кто и что получает, при каких разрешениях и с каким уровнем доверия. Он ожидает, что API будут вести себя последовательно, проверки мошенничества — подтверждаться в момент транзакции, а права доступа — проверяться постоянно. Эти ожидания сильно зависят от того, как была заложена основа PSD2.

Работа, выполненная по PSD2, сейчас определяет, насколько разрушительным станет PSD3.

Решения, которые нельзя откладывать

Некоторые архитектурные решения уже на столе, и ожидание окончательного текста не упростит их принятие. Разрешения должны иметь единое место; разбросанные хранилища согласий, созданные во время PSD2, усложняют управление деталями, отзыв доступа и демонстрацию того, что было в момент одобрения.

Аутентификация должна функционировать как единый сервис, а не набор шагов на уровне продукта, потому что PSD3 ожидает, что банки покажут полный контекст одобрения, а не только факт выполнения SCA.

Права доступа нужно проверять постоянно, а не периодически, с более чистым управлением тем, кто и что может делать со временем. API должны рассматриваться как операционная инфраструктура с уровнем надежности и последовательности, который требует PSR.

Именно поэтому банки начинают смотреть за пределы разовых решений и переходить к модульным платформам, которые легче адаптировать к регуляторным изменениям. Для устоявшихся институтов важна инфраструктура, готовая к будущему, так же как и соответствие текущим требованиям. Платформы, такие как BPC SmartVista, построенные как модульная, облачно-ориентированная архитектура, масштабируемая, дают более практичный путь к адаптации PSD3 и снижают риск того, что следующий регуляторный сдвиг потребует дорогостоящей перестройки. Банкам нужны платформы, облегчающие переход, поддерживающие соответствие требованиям по мере их изменения и оставляющие пространство для адаптации без полного пересмотра системы.

Эти решения во многом определят, станет ли PSD3 управляемым обновлением или дорогостоящей перестройкой. Ранние действия дают банкам возможность адаптироваться по своим условиям. Ожидание окончательного текста рискует сузить пространство для действий.

Маленькое окно возможностей

Где правила открытого банкинга ужесточались раньше, банки, действовавшие рано, имели больше возможностей для осознанных решений. Те, кто ждал, вынуждены были импровизировать под давлением. PSD3 движется по тому же пути. Рассматривать его как инфраструктурную задачу сейчас дает банкам больше контроля над результатом. Ожидание окончательного текста только сокращает время для действий.