PSD3 Готовність Не Майбутня Проблема. Це Теперішня Проблема.

Багато європейських банків досі говорять про PSD3 так, ніби це віддалена віхта, хоча політична угода була досягнута у листопаді 2025 року, а юридичні команди вже ставлять 2026 рік у центр планування переходу. Індустрія вичерпала можливості вважати це чимось, що буде закріплено «пізніше».

Частина проблеми полягає в переконанні, що PSD3 — це в основному PSD2 з кількома додатковими шарами — так званий PSD2.0. Це не так. Новий пакет — Третя директива про платіжні послуги та безпосередньо застосовний Регламент про платіжні послуги (PSR) — підвищує стандарти щодо того, як регулюються дозволи, як підтверджується автентифікація і як управляється доступ третіх сторін.

Він також з’являється в момент, коли міжрахункові платежі, цифрові гаманці та ширші моделі обміну даними створюють більші вимоги до тієї ж інфраструктури, яку банки будували для PSD2.

У нашій роботі з європейськими інституціями ми спостерігаємо дуже різні підходи. Деякі банки чекають на остаточний текст, перш ніж приймати рішення. Інші вже перебудовують компоненти, які визначать, чи стане PSD3 контрольованим оновленням або руйнівним ретрофітом. Різниця не має нічого спільного з регуляторною інтерпретацією і все — з архітектурою.

Де банки все ще під уразливістю

Багато банків досі підходять до PSD3 через призму політичної інтерпретації, хоча справжній тиск зосереджений у системах під ним. Більшість того, що було створено за PSD2, було швидко зібрано для дотримання строків, і багато банків так і не повернулися, щоб зміцнити ці компоненти після проходження нагальних термінів.

Прикладом є згода. Багато банків досі покладаються на канал-специфічні сховища згод або панелі управління, додані під час PSD2. Такі налаштування ускладнюють управління дозволами на рівні деталізації, яку очікує PSD3, і ще більше ускладнюють їх відкликання або підтвердження.

Автентифікація часто розташована в тому ж місці. Доказ того, що етап Strong Customer Authentication (SCA) відбувся, недостатній; банки повинні показати контекст автентифікації та статус авторизації ініціатора під час затвердження транзакції.

Контроль шахрайства додає додатковий тиск. Тепер потрібно показати, як ризик оцінювався у реальному часі, а не відновлювався пізніше. Це ускладнюється, коли інструменти моніторингу залишаються фрагментованими або дані транзакцій зберігаються у роз’єднаних системах. Платформи, такі як SmartVista Fraud Management від BPC, що поєднують онлайн-моніторинг транзакцій із централізованим управлінням даними та підтримкою AI/ML, демонструють той тип архітектури, який потрібен банкам. Вони повинні мати можливість оцінювати активність у реальному часі та показувати, як приймалися рішення. Також важлива продуктивність API. PSR робить ставку на те, щоб інтерфейси залишалися доступними, обробляли помилки послідовно та надійно передавали дані через канали. Доступ третіх сторін та onboarding потребують такої ж зміни — від періодичних перевірок і ручних кроків до безперевіркової постійної верифікації та чіткішої моделі управління правами доступу.

Інститути, які зміцнили ці основи після PSD2, тепер адаптуються до PSD3 із значно меншими порушеннями. Ті, що залишили свої конструкції PSD2 без змін, тепер стикаються з більш крутим підйомом.

Що залишилося поза увагою PSD2

PSD2 залишила поза увагою низку технічних рішень, які тепер визначають, наскільки складним буде PSD3. Багато інституцій швидко зібрали рішення для дотримання строків: окремі панелі дозволів для різних каналів, логіка автентифікації, розкидана по продуктах, API-шлюзи, налаштовані для низьких обсягів і ручних перевірок або onboarding третіх сторін. Ці рішення вирішили негайну проблему, але тепер вони знаходяться в центрі роботи над PSD3.

Інші використали PSD2 для впорядкування основ. Вони об’єднали дозволи в одному місці, розглядали автентифікацію як спільну послугу, інвестували у більш надійні API та запровадили чіткіший контроль доступу. Це все зроблено без урахування PSD3, але дає їм можливість адаптуватися без розриву систем.

PSD3 і PSR відкривають різницю між цими двома шляхами. Новий каркас очікує, що банки в реальному часі будуть знати, хто і що отримує доступ, за якими дозволами і з яким рівнем впевненості. Він очікує, що API поводитимуться послідовно, що перевірки шахрайства будуть підтверджені під час транзакції, а права доступу — постійно перевірятися. Ці очікування дуже різняться залежно від того, як було закладено основу PSD2.

Робота, виконана за PSD2, тепер визначає, наскільки руйнівним стане PSD3.

Рішення, які не можна відкладати

На столі вже стоять кілька архітектурних рішень, і чекати остаточного тексту не полегшить їх ухвалення. Права доступу потребують єдиного центра; розкидані сховища згод, створені під час PSD2, ускладнюють управління деталями, відкликання доступу або показ того, що було в момент затвердження.

Автентифікація має діяти як одна послуга, а не набір кроків на рівні продуктів, оскільки PSD3 очікує, що банки покажуть повний контекст затвердження, а не просто факт, що подія SCA відбулася.

Права доступу потрібно перевіряти постійно, а не через інтервали, з більш чистим управлінням тим, хто і що може робити з часом. API мають розглядатися як операційна інфраструктура з рівнем надійності та послідовності, які вимагає PSR.

Саме тому банки починають дивитися за межі одноразових рішень і прагнуть до модульних платформ, здатних краще поглинати регуляторні зміни. Для існуючих інституцій важливо мати інфраструктуру, готову до майбутніх змін, так само як і до дотримання поточних вимог. Платформи, такі як BPC SmartVista, створені як модульна, хмарно-орієнтована архітектура, що масштабовується, дають банкам більш практичний шлях до адаптації PSD3 і зменшують ризик того, що наступна регуляторна зміна викличе ще одне дороге перебудовування. Банкам потрібні платформи, що полегшують перехід, підтримують відповідність вимогам у міру їх еволюції і залишають простір для адаптації без повторного відкриття всієї системи.

Ці рішення багато визначать, чи стане PSD3 керованим оновленням або дорогим перебудовуванням. Ранній старт дає банкам можливість адаптуватися на своїх умовах. Очікування остаточного тексту ризикує звузити простір для дій.

Коротший, ніж здається, вікно можливостей

Там, де правила відкритого банкінгу вже посилилися раніше, банки, що діяли швидко, мали більше можливостей зробити обдумані вибори. Ті, що чекали, змушені були латати ситуацію під тиском. PSD3 іде тим самим шляхом. Вважати його інфраструктурною роботою зараз дає банкам більше контролю над результатом. Очікування остаточного тексту лише звужує можливості діяти.