Maksupalveludirektiivi on EU:n direktiivi, jonka tarkoitus on parantaa ja yhtenäistää ETA-alueen maksukenttää. Maksupalveludirektiivi koostuu ensimmäisestä maksupalveludirektiivistä PSD1, joka tuli voimaan 1.11.2009 ja toisesta maksupalveludirektiivistä PSD2, joka tuli voimaan 13.1.2018.
Ensimmäinen maksupalveludirektiivi loi sääntelyn ETA-alueen yhtenäiselle maksukentälle. Eli jokaisen jäsenmaan maksukenttä yhtenäistettiin yhdeksi EU:n kattavaksi maksukentäksi.
Toinen maksupalveludirektiivi jatkoi ensimmäistä, ja lisäsi sääntelyä sähköiseen maksamiseen liittyen. PSD2 avasi pankkimarkkinan sääntelemällä pankkien avaamaan rajapintansa. PSD2 toi mukanaan myös turvallisuutta, sillä vahva tunnistautuminen tuli pakolliseksi. PSD2 koskettaa kaikkea sähköistä eli nettimaksamista.
PSD2 mahdollisti myös niin kutsuttujen kolmansien osapuolien (TPP) tulon markkinoille. Kolmansia osapuolia ovat maksutoimeksiantopalvelut ja tilitietopalvelut, esimerkiksi Trustly, Brite tai Zimpler.
Maksupalveludirektiivin pääidea on yhtenäistää EU:n maksukenttä ja lisätä kilpailua maksupalveluissa ja parantaa turvallisuutta.
Maksupalveludirektiivi eli PSD
Ensimmäinen maksupalveludirektiivi tuli laiksi marraskuun ensimmäisenä päivänä 2009.
Maksupalveludirektiivin pääidea oli yhtenäistää ETA-alueen maksukenttä. Esimerkiksi PSD:n ansiosta SEPA ja IBANit pystyivät kehittämään Euroopan laajuisen maksualueen ja verkoston, ja lopulta tulemaan pakollisiksi EU:ssa.
PSD säänteli myös niin kutsutut electronic money institutionit eli EMI:t. Monet digipankit aloittivat EMI:nä ennen kuin saivat pankkiluvan. EMI:t voivat periaatteesa tehdä monia samoja palveluita kuin pankit, mutta eivät saa antaa lainaa.
Toinen maksupalveludirektiivi eli PSD2
Toinen maksupalveludirektiivi toi kolme huomattavaa muutosta maksupalveluihin:
- Vahva tunnistautuminen
- Avoin pankkitoiminta
- Kolmansien palveluntarjoajien lisensoiminen ja sääntely.
Vahva tunnistautuminen
Vahva tunnistautuminen on tunnistautumista sähköisiin palveluihin antamalla jotain tietoa, jonka vain tunnistaja voi tietää, laitteella jonka vain tunnistaja omistaa.
Vahva tunnistautuminen vaatii kaksi näistä kolmesta: jotain mitä tiedät, jotain mitä omistat, jotain mitä olet:
Jotain mitä tiedät: yleensä pin tai tunnusluku
Jotain mitä omistat: yleensä puhelin ja puhelimen sovellus
Jotain mitä olet: biometrinen tunnistautuminen eli sormenjälki tai kasvojentunnistus.
Vaatimus vahvasta tunnistamisesta vähentää petoksia ja väärinkäytöksiä. Vahva tunnistautuminen koskee kaikkea netissä tapahtuvaa maksamista ETA-alueella. Suoraveloituksella olevat palvelut, kuten striimauspalvelut, eivät vaadi vahvaa tunnistaumista kuukausiveloitukseen. Pelkästään ensimmäisen veloituksen tunnistautuminen riittää.
Vahvalla tunnistautumisella on myös alaraja: jos ostos on alle 30 euroa, vahvaa tunnistautumista ei pidä tehdä. Jos samalta kortilta ostetaan ilman vahvaa tunnistautumista viisi kertaa peräkkäin tai yli 100 euron arvosta, silloin vahva tunnistautumien tarvitsee taas tehdä.
Vahva tunnistautuminen tuli pakolliseksi 14.9.2019. Samalla omavastuu pieneni aiemmasta 150 eurosta 50 euroon.
Lue lisää vahvasta tunnistautumisesta.
Avoin pankkitoiminta eli Open Banking
Open banking eli avoin pankkitoiminta tarkoittaa infrastruktuuria, jossa pankit tarjoavat kolmansille osapuolille pääsyn pankkidataan kuluttajan suostumuksella. Dataa voivat olla tilitapahtumat, kate, ikä, osoite tai vaikka nimi. Kolmansista osapuolista käytetään nimeä third party providers: TPPs.
Avoin pankkitoiminta pakotti pankit avaamaan käyttäjien datan käyttäjien itse valitsemilleen palveluille. Avointa pankkitoimintaa ajoi myös ajatus siitä, että asiakas omistaa oman datansa, eikä organisaatiot. Pankit avasivat data kolmansille osapuolille niin kutsuttujen rajapintojen (API) kautta.
Avoin pankkitoiminta loi maaston uusille maksulaitoksille ja innovaatiolle.
Kolmannet osapuolet (tai palveluntarjoajat) eli third party providers (TPPs)
PSD2 toi mahdollisuuden kolmansille osapuolille hankkia maksulaitos lisenssi. PSD2 mahdollisti kolme erilaista palveluntarjoajaa: maksunvälityspalvelut ja tilitietopalvelut ja niin kutsuttu card-based payment instrument issuer CBPII.
Suomessa näitä TPP lisenssejä myöntää finanssivalvonta nimellä maksulaitoslisenssi.
Maksutoimeksiantopalvelut ja tilitietopalvelut (PISP & AISP)
Maksutoimeksiantopalvelu on palvelu, joka tekee rahansiirron asiakkaan tililtä, asiakkaan pyynnöstä. Tunnetuimpia maksutoimeksiantopalveluita ovat trustly ja paytrail. Maksutoimeksiantopalvelusta käytetään PSD2 kontekstissa nimeä PISP payment initiation service provider.
Tilitietiopalvelu on palvelu, joka välittää asiakaan pankkitililtä jotain tietoa, kuten kate, asiakkaan pyynnöstä kolmannelle osapuolelle. Tilitietopalvelusta käytetään PSD2 kontekstissa nimeä AISP Account information service provider.
Molemmat PISP ja AISP tarvitsevat vahvan tunnistautumisen aloittaakseen tapahtumat, joka takaa turvallisuuden ja käyttäjän eksplisiittisen suostumuksen.
Card-based Payment Instrument Issuer, CBPII
CBPII:lle ei ole sopivaa suomennosta, mutta CBPII toimii käytännössä niin, että kolmas osapuoli myöntää maksukortin, joka voi käyttää pankin katetietoja.
PSD2 voimaantulo
PSD2 tuli voimaan tammikuun 13. 2018. ja vahva tunnistautuminen 14.9.2019.
PSD2 mahdollisuudet
PSD2 avasi maksukenttään uusia mahdollisuuksia, jota yritykset kuten trustly, euteller. revolut, wise, n26, klarna ja paytrail ovat käyttäneet hyödyksi.
PSD2 vaikutukset
PSD2 vaikutukset ovat moninaisia, mutta ytimekkäästi ilmaistuna tavallisien pankkien piti mukautua ja kehittää rajapinnat kolmansille osapuolille käytettäväksi. Innovointi lisääntyi ja markkinoille on tullut finanssipalveluita jotka ovat digitaalisia, innovatiivisia ja käyttäjälle erinomaisia.
PSD3
Kolmas maksupalveludirektiivi on tulossa tulevaisuudessa. EU on jo pitänyt siitä istuntoja. Vuosia menee vielä ennekui PSD3 tulee laiksi tai edes viralliseksi ehdotukseksi.
Yksi asia mikä on PSD3 pöydällä on jälleen kuluttajan data. PSD3 tullee antamaan paremman kontrollin kuluttajalle mitä dataa tilitietopalvelut pystyvät katsomaan ja käyttämään ja antamaan kuluttajalle paremman kontrollin datan ympärille.