PSD3 ja PSR: uued makseteenuste reeglid suruvad pettusi, peidetud tasusid ja nõrka open banking’ut nurka

ELi makseteenuste raamistik läheb suureks ümberkirjutamiseks. Uus makseteenuste direktiiv PSD3 ja sellega käsikäes liikuv makseteenuste määrus PSR kujundavad ümber nii pankade, makseteenuse pakkujate (PSP-de), fintechi-ettevõtete kui ka kaupmeeste igapäevase äri. Euroopa Komisjon tegi paketiga ettepaneku juba 2023. aasta juunis, Euroopa Parlament võttis oma seisukoha vastu 2024. aasta kevadel ning 2025. aasta jooksul on paralleelselt liikunud nii Nõukogu positsioon kui ka nn triloogid.

Aasta lõpu seisuga on ELi institutsioonid jõudnud poliitilise kokkuleppeni PSD3/PSR põhisuunistes – fookuses on maksepettuste vähendamine, IBAN/name-check ehk saaja nime kontroll, tasude täielik läbipaistvus ning open banking’u reeglite ühtlustamine ja tugevdamine. Lõplike õiguslike tekstide “džitimine” jätkub, kuid suund on turuosaliste jaoks piisavalt selge, et alustada süsteemsete ettevalmistustega.

Allpool vaatame, mida PSD3 ja PSR sisuliselt tähendavad – ning mida peaksid PSP-d/fintechid ja kaupmehed juba praegu tegema.

Mis on PSD3 ja PSR – ning miks neist nii palju räägitakse?

PSD3 on uus makseteenuste ja e-raha teenuste direktiiv, mis keskendub eelkõige litsentseerimisele, tegevuslubadele ja järelevalve raamistikule. See koondab ühe mütsi alla makseteenuse pakkujad ja e-raha asutused ning uuendab definitsioone ja loetelu sellest, millised teenused täpselt kuuluvad regulatsiooni alla.

PSR seevastu on otse kohaldatav määrus, mis reguleerib makseteenuste osutamise käitumisreegleid:

kliendi kaitse ja vastutuse jaotus,
maksepettuste tõkestamine (sh SCA – tugev kliendi autentimine),
tasude läbipaistvus,
open banking’u ehk konto- ja makse algatamise teenuste standardiseerimine.

Oluline erinevus varasema PSD2 ajastuga on, et suur osa igapäeva-mängureeglitest viiakse just määrusesse – see tähendab kogu EL-is ühtlustatud raamistikku, vähem “riigi eripärasid” ja keerulisi tõlgendusi piiriülestes ärimudelites.

Teemat on detailsemalt käsitlenud ka rahvusvahelised bürood nagu Taylor Wessing ja Baltikumi kontekstis Ellex, rõhutades, et PSD3/PSR on üks olulisemaid finantssektori reforme käimasoleval kümnendil.

Pettuste vastane võitlus: IBAN/name-check ja uus vastutusloogika

Üks PSD3/PSR kõige nähtavamaid muudatusi on kohustuslik IBAN/name-check ehk saaja nime ja kontonumbri kontroll nn push-maksete (SEPA krediit- ja kiirmaksed) puhul. Enne makse algatamist peab makseteenuse pakkuja võrdlema makse saaja nime ja IBAN-it ning andma kliendile selge signaali, kui need ei ühti.

Lisaks sellele:

Pettuste ennetamine muutub “by design” kohustuseks. PSP-d peavad rakendama terviklikku pettuseriski juhtimise raamistikku, mis hõlmab nii tugevat kliendi autentimist, reaalajas riskiskoorimist, kahtlaste tehingute külmutamist kui ka klientidele suunatud hoiatavaid sõnumeid enne riskantseid ülekandeid.
APP-pettused (authorised push payment fraud) ja identiteedivargused ei jää enam ainult kliendi “õppetunniks”. Uus raamistik nihutab osa vastutusest PSP-dele, eelkõige juhtudel, kus pank/PSP ei ole nõuetekohaselt rakendanud ette nähtud pettusevastaseid meetmeid (nt name-check, õigeaegne hoiatus, kahtlase mustri tuvastamine).
Spoofing – olukord, kus kelmid esinevad panga või makseplatvormina – muutub eraldi fookuseks; teatud juhtudel tuleb PSP-l klienti pettuse korral hüvitada ka siis, kui klient ise “autoriseeris” makse.

Praktiline sõnum PSP-dele ja fintechi-ettevõtetele on selge: pettusevastased kontrollid ei ole enam “hea tava”, vaid range regulatiivne kohustus koos selgete vastutusreeglitega.

Tasude läbipaistvus: lõpp peidetud valuutakurssidele ja üllatustele kassas

PSR tugevdab ka tasude ja komisjonide läbipaistvuse reegleid. Eesmärk on, et klient näeks juba makse algatamise hetkel täpselt:

kui palju ta maksab valuutavahetuse eest,
millised ATM-i tasud või “teenustasud” rakenduvad,
millised vahendajad on makseahelas ja mida nad maksavad.

See puudutab otseselt ka kaupmehi ja e-poode:

kliendile ei tohi jätta muljet, et makse “on tasuta”, kui tegelikult lisandub kursivahest tulenev varjatud kulu;
eri makseviiside vahel ei tohi rakendada diskrimineerivaid või varjatud lisatasusid, mis moonutaksid kliendi valikut;
hinnastamise info peab olema arusaadav ka mobiilis, mitte ainult kusagil pikemas PDF-is.

Uuringute järgi on just peidetud tasud ja “viimasel sammul ilmuvad lisakulud” üks peamisi põhjuseid, miks kliendid katkestavad ostukorvi – seega on läbipaistvus nõue, mis töötab korraga nii regulatiivse riski vähendaja kui ka konversiooni tõstjana.

Avatud pangandus 2.0: tugevdatud open banking ja uued API-nõuded

PSD2 tõi Euroopasse avatud panganduse esimese laine; PSD3/PSR püüavad selle muuta küpsestandardiks, mitte “miinimum-vastavuseks”. Peamised suunad:

Ühtlustatud API-d ja parem ligipääs andmetele. Konto- ja makse algatamise teenuste (AIS/PIS) reegleid täpsustatakse; pankadel ei ole enam lubatud “kaudselt takistada” kolmandate osapoolte teenuseid ebastabiilsete või ebamugavate API-de kaudu.
Luba-halduse “permission dashboard”. Kasutajale peab olema pakutud selge ülevaade, millised rakendused ja teenusepakkujad on saanud juurdepääsu tema kontole/andmetele, koos lihtsa võimalusega luba tühistada. Sellist lahendust on kirjeldatud kui üht PSR võtme-elementi avatud panganduse usaldusväärsuse tõstmiseks.
Võrdsem konkurents pankade ja fintechi vahel. Eesmärk on, et uued turuosalised saaksid andmetele ja makseinfrastruktuurile ligi selgete ja teostatavate reeglite alusel, ilma varjatud tehniliste barjääride või diskrimineeriva hinnastamiseta.

Fintechidele tähendab see korraga võimalust ja kohustust:
ükski tõsiseltvõetav mängija ei saa enam lubada poolikut API-lahendust või ebamäärast nõusolekuloogikat.

Mida PSD3/PSR tähendab PSP-dele ja fintechedele?

Kui vaadata otseselt “mida teha” vaatenurgast, siis on PSD3/PSR sõnum PSP-dele ja fintechedele üsna konkreetne.

1. Korrasta KYC/AML ja pettuseriski protsessid

Uuenda kliendi tundmise (KYC) vooge, et need oleksid riski-põhised, digitaalselt jälgitavad ja tõendatavad.
Integreeri realtime pettuse-tuvastuse tööriistad maksevoogudesse (ka kiirmaksete puhul), sh käitumispõhised mustrid ja seadmeidentifikaatorid.
Veendu, et AML-seire töötaks üheskoos uute pettusevastaste nõuetega – PSD3/PSR ootab, et pettuseriski juhtimine ei oleks eraldi “saarekene”, vaid osa laiemast riskijuhtimissüsteemist.

2. Vaata kriitilise pilguga üle SCA ja UX

PSD3/PSR ei tähenda ainult rohkem turvakihtide lisamist – jutt käib nutikamast SCA-st, mis ei ajaks klienti hulluks, aga täidaks rangemad nõuded.

Kaardista olemasolevad tugeva kliendi autentimise (SCA) vood: millal küsid PIN-i, SMS-koodi, biometriat, millistel juhtudel kasutad erandeid.
Testi, kas uute reeglite valguses ei muutu tehingutagasilükkamiste (decline) määr liiga kõrge – eriti mobiili- ja kiirmaksete puhul.
Uuenda digikanalite UX-i, et hoiatused (nt IBAN/name-check’i mismatch) oleksid arusaadavad, lühikesed ja mobiilis loetavad, mitte pelgalt juriidiline tekstiplokk.

3. Investeeri API-desse ja open banking’u infrastruktuuri

Veendu, et su API-d vastaksid uutele standarditele ning oleksid dokumenteeritud moel, mis võimaldab kolmandatel osapooltel neid tegelikult kasutada, mitte ainult “checkboxi täita”.
Planeeri permission-dashboard’i loomine (või olemasoleva ümbertegemine), kus klient näeb ja haldab oma lube.
Kaardista, millised partnerid (fintechid, platvormid) kasutavad sinu API-sid – ja kas nad on valmis PSD3/PSR järgseks maailmaks.

Kaupmehed ja e-poed: mis muutub maksete, SCA ja tasude kuvamise osas?

Kaupmeeste jaoks võib PSD3/PSR tunduda “pankade teemana”, kuid tegelikult jõuavad muudatused väga otseselt kassa- ja makselahendusteni, mida kliendid sinu e-poes või füüsilises poes kasutavad.

1. SCA ja kassavood: kadunud maksed = kadunud käive

Uute reeglite järgi peavad PSP-d tagama tõhusa SCA – kui sinu kassalahendus on “tundlik”, võivad tekkida täiendavad autentimise sammud või seniste erandite kadumine (nt väiksemate summade tehingud).
See tähendab, et kaupmees peab koos oma makseteenuse pakkujaga üle vaatama:
- kui palju samme on kassas;
- kas lisandub autentimise ekraane;
- kuidas need on mobiilis ja desktopis integreeritud.

Iga lisasamm võib vähendada konversiooni, seega tasub testida erinevaid kassavooge juba enne, kui uued reeglid täielikult rakenduvad.

2. Tasude ja kursivahede kuvamine

Kui müüd klientidele teiste riikide valuutas või kasutad dünaamilist valuutavahetust (DCC), pead koos PSP-ga tagama, et kursiinfo ja teenustasu on selgelt nähtav enne makse kinnitamist.
Kui kasutad erinevaid makseviise (kaart, “maksa hiljem”, rahvusvahelised digirahakotid), kontrolli, et kusagil ei oleks “vaikimisi lisatasusid”, mis võivad minna vastuollu PSR läbipaistvusnõuetega.

3. Lepingud PSP-dega ja riskijagamine

PSD3/PSR muudab osaliselt vastutuse jagunemist pettuste korral. Kaupmeestel tasub oma PSP-lepingud üle vaadata:

kes vastutab APP-pettuse korral;
millal PSP võib tehingu peatada või tagasi pöörata;
kuidas jaguneb kahju, kui pank pole täitnud name-check’i või muid kohustuslikke samme.

See ei ole pelgalt juriidiline harjutus – see on otseselt seotud sellega, milline on sinu finantsrisk ja brändi mainepettusjuhtumite korral.

Ajajoon: millal PSD3 ja PSR eeldatavasti päriselt “hammustama” hakkavad?

Kuna 2025. aasta jooksul on ELi institutsioonid liikunud triloogide ja poliitilise kokkuleppe suunas, eeldatakse, et lõplikud õigusaktid võetakse ametlikult vastu ja avaldatakse ELi ametlikus väljaandes 2026. aasta paiku, millele järgneb üleminekuperiood (tavapäraselt 18–24 kuud olenevalt nõudest).

See tähendab:

PSP-del ja fintechedel on aega planeerida ja ellu viia, aga mitte lõputult;
kaupmeestel on mõistlik juba praegu küsida oma makselahenduse partneritelt konkreetset PSD3/PSR tegevusplaani, mitte oodata “viimase minutini”.

5 praktilist sammu, millega alustada juba nüüd

PSD3/PSR gap-analüüs
Tee koos juriidilise ja compliance-tiimiga (või välise nõustajaga) kiire võrdlus: mis sul on juba täna olemas PSD2 ajast, mis vastab uutele nõuetele, ja kus on kõige suuremad lüngad (petursusüsteemid, API-d, SCA, tasude kuvamine).
KYC/AML ja pettusevastased protsessid “kaardile”
Pane kirja kogu klientide teekond – alates on-boarding’ust kuni maksevaidlusteni – ning märgi ära, kus tuleb PSD3/PSR tõttu midagi tugevdada (näiteks name-checki integreerimine, kahtlaste tehingute automaatne peatamine, klientidele reaalajas hoiatused).
Tehniline tegevusplaan UX-i ja API-de jaoks
Lepi arendustiimiga kokku ajajoon, mil:
- uuendatakse kassavoog SCA-ga kooskõlas,
- lisatakse selged tasude kuvamise lahendused,
- tuuakse turule permission-dashboard.
Lepingud ja partnerid üle vaadata
Kaupmehed: rääkige oma PSP-ga läbi, kuidas uus vastutusmudel teid mõjutab.
PSP-d/fintechid: kaardistage, kuidas PSD3/PSR nõudeid kajastada kliendi- ja partnerlepingutes.
Teavitamine ja koolitus
Uued reeglid ei tohi üllatada ei kliente ega töötajaid. Valmistage ette sisemine koolitus (risk, klienditeenindus, IT) ja kliendikommunikatsioon – miks ekraanile ilmus uus hoiatus, miks küsitakse lisakinnitust, miks muutus info tasude kohta detailsemaks.

PSD3 ja PSR ei ole “väike tehniline uuendus”, vaid makseteenuste turu uus versioon, mis paneb pettused, peidetud tasud ja laialivalguvad open banking’u tõlgendused senisest tugevama kontrolli alla.
Need PSP-d, fintechi-ettevõtted ja kaupmehed, kes kasutavad üleminekuperioodi proaktiivselt, saavad lisaks regulatiivsele vastavusele ka äriedu: suurem klientide usaldus, parem konversioon ja lihtsam piiriülene kasv.