PSD3 and open banking: What to expect from the new European directive

On June 28, 2023, the European Commission published its proposal for the Third Payment Services Directive (PSD3), which aims to bring payment services into the digital age. PSD3 is part of the EU’s Digital Agenda, which aims to strengthen Europe’s competitiveness, innovation, and digital sovereignty.

What is PSD3, how is it different from PSD2, and what sort of progress can we expect? To make it easier to understand, here’s my attempt to summarize this lengthy regulatory text and draw out some key takeaways.

Read a French version of this article below / Découvrez une version française de l’article ci-dessous.

What is PSD3 and PSR?

In fact, the EC published a package of measures to modernize payment services and open financial services data: PSD3 and the new Payment Services Regulation (PSR).

As KPMG analysts describe it, PSD3 provides rules for the authorization of payment institutions, and PSR incorporates elements from PSD2. Together, they effectively replace PSD2 and introduce a number of revisions and improvements to it.

The proposals acknowledge problems in the current data flow process in the financial sector and seek to improve customer data flows through a stronger financial data access framework.

“In the EU’s growing data economy, every interaction in finance creates new data. It is therefore vital that European consumers remain the ones in control of their payments and they decide with whom to share this data so that they can avail of new and innovative products.”

– Mairead McGuinness, Commissioner for Financial Services, Financial Stability and Capital Markets Union.

PSD3 has four main objectives:

• Enhance security and consumer protection, by imposing stricter requirements for strong authentication, risk management, transparency, and accountability.
• Encourage innovation and competition, by opening up the market to new players such as Payment Initiation Service Providers (PISPs) and Account Information Service Providers (AISPs), who offer alternative solutions to traditional payment methods.
• Harmonize rules across Europe, by creating a common legal framework for all payment services, whether national or cross-border, and by removing regulatory and technological obstacles to the digital single market.
• Support the ecological transition, by encouraging the use of more sustainable means of payment, such as instant payments, mobile payments, or digital currencies.

PSD3 is an ambitious and complex text, which will have to be adopted by the European Parliament and the Council of the EU.

Directives (such as PSD3) need to be transposed into national laws of the member countries, while regulations (such as the new PSR) apply directly and consistently across the EU. These texts are expected to start coming into force around 2024-2025.

PSD2 vs PSD3

Much has changed since the European Payment Services Directive of 2007, followed by PSD2 in 2018. We have seen spectacular growth in electronic payments in the EU (30% in the 4 years to 2021 to reach 240,000 billion euros in value).

PSD2 introduced Strong Customer Authentication (SCA), which helped decrease fraudulent transactions across the EU from 2020 to 2021 by nearly half for card payment services providers. But criminals have also gotten more creative, coming up with more elaborate schemes to trick victims and using information from social media.

With new fintech players entering the market and new open banking use cases emerging (particularly around account information and payment initiation), innovations such as instant payments, contactless, and QR codes now occupy a central place in the daily lives of Europeans.

It was time to remedy the inefficiencies of PSD2.

One of the biggest changes PSD2 brought about was requiring banks to open up their payment services and access to payment account information to other companies, called Third Party Payment Services Providers (TPPs).

It forced banks to take an API-first approach to enabling customers to own their own financial data. But while the pioneering legislation was a solid intellectual model, it was a failure in reality.

The banking sector missed out on true open banking with PSD2.

“Balkanization of standards, inconsistent implementations, and tepid enthusiasm on the part of incumbent banks have led Europeans into Gartner’s Trough of Disillusionment,” said Eyal Sivan, Mr. Open Banking, at the start of the year. “However, upon observing the successes of those that followed, notably in Brazil and the Middle East, they started to revisit their approaches.”

PSD2 succeeded in making APIs the norm in the finance sector, but there is still significant variation in the format, quality, and performance of APIs. They can be prone to excessive downtime and often lack support when issues arise.

PSR responds to this issue with new rules designed to harmonize the implementation of open banking. Among other things, they address API performance requirements and the minimum functionalities they must support.

“This new European regulation will clarify the liability regime between fintechs, banks and their customers, to the benefit of all,” says Fanny Rodriguez, General Secretary and COO of payments platform Fintecture.

“It’s a safe bet that this precise framework of responsibilities will strengthen the performance of existing APIs under PSD2, as banks will be required to communicate information even more fluidly to regulated players such as fintechs.”

Concretely: what changes can we expect?

How will PSD3 and PSR affect banks, fintechs, and consumers? As with any legislative text, the regulatory proposals are dense, and debate before formal adoption may bring more changes, but here are some major themes and takeaways.

Improving open banking functionality. These elements focus on technological requirements such as the implementation of new data access interfaces, emergency data access, consent management dashboards, opening up access to financial data beyond only payment account data, etc.

Fraud mitigation. Per the European Commission, the proposals will reduce fraud by:

• Making widely available a service to check whether the name of the payee and bank account number match each other, before a transfer is confirmed
• Giving victims of fraud a right of refund by their bank or other Payment Service Providers (PSP), in specific circumstances
• Helping banks and other PSPs cooperate against fraud through more fraud-related information sharing
• Obliging banks to improve customers’ awareness about fraud

Fairer competition between banks and non-bank PSPs.

The proposals toughen requirements for banks to provide bank account services to non-bank PSP, and the latter would be able to directly participate in payment systems throughout the EU. The hope is that leveraging fairer competition would help drive down prices.

Simplification and efficiency. Electronic money institutions (EMIs) are merged with payment institutions (PIs) under a single regime, and all payment rules applicable to PSPs will be contained in a directly applicable regulation.

Strengthened consumer rights through enhanced account statement transparency, clear and transparent information regarding ATM charges, steps to rectify problems associated with blocked funds.

Improved payments experiences for consumers.

The proposal ensures consumers can make electronic payments and transactions in the EU, domestically or cross-border, in euro and non-euro.

To enhance cash accessibility in stores and via ATMs, businesses would be permitted to offer cash services to clients independent of any purchase requirements. Clearer guidelines are also provided for independent ATM operators.

Finally, instant transfers become mandatory. Banks in the EU will have to offer it to their customers, retail and professional, at the same price as a conventional transfer.

Instant transfers and payments consume less energy and make it possible to transfer funds in only 10 seconds, improving customer service and cash flow for merchants. Its adoption will certainly energize payments and stimulate fintech innovation, and we have yet to discover new use cases.

EY’s Sigrid Hansen offers an in-depth analysis of PSD3 here and PSR here.

For a graphical overview, see the EU’s fact sheet: Electronic payments in the EU and financial data access.

Towards a more holistic realization of open banking

We predicted in January that impending updates to legislation would more than likely have a broader focus on generalized data sharing, open finance, and even open data.

This set of proposals from the EC certainly represents a step forward towards enhancing competitiveness and fostering innovation. And, as Fanny Rodriguez pointed out above, it also raises issues of European sovereignty.

“These regulatory developments in Europe aim to foster competition between banks and fintechs… against a backdrop of strong political will: to boost innovation via a European infrastructure and players. In a tense geopolitical context, it’s a safe bet that this trend will only be confirmed.”

One thing that is clear is that to truly bring European payment services into the digital age, companies will need to look beyond compliance with these new regulatory and technical requirements.

We cannot allow ourselves to fall into the same trap as with PSD2; rather, we must seize the opportunity to innovate and offer consumers better experiences.

As I often say, if financial institutions are to survive in this ecosystem, they have to accept disintermediation and become digital service providers. The controlled, secure opening up of their core systems this requires is possible via APIs.

We’re no longer talking about the APIzation of banks, but rather the transformation of technical APIs into digital products using marketplace tools. These marketplaces for digital services act as showcases for developers, facilitating their consumption of the exposed services.

See also Banking as a Service: What will happen to our banks if ChatGPT becomes my bank advisor?

Increased adoption of their APIs will enable banks to derive real benefit from this new ecosystem – through the acquisition of better customer intelligence, more agile participation in innovation, and many other benefits of open banking – rather than suffering through new regulation.

It remains to be seen whether these proposals can overcome the fragmentation arising from national legislation to create a more coherent legal framework across the EU, enabling the opening up and free exchange of these API products in an expanding ecosystem.

In the meantime, it is clearly time to “Open Everything” in the financial system.

Version française

DSP3 et open banking : Que peut-on attendre de la nouvelle directive européenne ?

La Commission européenne a publié le 28 juin 2023 sa proposition pour la troisième directive sur les services de paiement (DSP3), qui vise à faire entrer les services de paiement dans l’ère numérique. La DSP3 s’inscrit dans le cadre de la stratégie numérique de l’UE, qui a pour objectif de renforcer la compétitivité, l’innovation et la souveraineté numérique de l’Europe.

En quoi consiste la DSP3, comment est-elle différente de la DSP2, et que pouvons-nous attendre comme progrès ? Pour vous faciliter la compréhension, je me suis efforcé à synthétiser ce long texte réglementaire et en tirer quelques points-clés.

Qu’est-ce que la DSP3 et le RSP ?

En réalité, la CE a publié un ensemble de mesures visant à moderniser les services de paiement et à ouvrir les données relatives aux services financiers : la DSP3 accompagnée d’un nouveau règlement sur les services de paiement (RSP).

Comme le décrivent les analystes de KPMG, la DSP3 établit des règles pour l’autorisation des établissements de paiement, et le RSP incorpore des éléments de la DSP2. Ensemble, ils remplacent la DSP2 et y apportent un certain nombre de révisions et d’améliorations.

Ces propositions reconnaissent les faiblesses du processus actuel de circulation des données dans le secteur des finances et cherchent à améliorer les flux de données des clients grâce à un cadre d’accès aux données financières plus solide.

« Dans l’économie des données en pleine croissance de l’UE, chaque interaction financière crée de nouvelles données. Il est donc essentiel que les consommateurs européens restent maîtres de leurs paiements et qu’ils décident avec qui partager ces données afin de pouvoir bénéficier de produits nouveaux et innovants. »

– Mairead McGuinness, Commissioner for Financial Services, Financial Stability and Capital Markets Union.

La DSP3 poursuit quatre grands objectifs :

• Renforcer la sécurité et la protection des consommateurs, en imposant des exigences plus strictes en matière d’authentification forte, de gestion des risques, de transparence et de responsabilité.
• Favoriser l’innovation et la concurrence, en ouvrant le marché à de nouveaux acteurs, tels que les prestataires de services d’initiation de paiement (PISP) et les prestataires de services d’information sur les comptes (AISP), qui offrent des solutions alternatives aux moyens de paiement traditionnels.
• Harmoniser les règles au niveau européen, en créant un cadre juridique commun pour tous les services de paiement, qu’ils soient nationaux ou transfrontaliers, et en supprimant les obstacles réglementaires et techniques qui entravent le marché unique numérique.
• Soutenir la transition écologique, en encourageant l’utilisation de moyens de paiement plus durables, tels que les paiements instantanés, les paiements mobiles ou les monnaies numériques.

La DSP3 est un texte ambitieux et complexe, qui devra être adopté par le Parlement européen et le Conseil de l’UE.

Les directives (telles que la DSP3) doivent être transposées dans les législations nationales des États membres, tandis que les règlements (tels que le nouveau RSP) s’appliquent directement et de manière cohérente dans l’ensemble de l’UE. Ces textes devraient commencer à entrer en vigueur à l’horizon 2024-2025.

DSP2 vs DSP3

Bien des choses ont évolué depuis la directive européenne sur les services de paiement de 2007, suivie de la DSP2 en 2018. Nous avons été témoins d’une croissance spectaculaire des paiements électroniques dans l’UE (30 % dans les 4 ans jusqu’en 2021 pour atteindre 240 000 milliards d’euros en valeur).

La DSP2 a introduit l’authentification forte du client (SCA), qui a permis de réduire de près de 50 % les transactions frauduleuses dans l’UE entre 2020 et 2021 pour les prestataires de services de paiement par carte. Mais les criminels sont aussi devenus plus créatifs, imaginant des stratagèmes plus élaborés pour tromper les victimes en utilisant des informations provenant des réseaux sociaux, par exemple.

Avec l’entrée de nouveaux acteurs Fintech sur le marché et la découverte de nouveaux cas d’usage pour l’open banking (notamment par rapport aux informations de compte et à l’initiation de paiement), des innovations telles que les paiements instantanés, le sans contact, et les codes QR occupent désormais une place centrale dans le quotidien des Européens.

Il était grand temps de remédier aux inefficacités de la DSP2.

L’un des principaux changements apportés par la DSP2 était d’obliger les banques à ouvrir leurs services de paiement et l’accès aux informations des comptes de paiement à d’autres entreprises, les prestataires de services de paiement tiers (TPP).

Les banques ont ainsi été contraintes d’adopter une approche “API-first” pour permettre aux clients de s’approprier leurs propres données financières – en principe. Car si cette législation pionnière constituait un modèle intellectuel solide, elle a été un échec dans la réalité.

Avec la DSP2, le secteur bancaire est passé à côté de la promesse de l’open banking.

« La balkanisation des normes, l’incohérence des mises en œuvre et l’enthousiasme mitigé des banques établies ont conduit les Européens dans le ‘creux de la désillusion’ de Gartner » a déclaré Eyal Sivan, Mr. Open Banking, au début de 2023. « Cependant, en observant les succès de ceux qui ont suivi, notamment au Brésil et au Moyen-Orient, ils ont commencé à revoir leurs approches. »

La DSP2 a réussi à faire des API la norme dans le secteur des finances, mais il existe toujours une grande variété dans le format, la qualité et les performances des API. Celles-ci sont parfois susceptibles de temps d’arrêt démesurés et d’une assistance médiocre en cas de problèmes.

Le RSP répond à cette problématique avec de nouvelles règles visant à harmoniser l’implémentation de l’open banking. Elles se penchent entre autres sur les exigences de performance des API et sur les fonctionnalités minimales qu’elles doivent prendre en charge.

« Cette nouvelle réglementation européenne clarifiera le régime de responsabilité entre Fintechs, banques et leurs clients, au profit de tous, » déclare Fanny Rodriguez, Secrétaire Générale et Directrice des opérations de la plateforme de paiements Fintecture.

« Il y a fort à parier que ce cadre précis de responsabilités renforcera la performance des APIs existantes dans le cadre de la DSP2 car les banques seront tenues de communiquer des informations de manière encore plus fluide aux acteurs régulés que sont les Fintechs. »

Concrètement : quels changements avec la DSP3 et le RSP ?

Comment la DSP3 et le RSP affecteront-ils les banques, les fintechs et les consommateurs ? Comme pour tout texte législatif, les propositions réglementaires sont denses, et le débat avant l’adoption formelle est susceptible d’apporter plus de changements, mais voici quelques axes majeurs à relever.

Améliorations du système bancaire ouvert. Ces améliorations consistent en de nouvelles exigences technologiques, relatives aux interfaces d’accès aux données, l’accès d’urgence aux données, la mise en place d’un tableau de bord pour la gestion du consentement, l’ouverture de l’accès aux données financières au-delà des données des comptes de paiement, etc.

Réduction de la fraude. Selon la Commission européenne, ces textes réduiront la fraude par les mesures suivantes :

• En généralisant un service permettant de vérifier la concordance entre le nom du bénéficiaire et le numéro de compte bancaire, avant la confirmation d’un virement
• En donnant aux victimes de fraude le droit d’être remboursées par leur banque ou d’autres prestataires de services de paiement (PSP), dans des circonstances spécifiques
• En aidant les banques et autres PSP à coopérer contre la fraude par le partage plus conséquent d’informations relatives à la fraude.
• En exigeant des banques qu’elles sensibilisent davantage leurs clients à la fraude.

Une concurrence plus équitable entre les banques et les PSP non bancaires.

Les propositions renforcent l’obligation pour les banques de fournir des services de comptes bancaires aux prestataires de services de paiement non bancaires, et ces derniers pourraient participer directement aux systèmes de paiement dans l’ensemble de l’UE. L’objectif étant de favoriser une concurrence plus loyale dans l’espoir de faire baisser les prix.

Simplification et efficacité. Les établissements de monnaie électronique (EMI – Electronic money institutions) sont fusionnés avec les établissements de paiement (PI – payment institutions) dans le cadre d’un régime unique, et toutes les règles de paiement applicables aux prestataires de services de paiement seront contenues dans un règlement directement applicable.

Renforcement des droits des consommateurs par une plus grande transparence des relevés de compte, des informations claires et transparentes sur les frais prélevés par les distributeurs automatiques de billets, et des mesures visant à résoudre les problèmes liés aux fonds bloqués.

Amélioration de l’expérience des consommateurs en matière de paiements.

La proposition garantit que les consommateurs peuvent effectuer des paiements et des transactions électroniques dans l’UE, au niveau national ou transfrontalier, qu’elles soient en euros ou non.

Afin d’améliorer l’accès aux liquidités dans les magasins et aux guichets automatiques, les commerces seraient autorisés à offrir des services de retrait d’espèces à leurs clients, sans obligation d’achat. Des lignes directrices plus claires sont aussi proposées pour les distributeurs automatiques de billets indépendants.

Enfin, les virements instantanés deviennent obligatoires. Les banques de l’UE devront les proposer à leurs clients, particuliers et professionnels, au même prix qu’un virement classique.

Les virements et paiements instantanés sont moins énergivores et permettent de transférer les fonds en 10 secondes seulement, ce qui améliore le service à la clientèle et la trésorerie des commerçants. Son adoption dynamisera certainement les paiements et stimulera l’innovation des fintechs, et il reste encore bien de nouveaux cas d’utilisation à découvrir.

Sigrid Hansen d’EY propose une analyse approfondie de la DSP3 ici et du RSP ici.

Pour un aperçu graphique, voir la fiche d’information de l’UE : Paiements électroniques dans l’UE et accès aux données financières.

Vers une réalisation plus complète de l’open banking

En janvier, nous prédisions que les mises à jour imminentes de la législation (c’est-à-dire la DSP3) mettraient probablement l’accent sur le partage généralisé des données, l’Open Finance et même l’Open Data.

Cet ensemble de propositions de la CE représente certainement un pas en avant vers une compétitivité renforcée et une innovation dynamisée. Et puis, comme le soulignait Fanny Rodriguez plus haut, on y retrouve aussi un enjeu de souveraineté européenne.

« Ces évolutions réglementaires en Europe visent à favoriser la concurrence entre banques et Fintechs… avec en toile de fond, une volonté politique forte : dynamiser l’innovation via une infrastructure et des acteurs européens. Dans un contexte géopolitique sous tension, il est fort à parier que cette tendance ne fera que se confirmer. »

Une chose qui est claire, c’est que pour réellement faire entrer les services de paiement européens dans l’ère numérique, les entreprises auront besoin de voir au-delà de la conformité à ces nouvelles exigences réglementaires et techniques.

Il ne faudrait pas retomber dans le même piège qu’avec la DSP2, mais plutôt saisir l’occasion d’innover et d’offrir aux consommateurs de meilleures expériences.

Je le dis souvent : pour survivre dans cet écosystème, les institutions financières doivent supporter de disparaître, du moins en frontale, pour accepter la désintermédiation et devenir prestataire de services digitaux. Cela nécessite une ouverture maîtrisée et sécurisée de son système cœur par le biais des APIs.

On ne parle plus ici d’APIsation des banques, mais plutôt de la transformation de l’API technique en produit digital à l’aide des outils de marketplace. Ces marketplaces de services digitaux, vitrines d’exposition de services digitaux à destination des développeurs, facilitent la consommation de leurs services exposés.

Voir aussi Baas: Que vont devenir nos banques si ChatGpt devient mon conseiller bancaire?

L’adoption accrue de leurs APIs permettra aux banques de tirer un véritable profit de ce nouvel écosystème – par l’acquisition d’une meilleure intelligence sur leurs clients, une participation plus agile à l’innovation, et bien d’autres bénéfices de l’open banking – plutôt que de simplement subir un nouveau règlement.

Il reste à voir si ces propositions pourront surmonter la fragmentation découlant des législations nationales pour créer un cadre juridique plus cohérent dans l’ensemble de l’UE, ce qui permettrait l’ouverture et le libre-échange de ces APIs produits dans un écosystème en expansion.

En attendant, l’heure est très clairement à l’ouverture dans le système finances.