PSD 2 (Payment Service Directive) - Директива Европейского парламента и Совета о платежных услугах на внутреннем рынке в ее условно второй редакции.
Развитие цифровой экономики в Европе началось еще до того как это стало мейнстримом. Первая платежная директива (2007/64/EC, далее - PSD 1) прошла путь от проекта, представленного в 2005 году, до принятого в 2007 году документа, объяснившего участникам платежного рынка, как нужно работать, какую информацию следует донести до клиента (сроки, стоимость и даже обменный курс конверсионных операций) и как о проделанной работе отчитываться. Что наиболее важно, PSD 1 стала основой для единого рынка платежей в Европе (SEPA).
В рамках PSD 1 европейские законотворцы предприняли небезуспешную попытку обеспечить доступность трансграничных платежей на уровне внутристрановых как для платежных институтов, так и для потребителей.
В результате мы имеем прозрачный рынок, рост конкуренции, защищенного и довольного качеством сервиса потребителя.
"Маленькие детки - маленькие бедки, большие детки - большие бедки."
Прямым (но это не точно) следствием усилий, направленных на стимулирование роста платежного рынка и развитие инноваций стали рост платежного рынка и развитие инноваций, а к этому никто не был готов.
Финтех набирает популярность и инвестированный капитал, появляются новые посредники, а шоппинг с использованием смартфона становится обычным делом. Рынок демонстрирует устойчивый рост. Например, B2C-сектор электронной коммерции на изображении ниже (в трлн. долл.; значение 2017 года прогнозное).
Кроме того, доля e-commerce в европейской экономике традиционно высокая (традиционно за счет Великобритании) и сейчас составляет 4,91%. А это на уровне и даже чуть выше стран Азии (4,87%).
Отдельно стоит упомянуть PFM-сервисы, позволяющие рисовать красивые дэшборды... ну и строить бюджет, планировать расходы, визуализировать цели - короче говоря, агрегировать информацию о состоянии банковских счетов. Каноничными стали ныне почивший Wesabe и Mint, явившие себя рынку в 2006 году.
Специалисты из London Economics, iff и PaySys во всем этом заметили "worldwide technological innovation", что и отразили в весьма авторитетном исследовании о влиянии PSD 1 на платежный рынок в 2013 году. В целом, охвата PSD 1 стало мало, поэтому в том же 2013 году был подготовлен проект PSD 2 (Directive (EU) 2015/2366), а в начале 2016 года вступила в силу финальная редакция.
------------------------------------------------------------------
Что привнес PSD 2 в картину мира?
Далее под PSD 2 мы будем подразумевать как непосредственно Директиву 2015/2366, так и всю сопутствующую информационную инфраструктуру (EBA RTS, разъяснения Совета и т.д.)
Прежде всего, Вторая платежная директива разделила участников платежного рынка на ASPSP и TPP.
ASPSP (англ. Account Servicing Payment Service Providers) обслуживают счета. Назовем это простым словом "банк". TPP (Third Party Providers) - т.н. "третьи лица". Кладези инноваций, оболочка для тех самых финтех-компаний. Включает три типа:
- PISP (Payment Initiation Service Providers) инициируют платеж, т.е. формируют от имени плательщика электронное платежное поручение. Это значит, что денежные средства плательщика не прикасаются к счетам PISP. PISP осуществляют лишь обмен информацией между плательщиком, мерчантом и банком.
- AISP (Account Information Service Providers) агрегируют информацию об остатках на банковских счетах в едином UI. Помните Wesabe и Mint?
- PIISP (Payment Instrument Issuer Service Providers) занимаются эмиссией платежных инструментов. Платежный инструмент - это способ доступа к счету (например, пластиковая карта).
Все, конечно, красиво. Но как уговорить банки пускать непонятно кого (далее - TPP) к счетам клиентов? Правильно. Заставить на уровне законодательства.
Open Banking - идея всеобщей взаимной интеграции и открытости в предоставлении банковских услуг, ключевым практическим воплощением которой стало использование Open API для обеспечения доступа третьих лиц к пользовательским данным и банковским сервисам. Юридический бэкграунд - PSD 2 (EU) и The Open Banking Standard (UK). Позволяет разрабатывать невиданные доселе банковские продукты и максимизировать эффективность их сбыта (персонализированность продуктов и таргетинг в рекламе). Банковскими, впрочем, мы их называем по привычке...
PSD 2 обязывает банки открывать свои информационные системы для TPP. Часто встречается аббревиатура "XS2A" (англ. access to accounts). Технологически - это Screen Scraping и Open API, который нужно разрабатывать и поддерживать. Очевидно, что дивный новый мир влетает в копеечку для традиционных финансовых учреждений. И речь не только о бюджете IT-департамента, бизнес-модель также претерпевает изменения. Свободная клиентская миграция провоцирует депрессии у маркетологов: LTV нестабилен, стоимость удержания растет. Выпускать клиента из собственной инфраструктуры значит терять кросс-сейл, а маржу, формируемую обыкновенным платежом порой на хлеб не намажешь. Победившие революционеры то и дело повторяют: "The world needs banking but it does not need banks. Теперь вы - бекенд, смиритесь".
Более гибкие кредитные учреждения, однако, чувствуют себя куда комфортнее. Продуктовый инжиниринг организован "на потоке", а из коллабораций можно извлечь результат. Наверное. Да нет, точно можно.
Ой, ну все. Сколько там транзакций идет вне МПС?
Действительно. Платежный бизнес прочно ассоциируется с VISA и MasterCard (AmEx, UnionPay и далее по списку). Однако отдельные представители европейского рынка способны удивлять. Например, в Германии доля МПС составляет лишь четверть рынка.
В Нидерландах 60% приходится на местную iDEAL, 14% - на SEPA direct debit и 18% на МПС. Таким образом, рынок есть, а его потенциальной емкости достаточно, чтобы призадуматься.
[минутка конспирологии]
Призадуматься есть о чем и МПС. Едва ли их можно назвать бенефициарами введения Директивы. Все это выглядит как кампания против VISA / MasterCard и попытка снижения их влияния на суверенитет ЕС. С другой стороны, ресурсы МПС позволяют не сомневаться в силе их лобби или, при случае, демпинга. Или где-то под жарким солнцем взросло что-то большее?
------------------------------------------------------------------
Секьюрность как лейтмотив современного всего
Особое внимание в PSD 2 уделяется вопросам безопасности. Ведь, как мы помним, TPP с нашей подачи получает доступ к нашему банковскому счету.
SCA (Strong Customer Authentication) говорит о необходимости использования динамических кодов подтверждения операции (одноразовый набор цифр из sms / email - сообщения) и двухфакторной аутентификации плательщика.
Есть три доказательства аутентичности, два из которых необходимо использовать:
- знание (напр., PIN-код)
- имущество (напр., карта или смартфон)
- свойство (биометрия)
Не попадают под требования SCA платежи с использованием удаленных каналов (с компьютера или телефона) на сумму до €30. Дробить не вариант, поскольку максимальная накопленная сумма составляет €100, а максимальное число операций равно 5. Туда же относятся бесконтактные платежи с использованием платежных инструментов; ограничения, в данном случае, - €50 / €150 / 5.
Не попадают под ограничения транзакции в пользу доверенных бенефициаров (список доверенных бенефициаров формируется плательщиком); платежи на парковочных и транспортных терминалах; корпоративные платежи по выделенным каналам, удовлетворяющим требованиям национального регулирующего органа; доступ к счету в течение 90 дней с момента прохождения процедур SCA; переводы самому себе.
------------------------------------------------------------------
Случайный факт: 792 км от Лондона до Базеля по данным Google Maps можно пройти за неделю
------------------------------------------------------------------
Современное регулирование не было бы современным регулированием без риск-ориентированного подхода к чем-нибудь. PSD 2 и EBA RTS не исключение.
В рамках TRA (Transaction Risk Analysis) PSP получает возможность определять максимальную сумму операции по коэффициенту фрода (сумма фродовых транзакций к общей сумме операций за последние 90 дней).
Денежные средства, похищенные по причине несоответствия сервиса требованиям SCA, плательщику возмещаетнерадивый PSP.
------------------------------------------------------------------
Вместо заключения
PSD 2 - это большой шаг к Open Banking. Очевидно, что определенных шероховатостей не избежать. Готовность банков вызывает вопросы, форматы API как в байке про двух крокодилов: один зеленый, другой - в Африку. Тем не менее, дорогу осилит идущий. К тому же для best practise, с поправкой на национальные особенности, когда-нибудь найдется место и в российском законодательстве. А пока успехи этого идущего прямо пропорциональны европейским ожиданиям относительно объема инвестиций в суверенный финтех-сектор.
------------------------------------------------------------------
Даты:
-- 01.2016 -- Вступила в силу финальная редакция PSD 2
-- 11.2017 -- Публикация финальной редакции EBA RTS
-- 01.2018 -- Дедлайн для внедрения требований PSD 2 в национальное законодательство стран-членов ЕС
-- 09.2019 -- Дедлайн для внедрения требований EBA RTS
------------------------------------------------------------------
Важные ссылки:
-- Directive 2007/64/EC (PSD 1)
-- Directive (EU) 2015/2366 (PSD 2)
-- Final Report. Draft RTS on SCA and CSC
------------------------------------------------------------------