Cadrul european al serviciilor de plată trece prin cea mai semnificativă revizuire de la PSD2 încoace. În urma acordului politic din noiembrie 2025, PSD3 și Regulamentul privind serviciile de plată (PSR) se află acum în etapa legislativă finală. Adoptarea formală și intrarea în vigoare sunt așteptate la începutul până la mijlocul anului 2026. PSR, în calitate de regulament direct aplicabil, nu va necesita transpunere națională și va declanșa primul val de aplicare, care acoperă SCA, răspunderea pentru fraudă și obligațiile de open banking, la sfârșitul anului 2026 până la începutul anului 2027.
La Namirial, vedem PSD3/PSR ca unul dintre cele mai clare exemple ale ceea ce am descris în previziunile noastre pentru 2026: plățile, identitatea digitală și Strong Customer Authentication converg într-o singură infrastructură de încredere. Cadrele de reglementare nu mai sunt trasee paralele. PSD3/PSR, AMLR și eIDAS 2.0 converg în jurul unei arhitecturi comune pentru verificarea identității, autentificare și autorizarea tranzacțiilor. Organizațiile care construiesc astăzi pentru această convergență vor avea mâine un avantaj structural de conformitate.
Acest articol explică ce înseamnă PSD3 și PSR în practică pentru autentificare, semnăturile digitale și infrastructura de identitate, cum evoluează cadrul SCA în cadrul PSR, cum EUDI Wallet și QES devin instrumente SCA de prim rang și cum platforma Namirial răspunde fiecărui nivel al acestor cerințe.
De ce PSD2 avea nevoie de o actualizare: decalajul de autentificare
PSD2 a adus progrese reale: a introdus SCA, a creat baza juridică pentru open banking și a redus ratele fraudei pe carduri. Dar implementarea sa practică a scos la iveală puncte slabe structurale persistente pe care PSD3 și PSR le abordează direct.
Cel mai critic eșec a fost calitatea SCA. Livrarea OTP prin SMS s-a dovedit a fi extrem de vulnerabilă la phishing: atacurile de tip SIM-swap, ingineria socială și malware-ul mobil au făcut din SCA bazată pe SMS o apărare slabă împotriva fraudei industrializate care caracterizează peisajul actual al amenințărilor. Între timp, API-urile de open banking au fost implementate inconsecvent între statele membre, răspunderea pentru frauda de tip Authorized Push Payment (APP) a rămas neclară, iar autentificarea delegată nu avea niciun cadru de reglementare.
PSD3 și PSR reprezintă un răspuns țintit la aceste eșecuri. Principalele schimbări:
- SCA mai extinsă și mai puternică: acoperă autentificările, configurarea mandatelor, gestionarea beneficiarilor, recuperarea dispozitivelor și toate acțiunile cu risc ridicat asupra contului
- Răspundere extinsă pentru fraudă: PSP-urile poartă responsabilitatea pentru eșecurile SCA, inclusiv atunci când autentificarea este delegată unor terți
- Verification of Payee (VoP) obligatorie: verificarea corespondenței IBAN/nume este necesară înainte de fiecare transfer de credit
- API-uri standardizate de open banking: paritate de performanță executorie, cu obstacole explicit interzise
- Aliniere formală cu eIDAS 2.0: QES și credențialele EUDI Wallet sunt recunoscute ca metode valide de SCA
- Răspundere pentru frauda prin impersonarea PSP: PSP-ul este responsabil atunci când un client este fraudat prin impersonarea PSP-ului însuși
PSD2 vs. PSD3/PSR: schimbările operaționale
Tabelul de mai jos prezintă cele mai semnificative schimbări operaționale pentru organizațiile care gestionează autentificarea digitală, fluxurile de plată și infrastructura de identitate:
Efectul combinat este o povară de conformitate considerabil mai mare pentru PSP-uri și partenerii lor tehnologici, cu o răspundere extinsă care coboară de-a lungul lanțului de delegare. Pentru organizațiile care furnizează servicii SCA către PSP-uri, inclusiv QTSP-uri, furnizori IAM și operatori de portofele digitale, PSD3/PSR este un eveniment de reglementare direct, nu o considerație secundară.
Evoluția SCA: de la parole la autentificare rezistentă la phishing
Strong Customer Authentication în cadrul PSR păstrează principiul celor doi factori, cel puțin doi dintre cunoaștere, posesie și inerentă, dar ridică semnificativ standardul privind ceea ce trebuie să ofere fiecare factor.
Problema centrală pe care o rezolvă PSR: OTP nu mai este suficient
În cadrul PSD2, majoritatea instituțiilor îndeplineau cerințele SCA cu o parolă (cunoaștere) plus un OTP prin SMS (posesie). Această combinație s-a dovedit profund vulnerabilă. Interceptarea SMS-urilor, frauda de tip SIM-swap și capturarea OTP-urilor prin malware au făcut din SCA bazată pe SMS un vector principal de atac. PSR răspunde prin ridicarea standardului de calitate pentru factorii de autentificare și prin formalizarea unei abordări bazate pe rezultat: PSP-urile care demonstrează rate de fraudă constant scăzute, printr-o Transaction Risk Analysis (TRA) robustă, vor obține acces la excepții mai largi. Dar pragul pentru a demonstra acea rată scăzută de fraudă a crescut, de asemenea.
Biometria comportamentală ca factor SCA formalizat
PSR formalizează o extindere semnificativă a ceea ce constituie un factor valid de inerentă. Biometria comportamentală, inclusiv tiparele de tastare, dinamica de utilizare a dispozitivului și semnalele comportamentale de navigare, poate fi acum combinată formal cu biometria fiziologică pentru a constitui un al doilea factor valid. Acest lucru deschide calea către o SCA complet lipsită de fricțiune pentru acțiunile cu risc scăzut, unde autentificarea adaptivă bazată pe risc poate verifica utilizatorul în mod silențios, fără niciun gest activ.
SCA delegată: inovație permisă, răspundere păstrată
PSR permite explicit Delegated Authentication (DA): un PSP poate delega SCA unei terțe părți, cum ar fi un operator de portofel digital, un gateway de plăți sau un furnizor de servicii de încredere. Acest lucru este un factor important de facilitare pentru finanțarea integrată și pentru inovația în open banking. Totuși, PSR clasifică delegarea drept outsourcing, declanșând aplicarea completă a ghidurilor EBA privind outsourcing-ul și a cerințelor DORA privind riscurile ICT. PSP-ul care deleagă păstrează răspunderea deplină pentru eșecurile SCA.
Convergența care definește deceniul: PSD3, eIDAS 2.0 și AMLR
Așa cum am scris în previziunile noastre pentru 2026, cea mai importantă evoluție în domeniul european al încrederii digitale nu este o singură reglementare, ci convergența a trei cadre în jurul unei infrastructuri comune de identitate:
PSD3/PSR: autentificarea trebuie să fie puternică, delegată cu grijă și rezistentă la phishing
Obligațiile de SCA devin direct aplicabile prin PSR la sfârșitul anului 2026. Calitatea factorilor de autentificare, răspunderea pentru delegare și cerințele de monitorizare a fraudei stabilesc un nou nivel de bază pentru fiecare PSP care operează în UE.
eIDAS 2.0: EUDI Wallet devine un instrument SCA de prim rang
În temeiul articolului 5f din eIDAS 2.0, instituțiile financiare trebuie să accepte EUDI Wallet ca metodă validă de autentificare până în decembrie 2027. Acesta nu este un scenariu viitor; este o obligație obligatorie cu un termen-limită ferm, chiar dacă există încă unele zone gri care trebuie definite, deoarece formularea din eIDAS („strong user authentication”) este diferită și nu la fel de detaliată ca cea necesară în reglementările din domeniul plăților/financiar. Credențialele bazate pe wallet, emise de QTSP-uri și verificate în raport cu nivelurile de asigurare eIDAS, îndeplinesc simultan cerințele de posesie și inerentă ale SCA din PSR, permițând totodată divulgarea selectivă a atributelor de identitate, reducând expunerea datelor.
AMLR: aceeași identitate care realizează KYC poate realiza și SCA
Atunci când AMLR se va aplica din iulie 2027, suprapunerea de reglementare devine decisivă din punct de vedere operațional: o instituție care acceptă o credențială EUDI Wallet pentru KYC în temeiul articolului 22 din AMLR satisface simultan cerința de SCA din PSR pentru aceeași interacțiune cu clientul. Aceasta este convergența care face ca investiția în infrastructură să fie strategică, și nu doar determinată de conformitate. O singură identitate calificată, verificată o singură dată conform standardelor ETSI TS 119 461 v2.1.1, poate servi drept ancoră de încredere pentru KYC, SCA și semnarea documentelor reglementate în cadrul aceluiași flux.
Calendarul legislativ: acțiunea înainte de aplicare
Perioada 2026–2027 este fereastra operațională de pregătire. Deciziile arhitecturale luate acum vor determina poziția de conformitate atunci când obligațiile devin aplicabile:
O notă practică privind separarea PSR/PSD3: PSR conține majoritatea regulilor operaționale, inclusiv obligațiile privind SCA, frauda, transparența și open banking, și intră în vigoare direct la 20 de zile după publicare, fără transpunere națională. PSD3 guvernează licențierea și supravegherea instituțională a instituțiilor de plată și necesită o perioadă de transpunere de 18 luni. Prin urmare, obligațiile esențiale privind SCA și răspunderea pentru fraudă vor fi aplicabile înainte ca normele naționale PSD3 să fie pe deplin în vigoare.
Cum răspunde Namirial PSD3/PSR: o platformă completă de autentificare
Namirial este un Qualified Trust Service Provider (QTSP) în temeiul eIDAS, care operează pe mai multe piețe europene prin Namirial S.p.A. (Italia), Uanataca (Spania). Platforma noastră acoperă întregul stack SCA cerut de PSD3/PSR: infrastructură EUDI Wallet, semnare bazată pe certificate calificate, integrare eID federată și arhivare calificată pentru conformitate.
Namirial Wallet: SCA cu EUDI Wallet, pregătită înainte de termenul limită din decembrie 2027
Platforma noastră Wallet, compusă din Wallet Gateway (orchestrarea protocoalelor), Wallet App (gestionarea credențialelor pe partea utilizatorului) și Wallet Studio (gestionarea emitenților), permite organizațiilor să integreze credențialele EUDI Wallet ca instrumente SCA atât în temeiul PSR, cât și al art. 5f din eIDAS 2.0. Namirial este un participant activ în Large Scale Pilots pentru EUDI Wallet prin consorțiul Potential, cu experiență în servicii guvernamentale, banking, telecomunicații și semnături electronice. O ofertă Wallet-as-a-Service (WaaS) este în curs de dezvoltare pentru instituțiile care au nevoie de integrare rapidă fără a construi infrastructură de wallet de la zero.
QES prin Namirial Sign Enterprise: semnarea mandatelor și autentificarea plăților de mare valoare
Semnăturile Electronice Calificate, emise de infrastructura multi-QTSP a Namirial din Italia, Spania și Franța, oferă autentificare bazată pe certificate care depășește majoritatea implementărilor SCA din PSD2. În cadrul PSR, autentificarea susținută de QES este direct aplicabilă pentru configurarea mandatelor, autorizările SEPA și fluxurile de onboarding reglementate în care este necesară certitudinea identității.
Certificatele de unică folosință (single-use), valabile 60 de minute și legate de o anumită tranzacție, permit semnarea QES de înaltă asigurare fără stocare permanentă a certificatelor. Acest lucru face ca QES să fie practică la scară largă pentru fluxurile de plată în care este necesară autentificare puternică per tranzacție, nu per sesiune. Arhitectura multi-QTSP, care include Namirial și Uanataca, oferă și reziliență geografică și continuitate în temeiul DORA: dacă un QTSP nu este disponibil, fluxurile SCA pot fi redirecționate fără întrerupere.
Namirial Archive: dovezi de conformitate SCA rezistente la audit
Normele extinse ale PSR privind răspunderea pentru fraudă impun PSP-urilor să păstreze dovezi robuste, rezistente la manipulare, că SCA a fost aplicată corect pentru fiecare tranzacție acoperită de regulament. Namirial Archive oferă păstrare calificată pe termen lung (QPRES, conformă cu eIDAS eArchiving), certificare NF 461 în Franța (AFNOR) și calificare SAE QC2 în Italia (ACN). Evenimentele de autentificare, certificatele de semnare, jurnalele tranzacțiilor și înregistrările de verificare a identității sunt păstrate cu deplină validitate juridică pentru perioada de retenție cerută de autoritățile naționale de supraveghere.
Soluțiile Namirial mapate pe cerințele SCA ale PSR:
Concluzie: SCA este acum un business, nu doar o cerință de conformitate
Regulatory Observatory al nostru a identificat SCA în cadrul PSD3/PSR ca pe o „oportunitate de business nouă, pozitivă”, în special în segmentul Keyless/IAM. Susținem această evaluare. Extinderea domeniului de aplicare al SCA, formalizarea autentificării delegate și alinierea cu EUDI Wallet creează o piață reală pentru autentificare rezistentă la phishing, de nivel FIDO2 și nativă pentru wallet la nivelul plăților — iar aceasta este exact infrastructura pe care Namirial a construit-o.
Perioada 2026–2027 nu este un orizont de planificare. Este perioada de pregătire operațională pentru decizii de infrastructură care trebuie luate acum. Instituțiile care selectează parteneri de autentificare aliniați simultan la PSR, DORA, eIDAS 2.0 și AMLR nu doar că vor satisface obligațiile de reglementare: ele vor construi infrastructura de identitate și de plăți care va susține următorul deceniu al finanțelor digitale de încredere.
Namirial este pregătită să sprijine această tranziție: ca furnizor de tehnologie EUDI Wallet, ca QTSP multi-piață pentru SCA bazată pe QES și ca partener ICT aliniat la DORA pe întregul ciclu de viață al autentificării plăților.
Conținut asociat pe namirial.com
- Previziunile Namirial pentru 2026: plăți, SCA și convergența încrederii digitale
- Transformarea conformității în oportunitate: EUDI Wallet în serviciile financiare
- De la AMLR la eIDAS 2.0: conformitate în KYC și onboarding
- AML-KYC: tsunamiul care vine în 2026-2027
- Platforma Namirial Wallet: servicii de identitate digitală și de încredere de nouă generație
