多くのヨーロッパの銀行は、PSD3を遠い目標のように語り続けていますが、政治的合意は2025年11月に成立し、法務チームはすでに2026年を移行計画の中心に置いています。業界はもはやこれを「後で確定するもの」として扱う余裕を失っています。その一因は、PSD3は本質的にPSD2にいくつかの追加層を重ねたものであるという誤信です。いわばPSD2.0のようなものです。そうではありません。新しいパッケージである第三次支払いサービス指令(PSD3)と直接適用される支払いサービス規則(PSR)は、許可の管理方法、認証の証明方法、第三者アクセスの管理方法において基準を引き上げています。また、アカウント間送金、デジタルウォレット、より広範なデータ共有モデルが、銀行がPSD2向けに構築したインフラに対してより重い要求を突きつけるタイミングでもあります。私たちのヨーロッパの機関との協働を通じて、さまざまなアプローチを目の当たりにしています。ある銀行は最終的なテキストを待って意思決定を行っています。一方で、すでにPSD3が制御されたアップグレードになるのか、破壊的なレトロフィットになるのかを決定するコンポーネントを再構築し始めている銀行もあります。この違いは規制の解釈には関係なく、アーキテクチャに関係しています。**銀行が依然として露出している部分**多くの銀行は、PSD3を政策解釈の観点から捉え続けていますが、実際のプレッシャーはその下にあるシステムにあります。PSD2の下で構築された多くのシステムは、締め切りに間に合わせるために急いで組み立てられたものであり、多くの銀行はその後、即時のプレッシャーが過ぎ去った後にこれらのコンポーネントを強化しませんでした。一例が同意管理です。多くの銀行は、PSD2の導入時に取り付けられたチャネル固有の同意ストアやダッシュボードに依存しています。これらの設定は、PSD3が期待する詳細レベルでの許可管理や、それらを取り消したり証明したりすることを難しくしています。認証も同じ場所にあります。強力な顧客認証(SCA)が行われたことを証明するだけでは不十分であり、銀行は取引承認時の認証コンテキストと発信者の承認状況を示す必要があります。詐欺対策もさらなるプレッシャーをもたらします。これらは今や、後から再構築するのではなく、リアルタイムでリスクが評価されたことを示す必要があります。監視ツールが断片化している場合や、取引データが切り離されたシステムにまたがっている場合は、これがより困難になります。BPCのSmartVista Fraud Managementのようなプラットフォームは、オンライン取引監視と集中データ管理、AI/MLサポートを組み合わせており、銀行に必要なアーキテクチャの一例です。活動をリアルタイムで評価し、その決定がどのようになされたかを示すことができる必要があります。APIのパフォーマンスも対象です。PSRは、インターフェースが稼働し続けるか、エラーを一貫して処理できるか、チャネル間でデータを信頼性高く提供できるかに重きを置いています。第三者アクセスやオンボーディングも同じシフトが必要です。定期的なチェックや手動のステップから、継続的な検証とアクセス権管理の明確なモデルへと移行すべきです。PSD2の後にこれらの基盤を強化した機関は、今やPSD3への適応においてはるかに少ない混乱で済んでいます。一方、PSD2の構築をそのままにしていた銀行は、より険しい道のりを強いられています。**PSD2が残したもの**PSD2は、今やPSD3の難易度を決定づける一連の技術的決定を残しました。多くの機関は締め切りに間に合わせるために急いで構築しました:異なるチャネル用の個別の許可ダッシュボード、製品間に散在する認証ロジック、低ボリューム向けに調整されたAPIゲートウェイ、第三者の確認やオンボーディングのための手動ステップ。これらの選択は当面の問題を解決しましたが、今やPSD3の作業の中心にあります。他の機関は、PSD2を利用して基盤を整えました。許可を一箇所にまとめ、認証を共有サービスとして扱い、より信頼性の高いAPIに投資し、より明確なアクセス制御を導入しました。これらはPSD3を念頭に置いて行ったわけではありませんが、システムを壊すことなく適応できる余裕を与えています。PSD3とPSRは、これら二つの道の違いを明らかにします。新しい枠組みは、銀行に対してリアルタイムで誰が何にアクセスしているのか、どの許可の下で、どの程度の保証を持っているのかを把握することを求めています。APIは一貫して動作し、取引時に詐欺チェックが証明され、アクセス権が継続的に検証されることを期待しています。これらの期待は、PSD2の土台の築き方次第で大きく異なります。PSD2の下で行われた作業が、PSD3の破壊的な程度を決定しています。**先送りできない決定**すでにいくつかのアーキテクチャ的な決定が出ており、最終的なテキストを待つことはそれらを容易にしません。許可は一つの場所に集約すべきです。PSD2の時に作られた散在する同意ストアは、詳細管理やアクセスの取り消し、承認時点の状態の証明を難しくしています。認証は一つのサービスとして機能すべきです。PSD3は、単にSCAイベントが発生したことを示すだけでなく、承認の全体的なコンテキストを示すことを求めています。アクセス権は間隔を空けて確認するのではなく、継続的に検証される必要があります。誰が何をできるかを時間とともに管理するよりクリーンな方法も必要です。APIも運用インフラとして扱われ、PSRが求める信頼性と一貫性を持つ必要があります。これが、銀行が一時的な修正を超え、規制の変化をよりスムーズに吸収できるモジュール型プラットフォームに目を向け始めている理由です。既存の金融機関にとって、将来に備えたインフラは、現行のコンプライアンスと同じくらい重要です。BPC SmartVistaのようなモジュール式、クラウドネイティブのアーキテクチャは、PSD3への適応をより実用的にし、次の規制変化による高額な再構築のリスクを低減します。銀行は、移行を容易にし、要件の進化に対応し、システム全体を再構築せずに適応できるプラットフォームを必要としています。これらの選択は、PSD3が管理可能なアップグレードとして受け入れられるか、コストのかかる再構築になるかを大きく左右します。早めに動くことで、銀行は自分たちの条件で適応する余裕を持てます。最終的なテキストを待つと、行動の時間枠が狭まるリスクがあります。
PSD3対応は将来の問題ではありません。今,現在の問題です。
多くのヨーロッパの銀行は、PSD3を遠い目標のように語り続けていますが、政治的合意は2025年11月に成立し、法務チームはすでに2026年を移行計画の中心に置いています。業界はもはやこれを「後で確定するもの」として扱う余裕を失っています。
その一因は、PSD3は本質的にPSD2にいくつかの追加層を重ねたものであるという誤信です。いわばPSD2.0のようなものです。そうではありません。新しいパッケージである第三次支払いサービス指令(PSD3)と直接適用される支払いサービス規則(PSR)は、許可の管理方法、認証の証明方法、第三者アクセスの管理方法において基準を引き上げています。
また、アカウント間送金、デジタルウォレット、より広範なデータ共有モデルが、銀行がPSD2向けに構築したインフラに対してより重い要求を突きつけるタイミングでもあります。
私たちのヨーロッパの機関との協働を通じて、さまざまなアプローチを目の当たりにしています。ある銀行は最終的なテキストを待って意思決定を行っています。一方で、すでにPSD3が制御されたアップグレードになるのか、破壊的なレトロフィットになるのかを決定するコンポーネントを再構築し始めている銀行もあります。この違いは規制の解釈には関係なく、アーキテクチャに関係しています。
銀行が依然として露出している部分
多くの銀行は、PSD3を政策解釈の観点から捉え続けていますが、実際のプレッシャーはその下にあるシステムにあります。PSD2の下で構築された多くのシステムは、締め切りに間に合わせるために急いで組み立てられたものであり、多くの銀行はその後、即時のプレッシャーが過ぎ去った後にこれらのコンポーネントを強化しませんでした。
一例が同意管理です。多くの銀行は、PSD2の導入時に取り付けられたチャネル固有の同意ストアやダッシュボードに依存しています。これらの設定は、PSD3が期待する詳細レベルでの許可管理や、それらを取り消したり証明したりすることを難しくしています。認証も同じ場所にあります。強力な顧客認証(SCA)が行われたことを証明するだけでは不十分であり、銀行は取引承認時の認証コンテキストと発信者の承認状況を示す必要があります。
詐欺対策もさらなるプレッシャーをもたらします。これらは今や、後から再構築するのではなく、リアルタイムでリスクが評価されたことを示す必要があります。監視ツールが断片化している場合や、取引データが切り離されたシステムにまたがっている場合は、これがより困難になります。BPCのSmartVista Fraud Managementのようなプラットフォームは、オンライン取引監視と集中データ管理、AI/MLサポートを組み合わせており、銀行に必要なアーキテクチャの一例です。活動をリアルタイムで評価し、その決定がどのようになされたかを示すことができる必要があります。APIのパフォーマンスも対象です。PSRは、インターフェースが稼働し続けるか、エラーを一貫して処理できるか、チャネル間でデータを信頼性高く提供できるかに重きを置いています。第三者アクセスやオンボーディングも同じシフトが必要です。定期的なチェックや手動のステップから、継続的な検証とアクセス権管理の明確なモデルへと移行すべきです。
PSD2の後にこれらの基盤を強化した機関は、今やPSD3への適応においてはるかに少ない混乱で済んでいます。一方、PSD2の構築をそのままにしていた銀行は、より険しい道のりを強いられています。
PSD2が残したもの
PSD2は、今やPSD3の難易度を決定づける一連の技術的決定を残しました。多くの機関は締め切りに間に合わせるために急いで構築しました:異なるチャネル用の個別の許可ダッシュボード、製品間に散在する認証ロジック、低ボリューム向けに調整されたAPIゲートウェイ、第三者の確認やオンボーディングのための手動ステップ。これらの選択は当面の問題を解決しましたが、今やPSD3の作業の中心にあります。
他の機関は、PSD2を利用して基盤を整えました。許可を一箇所にまとめ、認証を共有サービスとして扱い、より信頼性の高いAPIに投資し、より明確なアクセス制御を導入しました。これらはPSD3を念頭に置いて行ったわけではありませんが、システムを壊すことなく適応できる余裕を与えています。
PSD3とPSRは、これら二つの道の違いを明らかにします。新しい枠組みは、銀行に対してリアルタイムで誰が何にアクセスしているのか、どの許可の下で、どの程度の保証を持っているのかを把握することを求めています。APIは一貫して動作し、取引時に詐欺チェックが証明され、アクセス権が継続的に検証されることを期待しています。これらの期待は、PSD2の土台の築き方次第で大きく異なります。
PSD2の下で行われた作業が、PSD3の破壊的な程度を決定しています。
先送りできない決定
すでにいくつかのアーキテクチャ的な決定が出ており、最終的なテキストを待つことはそれらを容易にしません。許可は一つの場所に集約すべきです。PSD2の時に作られた散在する同意ストアは、詳細管理やアクセスの取り消し、承認時点の状態の証明を難しくしています。
認証は一つのサービスとして機能すべきです。PSD3は、単にSCAイベントが発生したことを示すだけでなく、承認の全体的なコンテキストを示すことを求めています。
アクセス権は間隔を空けて確認するのではなく、継続的に検証される必要があります。誰が何をできるかを時間とともに管理するよりクリーンな方法も必要です。APIも運用インフラとして扱われ、PSRが求める信頼性と一貫性を持つ必要があります。
これが、銀行が一時的な修正を超え、規制の変化をよりスムーズに吸収できるモジュール型プラットフォームに目を向け始めている理由です。既存の金融機関にとって、将来に備えたインフラは、現行のコンプライアンスと同じくらい重要です。BPC SmartVistaのようなモジュール式、クラウドネイティブのアーキテクチャは、PSD3への適応をより実用的にし、次の規制変化による高額な再構築のリスクを低減します。銀行は、移行を容易にし、要件の進化に対応し、システム全体を再構築せずに適応できるプラットフォームを必要としています。
これらの選択は、PSD3が管理可能なアップグレードとして受け入れられるか、コストのかかる再構築になるかを大きく左右します。早めに動くことで、銀行は自分たちの条件で適応する余裕を持てます。最終的なテキストを待つと、行動の時間枠が狭まるリスクがあります。