PSD2 — Directive (EU) 2015/2366 — Ocak 2018'den itibaren AB ödeme hizmetlerinin temel düzenlemesi oldu. Strong Customer Authentication (SCA) zorunluluğu, açık bankacılık (PISP, AISP) hakları ve müşteri korumaları getirdi. Ancak yedi yıl sonra Avrupa Komisyonu PSD2'nin sınırlarını gördü: dolandırıcılık (özellikle authorised push payment fraud) hızla büyüdü, açık bankacılık API ekosistemi parçalandı, e-money ve payment institution arasındaki ayrım anlamını yitirdi. 28 Haziran 2023'te PSD3 + PSR teklifi yayımlandı. Bu makale geçişin pratik içeriğini açıklar: PSP'ler, EMI'lar ve fintech'ler için neler değişiyor ve 2026-05 itibarıyla hangi konularda erkenden hazırlık yapmak akıllıca.
PSD3 + PSR Neden İki Parça?
Avrupa Komisyonu kasıtlı olarak iki ayrı yasama aracını seçti:
- PSD3 — Directive. Üye devletlerin transposition'ı gerektirir. İçerik: ödeme kuruluşu yetkilendirmesi, ulusal yetkili otoriteler arasındaki işbirliği.
- PSR — Regulation. Doğrudan uygulanır. İçerik: kullanıcı koruma, SCA, açık finans, ücret şeffaflığı, EMD2 hükümlerinin entegrasyonu.
Bu ayrım PSD2'nin en büyük şikayetini çözmek için: PSD2 bir direktifti, üye devletler transposition'da farklı yorumlar yaptı, "AB-çapında tek pazar" pratikte çatladı. PSR doğrudan uygulanırlığıyla bu fragmentasyonu kapatıyor.
Trilogue Süreci ve Beklenen Zaman Çizelgesi
2026-05 itibarıyla PSD3 + PSR teklifi Avrupa Parlamentosu ve Konsey arasındaki üçlü görüşme (trilogue) aşamasında. Beklenen takvim:
| Aşama | Beklenen Tarih |
|---|---|
| Trilogue tamamlanması | 2026 sonu - 2027 ortası |
| Resmi Gazete yayımı | 2027 |
| PSR uygulama tarihi | 2028-2029 (yayımdan 18-30 ay sonra) |
| PSD3 transposition deadline | 2028-2029 |
Önemli not: bu tarihler kesin değil. Avrupa düzenleyici süreçleri sıkça uzar. Yine de bugün PSD3 önerisi içerik olarak büyük ölçüde stabilize edilmiş — yapısal değişikliğin yönünü tahmin etmek için yeterli.
Temel Değişiklikler
1. EMD2 Entegrasyonu
PSD3 + PSR EMD2'yi (Directive 2009/110/EC) yürürlükten kaldırıyor. EMI'lar artık "e-para ihraç eden ödeme kuruluşu" (payment institution issuing e-money) olarak PI çerçevesi içine konsolide ediliyor. EMD2'nin önemli hükümleri korunuyor:
- €350k asgari sermaye e-para ihraç eden PI için.
- %100 safeguarding zorunluluğu, segregasyon yöntemi tercih edilir.
- AB pasaportlama hakkı.
EMI'lar için pratik etki: tek başvuru, tek lisans tipi. Mevcut EMI'lar otomatik dönüştürülecek (grandfathering hükmü öngörülüyor). Detaylı EMD2 analizi için EMD2 e-para direktifi makalemize bakın.
2. IBAN-İsim Eşleştirme Zorunluluğu
PSR Madde 50 (Verification of Payee — VoP) Ekim 2025'ten itibaren bağlayıcı bir SEPA ödemesinde IBAN ile alıcı adının eşleştirilmesini zorunlu kılıyor. Aslında bu kural önce SEPA Instant Credit Transfer Regulation (2024/886) ile geldi — PSR'in genel PSP'lere yaymasıyla pekiştirilecek. Pratik akış:
- Kullanıcı IBAN + alıcı adı girer.
- PSP arka uçta alıcı bankasına IBAN-isim eşleştirme sorgusu gönderir.
- Yanıt: tam eşleşme, kısmi eşleşme veya eşleşmeme.
- PSP kullanıcıyı bilgilendirir — özellikle eşleşmeme durumunda işlemi tamamlamadan önce açık onay alır.
Bu kural authorised push payment fraud'u (kullanıcının yanıltılarak doğru görünen IBAN'a ödeme yapması) doğrudan hedefler. PSR ek olarak fraud tazmin yükümlülüğünü PSP'lere kısmen yansıtıyor.
3. Açık Bankacılıktan Açık Finansa Genişleme
PSR API ile erişim hakkını ödeme hesabının ötesine taşıyor:
- Hesap bilgisi servisi (AIS): PSD2'de mevcut; PSR'de daha katı SLA'lar, daha az "screen scraping fallback."
- Ödeme başlatma servisi (PIS): PSD2'de mevcut; PSR'de "premium API" yasağı (PSP'ler ücretsiz API sunmak zorunda).
- Açık finans veri erişimi: ayrı bir FIDA (Financial Data Access) Regulation teklifi ile paralel yürütülüyor — kredi, sigorta, yatırım, emeklilik gibi finansal verilere de açık API erişimi.
Pratikte FIDA + PSR birlikte AB'yi "açık bankacılıktan açık finansa" geçiriyor. PSP'ler için ek API yatırımı + üçüncü taraf data sharing agreement'leri gerekecek.
4. SCA Güncellemeleri
Strong Customer Authentication PSD2'nin temel taşıydı; PSR'de:
- Erişilebilirlik: SCA biyometri olmadan da alternatif sunmak zorunda (yaşlı veya engelli kullanıcılar için).
- Geç biyometrik bias düzeltmeleri: ML modellerinin yaş, ırk, cinsiyet karşı performans paritesi.
- Wallet provider'ları: Apple Pay, Google Pay gibi mobile wallet'ların SCA delegasyonu net hale geliyor — wallet yapan, PSP'nin SCA yükümlülüğünü teknik olarak yerine getirir.
5. Dolandırıcılık Tazmini
Yeni rejim authorised push payment fraud için kısmi PSP tazmin yükümlülüğü getirir: PSP IBAN-isim eşleşmesi yapmamışsa veya başarısız SCA yapmışsa kullanıcının kaybını tazmin eder. UK'deki Payment Systems Regulator (PSR-UK) modeline yakın.
6. Crypto Hizmet Sağlayıcılar İçin Açık Bankacılık Erişimi
PSR taslağında dikkat çeken bir hüküm: CASP'ler ve yetkili kripto kuruluşları PISP statüsü almaya başlayabilir — yani açık bankacılık API'lerini kripto satın alım/satım için kullanabilirler. Bu MiCA + PSR kesişiminin ilk somut sonucu olabilir.
PSD2 vs PSD3 Karşılaştırma
| Konu | PSD2 (mevcut) | PSD3 + PSR (öneri) |
|---|---|---|
| Yasama tipi | Direktif (üye devlet transposition) | Direktif (PSD3) + Yönetmelik (PSR) |
| E-money entegrasyonu | EMD2 ayrı düzenler | EMD2 PSR içine taşınır |
| IBAN-isim eşleştirme | Yok | Zorunlu |
| Fraud tazmini | Sınırlı | PSP kısmi sorumluluk |
| Açık bankacılık API ücreti | Belirsiz | Ücretsiz zorunlu |
| Açık finans | Yok | FIDA ile paralel |
| SCA istisnaları | RTS bazlı | Genişletilmiş erişilebilirlik |
| Wallet provider SCA | Net değil | SCA delegasyonu netleşir |
PSP/EMI için Bugünden Hazırlık Listesi
- IBAN-isim eşleştirme entegrasyonu. Zaten SEPA Instant için zorunlu (Ekim 2025'ten itibaren PSP'ler için, Ekim 2025'ten itibaren PIs için 2027). PSD3 bu yükümlülüğü genelleştirecek.
- Açık bankacılık API'lerini "premium" olmaktan çıkarma. PSR'de ücretsiz erişim zorunlu olacak — gelir modeli güncellemesi gerek.
- Fraud monitoring + transaction-level risk scoring. PSP sorumluluğu artıyor; daha iyi fraud detection = daha az tazmin maliyeti.
- Open finance API hazırlığı. FIDA + PSR birlikte ek API ekosistemi yaratacak. Erken hazırlık aksiyona vakit kazandırır.
- EMD2 grandfathering planı. EMI iseniz, PSR'e geçişin operasyonel iş yükünü (yetkilendirme güncellemesi, yeni raporlama formatları) tahmin edin.
- AML/KYC entegrasyon revizyonu. PSR + AMLR (2027) eş zamanlı uygulanır — iki yükümlülük setini tek bir compliance teknolojisi katmanından karşılamak ölçek ekonomisi yaratır.
Sıkça Sorulan Sorular
PSD3 ne zaman uygulanmaya başlar?
2026-05 itibarıyla teklif hâlâ trilogue aşamasında. Beklenen takvim: trilogue 2026 sonu - 2027 ortasında tamamlanır, Resmi Gazete yayımı 2027, PSR uygulaması yayımdan 18-30 ay sonra (2028-2029). Bu tarihler değişebilir.
PSD2 ne zaman yürürlükten kalkar?
PSR yayımlandığında PSD2 yürürlükten kalkar. Geçiş döneminde PSD2 altında alınan lisanslar otomatik olarak yeni rejime taşınır (grandfathering). Detaylar PSR'in geçiş hükümlerinde belirlenecek.
IBAN-isim eşleştirme zaten SEPA Instant'ta zorunlu değil mi?
Evet, SEPA Instant Credit Transfer Regulation (2024/886) Ekim 2025'ten itibaren PSP'ler için PSP-PSP eşleştirme zorunluluğunu getirdi. PSR bunu genelleştirir — tüm SEPA Credit Transfer (sadece instant değil) için ve tüm PSP segmentleri için. Yani SEPA Instant'a zaten hazırsanız, PSR yükü görece düşük.
EMI'lar PSR'de farklı bir lisans tipi mi olacak?
Hayır — EMI ayrı bir lisans tipi olarak ortadan kalkar. "E-para ihraç eden ödeme kuruluşu" (payment institution issuing e-money) kategorisi olur. Mevcut EMI lisanslarının grandfathered olması bekleniyor. Asgari sermaye €350k, safeguarding yükümlülüğü korunur.
Crypto-asset service provider (CASP) PSD3 kapsamında mı?
Birincil olarak hayır — CASP'ler MiCA kapsamındadır. Ancak bir CASP fiat ödeme hizmetleri sunuyorsa (örn. kart hesabı ile kripto satın alım, fiat-on-ramp), o kısmı için ödeme kuruluşu yetkilendirmesi de gerekebilir. PSR'in CASP'lere PISP statüsü açma önerisi bu kesişimi netleştirir.
Legichain ile PSD3 Hazırlığı
PSD2'den PSD3'e geçiş PSP'ler ve EMI'lar için sürekli kontrol katmanlarının yükselmesi anlamına geliyor — IBAN-isim eşleştirme, fraud monitoring, açık finans entegrasyonu hepsi compliance teknolojisinin daha derin entegrasyonunu gerektiriyor. Legichain AML tarama API'si AMLD5/6 + gelecek AMLR + PSR kullanıcı koruma yükümlülüklerini tek entegrasyonla karşılamak için tasarlandı. PSP solution sayfamız yaptırım taraması, fraud risk skorlaması ve işlem izleme akışlarını birleştirir; e-para solution sayfamız ise EMI'lar için PSR geçişine hazır safeguarding raporlama ve müşteri kabul süreçleri sunar.