P
PayPro.se
Tillbaka till blogg
PSD3PSRbetalningsregleringfraud liabilitySCAConfirmation of PayeeEUsvenska banker

psd3-nyckelforandringar-fraud-sca

7 min

PSD3 förskjuter ansvaret för bedrägerier, ändrar SCA-kraven och gör Confirmation of Payee obligatoriskt. Svenska betalningsaktörer har 18–24 månader på sig att anpassa sig.

PSD3 förtydligar bedrägeriansvar och SCA-krav – vad svenska betalningsaktörer måste förbereda

EU:s betalningspaket PSD3 och PSR närmar sig formellt antagande under andra kvartalet 2026. Efter november 2025 års preliminära överenskommelse mellan parlamentet och rådet står de centrala reglerna fasta. För svenska betalningsinstitut och banker handlar det inte om om utan om hur implementationen ska genomföras under knappt två år.

Bakgrund: Vad ändras egentligen?

PSD3 slår ihop regelverken för e-pengainstitut (EMI) och betalningsinstitut (PI). Från och med tillämpningsdatumet licensieras alla institut under samma ramverk. EMD2, det tidigare direktivet för e-pengar, upphävs och integreras i PSD3.

Detta förenklar administrativt men ställer krav på institut som idag opererar under EMI-licenser att se över sin status och rapportering. För svenska fintechbolag som Klarna och Trustly, som redan har betalningsinstitut-licenser, är förändringen begränsad. Mindre aktörer med enbart EMI-status måste däremot ansöka om ny licensiering.

Nytt bedrägeriansvar: 10 dagar att ersätta

Den mest konkreta förändringen gäller ansvarsfördelningen vid så kallat impersonation fraud – när en bedragare utger sig för att vara kontoinnehavaren. Enligt PSD3 måste betalningstjänstleverantören (PSP) ersätta konsumenten inom 10 arbetsdagar om bedrägeriet skett utan att konsumenten har "grov försummelse".

Detta skiftar ansvaret från konsumenten till PSP, vilket innebär ökade kostnader för banker och betalningsinstitut. Enligt European Banking Authority ökade bedrägeriförluster i EU med 18 % under 2025 (EBA, 2026). Svenska banker måste därför investera i bättre identifieringssystem och automatiserade ersättningsprocesser.

SCA-kraven mjukas upp – men inte bort

Strong Customer Authentication (SCA) krävs fortfarande för elektroniska betalningar, men PSD3 förtydligar reglerna:

  • Faktorer behöver inte vara från olika kategorier. Tidigare krävdes två av tre kategorier (något man har, något man är, något man vet). Nu kan två faktorer från samma kategori godkännas – till exempel två lösenord.
  • MOTO-transaktioner undantas om initieringen är icke-digital, det vill säga beställning via telefon eller post.
  • Merchant Initiated Transactions (MIT) kräver bara SCA vid det första medgivandet, inte vid varje återkommande debitering.
  • AISP-åtkomst (kontoinformationstjänster) kräver SCA vid första dataåtkomst, men bara var 180:e dag vid åtkomst via leverantörens domän.

För svenska konsumenter innebär detta smidigare betalningar vid prenumerationer och telefonbeställningar. För bankerna innebär det att riskbedömningen måste byggas in i systemen på nya sätt.

Confirmation of Payee blir obligatoriskt och gratis

PSD3 gör Confirmation of Payee (CoP) obligatoriskt för alla betalningstjänstleverantörer. Tjänsten, som verifierar att mottagarkontot tillhör den avsedda personen, måste också erbjudas kostnadsfritt.

I Sverige har Bankgirot och storbankerna erbjudit motsvarande tjänster i flera år, men PSD3 standardiserar kraven över hela EU. För svenska banker är detta en välkommen nivåering – konkurrenter från andra EU-länder kan inte längre erbjuda billigare betalningar genom att utelämna säkerhetsfunktioner.

Dedikerade gränssnitt och kunddashboard

Account Servicing Payment Service Providers (ASPSP) – i praktiken banker – måste enligt PSD3 erbjuda:

  • Dedikerade gränssnitt för tredjepartsleverantörer (TPP), med samma funktionalitet som bankens egna kanaler.
  • Kunddashboard där konsumenter kan se och hantera sina samtycken till tredjepartsåtkomst.

Detta bygger på PSD2:s krav på open banking men skärper tillgänglighetskraven. Svenska banker som Swedbank, SEB och Handelsbanken har redan implementerat PSD2-gränssnitt men måste nu se över prestanda och användarvänlighet.

Tidslinje: 18–24 månader att anpassa sig

Efter formellt antagande under Q2 2026 startar en implementeringsperiod på 18–24 månader. Tidigaste tillämpningsdatum är alltså andra halvåret 2027, möjligen först 2028.

Parallellt ska svenska banker hantera andra regelverk:

  • Instant Payments Regulation (IPR) – omedelbara betalningar inom 10 sekunder
  • DORA – operativ resiliens för finansiella tjänster
  • ISO 20022-migrationen – Bankgirot avvecklas maj 2026
  • FIDA – finansiell dataåtkomst (under utveckling)

Den kumulativa belastningen är betydande. Banker som inte startar implementeringsarbetet under 2026 riskerar att missa deadlines.

Konsekvenser för svenska aktörer

Banker: Ökade kostnader för fraud prevention och ersättningsprocesser. Men även konkurrensfördelar genom obligatorisk CoP och likvärdiga säkerhetskrav.

Fintechbolag: Förenklad licensiering för dem som redan är PI. Nya möjligheter inom AISP och PISP genom skärpta gränssnittskrav.

Företag: Säkrare leverantörsbetalningar genom CoP. Enklare återkommande betalningar genom MIT-reglerna.

Konsumenter: Bättre skydd vid bedrägerier. Tydligare överblick över samtycken via dashboardar.

Takeaway

PSD3 förskjuter ansvaret för bedrägerier från konsumenter till betalningsleverantörer. Det ökar kostnaderna för bankerna men stärker förtroendet för digitala betalningar. För svenska aktörer handlar det nu om att prioritera implementationsarbetet – 18 månader går fort när ISO 20022, IPR och DORA ska hanteras samtidigt.

Källor: European Commission proposal June 2023; COREPER approval June 18, 2025; European Parliament & Council provisional agreement November 2025; European Banking Authority fraud statistics 2026