PSD3/PSR: EU:s Största Betalningsreform sedan 2018 — Vad Det Betyder för Sverige

EU:s nya betalningspaket PSD3/PSR närmar sig formell antagning. För svenska betalningsaktörer — från Klarna till Swish — innebär detta den största regulatoriska förändringen sedan PSD2 trädde i kraft 2018.

Bakgrund

Den 23 april 2026 publicerade EU-rådet de slutliga kompromistexterna för PSD3 (Third Payment Services Directive) och PSR (Payment Services Regulation). Ett politiskt avtal hade tidigare nåtts i november 2025. Publicering i EU-tidningen förväntas under andra kvartalet 2026.

Det här paketet ersätter PSD2 (2015/2366) som trädde i kraft 2018, samt EMD2 (2009/110/EC) som reglerade elektroniska penninginstitut (EMIs). För första gången slås betalningsinstitut och EMIs reglering samman.

Nyckeländringar

1. EMI-licenserna försvinner — alla blir betalningsinstitut

Från och med PSD3:s ikraftträdande blir elektroniska penninginstitut (EMIs) en underkategori till betalningsinstitut — "payment institutions authorised to issue e-money".

Transitionstid: 24 månader (utökbar till 30 månader per nationell myndighet).

Svenska EMIs som Zimpler Bank AB måste ansöka om re-autorisering enligt nya kraven. Enligt Financial Regulations EU är "any EMI that has not begun its PSD3 re-authorisation process by mid-2026 already late."

Vad krävs:

• Uppdaterad styrmodell
• DORA-kompatibla ICT- och beredskapsplaner
• Reviderade säkerhetspolicyer
• Compliance med nya kapitalkrav

2. Bedrägeriansvaret — en revolution för konsumentskydd

PSR inför två mekanismer som saknades i PSD2:

IBAN/namnkoll (payee name matching):

• PSPs som erbjuder kreditöverföringar MÅSTE verifiera att mottagarens IBAN stämmer överens med namnet
• Om PSP:n underlåter att varna kunden vid missmatch och kund lider bedrägeriförlust — PSP:n bär ansvaret
• Detta är samma "confirmation of payee"-mekanism som UK införde 2022

APP-fraud återbetalning:

• PSR inför ett ramverk för återbetalning av offer för APP-fraud (authorised push payment)
• Både sändande och mottagande PSP delar ansvaret för att detektera och förhindra
• Detta påverkar direkt Swish, där kunder redan idag riskerar att bli lurade att swisha pengar till bedragare

3. SCA — Strong Customer Authentication med utökat ansvar

Tre viktigaste förändringarna:

• TSP-liability: Tekniska tjänsteleverantörer (TSPs) i SCA-kedjan kan bli hållna ansvariga för bedrägeriförluster orsakade av SCA-underlåtelse. Betalningsgateways, autentiseringsleverantörer och kortnät kan nu få finansiella konsekvenser.
• Strengare undantag: Transaktionsriskanalys (TRA) och lågvärdesundantag behålls, men EBA kommer införa finare bedrägerigränser via RTS.
• B2B-betalningar: PSR klargör SCA-handläggning för företagsbetalningar — en lucka i PSD2 som skapade osäkerhet för kassahanthållning.

4. DORA och PSD3 — dubbla regulatoriska krav

Digital Operational Resilience Act (DORA) trädde fullt i kraft den 17 januari 2025. DORA och PSD3/PSR är parallella krav som alla svenska betalningsaktörer måste hantera samtidigt.

För svenska banker och fintech-bolag innebär detta en dubbel regulatorisk last — DORA-implementation måste parallellt med PSD3-förberedelserna.

Svenskt perspektiv — Konkreta aktörer

Klarna Bank AB

Klarna har betalningsinstitutslicens i Sverige (inte EMI-licens). Men deras UK-dotterbolag nyligen fick EMI-licens från FCA (juli 2025). PSD3 påverkar dem via:

• Nya API-prestandakrav för open banking
• BNPL-produkter hamnar delvis inom PSD3/PSR-ramverket (tidigare exkluderade)
• Krav på SCA-förbättring och bedrägerihantering

Trustly

Redan betalningsinstitut — ingen re-autorisering krävs. Men:

• Nya API-prestandakrav för open banking påverkar direkt
• TSP-liability kan påverka deras tjänsteavtal med banker

Swish (Getswish AB)

Swish har idag 8,8 miljoner användare i Sverige och ägs av Danske Bank, Handelsbanken, Länsförsäkringar Bank, Nordea, SEB, Swedbank och Sparbankernas Bank AB. Påverkas av:

• Nytt SCA-ramverk med TSP-liability
• IBAN/namnkoll-krav (Swish använder redan namnkoll men nu blir det obligatoriskt)
• APP-fraud återbetalningsramverk (Swish har ingen sådan idag)
• B2B-SCA-klargörande

Get betal AB — FI:s nya hårdlinje

I januari 2026 drog Finansinspektionen tillståendet för Get betal AB efter att bolaget lämnat in felaktig information vid tillståndsansökan. Bolaget hade även överträdt flera andra bestämmelser i Betalningstjänstlagen.

Detta signalerar FI:s ökade tillsynsfokus på betalningsinstitut — en trend som kommer intensifieras med PSD3/PSR. FI:s Consumer Protection Report 2026 (publicerad 22 april 2026) betonar konsumenternas behov av trygga betalningssystem.

Tidslinje

Slutsats

PSD3/PSR är den mest betydande omstruktureringen av EU-betalningsreglering på åtta år. För Sverige — där Swish har transformerat betalningsbeteendet och Klarna och Trustly globaliserat nordisk fintech — betyder detta konkreta operativa, tekniska och juridiska krav på nästan alla aktörer i betalningsekosystemet.

Nyckelbudskapet: Med EU-tidningspublikation inom veckor börjar urklockan för PSR (som gäller direkt) och PSD3-transponering (18 månader). För svenska EMIs är det redan dags att påbörja re-autoriseringen.

För PayPro:s läsare: följ DORA/PSD3-overlapet, Swish:s potentiella APP-fraud-politik, och hur svenska banker hanterar de dubbla regulatoriska kraven.

Källor:

1. EU-rådet (Council of the European Union) — Slutliga kompromistexter PSD3/PSR, 23 april 2026
2. Financial Regulations EU — "PSD3 and PSR: Complete Guide to EU Payment Services Reform"
3. Finansinspektionen — "FI withdraws the authorisation of Get betal AB", 21 januari 2026
4. Finansinspektionen — "Consumer Protection Report 2026", 22 april 2026
5. MoFo (Morgan Lewis & Bockius) — "PSD3 and the Payment Services Regulation: Key Developments", 30 april 2026
6. Clifford Chance — "Impact of PSD3 – are you ready?", 2026
7. Wikipedia — "Swish (payment)"