PSD3 och PSR — slutgiltiga kompromistexter publicerade, lagstiftningsprocessen i sisteskedet

Den 23 april 2026 publicerade Europeiska rådets generalsekretariat de slutgiltiga kompromistexterna för PSD3 och den nya PSR. För första gången kan företag läsa de faktiska lagtexterna och börja planera implementering. Det är den största genomgåendet av EU-betalningsregleringen sedan PSD2 trädde i kraft 2018.

Från political agreement till lagtext

En politisk överenskommelse mellan Europeiska rådet och Europaparlamentet hade annonserats i slutet av 2025. Men de rättsligt bindande texterna låg inte framme — inte förrän i går. Skillnaden är viktig. Political agreement är en avstickare om inriktning. Kompromistexterna är den faktiska lagstiftningen med alla artiklar, undantag och definitioner.

Även formell godkännande av båda institutioner, undertecknande och publicering i Europeiska unionens officiella tidning återstår. Men COREPER — kommittén för permanenta representanter — har nu gett rekommendation om godkännande. Processen är i det vi kan kalla fotgängarfasen. Tidpunkten för formell antagande är inte fastslagen, men med COREPER-rekommendationen på plats är vägen kort.

Källa: Europeiska unionens råd, kompromistexter publicerade 23 april 2026.

Dual structure: direktiv plus förordning

Paketet använder en tvådelad struktur. PSD3 ersätter nuvarande PSD2-direktiv för områden som kräver nationell implementering — auktorisation, tillsyn och vissa försiktighetsregler. PSR skapar en direkt tillämplig förordning på EU-nivå för open banking, bedrägeriförebyggande åtgärder, betalningsexekvering och transparenskrav.

Dubbelstrukturen löser ett konkret problem som uppstod under PSD2. Med ett direktiv som ramverk fick varje medlemsstat sin egen lagstiftning. Resultatet blev 27 olika versioner av samma regler — och en fragmenterad marknad som särskilt slog hårt mot gränsöverskridande tjänster. En förordning tillämpas direkt i alla länder utan nationell omöversättning.

För svenska aktörer innebär det att open banking-reglerna, SCA-ramarna och bedragerisäkerhetskraven ser exakt lika ut i Sverige som i Tyskland, Spanien eller Cypern. Men tillsynen förblir nationell — Finansinspektionen har fortfarande ansvaret för svenska banker.

Fyra områden som påverkar svensk betalningsmarknad mest

1. Open banking med tänder. PSD2s open banking-kapitel levererade lite. Tyskland hade stängt sin beröringsfri-API. Frankrike drev på med sin egen regulator. Storbritannien (som hade den mest funktionsdugliga modellen) lämnade EU. PSR-standardiserar tillgången till kontoinformation och betalningsinitiering på ett sätt som PSD2 inte lyckades. För svenska banker som SEB, Swedbank, Handelsbanken och Nordea betyder det att API-kravet blir enlagat och kontrollerbart.

2. Bedrägerisäkerhet. PSR innehåller mer detaljerade och preskriptiva åtgärder för bedrägeriförebyggande arbete. Det finns inga nya siffror ännu — men inriktningen är tydlig: gemensamma krav på transaktionsövervakning, riskbedömning och kundkommunikation vid misstänkta transaktioner. Det som är intressant är att regelverket även adresserar ansvarsfördelning mellan betalningsmottagare och betalanordnare vid bedrägerier, ett område som tidigare lämnat utrymme för tvister.

3. Strong Customer Authentication. SCA-reglerna får en uppdatering som adresserar osäkerheten kring undantag och tillämpning. Detaljerna kommer i de underliggande RTS/ITS-mandaten som än inte är klara — men inriktningen mot mer preskriptiva regler är tydlig i kompromistexterna.

4. L2/L3-mandat. Paketet innehåller en fullständig serie av Level 2 och Level 3-mandat. Det betyder att EU-kommissionen och EBA får i uppdrag att utforma riktlinjer och tekniska standarder inom områden som open banking-API:er, SCA-undantag och rapporteringskrav. Varje nytt mandat är en ny lagstiftningsvåg.

Källor: Matheson (irländsk advokatbyrå) — juridisk analys av PSD3/PSR-broschyren; Europeiska unionens råd.

Vad händer härnäst — och när?

Efter dagens publicering väntar följande steg:

1. COREPER-godkännande — rekommendationen finns redan, detta är en formellitet
2. Formellt antagande av rådet och parlamentet — ingen tidpunkt fastslagen, veckor eller månader
3. Undertecknande och publicering i EUT — följser antagandet
4. Träde-i-kraft-datum — typiskt 20–30 dagar efter EUT-publicering
5. Implementeringsperiod — för direktiv vanligtvis 20–36 månader; för förordning kortare

Svenska banker och fintech-företag bör börja planera nu. Horizon scanning har ersatts av implementation planning.

Konsekvenser för svenska aktörer

För de stora bankerna (SEB, Swedbank, Handelsbanken, Nordea, Länsförsäkringar) handlar det om systemuppdateringar, API-standardisering och tillsynsdialog med Finansinspektionen.

För fintech-bolag som Klarna, Trustly och Zimpler öppnar PSRs förordningsstruktur potentiellt fler affärsmöjligheter — en gemensam reglering i 27 länder är värd mer än 27 olika versioner.

För konsumenter är effekten indirekt men påtaglig. Strammare SCA-krav och bedragerisäkerhet ska minska obehöriga transaktioner. Open banking med fungerande API:er ska ge mer transparens runt kostnader och alternativ. Det som är intressant att observera är att Sverige redan ligger relativt långt fram — Swish, Bankgirot och BankID sätter en hög standard för digital betalningsinfrastruktur. Frågan är snarare hur PSD3/PSR-integrerar med våra nationella system än hur mycket det förändrar dem.

Bottom line: De texter som publicerades den 23 april 2026 är den slutgiltiga versionen. Vad som återstår är formaliteter. För svenska betalningsaktörer är det dags att läsa texterna och börja planera.

Källor: Europeiska unionens råd (kompromistexter PSD3/PSR, 23 april 2026); Matheson (irländsk advokatbyrå) — juridisk analys; European Payments Council (2026 pollresultat).