1. PSD2 là gì?

Tuy thuật ngữ PSD2 mang hơi hướng kỹ thuật, nhưng sẽ đóng vai trò hết sức quan trọng trong cuộc sống của chúng ta, vì trong các bạn hầu như ai cũng có cho mình vài ba tài khoản ngân hàng, và hàng loạt dữ liệu bị/được thu thập để tạo thành nguồn đầu vào cho các dịch vụ tài chính hiện đại. Chính chỉ thị này đã xây dựng một khung quy định để bảo vệ an toàn dữ liệu của các bạn, tránh các tổn thất mất mát về tài sản và thông tin cá nhân đáng tiếc có khả năng xảy ra.

PSD viết tắt của Payment Services Directive, có hiệu lực vào ngày 25/12/2007, nhằm xác định chuẩn chung cho các sản phẩm thanh toán cũng như chuẩn chung cho cơ sở hạ tầng và kỹ thuật mà tất cả các nhà cung cấp dịch vụ thanh toán (Payment Service Provider – PSP) phải tuân theo.

Bên cạnh đó, PSD còn nhằm mục đích tăng cường khả năng cạnh tranh bằng việc mở rộng sự gia nhập ngành thanh toán tài chính của các tổ chức phi ngân hàng và cung cấp một sân chơi bình đẳng bằng cách tạo ra sự hài hòa giữa bảo vệ người dùng và thúc đẩy sự phát triển của các dịch vụ thanh toán, đưa ra các quy định các quyền và nghĩa vụ cho các nhà cung cấp dịch vụ thanh toán và người dùng.

Vào năm 2013, Ủy ban Châu Âu đã đề xuất một bản sửa đổi (đó là lý do của hai bản sửa đổi trong PSD2), với mục tiêu chính là tạo ra một thị trường tích hợp duy nhất cho các dịch vụ thanh toán bằng việc chuẩn hóa các quy định cho các ngân hàng và cho các nhà cung cấp dịch vụ thanh toán, đảm bảo tính minh bạch và cạnh tranh bình đẳng, đồng thời phá bỏ các rào cản gia nhập đối với các dịch vụ thanh toán mới, mang lại nhiều lợi ích cho khách hàng. PSD2 chính thức có hiệu lực vào ngày 14/09/2019. 

2. Hai dịch vụ PSD2

PSD2 điều chỉnh và hài hòa hai loại dịch vụ đã tồn tại khi PSD đầu tiên được thông qua vào năm 2007, nhưng đã trở nên phổ biến hơn trong những năm gần đây: một mặt là Dịch vụ Khởi tạo Thanh toán (PIS); và Dịch vụ Thông tin Tài khoản (AIS).

Dịch vụ Thông tin Tài khoản (AIS) bao gồm việc thu thập và lưu trữ thông tin từ các tài khoản ngân hàng khác nhau của khách hàng ở một nơi duy nhất, cho phép khách hàng có cái nhìn tổng quan về tình hình tài chính của họ và dễ dàng phân tích chi phí và nhu cầu tài chính của mình.

Trong khi đó, trong Dịch vụ Khởi tạo Thanh toán (PIS), các nhà cung cấp khác tạo điều kiện sử dụng ngân hàng trực tuyến để thực hiện thanh toán trực tuyến. Các dịch vụ này giúp thực hiện thanh toán từ tài khoản của người tiêu dùng đến tài khoản của người bán bằng cách tạo giao diện kết nối cả hai tài khoản, điền thông tin cần thiết cho chuyển khoản ngân hàng (số tiền giao dịch, số tài khoản, tin nhắn) và thông báo cho cửa hàng về Giao dịch. PSD2 cũng cho phép khách hàng thanh toán cho bên thứ ba từ ứng dụng của ngân hàng bằng bất kỳ tài khoản nào của khách hàng (cho dù họ có thuộc tổ chức này hay không).

Nói ngắn gọn, PSD2 cho phép khách hàng của các ngân hàng, từ người tiêu dùng đến doanh nghiệp, sử dụng các dịch vụ của bên thứ ba để quản lý tài chính của họ. Tuy nhiên, các ngân hàng phải có nghĩa vụ cung cấp cho bên thứ ba này quyền truy cập vào tài khoản của khách hàng thông qua các API mở. Điều này cho phép bên thứ ba xây dựng các dịch vụ tài chính dựa trên dữ liệu và cơ sở hạ tầng của ngân hàng.

Qua đó, chúng ta thấy rằng, ngân hàng không chỉ cạnh tranh với các ngân hàng trong việc cung cấp dịch vụ cho khách hàng, mà còn với các nhà cung cấp dịch vụ tài chính khác.

3. Các nội dung chính của PSD2

Khung pháp lý của PSD2 gồm các điều khoản đề cập đến các vấn đề từ minh bạch về phí dịch vụ đến bảo mật, báo cáo sự cố và công nghệ. Tuy nhiên, đây là một bộ nguyên tắc chung, và chính phủ các quốc gia EU được quyền xây dựng các điều luật và tiêu chuẩn cụ thể phù hợp với hệ thống ngân hàng của mình.

Chỉ thị gồm ba mảng chính:

  • Mảng 1 liên quan đến tính minh bạch, trong đó nhấn mạnh quyền lợi của khách hàng và các tiêu chuẩn báo cáo chặt chẽ hơn cho các ngân hàng. Ngoài ra, định phí không được mang tính phân biệt, nghĩa là các khoản phí cho việc truy cập tài khoản và khởi tạo thanh toán phải giống nhau đối với khách hàng và bên thứ ba cung cấp dịch vụ.
  • Mảng 2 liên quan đến bảo mật, bao gồm các yêu cầu đối với xác thực khách hàng nghiêm ngặt.
  • Mảng 3 điều chỉnh truy cập vào tài khoản, bao gồm các tiêu chuẩn kỹ thuật mà các ngân hàng truyền thống phải đáp ứng để các công ty FinTech có thể kết nối với hệ thống ngân hàng.

Trình tự áp dụng PSD2 cũng được chia thành hai giai đoạn theo từng mảng. Mảng 1 (minh bạch) có hiệu lực sau khi được đưa vào luật quốc gia trong năm 2018. Trong khi đó, dự kiến mảng 2 (bảo mật) và 3 (truy cập vào tài khoản) sẽ có hiệu lực bắt đầu vào quí thứ ba của năm 2019.

4. Rủi ro phát sinh

Việc giao tiếp qua các API giữa các ngân hàng và công ty công nghệ tài chính (FinTech) dẫn đến rủi ro về bảo mật thông tin nhạy cảm của khách hàng.

Với việc tập trung nguồn lực phát triển ứng dụng trải nghiệm khách hàng của các công ty FinTech, nên việc bảo mật khó có thể được quan tâm một cách thích đáng. Đây cũng chính là lỗ hổng để các hacker có thể khai thác bằng việc tấn công trực tiếp vào các máy chủ của công ty FinTech.

Ngoài ra, hacker còn có khả năng sử dụng kỹ thuật phishing để lừa đảo những khách hàng không chuyên về công nghệ. Do đó, ngân hàng và các công ty Fintech phải xây dựng các cơ chế để ngăn chặn các vụ lừa đảo trên và thiết lập cơ chế xác thực nhanh chóng cho khách hàng trong các trường hợp trên.

Ngoài ra, để hạn chế rủi ro, PSD2 cũng chỉ ra các bên thứ ba được cấp phép mới có thể yêu cầu quyền truy cập vào thông tin khách hàng. Nhờ vậy, khách hàng có thể yên tâm rằng chỉ những công ty đã nhận được giấy phép mới đủ năng lực mới được phép truy cập dữ liệu tài khoản ngân hàng của họ.

5. Các cột mốc
  • Ngày 08/10/2015, Nghị viện Châu Âu đã thông qua đề xuất của Ủy ban Châu Âu về việc tạo ra các khoản thanh toán Châu Âu an toàn hơn và sáng tạo hơn (PSD2, Chỉ thị (EU) 2015/2366).
  • Ngày 16/11/2015, Hội đồng Liên minh Châu Âu đã thông qua PSD2
  • Ngày 27/11/2017, Quy định được ủy quyền của Ủy ban (EU) 2018/389 đã bổ sung PSD2 liên quan đến các tiêu chuẩn kỹ thuật quy định để xác thực mạnh về khách hàng và các tiêu chuẩn giao tiếp mở phổ biến và an toàn.
  • PSD2 có hiệu lực đầy đủ vào ngày 14/09/2019, nhưng do sự chậm trễ trong việc triển khai, Cơ quan Ngân hàng Châu Âu đã cho phép gia hạn thời gian xác thực mạnh về khách hàng (SCA) đến ngày 31/12/2020.