PSD2 – Payment Services Directive 2 – on EU-direktiivi, joka on muotoillut suomalaisen pankkimaksamisen ja samalla suomalaisen vedonlyönnin kassakanavakokemuksen viime vuosien aikana. Olen seurannut PSD2:n toimeenpanoa Suomessa sen voimaantulosta lähtien (2018) ja olen nähnyt, miten se on muuttanut Briten kaltaisten A2A-maksupalveluiden roolin nopeasti pelialalla. Direktiivin toimeenpano on ollut kallista – EU-tasolla yhteenlasketut kustannukset olivat 2,2 miljardia euroa kertaluonteisina ja 0,3 miljardia euroa vuosittain. Eurooppa pitää 36,4 prosentin osuutta globaalista open banking -liikevaihdosta vuonna 2024, ja 94 prosenttia EU:n luvanvaraisista pankeista on PSD2-yhteensopivia. Suomalaisen pelaajan kannalta tämä infrastruktuuri tarkoittaa, että hänen oman pankkinsa rajapinta on rakennettu A2A-maksupalveluiden, kuten Briten, käyttöön valmiiksi – eikä Brite tarvitse erillistä ”tukea” pankilta. Finanssivalvonnan mukaan 86 prosentilla 15 vuotta täyttäneistä on verkkopankkitunnukset (joulukuu 2024), eli PSD2-pohjainen kassakanavakokemus tavoittaa lähes koko aikuisen pelaajakannan Suomessa. Tässä artikkelissa puran auki PSD2-direktiivin rakenteen pelaajan kannalta, PISP-roolin Briten toiminnassa, mitä dataa Brite voi nähdä vetosivun puolelta, mitä PSD3-direktiivi on tuomassa mukanaan, ja PSD2:n roolin Briten Suomessa-toiminnassa.
PSD2-rakenne pelaajan kannalta
PSD2 on rakennettu kolmen päätyyppisen toimijan ympärille. Ensinnäkin pankki, joka on rahanlähde ja jonka asiakkuus pelaajalla on. Toiseksi PISP (Payment Initiation Service Provider) – palveluntarjoaja, joka aloittaa maksun pelaajan puolesta. Kolmanneksi AISP (Account Information Service Provider) – palveluntarjoaja, joka näkee tiliotteen ja muut tilitiedot pelaajan luvan kautta. Brite toimii sekä PISP- että AISP-roolissa, ja tämä on sen toimintamallin ydinrakenne.
Pelaajan kannalta tärkein yksityiskohta on, että PSD2-direktiivi velvoittaa pankin tarjoamaan PISP- ja AISP-rajapinnat lisensoitujen kolmansien osapuolien (kuten Briten) käyttöön. Pelaaja antaa luvan Briten tehdä siirtoja hänen pankkitiliinsä – yleensä yksittäistä siirtoa kerrallaan – ja Brite hakee tämän luvan pelaajan vahvistuksen kautta pankkisovelluksessa.
Lupa on aina rajattu. Brite ei saa pelaajan tilille pysyvää käyttöoikeutta, vaan jokainen yksittäinen transaktio vaatii oman PSD2-mukaisen vahvistuksen. Tämä on iso ero esim. pankkikorttipohjaiseen maksuun, jossa tunnukset (kortin numero, CVV) säilytetään operaattorin järjestelmissä toistuvia maksuja varten.
Yksi tärkeä rakenteellinen yksityiskohta on niin sanottu Strong Customer Authentication (SCA). Tämä tarkoittaa, että jokainen transaktio vaatii vähintään kaksi tunnistustekijää (yleensä biometrian ja pankkitunnuksen yhdistelmän). SCA on PSD2-direktiivin keskeisin pelaajansuoja-elementti, ja se on syy, miksi Brite-talletukset eivät onnistu ilman pankkisovelluksen vahvistusta.
Toinen rakenteellinen yksityiskohta, joka pelaajan kannattaa tuntea, on niin sanottu ”luvanantajan oikeus peruuttaa lupa” (right to revoke). PSD2 antaa pelaajalle oikeuden peruuttaa minkä tahansa antamansa luvan PISP- tai AISP-toimijalle milloin tahansa. Käytännössä tämä on Briten tapauksessa harvoin merkityksellinen, koska Briten luvat ovat aina yksittäisiä transaktioita varten – eikä siellä ole pysyviä lupia, joita voisi peruuttaa. Mutta jos pelaajan tilanne muuttuu (esim. pankkitili suljetaan), pelaaja voi pankin kautta katkaista yhteyden välittömästi.
Kolmas rakenteellinen yksityiskohta on PSD2:n vahingonkorvaus-säännökset. Jos transaktio aiheuttaa vahinkoa pelaajalle (esim. virheellinen veloitus, kahdesti tehty maksu, väärälle tilille mennyt siirto), vastuu jakautuu PISP-toimijan, pankin ja pelaajan kesken tarkasti määriteltyjen sääntöjen mukaan. Pelaaja saa rahansa takaisin yleensä saman pankkipäivän aikana, ja PISP-toimijan ja pankin keskeinen vastuujako on välipuhe, joka ei kosketa pelaajaa suoraan.
PISP-rooli Britessä
PISP-rooli on Briten ydintoiminta vetosivun talletuksessa. PISP-toimijana Brite saa pelaajalta luvan aloittaa siirron pelaajan pankkitililtä operaattorin tilille – eli käytännössä toteuttaa talletus pelaajan puolesta.
PISP-prosessi etenee neljässä vaiheessa. Ensinnäkin pelaaja avaa kassan vetosivulla ja valitsee Briten talletuskanavaksi. Toiseksi Brite näyttää pelaajalle pankin valintalistan, ja pelaaja valitsee oman pankkinsa. Kolmanneksi Brite ohjaa pelaajan pankin oman tunnistautumisruutuun (joko verkkopankin sivulle tai mobiilisovellukseen), jossa pelaaja vahvistaa siirron biometrialla tai PIN-koodilla. Neljänneksi pankki vahvistaa Britelle, että siirto on toteutettu, ja Brite vahvistaa operaattorille, että rahat ovat saapuneet.
Tämä prosessi tapahtuu tyypillisesti 5-10 sekunnin sisällä. Tärkein yksityiskohta on, että pelaajan pankkitunnukset eivät koskaan välitä Britelle eivätkä operaattorille – ne pysyvät pankin omassa järjestelmässä koko prosessin ajan. Brite saa vain vahvistuksen siitä, että pankki on toteuttanut siirron.
PISP-roolin kustannukset ovat operaattorille, ei pelaajalle. Brite veloittaa operaattoria jokaisesta toteutetusta talletuksesta tietyn provision (yleensä prosenttiosuus tai kiinteä euro-määrä), ja tämä on operaattorin liiketoimintakustannus. Pelaajalla ei ole välittömiä kustannuksia Briten käytöstä.
PSD2-data vetosivulla
PSD2-rajapinta välittää tarkasti rajatun joukon tietoja Briten kautta vetosivulle. Tämä on yksi PSD2:n tärkeimmistä pelaajansuoja-elementeistä – vaikka Brite voi nähdä tiettyjä tilitietoja, se välittää operaattorille vain ne tiedot, jotka ovat välttämättömiä KYC-tarkastusta varten.
Konkreettisesti operaattori saa Briten kautta seuraavat tiedot: pelaajan nimi (sellaisena kuin se on pankkitilillä), pankkitilin numero (IBAN), yhden tarkastuskerran vahvistus tilin omistajuudesta. Tämä on käytännössä kaikki, mitä operaattori saa – eikä esim. tiliotetietoja, saldoa, muiden transaktioiden historiaa.
Tämä on iso ero esim. avoimempaan banking-malliin, jossa pelaaja voisi periaatteessa antaa operaattorille kuukausittaisen tiliotteensa lähes kokonaan. PSD2-mallissa operaattorin näkemä tieto on rajattu yhteen transaktioon kerrallaan.
Yksi käytännön huomio: jos operaattori epäilee KYC-tarkastuksen yhteydessä tilin omistajuutta tai source-of-funds -kysymyksiä, se voi pyytää pelaajalta erikseen tiliotetta tai muita dokumentteja. Tämä ei ole PSD2-rajapinnan tarjoamaa dataa vaan erikseen pelaajalta pyydettyä materiaalia, ja se kulkee tavanomaisten dokumentointikanavien kautta (sähköposti, latauslomake) – ei Briten kautta.
PSD3 – mitä on tulossa
PSD3-direktiivi on EU:n seuraava askel maksupalveluiden sääntelyssä. Sen tarkoitus on rakentaa PSD2:n päälle ja täydentää sen aukkoja. PSD3:n keskeisiä uudistuksia ovat: tarkemmat säännöt PISP- ja AISP-toimijoiden vastuusta, parannukset SCA-prosessiin (esim. mobiilipohjaisten tunnistautumisten yksinkertaistaminen), avoimempi tiedonjako pankin ja palveluntarjoajan välillä.
Aikataulun puolesta PSD3 on parlamentaarisessa käsittelyvaiheessa, ja sen voimaantulo on todennäköisesti vuonna 2027 tai sen jälkeen. Tämä tarkoittaa, että nykyinen PSD2-malli pysyy voimassa vielä useita vuosia.
Pelaajan kannalta PSD3:n tuomat muutokset ovat enimmäkseen positiivisia. SCA-prosessin yksinkertaistaminen tarkoittaa nopeampaa tunnistautumista, mikä on hyvä erityisesti live-vedonlyöntiin. PISP-toimijoiden vastuu on yhä selvempi, mikä tarkoittaa pelaajalle parempaa suojaa virhetilanteissa.
Yksi PSD3:n suurempia kysymyksiä on niin sanottu ”open finance” -konsepti, joka voi laajentaa PSD2:n alaa pankkimaksuista myös vakuutuksiin, sijoitustileihin ja muihin rahoituspalveluihin. Tämä ei vaikuta suoraan vetosivun kassakanavakokemukseen, mutta voi muuttaa laajempaa pelaajan rahatilanteen näkymää tulevaisuudessa.
Toinen merkittävä alue PSD3:ssa on niin sanottu ”instant payments by default” -periaate, joka tekee pikamaksusta uuden vakionopeuden EU-tasolla. Käytännössä tämä on jo nyt totta EU:n pikamaksuasetuksen myötä, mutta PSD3 vahvistaa periaatteen direktiivitasolla. Pelaajan kannalta tämä tarkoittaa, että 24/7-pikamaksu on tulevaisuudessa entistä luotettavammin saatavilla kaikilta EU:n pankkien rajapinnoilta.
Kolmas PSD3:n kehityskohta on yhdenmukaistaminen petosvastaisessa työssä. Tällä hetkellä pankin, PISP-toimijan ja kuluttajan vastuut petostilanteissa ovat hieman eri tavalla määriteltyjä eri EU-maissa. PSD3 pyrkii yhdenmukaistamaan tämän käytännön, mikä tekee pelaajan suojasta ennakoitavampaa myös rajat ylittävissä tilanteissa.
PSD2 Britessä Suomen kontekstissa
Suomen tilanne PSD2:n kanssa on ollut Euroopan kärkimaita. Suomalaiset pankit ottivat PSD2:n teknisen toimeenpanon suhteellisen aikaisin (2019-2020), ja niiden API-yhteydet ovat olleet tyypillisesti laadukkaita. Tämä on syy, miksi Brite ja muut A2A-maksupalvelut ovat toimineet Suomessa erityisen hyvin.
Käytännön ero näkyy esim. siinä, että OP, Nordea, S-Pankki, Aktia ja Danske Bank ovat täydellisesti yhteensopivia Briten kanssa. Pienempien pankkien (Säästöpankki, POP-pankki, Oma Säästöpankki) yhteensopivuus on hieman vaihtelevampi mutta yleensäottaen toimiva. Briten turvallisuus suomalaisen pelaajan näkökulmasta käsittelee näiden pankkikohtaisten erojen turvallisuusulottuvuutta laajemmin.
Suomen Finanssivalvonnan rooli on tärkeä mainita. FIN-FSA on EU-tason luvanvaraisten maksupalveluiden valvoja Suomessa, ja sen suositukset (esim. release 13/2024 hienojakoisten turvarajojen suosituksesta) vaikuttavat siihen, miten Brite ja muut A2A-maksupalvelut operoivat. Pelaajansuojan näkökulmasta tämä on positiivinen tekijä, koska se varmistaa, että palvelut toimivat sääntelyn ehdoilla.
Toinen Suomen erityispiirre on, että BankID:n vastainen suomalainen tunnistautumismalli (mobiilivarmenne, pankkitunnukset) on ollut vakiintunut jo ennen PSD2:n voimaantuloa. Tämä on antanut suomalaiselle PSD2-toimeenpanolle selvän etumatkan moneen muuhun EU-maahan verrattuna – pelaajan tunnistautumiskokemus oli jo valmiiksi sujuvuudeltaan korkeatasoinen.
Yksi käytännön havainto Suomen kontekstissa: PSD2:n toimeenpanokustannukset (EU-tasolla 2,2 miljardia euroa kertaluonteisena ja 0,3 miljardia vuosittain) ovat olleet pankkien näkökulmasta merkittäviä, mutta suomalaiset pankit ovat onnistuneet siirtämään näitä kustannuksia ilman, että pelaaja on niitä huomannut tilinkäyttömaksuina. Tämä on ollut osa Suomen pankkikilpailun rakennetta, jossa peruspankkipalvelut pidetään kuluttajalle kohtuullisen hintaisina.
