Finansregulatorisk | Forsterket innsats mot betalingssvindel i nytt EU-regelverk (PSD3/PSR)

Den 27. november 2025 ble Rådet og Europaparlamentet enige om revisjon av EUs betalingstjenesteregelverk (PSD2). De nye reglene skal gi mer effektiv bekjempelse av betalingssvindel, øke kundens mulighet til å forstå gebyrkostnader og styrke forbrukerbeskyttelsen på betalingstjenesteområdet generelt. I tillegg ønsker man å fremme teknologisk innovasjon på betalingsfeltet.

Regelverksendringene består av en ny betalingstjenesteforordning (PSR) og et endringsdirektiv (PSD3) til det gjeldende betalingstjenestedirektivet (PSD2). Samtidig oppheves e-pengedirektivet, og PSD3/PSR blir et felles regelverk for betalings- og e-pengeforetak. I EU-kommisjonens forslag til PSR var gjeldende definisjon av e-penger videreført, men det er ikke ennå klart om det gjøres materielle endringer i definisjonen av e-penger eller e-pengetjenester i det reviderte regelverket.

Formelle vedtak om PSD3 og PSR er ennå ikke truffet i EU, og det er derfor ikke klart når disse regelendringene kan tre i kraft. I Norge er de offentligrettslige delene av PSD2 gjennomført i finansforetaksloven, mens de privatrettslige/avtalerettslige direktivbestemmelsene følger av finansavtaleloven.

Nedenfor nevnes noen av elementene som inngår i det vedtatte forslaget.

Nye tiltak for å bekjempe svindel

Forslagene i PSD3/PSR har som mål at regelverket i større grad enn i dag skal bidra til å bekjempe ulike former for betalingssvindel som dessverre blir stadig vanligere, blant annet såkalt «spoofing fraud». Dette skjer når svindlere utgir seg for å være kundens betalingstjenesteyter for å lure brukeren til å utføre en betaling på falskt grunnlag. Hvis en svindler klarer å lure kunden til å godkjenne en betaling, vil betalingstjenesteyteren måtte refundere hele beløpet så lenge kunden rapporterer svindelen til politiet og informerer sin betalingstjenesteyter.

Også i andre tilfeller vil en betalingstjenesteyter bli holdt ansvarlig for kundens tap. Hvis en betalingstjenesteyter ikke etablerer tilstrekkelige systemer for å forhindre svindel, vil foretaket holdes ansvarlig for kundens tap. Hvis en svindler for eksempel iverksetter eller endrer et betalingsoppdrag på en konto vil den bli behandlet som en uautorisert transaksjon, og betalingstjenesteyteren vil være ansvarlig for hele beløpet. I tillegg vil den mottakende betalingstjenesteyteren generelt være pliktig til å fryse ethvert betalingsoppdrag som den mener er mistenkelig.

Regressansvar for internettplattformer som ikke fjerner svindelinnhold

Internettplattformer kan bli holdt økonomisk ansvarlige overfor betalingstjenesteytere som har dekket tap for sine kunder som har blitt svindlet på en digital plattform, hvis plattformen har blitt informert om svindelaktig innhold og likevel ikke fjernet det. Dette bygger videre på det systemet som følger av EUs forordning om digitale tjenester (Digital Services Act), som ikke ennå er tatt inn i EØS-avtalen eller gjennomført i Norge (men høring av ny lov ble fullført høsten 2025).

I tillegg må annonsører av finansielle tjenester godtgjøre overfor de største internettplattformene og søkemotorene at disse har lov til å tilby disse tjenestene i det aktuelle landet (eller er omfattet av et relevant unntak), eller at de annonserer på vegne av noen som har tillatelse eller et slikt relevant unntak.

Bedre kontanttilgang

For å sikre bedre tilgang til kontanter – spesielt i mindre tettbebygde strøk – vil vanlige butikker etter det nye regelverket kunne tilby kontantuttak opp til et beløp som tilsvarer EUR 150 uten at kunden må kjøpe noe.

I Norge tilbys kontantuttak i en rekke dagligvarebutikker gjennom «Kontant i Butikk»-ordningen, en tjeneste som banker kan knytte seg til for å oppfylle sin lovpålagte plikt til å tilby kunder muligheten til å ta ut eller sette inn penger i banken. Dette er likevel en annen type ordning enn den som lanseres i det reviderte betalingstjenesteregelverket (bl.a. har Kontant i Butikk langt høyere beløpsgrenser for uttak), men også i Norge vil muligheten til å kunne ta ut kontanter i vanlige butikker kunne bli et praktisk supplement til Kontant i Butikk-ordningen.

Open banking og ulike konkurransefremmende tiltak

De nye reglene skal også bidra til å tilpasse betalingstjenestemarkedet til nye og innovative måter å foreta betalinger på. Nytenkende aktører skal ha muligheten til å kunne tilby kundene mer moderne betalingstjenester gjennom forbedret tilgang til bankkontoinformasjon, selv om PSD2 også innebar store fremskritt på dette området.

Det er et viktig poeng med det nye regelverket å senke terskelen for å tilby «open banking services» (dvs. kontoinformasjons- og betalingsfullmaktstjenester), og å redusere muligheten for at account-servicing payment service providers (ASPSP) (vanligvis en bank) ikke i tilstrekkelig grad gir slike tjenestertilbydere tilgang til den informasjonen som de etter regelverket har rett til å få. Open banking-aktører med konsesjon må kunne få tilgang til bankenes data om betalingskontoer, og det nye regelverket inneholder blant annet en liste over forbudte begrensninger i datatilgangen.

Prosessen videre

Rådet og Europaparlamentet vil fortsette å arbeide med de tekniske elementene i pakken, før det kan treffes formelle vedtak i de to institusjonene. Hvis vedtakene kommer på agendaen innen relativt kort tid, kan regelverket muligens tre i kraft i løpet av første halvår 2026 for EU-landenes del (typisk sammen med en frist på 18-24 måneder for nasjonal gjennomføring av direktivet). Det gjenstår å se om EØS-prosessen og norsk gjennomføring av PSD3 og PSR vil kunne holde seg innenfor samme tidshorisont som i EU.