PSD3 Open Banking 2026 yılında Avrupa ödeme regülasyonunun yeni nesli olarak yürürlüğe giriyor. EBA (European Banking Authority) 2025 Open Banking raporu, AB’de TPP API çağrılarının 580 milyon/ay düzeyine ulaştığını gösteriyor. EU Commission PSD3 + PSR önerisi, verification of payee’yi 2026 sonu zorunluluk haline getiriyor.
PSD3: PSD2’den Devrim Olmayan Evrim
PSD3 (Payment Services Directive 3) ve PSR (Payment Services Regulation), EU Commission’ın Haziran 2023’te tanıttığı PSD2 revizyonu. PSD2 (2018) açık bankacılığı doğurdu; PSD3 (2026-27 yürürlük) onu rafine ediyor. Hedefler: fraud azaltma, AISP/PISP iş modeli sürdürülebilirliği, verification of payee zorunluluğu, daha güçlü tüketici koruması. Pay.UK 2025 verisi: UK’de APP (Authorized Push Payment) fraud kayıpları yıllık 460 milyon sterlin.
EBA 2025 raporu: PSD2 ile API call’lar büyüdü ama AISP (Account Information Service Provider) iş modeli zorlanıyor; 580M aylık call var ama gelir paylaşımı belirsiz. PSD3 “fee for service” netleştirmesi yapacak. Forrester 2025 Open Banking Wave: Plaid (US), Tink (Sweden, Visa acquisition), TrueLayer, Yapily, Token (Bridge) major TPP’ler.
SCA: Strong Customer Authentication 3 Faktör
SCA, PSD2’nin getirdiği zorunluluk: ödeme işlemlerinde 2 bağımsız faktör. Faktör kategorileri: knowledge (bildiği şey: password, PIN), possession (sahip olduğu şey: telefon, kart), inherence (olduğu şey: parmak izi, yüz). Aynı kategoriden 2 element yetmez; 2 farklı kategori gerekli. PSD3 ile faktör tanımları genişletilecek; behavioral biometrics daha güçlü tanımlanacak.
| Faktör | Kategori | Örnek | Yaygın Risk |
|---|---|---|---|
| Password | Knowledge | Bankacılık parolası | Phishing |
| PIN | Knowledge | 4-6 haneli PIN | Shoulder surfing |
| OTP SMS | Possession (zayıf) | SMS kodu | SIM swap |
| OTP App | Possession | TOTP, push notif | Phishing-resistant |
| Hardware token | Possession | YubiKey, Defender | Çok düşük risk |
| Fingerprint | Inherence | Touch ID | Spoofing nadir |
| Face ID | Inherence | iPhone Face ID | Photo bypass nadir |
| Behavioral | Inherence (yeni) | Typing pattern | PSD3 ile resmi |
Dynamic Linking: Transaction-Specific Authentication
Dynamic linking, SCA’nın temel gereksinimi: authentication code, transaction’ın amount ve beneficiary’sine kriptografik olarak bağlanmalı. Saldırgan ortadaki kişi saldırısı yaparak miktarı veya alıcıyı değiştirse code geçersiz olur. EBA RTS 2.4: authentication code transaction details ile cryptographic binding zorunlu.
SCA Exemption: Conversion Optimizasyonu
Tüm transaction’da SCA uygulamak conversion rate’i düşürür. EBA RTS bazı senaryolar için SCA exemption tanımlar: low-value (<30€), recurring (whitelist), trusted beneficiary, corporate payment, low-risk transaction (Transaction Risk Analysis - TRA). TRA exemption %95+ low fraud rate gerektiriyor; TRA seviyesi acquirer ve issuer'a göre değişir.
- Low-value: Tek seferlik <30€, kümülatif <100€/5 transaction
- Recurring: Whitelist’e alınmış sabit beneficiary
- Corporate payment: B2B secure protocol
- TRA: Acquirer fraud rate <%0,01 → 100€ exemption
- Trusted Beneficiary: Whitelist’e SCA ile eklendiyse sonraki SCA-free
İlgili konu: FIDO2 ve Passkey rehberimizde SCA ile Passkey’in nasıl birleştirildiğini detaylandırdık.
FAPI 2.0: Open Banking Güvenlik Profili
FAPI (Financial-grade API) 2.0, OpenID Foundation’ın yüksek güvenlik gerektiren API’ler için tanımladığı OAuth profile. PAR (Pushed Authorization Request, RFC 9126), JAR (JWT-secured Authorization Request, RFC 9101), mTLS veya DPoP sender-constrained token zorunlu. UK Open Banking, AB Berlin Group NextGenPSD2, Australia CDR FAPI uyumlu.
Verification of Payee: PSD3 Yeni Zorunluluğu
Verification of payee (VoP), gönderilen IBAN’ın gerçekten claimed name’e ait olduğunu doğrulayan kontrol. UK Confirmation of Payee (CoP) 2020’den beri Pay.UK shema; 2025’te APP fraud %35 azaldı. EU PSR önerisi VoP’u 2026 Q4-2027 Q1’de zorunluluk olarak öngörüyor. SEPA Instant Credit Transfer için EBA Clearing zaten VoP API’ı yayınladı.
| Senaryo | Yanıt | UX Aksiyon |
|---|---|---|
| Match | İsim ve IBAN eşleşiyor | Normal akış |
| Close match | Küçük fark (Mr. eksik) | Confirm dialog |
| No match | İsim farklı | Strong warning |
| Unavailable | Karşı banka destekemiyor | User aware proceed |
| Account doesn’t exist | IBAN invalid | Block |
AIS ve PIS: Servis Modelleri
AIS (Account Information Service): TPP, bank account’a read-only erişim ile balance, transaction listesi alır. Personal finance management (Mint, YNAB), credit scoring (Plaid, Tink) use case. PIS (Payment Initiation Service): TPP, kullanıcı adına bank’a direct payment talimatı verir; e-ticaret checkout’ta credit card alternatifi. PSD3 ile her ikisinde fee model netleşecek.
Sektörel Use Case: Banking, E-ticaret, Personal Finance
Banking sektöründe Berlin Group, STET (FR), Polish API üç major API spec; PSD3 ile harmonization. E-ticarette TrueLayer, Tink, Yapily PIS ile checkout’ta kart alternatifi sunuyor; Klarna, Trustly UK’de yaygın. Personal finance’te Plaid (US PSD2 değil ama benzer model), Belvo (LATAM), Token (US+EU) data aggregator’lar.
Kurumsal PSD3 Hazırlığında Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- FAPI 2.0 migration’ın PSD3 zorunluluk takvimine yetiştirilmemesi
- VoP API integration’ın IBAN’a göre routing complexity’sine hazırlıksızlık
- SCA exemption’ı agresif kullanma sonucu fraud rate’in eşiği geçmesi → exemption kaybı
- Dynamic linking’in legacy bankacılık sistemlerine geriye dönük uyumsuzluk
- Behavioral biometrics SCA factor olarak kabul edilirken legal review eksikliği
- TPP onboarding sırasında eIDAS QWAC sertifika yönetiminin yapılamaması
Sonuç
PSD3 2026’da AB’de yürürlüğe giriyor; Türkiye’de BDDK takip ediyor (2027 horizon). FAPI 2.0 + DPoP/mTLS + verification of payee 3 ana hazırlık alanı. SCA exemption’ı conversion için kritik ama fraud rate ile dengeli kullanılmalı; %0,01 fraud threshold aşılırsa exemption iptal. Behavioral biometrics SCA factor olarak resmi tanım kazanacak; conversion 7-12 puan artırma potansiyeli. UK Confirmation of Payee başarısı VoP’un EU’da yaygınlaşmasına ön ayak oldu.
Sıkça Sorulan Sorular
PSD3 PSD2’den ne kadar farklı?
Yapısal farklılık az, rafine edilmiş bir versiyon. Major eklenenler: VoP zorunluluğu, behavioral biometrics SCA tanımı, AISP/PISP fee model netleştirmesi, fraud responsibility shift. PSD2 ile temel mimari (TPP API, SCA, AISP/PISP) korunuyor.
FAPI 2.0 ile FAPI 1.0 farkı nedir?
FAPI 2.0 OAuth 2.1 üzerine, daha basit ve modern. PAR ve JAR zorunlu; mTLS veya DPoP sender-constrained token. FAPI 1.0 advanced profile karmaşıktı; 2.0 spec daha clean ve implementation kolay. Production-ready, UK ve EU adoption hızlanıyor.
Behavioral biometrics gerçekten SCA factor mu?
PSD2’de muğlaktı; PSD3 ile inherence kategorisinde resmi tanım kazanıyor. BehavioSec, BioCatch, Buguroo ticari vendor’lar. Conversion için exemption olarak kullanılır; tek başına SCA olarak kullanım hâlâ regulatoir gri alan.
Verification of Payee maliyeti ne?
UK CoP API çağrısı başına 0,2-0,5 pence; AB EBA Clearing API ücretsiz veya €0,005-0,02. Implementation maliyeti banka başına 200K-1M €; revenue olmadığı için PSD3 yasal zorunluluk ile destekleniyor.
Türkiye’de PSD3 muadili ne?
BDDK Açık Bankacılık Yönetmeliği 2020’den beri yürürlükte; PSD2 muadili. Türk Open Banking API spec (BDDK + BKM) PSD2’yi referans alıyor. PSD3’ün VoP zorunluluğu Türkiye’de 2027-28 horizon’unda BDDK gündeminde.
Ömer ÖNAL
Mayıs 23, 2026PSD3 hazırlığını PSD2 SCA implementation’ı ‘düzeltme’ olarak ele alan bankalar konsolide consent management, FAPI 2.0 profili ve verification of payee gibi yeni zorunluluklarda 6-9 ay gecikiyor. Doğru sıra: önce mevcut SCA flow audit (exemption oranları, abandonment), sonra FAPI 2.0 migration, en son verification of payee. Behavioral biometrics ile SCA exemption’ı genişletmek conversion’ı 7-12 puan artırıyor. — Ömer Önal