דירקטיבת תשלומים PSD2
הרגולציה האירופית שפתחה את עולם התשלומים לתחרות והשפיעה על הבנקאות הפתוחה בישראל
בקצרה
PSD2 (Payment Services Directive 2) היא דירקטיבה של האיחוד האירופי שנכנסה לתוקף ב-2018 ומחייבת בנקים לפתוח את מערכותיהם לגורמים חיצוניים מורשים. הדירקטיבה מהווה את הבסיס הרגולטורי של מהפכת הבנקאות הפתוחה באירופה, ומשפיעה על רגולטורים ברחבי העולם, כולל בנק ישראל.
לפני PSD2, רק הבנק שלכם ראה את הנתונים הפיננסיים שלכם. הדירקטיבה קבעה שהנתונים שייכים ללקוח, לא לבנק, ולכן הלקוח רשאי לתת לגורמים אחרים (אפליקציות פינטק, שירותי השוואה, יועצים פיננסיים) גישה לנתונים שלו. בנוסף, PSD2 מאפשרת לגורמים מורשים ליזום תשלומים ישירות מחשבון הבנק, ללא צורך בכרטיס אשראי.
עמודי התווך של PSD2
- גישה לחשבונות (AIS): ספקי מידע חשבונאי מורשים יכולים לגשת ליתרות ולהיסטוריית העסקאות של הלקוח, בהסכמתו.
- ייזום תשלומים (PIS): ספקים מורשים יכולים לבצע העברה בנקאית ישירה מחשבון הלקוח, חלופה זולה יותר לכרטיס אשראי.
- אימות חזק (SCA): חובה לאמת כל תשלום מקוון באמצעות שני גורמים לפחות, למשל סיסמה + SMS או טביעת אצבע + קוד.
ההשפעה על ישראל
בנק ישראל אימץ עקרונות דומים ל-PSD2 ברפורמת הבנקאות הפתוחה הישראלית. ההבדל: בעוד באירופה מדובר בחקיקה מחייבת, בישראל התהליך מתבצע בהדרגה באמצעות הוראות הפיקוח על הבנקים, עם תמריצים ולוחות זמנים שנקבעים על ידי הרגולטור.
טיפ
בישראל, אפליקציות כמו "כל הבנקים" ו"פיננסי" כבר מנצלות את עקרונות הבנקאות הפתוחה. אם יש לכם חשבונות בכמה בנקים, שירותי AIS מאפשרים לראות את כל היתרות והעסקאות במקום אחד.
PSD2 עצמה היא רגולציה אירופית שלא חלה ישירות בישראל, אבל השפעתה מורגשת. ראשית, בנק ישראל מקדם רגולציה דומה של בנקאות פתוחה בישראל, בהשראת PSD2. שנית, אם אתם משתמשים בשירותים פיננסיים אירופיים (למשל, חשבון בבנק אירופי), PSD2 מגנה עליכם. שלישית, חברות פינטק ישראליות שפועלות באירופה חייבות לעמוד בדרישות PSD2, מה שמשפיע על המוצרים שלהן גם בישראל. ההשפעה הגדולה ביותר: תחרות גוברת בשירותים פיננסיים.
בנק ישראל צופה ב-PSD2 כמודל ולומד מהצלחותיה ומכישלונותיה. הרגולציה הישראלית לבנקאות פתוחה (שנמצאת בתהליך יישום) שואבת השראה מ-PSD2 אבל מותאמת למציאות המקומית. ההבדלים: בישראל, התהליך מתקדם לאט יותר, עם דגש על אבטחה ופרטיות. בנקאות פתוחה ישראלית מתמקדת קודם כל בשיתוף מידע חשבונות (Account Information) ובהמשך בהעברות כספיות (Payment Initiation). בפועל, כבר היום אפליקציות כמו כספית מתחברות לחשבונות בנק בגישה מוסדרת.
SCA (Strong Customer Authentication) היא דרישת PSD2 לאימות חזק של לקוחות בתשלומים מקוונים. היא מחייבת לפחות שני גורמי אימות מתוך שלושה: משהו שאתם יודעים (סיסמה), משהו שיש לכם (טלפון), ומשהו שאתם (טביעת אצבע). זה המנגנון שגורם לכם לאשר קנייה דרך האפליקציה של הבנק כשאתם קונים באינטרנט. SCA הפחיתה הונאות תשלומים באירופה ב-30%+ מאז יישומה, ומנגנונים דומים מיושמים גם על ידי בנקים ישראליים.
כן, PSD2 כוללת הגנות חזקות. ספקי צד שלישי חייבים לקבל הסכמה מפורשת של הלקוח לגישה למידע, ההסכמה מוגבלת בזמן (בדרך כלל 90 יום), וניתנת לביטול בכל רגע. הספקים חייבים ברישיון מהרגולטור הלאומי ועוברים בדיקות אבטחה. PSD2 עובדת יחד עם GDPR (רגולציית הפרטיות האירופית) כדי להבטיח שימוש אחראי במידע. עם זאת, גם במערכת מאובטחת, הסיכון לא אפסי. ההמלצה: בדקו אילו הרשאות נתתם ולמי, ובטלו הרשאות שאינכם צריכים.
PISP (Payment Initiation Service Provider) הוא שירות שמאפשר לצד שלישי ליזום תשלום ישירות מחשבון הבנק שלכם, ללא צורך בכרטיס אשראי. זה מוזיל עסקאות לסוחרים כי אין עמלת סליקה. AISP (Account Information Service Provider) הוא שירות שקורא מידע מחשבונות בנק שלכם כדי לתת לכם תמונה פיננסית כוללת. בפועל, אפליקציות ניהול תקציב הן AISP, ושירותי תשלום מיידי הם PISP. בישראל, שני הסוגים מתפתחים עם התקדמות הבנקאות הפתוחה.
זו בדיוק החשש שהביע הסקטור הבנקאי, גם בישראל. PSD2 מאלצת בנקים לפתוח את הנתונים שלהם לצדדים שלישיים, מה שמאפשר לפינטקים להציע שירותים מתחרים. בפועל, בנקים שהסתגלו (בעיקר באירופה הצפונית) דווקא שיפרו את המוצרים הדיגיטליים שלהם ושמרו על לקוחות. בנקים שהתעלמו מהמגמה איבדו נתח שוק. בישראל, הבנקים הגדולים משקיעים רבות בדיגיטל, מה שמרמז שהם לוקחים את האיום ברצינות. בסופו של דבר, הצרכן מרוויח מתחרות.
מושגי מפתח
AIS (שירות מידע חשבונות)
Account Information Service, שירות שמאגד מידע מחשבונות בנק שונים של הלקוח למקום אחד.
PIS (שירות ייזום תשלומים)
Payment Initiation Service, שירות שמאפשר לצד שלישי ליזום העברה בנקאית ישירה מחשבון הלקוח.
SCA (אימות חזק)
Strong Customer Authentication, דרישה לאמת כל פעולה רגישה באמצעות שני גורמים עצמאיים לפחות (ידע, חזקה, מאפיין ביומטרי).
- European Banking Authority. "Payment Services Directive (PSD2)" eba.europa.eu ↗ ↩נבדק לאחרונה: 07/05/2026
- European Commission. "Directive (EU) 2015/2366 on payment services in the internal market (PSD2)"(2015) eur-lex.europa.eu ↗ ↩
- בנק ישראל - הפיקוח על הבנקים. "בנקאות פתוחה (Open Banking)" boi.org.il ↗ ↩נבדק לאחרונה: 07/05/2026
מייסד
השקעתי שנים בהייטק ובשוק ההון. ניהלתי בעצמי את הפנסיה, הביטוחים וההשקעות שלי, של המשפחה ושל החברים, ובמקביל אני מוביל קהילת משקיעים פעילה כבר שנים. כל ערך במידע-הון מתורגם ישירות מהחוק והרגולציה לעברית קריאה, כדי שהמסמך הבא שיגיע אליך בדואר יהיה מובן. גם בעשר וחצי בלילה.
תחומי מומחיות