# PSD2 vs PSD3 คืออะไร? คู่มือ Open Banking & Strong Customer Authentication สำหรับ SME ส่งออก EU 2026
หากธุรกิจของคุณรับชำระเงินจากลูกค้าใน EU ผ่านบัตรเครดิต กระเป๋าเงินดิจิทัล หรือ Open Banking API การเข้าใจกฎหมาย Payment Services Directive (PSD) คือเรื่องที่ห้ามมองข้าม PSD2 ที่บังคับใช้ตั้งแต่ปี 2018 เปลี่ยนแปลงระบบชำระเงินในยุโรปไปทั้งหมด พร้อมเปิดประตูให้ Fintech และ Open Banking เติบโตอย่างก้าวกระโดด ส่วน PSD3 คือร่างกฎหมายใหม่ที่ EU กำลังผลักดันเพื่ออุดช่องโหว่ของ PSD2 และปูทางให้ "Open Finance" ครอบคลุมข้ามภาคส่วนการเงิน
ในบทความนี้คุณจะได้เข้าใจ PSD2/PSD3 อย่างครบถ้วน รู้ว่า Strong Customer Authentication (SCA) และ Open Banking คืออะไร เปรียบเทียบความแตกต่างระหว่างสองเวอร์ชัน และมี Action Plan ที่ชัดเจนสำหรับ SME ไทยที่ต้องการเข้าตลาด EU อย่างถูกกฎหมาย
PSD2 คืออะไร? บริบทสำคัญที่ต้องรู้
Payment Services Directive 2 (PSD2) หรือ Directive (EU) 2015/2366 คือกฎหมายของ EU ที่บังคับใช้เต็มรูปแบบในเดือนกันยายน 2019 มีเป้าหมายหลัก 3 ประการ ได้แก่ การส่งเสริมการแข่งขันในอุตสาหกรรม Payment ทำลาย Monopoly ของธนาคาร ยกระดับความปลอดภัยของการชำระเงินดิจิทัล และเสริม Consumer Protection ให้ลูกค้าใน EU
PSD2 ได้แนะนำผู้เล่นใหม่ 2 ประเภทเข้าสู่ระบบ Payment ได้แก่ Account Information Service Providers (AISP) ที่อ่านข้อมูลบัญชีของผู้บริโภคหลายธนาคารพร้อมกันเพื่อให้บริการเช่น Personal Finance App หรือเครดิตสกอริ่ง และ Payment Initiation Service Providers (PISP) ที่เริ่มต้นการโอนเงินจากบัญชีของผู้ใช้โดยตรงโดยไม่ต้องผ่านบัตรเครดิต ทั้งสองประเภทนี้ต้องได้รับใบอนุญาตและสามารถเข้าถึงข้อมูลธนาคารผ่าน Open Banking API ได้
Strong Customer Authentication (SCA) คืออะไร
Strong Customer Authentication (SCA) คือหัวใจสำคัญของ PSD2 ที่กำหนดให้ทุกธุรกรรมการชำระเงินใน EU ต้องผ่านการพิสูจน์ตัวตนด้วยปัจจัย 2 ใน 3 ประเภท:
| ประเภทปัจจัย | ตัวอย่าง |
|------------|----------|
| Knowledge (สิ่งที่รู้) | รหัสผ่าน, PIN, คำตอบลับ |
| Possession (สิ่งที่มี) | มือถือที่ลงทะเบียน, Hardware Token, บัตร |
| Inherence (สิ่งที่เป็น) | ลายนิ้วมือ, สแกนใบหน้า, ม่านตา |
ผลคือทุกการชำระเงินบัตรเครดิตออนไลน์ที่เกิน 30 ยูโรต้องผ่าน 3D Secure 2 (เช่น OTP + Fingerprint) ส่งผลให้ Conversion Rate ของ E-commerce ลดลงในช่วงแรก แต่อัตราการ Fraud ลดลงอย่างมีนัยสำคัญ ยกเว้นบางกรณีเช่น Low-Value (<€30), Trusted Beneficiary, Recurring Payment ที่ Issuer Bank อนุญาตให้ Skip SCA ได้ตามดุลยพินิจ Risk-Based Analysis
Open Banking ตาม PSD2 ทำงานอย่างไร
PSD2 บังคับให้ทุกธนาคารใน EU เปิด Account Information API และ Payment Initiation API ให้ AISP/PISP เข้าถึงโดยไม่คิดค่าธรรมเนียม ภายใต้มาตรฐาน Regulatory Technical Standards (RTS) สำหรับ Strong Customer Authentication and Common Secure Communication
มาตรฐาน API ที่ใช้กันแพร่หลายมี 3 มาตรฐาน ได้แก่ Berlin Group NextGenPSD2 ที่ใช้ในเยอรมนี ออสเตรีย และ DACH region, Open Banking UK Standard ที่กำเนิดในสหราชอาณาจักร แม้ Brexit ไปแล้วยังเป็นอ้างอิงสำคัญ และ STET PSD2 API ที่ใช้ในฝรั่งเศส แต่ละมาตรฐานใช้ OAuth 2.0 + Redirect SCA Flow สำหรับการอนุญาต
PSD2 vs PSD3: ความแตกต่างสำคัญ
EU เผยแพร่ร่าง PSD3 (Directive) และ PSR (Payment Services Regulation) ในเดือนมิถุนายน 2023 คาดว่าจะมีผลบังคับใช้ในปี 2026-2027 ข้อแตกต่างหลักมีดังนี้:
| ประเด็น | PSD2 (2018) | PSD3 (2026+) |
|---------|-------------|--------------|
| รูปแบบ Legal | Directive (ต้องตีความเป็นกฎหมายในแต่ละประเทศ) | Directive + Regulation (บังคับใช้ทันที) |
| ขอบเขต | Banking เป็นหลัก | ขยายสู่ Open Finance (Insurance, Pension, Investment) |
| SCA | บังคับ 2 of 3 Factors | ผ่อนผันมากขึ้นเพื่อ UX, รองรับ Behavioral Biometrics |
| Fraud Liability | Issuer รับ ถ้าไม่ใช้ SCA | Risk-Based + ห้าม APP Fraud (Authorized Push Payment) |
| API Performance | RTS ทั่วไป | กำหนด Performance KPIs ขั้นต่ำ (Uptime, Latency, Error Rate) |
| Sanctions | ค่าปรับต่ำ | สูงสุด 10% ของรายได้ทั่วโลก |
| Crypto Asset | ไม่ครอบคลุม | เชื่อมกับ MiCA เกี่ยวข้อง E-money Token |
ประเด็นใหญ่คือ PSD3 จะรวม Open Finance (ข้อมูล Insurance, Pension, Investment) ภายใต้ Financial Data Access Regulation (FIDA) เปลี่ยนภูมิทัศน์ Fintech ใน EU อย่างมีนัยสำคัญ
ผลกระทบต่อ SME ไทยที่ส่งออกไป EU
แม้ธุรกิจของคุณตั้งอยู่ในไทย แต่หากรับเงินจากลูกค้าใน EU จะได้รับผลกระทบทางอ้อมจาก PSD2/PSD3 ดังนี้:
วิธีเตรียมตัวสำหรับ PSD2/PSD3
Step 1: Audit Payment Stack ปัจจุบัน ตรวจสอบ Payment Service Provider (PSP) ของคุณว่ารองรับ 3D Secure 2 + SCA Exemptions Engine หรือไม่ ถ้าใช้ Stripe, Adyen, Mollie, Worldline ส่วนใหญ่จะรองรับเรียบร้อยแล้ว
Step 2: Optimize 3DS2 Flow ลด Friction ด้วย Frictionless Authentication เมื่อ Risk ต่ำ ทำงานร่วมกับ PSP เพื่อตั้งค่า Exemption Strategy ที่เหมาะกับธุรกิจ
Step 3: เพิ่ม Open Banking Payment Method ทดลองรับเงินผ่าน TrueLayer, Tink (โดย Visa), Yapily, Plaid เพื่อให้ลูกค้า EU ที่ไม่ใช้บัตรเครดิตชำระได้
Step 4: ตั้งค่า Fraud Monitoring ใช้เครื่องมือเช่น Riskified, Sift, Forter ป้องกัน Fraud และจัดการ Chargeback Dispute
Step 5: ติดตามร่าง PSD3 อย่างใกล้ชิด ผ่านเว็บไซต์ EBA, ECB, European Commission และเตรียมปรับระบบเมื่อข้อกำหนดสุดท้ายประกาศ
Best Practices ความปลอดภัยตาม PSD2
ค่าใช้จ่ายและกรอบเวลาที่ควรเตรียม
| รายการ | ค่าใช้จ่ายโดยประมาณ | ระยะเวลา |
|--------|---------------------|----------|
| 3DS2 Integration | 50,000–200,000 บาท | 1–2 เดือน |
| Open Banking Integration | 200,000–500,000 บาท | 3–6 เดือน |
| Fraud Monitoring Tools | 30,000–100,000 บาท/เดือน | ต่อเนื่อง |
| Legal Consultation | 100,000–300,000 บาท | 1–3 เดือน |
| QWAC/QSeal Certificates | 50,000–150,000 บาท/ปี | ทุกปี |
สรุป + ขั้นตอนต่อไป
PSD2 และ PSD3 ไม่ใช่แค่กฎหมายของ EU แต่คือมาตรฐานการชำระเงินที่กำลังกลายเป็นต้นแบบสำหรับทั่วโลก รวมถึงประเทศไทยที่ ธปท. ผลักดัน Open Banking ในประเทศ การเข้าใจกฎหมายเหล่านี้ก่อนคู่แข่งคือข้อได้เปรียบสำคัญสำหรับ SME ไทยที่จะเข้าตลาด EU
Action Items วันนี้:
หากต้องการคำปรึกษาในการ Integration Payment, Security Audit, หรือ Compliance Strategy [ติดต่อทีม ADS FIT](https://www.adsfit.co.th/contact) เรามีประสบการณ์ช่วย SME ไทยส่งออกตลาด EU มาแล้วหลายราย
อ่านบทความเกี่ยวข้อง: