Як приймати платежі у ЄС: детальний гайд з регуляторки, правил і обмежень

ЄС – один з найпопулярніших нових ринків, на які виходять бізнеси з різних країн – від США та Канади до Східної Європи та Центральної Азії. На логічне питання “чому” відповідають прості метрики: високий рівень безпеки, розвинена інфраструктура та купівельна спроможність аудиторії. Однак у комплекті з масштабом і можливостями йде велика кількість регуляторних вимог та бюрократичних  нюансів. На зв’язку команда bill_line, і цей великий гайд про те, як діяти законно й ефективно у ЄС, зокрема — що має знати бізнес, що продає товари чи послуги, а також з чим працюємо ми як фінтех-компанія, яка обробляє платежі.

Що робити мерчантам?

Якщо ви продаєте товари чи послуги у ЄС в онлайні, вам потрібно розуміти базові регуляторні вимоги – а їх тут більш ніж достатньо. Розберемо основні акценти та пояснимо, що робити. 

Захист даних та GDPR

Починаємо з бази, а саме – з даних, бо практично кожен торговець працює з ними так чи інакше. Регулювання використання персональних даних клієнтів здійснюється через General Data Protection Regulation (абоGDPR) згідно загальноєвропейського регламенту EU №2016/679. Він діє у всіх країнах ЄС, і якщо ви обробляєте персональні дані клієнтів (ім’я, email, платіжна інформація) – а ви це точно робите – то маєте дотримуватися його вимог. На сайті повинні бути чітко прописані обґрунтування збору даних, чітко прописані, які саме потрібні (аби не збирати зайвого та на порушувати прав). Також мають бути визначені права суб’єктів даних на доступ до власних даних та їх видалення за бажанням.

Оформлення, e-invoicing, цифрова торгівля

Якщо ви продаєте між країнами ЄС, то обов’язково зверніть увагу на правила електронного виставлення рахунків (e-invoicing) та податкові зобов’язання. Наприклад, у різних країнах-членах ЄС різні терміни впровадження електронних інвойсів, які, до того ж, залежать від розміру бізнесу (від середини 2026 до початку 2027 року). Розмір вашого бізнесу грає роль, тому завжди уважно вивчайте нормативку.

У фокусі bill_line – не ставити нашого партнера перед фактом змін, а допомагати впроваджувати зміни – подекуди беручи процеси на себе. Це частина нашого загального swiss-knife підходу, який дозволяє заробляти більше і мерчанту, і його платіжному партнеру. 

Читайте також: Чому “відпадають платежі” та як змінити це на краще?

Реєстрація та статус

Якщо ви самостійно приймаєте платежі або працюєте з платіжними послугами — до вас може застосовуватися Payment Services Directive 2 (скорочено PSD2). Директива EU 2015/2366 також діє в усіх країнах ЄС. 

Але навіть якщо ви не є фінансовою установою, але приймаєте оплату за товари/послуги, то маєте співпрацювати з платіжними посередниками, які мають відповідну ліцензію. За це відповідальний ваш платіжний партнер. 

Strong Customer Authentication (SCA) та безпека

“Пакетно” з PSD2 діє норма про Strong Customer Authentication (SCA), інформація про яку наведена у посиланні вище. Для мерчантів це означає, що онлайн-оплата на їх сайті чи застосунку повинна працювати за фреймворком, в якому оплату ініціює законний власник картки чи рахунку. Він має містити: 

• двоетапну аутентифікацію;
• моніторинг ризиків; 
• обмежене використання “спрощених” інструментів без SCA;

Для бізнесу-мерчанта важливо чекнути легальну сторону: якщо ваш платіжний провайдер не дотримується положень, то ризики переходять до вас.

Антифрод-політика

У 2025-2026 роках мерчанти підпадають під посилену увагу регуляторів. Наприклад, нові вимоги зазначають що навіть мерчант згідно з новими правилами може нести відповідальність за шахрайство, якщо не імплементував на своєму проєкті адекватної системи протидії.

Саме тому мерчант у співпраці з платіжним партнером повинні забезпечити ефективний моніторинг транзакцій, верифікацію клієнтів та адаптувати дієвий план заходів реагування на інциденти. Окремим пунктом йде регулярне навчання команди новим антифрод-діям.

Робота з платіжними послугами та умовами

Під не раз згаданим нами “платіжним партнером” для мерчанта мається на увазі банк-еквайр, процесор чи платіжний сервіс-провайдер (PSP). Перед початком роботи завжди проводьте due diligence, аби переконайтися, що у них є відповідні ліцензії та сертифікація безпеки, що договір регламентує SCA, прописує умови чарджбеків та розподіляє відповідальність. Міжбанківські комісії та правила карткових платежів  можуть змінюватися – а тому платіжний партнер та мерчант завжди повинні бути в діалозі.

bill_line регулярно інформує своїх партнерів про всі важливі зміни у наданнях послуг. Нерідко наші менеджери проводять індивідуальні сесії з роз’ясненнями причин та важливості тих чи інших змін. 

Підводимо риску: задачі мерчанта

Коли ви продаєте товари чи послуги в ЄС, вам потрібно дотримуватись правил про аутентифікацію, захищати дані, працювати лише з ліцензованими провайдерами, мати налаштовані антифрод-політики та враховувати транснаціональні вимоги.

Читайте також: детальний гайд про те, як підготувати свій сайт або застосунок до приймання платежів 

Що робити фінтех-компаніям?

У такого бізнесу ширший фокус. Платіжні компанії мають розуміти не тільки ecommerce-процеси, а ще й приймання, обробку чи передачу транзакцій та фінансових даних. Саме тому регуляторні вимоги більш жорсткі. Ось що варто враховувати.

Ліцензії та платіжні послуги

Якщо ви надаєте платіжні послуги (акцептуєте, ініціюєте, передаєте платежі) – на вас повністю діє вже згадана PSD2. Це означає, що ви маєте отримати ліцензію або бути зареєстрованим як платіжний сервіс-провайдер (PSP) у відповідній країні, або працювати за посередництвом ліцензованого партнера.
Але нові регуляторні зміни вже не за горами, а тому, окрім PSD2, вивчайте майбутню Payment Services Directive 3 (PSD3), яка передбачає посилення вимог та  моніторингу. Директива ще не вступила в силу, однак треба бути готовим. 

Захист прав споживачів

Фінтех-сервіси мають повідомляти про тарифи, комісії, умови використання. Прозорість – це одна з базових вимог до платіжних сервісів, що закладена у PSD2 щодо інформації для користувачів. 

Операційна стійкість

Робота з грошима клієнтів – це велика відповідальність саме через високі ризики. Транзакції, передача даних – все це ставить вимоги. Які не можуть існувати індивідуально. Аби уніфікувати останні, у ЄС діє Digital Operational Resilience Act (DORA), який ставить вимоги до кіберстійкості фінансових структур та їх ІТ-постачальників.

Перед PSP виникає задача мати чіткий 5-пунктовий план операційної стійкості: резервування, управління інцидентами, моніторинг ІТ-інфраструктури, тестування, аудит третіх сторін. Детальніше про нього можна дізнатися тут. 

Відкриті фінанси та доступ до рахунків

По-перше, якщо надаєте послуги ініціації платежів або доступу до даних рахунку (PIS/AIS) — треба отримати відповідні дозволи. Детально про це – у посиланні вище. 

По-друге, поява open banking означає, що традиційні банки та нові гравці мають діяти за спільними правилами, включно з управлінням ризиками та конфіденційністю, що встановлені та підтримується європейським регулятором.

Протидія відмиванню грошей (AML)

Якщо працюєте з платежами, особливо з грошовими переказами, то для вас обов’язковими стають процедури KYC (know your customer), моніторинг транзакцій та звітність до наглядових органів.

Читайте також: як підтримувати платіжну безпеку

Фінтех-регуляції майбутнього та цифрові активи

Якщо ви працюєте з криптоплатежами, токенами та цифровими активами загалом – зверніть увагу на Markets in Crypto‑Assets Regulation (MiCA), яка вже набрала чинності у ЄС.  Завдяки цьому акту Євросоюз встановив правила для постачальників послуг із цифровими активами, а тому це є обов’язковим для вашої щоденної роботи у відповідній юрисдикції.

Підводимо риску: задачі фінтех-компаній

Якщо ви приймаєте платежі, керуєте фінансовими потоками, обробляєте дані клієнтів – вам потрібно діяти як повноцінна фінансова установа, чиє відповідальність зростає щороку (разом із можливостями) та наближається до статусу банків. Ліцензія або регуляторний статут, стійка ІТ-інфраструктура, контроль ризиків, захист даних, чіткі умови користування, відповідність стандартам AML/CTF – все це має бути у вашому фокусі, якщо не хочете отримувати величезні штрафи.  

Чому це важливо

ЄС активно працює над уніфікацією регулювання фінтеху. Це означає, що для фінтех-компаній застосовуються ті самі базові положення, що й для інших фінансових установ. 

Мерчанти, в свою чергу, мають розуміти, що регуляторні вимоги вже не обмежуються лише банками чи платіжними компаніями: у 2025 році акцент зміщується на відповідальність мерчантів, особливо у цифрових каналах.

Дотримання згаданих норм в обох сценаріях ведення бізнесу – це підвищення довіри клієнтів, зниження ризиків штрафів і блокувань, а також ключ до роботи на міжнародному рівні.

Читайте також: як підвищити конверсію платежів