PSD3 – vad som faktiskt förändras

PSD2 lade grunden för open banking genom att kräva att banker öppnar sina API:er för godkända tredjepartsleverantörer. PSD3, som enligt Europaparlamentets förarbeten förväntas implementeras under 2026, går betydligt längre.

De viktigaste förändringarna

Vad det innebär operativt

För en svensk bank med äldre kärnbanksystem betyder PSD3 att API-lagret inte kan vara en efterkonstruktion. Det behöver vara en grundläggande del av arkitekturen: standardiserade API:er (Berlin Group NextGenPSD2-standarden är den naturliga utgångspunkten), OAuth 2.0-autentisering och ett API-gateway-lager som hanterar trafik, rate limiting och säkerhetsövervakning.

Banker som bygger den här infrastrukturen kan dessutom erbjuda den som Banking-as-a-Service (BaaS) till fintech-partners. Det är en omställning av affärsmodellen, inte bara av IT-arkitekturen.

Molnmigrering för finansiella system

---

AI-bedrägeridetektering – bortom hypen

AI i finanssektorn diskuteras ofta i abstrakta termer. Bedrägeridetektering är undantaget: det är ett av de tydligaste exemplen på mätbart affärsvärde idag.

Så fungerar det i praktiken

Traditionella system bygger på fasta regler: "flagga transaktioner över 50 000 kr till okänt land." Problemet? Bedragare lär sig reglerna snabbare än compliance-avdelningen uppdaterar dem.

Maskininlärningsmodeller arbetar annorlunda. De tränas på historiska transaktionsdata — miljontals datapunkter — och identifierar mönster som inte är uppenbara för mänskliga analytiker. Avvikelser flaggas i realtid, och modellen förbättras kontinuerligt med ny data.

Enligt Accenture Financial Services har AI-driven bedrägeridetektering visat sig ge väsentligt lägre förluster jämfört med regelbaserade system. Lika viktigt: antalet falska positiva minskar dramatiskt. Det betyder färre kunder vars legitima transaktioner blockeras — en direkt förbättring av kundupplevelsen.

Vad vi ser i produktion

Från Opsios SOC-perspektiv är den kritiska frågan inte algoritmens kvalitet utan infrastrukturen runt den. ML-modeller som kör inferens i realtid kräver låg latens, hög tillgänglighet och rigorös loggning. Det sista är avgörande: Finansinspektionen och GDPR kräver att du kan förklara varför en transaktion flaggades. "Modellen sa så" räcker inte som svar.

Det ställer krav på MLOps-pipelines med versionshantering av modeller, förklarbarhetsramverk (SHAP eller LIME) och en drift som klarar peak-trafik under lönehelger utan degradering.

Managerade molntjänster för finanssektorn

---

Molnbaserad kärnbankverksamhet

De flesta svenska banker kör fortfarande delar av sin kärnbankinfrastruktur på mainframes eller on-prem-miljöer som är 15–25 år gamla. Det fungerar — tills det inte gör det.

Varför molnet förändrar spelplanen

Molnbaserad kärnbankinfrastruktur handlar inte primärt om kostnadsbesparing (den kommer, men inte dag ett). Det handlar om hastighet. Nya produkter och tjänster som tar månader att lansera i en monolitisk on-prem-arkitektur kan vara ute på veckor i en molnbaserad, API-first-arkitektur.

Thought Machine, Temenos och Mambu är plattformar som svenska banker utvärderar eller redan pilottestar. Gemensamt för dem: de körs i molnet, exponerar funktionalitet via API:er och stödjer mikroservice-arkitektur.

Datasuveränitet är inte förhandlingsbart

Finansiella arbetsbelastningar i molnet kräver att data stannar inom EU — i de flesta fall inom Sverige. AWS eu-north-1 (Stockholm) och Azure Sweden Central är de naturliga valen. Men region är bara början. Kryptering i vila och transit, strikt IAM-hantering, nätverkssegmentering och fullständig loggning i enlighet med GDPR, NIS2 och Finansinspektionens riktlinjer (FFFS) måste vara på plats från dag ett.

Det är här vi ser flest misstag: banker som väljer rätt region men missar krypteringspolicyer, loggretentering eller nätverksflöden mellan tjänster. En väl arkitekterad landningszon, designad efter AWS Well-Architected Framework eller Azure Architecture Centers principer, sparar månader av efterarbete.

Molnsäkerhet och compliance

---

Regtech – compliance som skalas

Regulatoriska krav i finanssektorn har en tendens att bara växa. NIS2-direktivet, DORA (Digital Operational Resilience Act), GDPR, PSD3, AML-direktiven — listan är lång och varje nytt regelverk kräver resurser. Regtech-lösningar adresserar detta genom att automatisera övervakning, rapportering och riskbedömning.

Var regtech gör störst skillnad

• KYC och AML-screening: Automatiserad kontroll mot sanktionslistor och PEP-databaser i realtid
• Regulatorisk rapportering: Automatgenererade rapporter till Finansinspektionen, formaterade enligt gällande krav
• Förändringsbevakning: AI-driven bevakning av regulatoriska uppdateringar med automatisk koppling till interna processer
• Incidenthantering: Strukturerad rapportering som uppfyller NIS2:s krav på 24-timmarsnotifiering

Medelstora finansiella aktörer ser störst relativ nytta. Storbanker har compliance-avdelningar med hundratals medarbetare. En nischbank med 50 anställda har inte den lyxen — men samma regulatoriska krav.

Cloud FinOps och kostnadsoptimering

---

En realistisk transformationsplan

Digital transformation i finanssektorn är inte ett IT-projekt med ett slutdatum. Det är en kontinuerlig förändring av hur verksamheten fungerar. Men det behöver en struktur.

Fas 1: Fundament (0–6 månader)

• Etablera molnbaserad landningszon med full compliance-grund
• Dataklassificering och migrering av icke-kritiska arbetsbelastningar
• API-gateway för PSD3-förberedelse

Fas 2: Modernisering (6–18 månader)

• Pilotera molnbaserad kärnbankmodul (t.ex. utlåning eller betalningar)
• Implementera ML-baserad bedrägeridetektering med MLOps-pipeline
• Regtech-integration för automatiserad regulatorisk rapportering

Fas 3: Skalning (18–36 månader)

• Full migration av kärnbanksystem
• BaaS-erbjudande till partners
• Kontinuerlig optimering via FinOps-praxis

Varje fas kräver parallell drift av gamla och nya system. Det är dyrt och komplext, men alternativet — en big-bang-migration — är en risk som ingen bank med sunt förnuft tar.

Managerad DevOps för finansiella tjänster

---

Vanliga frågor

Vilken roll spelar PSD3 för svenska bankers digitalisering?

PSD3 utvidgar PSD2:s krav på öppna API:er till fler kontotyper och skärper konsumentskyddet. För svenska banker innebär det investeringar i standardiserade API-gateways, men också möjligheten att bygga nya intäktsmodeller genom Banking-as-a-Service. Implementeringen förväntas under 2026.

Hur fungerar AI-bedrägeridetektering i praktiken?

Maskininlärningsmodeller tränas på historiska transaktionsdata och analyserar mönster i realtid. Till skillnad från regelbaserade system upptäcker de nya typer av bedrägerier utan att reglerna skrivits i förväg. Resultatet är väsentligt lägre förluster och färre falska positiva, vilket förbättrar kundupplevelsen.

Vilka molnplattformar passar bäst för finansiella arbetsbelastningar i Sverige?

AWS eu-north-1 (Stockholm) och Azure Sweden Central erbjuder båda regioner med full datasuveränitet. Valet beror på befintligt ekosystem, men avgörande är att arkitekturen stödjer kryptering, åtkomstkontroll och loggning i enlighet med GDPR, NIS2 och Finansinspektionens riktlinjer.

Vad är skillnaden mellan regtech och generell compliance-mjukvara?

Regtech-lösningar är specialbyggda för regulatorisk efterlevnad och använder automatisering, AI och realtidsövervakning för att hålla jämna steg med föränderliga regelverk. Generell compliance-mjukvara hanterar ofta dokumentation men saknar den branschspecifika intelligens som gör regtech effektivt i finanssektorn.

Hur lång tid tar en molnmigrering för en medelstor bank?

Räkna med 12–24 månader för en kontrollerad migrering av kärnbanksystem till molnet. Komplexiteten ligger sällan i tekniken utan i regulatorisk godkännandeprocess, dataklassificering och organisationens förmåga att köra parallella miljöer under övergången.