什么是PSD2下的强客户认证(SCA)
强客户认证(SCA)代表了欧盟(EU)为确保向所有成员国的金融服务客户提供的安全级别进行标准化的新努力,从而促进了竞争银行之间的竞争。
该机制是即将出台的欧盟指令的一部分,即第二次支付服务指令(PSD2),该指令将于2019年9月14日生效。该指令将要求在欧洲经济区(EEA)内提供支付服务的企业将拥有在超过30欧元的付款上部署额外的安全措施。这主要是因为电子转移的多因素认证(MFA)的变体。
在此日期之后,所有“客户发起的”转账(例如单卡支付和银行转账)将受SCA保护措施的约束。那些被认为由商家发起的付款,例如直接付款,将不在本指令范围内,并将继续像今天一样运作。
目的是通过强制用户使用其他验证方法(即PIN码或生物识别数据)确认其身份来减少欺诈性付款的数量 - 这是客户能够根据要求生成的。访问其在线银行帐户,发送在线付款或从事可能带有欺诈风险的远程渠道的客户将受SCA约束。
这些变化还意味着,截至本月晚些时候,任何没有经过额外保护层的合格付款都可能被银行拒绝。
银行业技术的崛起
在过去的几年里,英国人们纷纷使用移动设备访问金融服务并进行支付。这导致了更广泛的趋势,现金使用现象急剧下降,借记卡支付在2017年首次超过现金交易。
据英国零售商协会(British Retail Consortium)称,去年卡支付占所有零售额的四分之三以上。现代卡交易已经通过Chip and Pin机制覆盖了与SCA相当的东西,但这还未扩展到在线支付。
像Monzo这样的数字银行也有所增长,它们没有任何实体分支机构,而是专门在线运营。据估计,英国大约有十分之一的人拥有一家只有数字银行的账户,预计到2023年人口的四分之一将拥有一个账户。
保证金钱安全
用现金支付意味着很容易证明这笔钱属于我们;鉴于我们将其交给身体。但是,通过使支付更加抽象,数字支付使事情变得复杂,而且如果没有进行实际交易,将支付限制在任何一方都会更加困难。
毫不奇怪,虽然新的支付方式比传统方法更方便,但它们也导致了欺诈的爆炸性增长。据英国金融公司称,去年英国发卡的损失超过6.71亿英镑,比去年增加了19%。
SCA是PSD2的关键板块,旨在应对这一趋势,并大幅减少欺诈性支付的数量。该指令本身涵盖了支付的广泛范围,并将对数字交易的发生方式进行重大改变。值得指出的一点是,无论英国脱欧的结果如何,它都有望在英国申请,主要是因为最大的金融机构希望与整个非洲大陆的客户保持一致。
从9月14日开始实施SCA时,最大的变化是,当支付高于30欧元的门槛时,需要MFA。验证的第二个因素将要求每种付款使用三种不同类型的验证中的两种。这可能包括一些知识,如PIN号码,以及我们可以像信用卡或手机一样实际访问的内容 - 甚至是生物识别数据,如指纹扫描。
我们不是已经有了这个吗?
目前,MFA以3D Secure(3DS)的形式存在,主要用于信用卡交易,但仅在存在明显欺诈风险的情况下部署。例如,在进行在线购物时,可能会打开第二个操作窗口并询问更多详细信息。在浏览器中以及由于配置不良而在移动设备上浏览时,这通常会令人沮丧。修订版允许生物识别(指纹或面部),这更适合电话用户。
3DS还为卖方提供了选择退出第二个验证因素的能力,使交易更顺畅,但减少了安全因素并可能使买方面临风险。
PSD2遵守一套不同的法规,30欧元以下的交易没有SCA的MFA要求,但除此之外,规则规定将有强制性要求进行另一种形式的验证。
需要第二个因素的可能性是基于收单银行和发行人的欺诈率。银行经历的欺诈越少,在需要第二个因素之前就可以花费的越多。至关重要的是,商家对于他们是否需要来自用户的MFA不再有发言权。此外,低于30欧元门槛的每五笔交易都将受到质疑,以及交易总价值超过100欧元时。
如何根据SCA确保付款
3DS的更新版本,被称为3D Secure 2(3DS 2),将于今年推出,以适应SCA的生效。较新的标准旨在减少MFA可能带来的一些额外摩擦,而不会影响必要的安全性。
3DS 2的功能是允许更多信息从提供商发送到客户的银行。这可能包括特定于付款的详细信息,例如送货地址,以及借鉴设备数据,交易历史记录,服务器信息甚至时区等上下文信息。所有这些细节都被提供给客户银行运行的风险评估,作为确定是否需要进行额外身份验证检查的一部分。
默认情况下,任何已使用MFA的付款流程都符合SCA指令,例如需要生物识别验证的数字银行或Apple Pay等服务。
但是,SCA指令有许多豁免。对于依赖定期付款或订阅的服务,只有首次由客户发起的付款才需要MFA。
重要的是要记住,持卡人的银行决定是否需要MFA,以及SCA的豁免是否有效。
这对日常银行业务意味着什么?
SCA旨在协调用户保护并减少欺诈 - 这对我们作为消费者和员工既有利,也对银行和商家有利。卖方也可能转向欺诈率较低的银行,以尽量减少对MFA的需求并减少支付摩擦。这可能会使银行更加敏锐地减少欺诈行为,这对整个行业来说也是一个非常好的结果。