本指南中,我们将具体聊一聊欧盟支付服务修订法案第二版 (PSD2) 引入的这个被称作“强客户认证”(SCA) 的欧洲要求,及其涉及的支付类型。我们还会介绍可以代表商家申请哪些可用豁免,以打造顺畅无阻的结账体验。
我们还发布了一份指南,帮助您确定何时将验证程序添加到客户旅程中,以及另一份指南帮助您为即将出台的欧盟支付服务修订法案第三版 (PSD3) 做好准备。请访问我们的网站,详细了解 Stirpe 的 SCA-ready 产品。
什么是强客户认证?
强客户认证 (SCA) 是欧洲一项法规要求,旨在减少欺诈,让线上和非接触式线下付款更加安全。要进行收款并满足 SCA 要求,您需要在结账流程中构建额外的验证程序。SCA 要求至少验证以下三要素中的两项。
如果您想要查看 SCA 要求的原文,请参见法规技术标准 (缩写为 RTS)。对于要求 SCA 但无法满足其标准的付款,银行必须拒付。
何时要求强客户认证?
强客户认证适用于英国或欧洲范围内“由客户发起”的线上支付和非接触式线下支付。所有电子支付(即银行卡支付和银行转账)都需要进行强客户认证 (SCA),除非可以适用豁免,或者该交易被认为超出了强客户认证 (SCA) 的范围,例如,商家发起的交易(如直接借记)。
对于线上银行卡支付,这些要求适用于商家和持卡人的银行都位于欧洲经济区 (EEA) 的交易。
如何验证一笔银行卡支付交易
验证线上银行卡支付的最常用方法是 3DS 验证——这是大多数欧洲银行卡都支持的一种验证标准。应用 3DS 验证通常是在结账之后增加一个额外验证步骤,银行会弹窗提示持卡人提供额外的信息来完成支付,例如向他们的手机发送一次性验证码,或在他们的移动银行应用程序中进行指纹验证。
3DS 2.0 验证是验证线上银行卡支付且满足 SCA 要求的主要方式。
线下银行卡交易一般通过输入 PIN 码来满足验证要求。Apple Pay 或 Google Pay 等其他基于银行卡的支付方式通过内置的验证(生物特征识别或密码)层,已经支持支付流程。这些方式十分实用,可帮助商家在满足要求的同时,实现无阻结账体验。
3DS 背景下欺诈性争议的责任划分
在多重因素验证取得成功的情况下,应用强客户认证 (SCA) 的一个好处是,商家可以避免由欺诈性争议引发的责任问题。
强客户认证豁免情况
并非所有支付都属于强客户认证 (SCA) 下的多重因素身份验证范围。有些支付有资格享受法规规定的豁免,也有些不在强客户认证 (SCA) 实施的范围内。在持卡人的银行要求并接受豁免的情况下,商家需要负责解决欺诈性争议引发的责任问题。
处理支付的过程中,Stripe 等支付服务商能够申请豁免。持卡人的银行随之会收到此申请,评估交易的风险等级,最终决定是否批准豁免还是仍需验证。对低风险支付使用豁免可减少某一客户需要接受验证的次数,并减少阻力和客户流失。
Stripe 使用机器学习来确定每种情况下的最佳豁免方式,以帮助您尽可能为客户提供最为顺畅的结账体验。我们已设计出 SCA-ready 支付产品,尽可能帮助您充分利用豁免来保护您的转换率。
对于接受在线付款的商家来说,最密切相关的豁免情况如下:
低风险交易
支付服务商(比如 Stripe)可进行实时风险分析(称为交易风险分析 (TRA)),以确定是否对交易进行强客户认证 (SCA)。应用此豁免的前提是支付服务商的总体银行卡支付欺诈率不超过以下阈值:
- 0.13%,可豁免金额在 100 欧元/85 英镑以下的交易
- 0.06%,可豁免金额在 250 欧元/220 英镑以下的交易
- 0.01%,可豁免金额在 500 欧元/440 英镑以下的交易
这些阈值可适当转换为本地货币金额。
这是对于商家最有用且银行支持最广的一种豁免方式。Stripe Radar 具备综合实时的风险评估能力,可以为用户获得这一豁免提供支持。
30 欧元/25 英镑以下的支付
金额较低的支付也有可能适用豁免。30 欧元或 25 英镑以下的交易被视为“小额交易”,可免于进行强客户认证 (SCA)。但在持卡人被豁免 5 次(距最近一次成功验证后),或之前的豁免支付总额超过 100 欧元/85 英镑后,银行会要求进行验证。持卡人的银行需跟踪此类豁免的已用次数,决定是否需要进行验证。
由于这类豁免设有严格限制,可能许多支付都无法享受这类豁免。然而,我们可以对我们的客户提供这类豁免服务支持。
定期交易
当客户向同一商家以相同金额进行一系列定期付款时,适用此豁免。客户的首笔支付需进行强客户认证 (SCA),但后续扣款可免于进行强客户认证 (SCA)。
这种豁免对订阅商家会非常有用,并且得到了欧洲银行的广泛支持。如果您是使用 Stripe Billing 创建订阅,那么我们会在适用时自动应用这种豁免,并且会在客户的银行拒绝豁免时帮助管理验证请求。
商家发起的交易(包括金额变化的订阅)
使用保存的银行卡支付,但客户不参与到结账流程(有时称为“会话外”),这种付款可能就属于商家发起的交易。这种付款在技术上不属于强客户认证的要求范围。在实际操作中,将某笔付款标记为“商家发起的付款”类似于请求豁免。与其他形式的豁免一样,仍然由银行决定是否需要对交易进行验证。
要使用商家发起的交易,您需要在首次保存银行卡或首次支付时对银行卡进行验证。最后,您需要获得客户的同意(也称为“授权”),以便之后向其银行卡扣款。
这对于依赖于延迟付款、收款金额变化的订阅或附加费用账单的商业模式是一种非常重要的使用案例。大多数欧洲银行都支持这一方式,如果银行判定交易的风险较低,即会接受这一方式。
Stripe 的 API 可让您在保存银行卡以供将来使用时认证银行卡,并将后续支付标记为“商家发起的交易”。商家务必要使用 Stripe 的最新 API 来确保为强客户认证 (SCA) 做好准备。
电话销售 (MOTO)
通过电话收集的银行卡信息不属于强客户认证 (SCA) 的范畴,不需要进行认证。这类付款有时被称为“邮购和电话订购” (MOTO)。与豁免的支付类似,需要对 MOTO 交易进行这种标记——由持卡人的银行最终决定是接受还是拒绝交易。
这个使用案例对于接受电话付款的商家来说至关重要,而且得到了银行的广泛支持。 通过 Stripe 管理平台创建的支付可以被自动标记为该使用案例的 MOTO 支付。
如果贵公司符合 PCI 的要求且您已自行构建了自己的电话订购系统,则可以利用我们的支付 API,将支付标记为 MOTO。请联系我们,为您的 Stripe 账户启用此功能并访问技术文档。
企业付款
这种豁免适用范围包括用“住宿”卡(用于管理员工差旅费用的一种企业卡,直接由在线旅行社持有)进行的付款,以及用虚拟卡号(也用于旅游行业)进行的企业付款。
由于范围较窄,这一豁免在旅游行业之外实际用处并不大。豁免本身只能由持卡人的银行申请,因为无论是商家还是支付服务商(例如 Stripe)都不能检测某张银行卡是否属于这些类别。
可靠受益人
完成一笔支付的认证时,客户可以选择将其信任的商家加入允许列表,避免在未来购买时不得不再次进行验证。然后这些商家会被列入“可靠受益人”列表,由客户的银行或支付服务商维护。
虽然允许列表可以令客户的重复购物或订阅体验更加便捷,但银行采用这一功能的进度一直较为缓慢。
豁免失败时会怎样?
虽然豁免会非常有用,但必须记住,最终仍然要由持卡人的银行决定是否准予豁免。对于因豁免遭拒导致支付缺少验证而失败的支付,银行可能会返回特定的拒绝代码。然后,必须向客户重新提交此类支付,并且请求进行强客户认证。在银行发出请求时,Stripe 的 SCA-ready 产品会自动触发这一额外的验证程序。
如果贵公司涉及强客户认证 (SCA),我们建议您准备一套备用方案,以便应对豁免被拒、客户需要验证的情况。如果您在向客户收款时客户未主动参与结账流程(即他们“在会话外”),客户本人需要返回您的网站或应用进行验证,这套备用方案便显得尤为重要。请阅读我们的强客户认证支付流程设计指南,了解更多信息。
Stripe 如何帮您满足强客户认证要求
这一法规对欧洲的互联网商务企业有着深远的影响。随着欧洲各大银行强客户认证 (SCA) 规则的不断演变,受影响的企业如果不遵守这些要求,就会波及自身的转化率。
除了对 3DS 2.0 验证等验证方式提供支持外,我们认为成功处理这类豁免是构建更优支付体验的关键要素,由此不仅可以减少欺诈,还可以最大限度地减少客户的阻力。我们的支付产品能够针对不同的监管机构、银行以及卡组织的规则进行优化,并对低风险支付应用相应的豁免,以便只在必要时触发 3DS 验证。我们的高级机器学习模型还可以帮助您适应强客户认证 (SCA) 规则的变化。
变化展望
欧盟和英国的监管机构也在努力修订规则,这也会对强客户认证 (SCA) 在这两个地区的日后演变产生影响。欧盟委员会已修订现行 PSD2 框架,并颁布了欧盟支付服务修订法案第三版和支付服务条例提案。Stripe 发布的本指南详细介绍了新规则预计会对商家带来哪些影响,而我们也正在密切关注英国市场类似规则的进展。