欧盟支付服务修订法案第二版,简称 PSD2,给欧洲各平台和交易市场的支付方式带来了重大变化。该法案还改变了第三方支付服务商获得银行账户访问权限和处理支付的方式,并引入了强客户认证 (SCA),使支付更加安全。
欧盟委员会现已修订该现行框架,并颁布了欧盟支付服务修订法案第三版和支付服务条例提案。这一全新的支付规则旨在确保整个欧盟的规则更加统一,进一步为支付服务商创造一个公平的竞争环境,并改进客户保护和欺诈保护工作。
欧洲议会和欧盟成员国之间的谈判仍在进行中,并且我们预计最终规则不会在 2026 年之前生效,但平台和(尤其是)交易市场应该关注其中的一些重要变化,并可以从现在开始做好准备。本指南概述了其中的这些变化,以帮助您成功地为欧洲新的支付规则做好准备。
欧盟委员会将授权欧洲银行管理局 (EBA) 发布补充监管技术标准 (RTS),并就 PSD3/PSR 中的一些重要元素(如强客户认证)制定详细规则,以帮助企业实施这些标准。
概览:PSD3 带来了哪些变化?
|
直接适用于整个欧盟的规则
|
新的支付服务条例包括 PSD2 中已有的大部分规则,包括有关欺诈和责任、透明度、开放银行以及 SCA 的规则。但是,这些规则现在将直接适用于欧盟所有成员国。这缩小了欧盟成员国以各自的方式解释规则的范围,意味着该支付规则将更加统一地适用于整个欧盟范围,使商家更容易实施规则。 |
|---|---|
|
支付机构将能够发行电子货币
|
PSD3 将适用于电子货币机构和支付机构的法律框架融合在了一起。未来,根据 PSD3,电子货币机构需要获得与支付机构相同的许可。支付机构将能够发行电子货币,电子货币指令 (EMD2) 将被废除。 |
|
进一步收紧代理商豁免要求
|
新规则进一步收紧了平台和交易市场可以使用代理商豁免的要求,限制了他们可以享受支付豁免的情况。 |
|
加强开放银行支付的措施
|
新规则将引入新的基准,以提高开放银行 API 的性能,并消除第三方提供商访问客户银行账户的现有障碍。这一措施有望改善开放银行的运作和采用率。 |
|
更严格的欺诈责任
|
支付服务提供者 (PSP) 将面临更多情况的欺诈责任,并有义务采取额外措施打击欺诈(例如,教育客户识别欺诈风险,或与其他金融机构共享相关信息)。 |
|
SCA 和交易监测方面的新规则
|
新规则将明确 SCA 应用方面的规则(例如,针对商家发起的交易以及邮购和电话订购交易)。欧洲银行管理局制定的新的监管技术标准也可能会给交易监测要求和 SCA 豁免带来变化。 |
PSD3 将对平台和交易市场产生哪些影响?
现行 PSD2 规则下平台和交易市场的支付要求
PSD 框架规定了平台和交易市场的支付要求。例如,如果平台占有或控制买家应付资金,并将这笔资金结算给卖方,该平台将会被视为提供了受监管的支付服务(这类服务包括运营支付账户、执行支付交易或完成汇款)。但这条规则有一个重要的例外情况,即代理商豁免。在过去,平台经常试图依靠这个豁免规则来避免许可要求。
PSD2 收紧了代理商豁免要求,使得该规则只能适用于平台或交易市场仅代表付款人或收款人其中一方操作的情况,而不再适用于同时代表双方操作的情况。如果平台要同时代表双方操作,则只有在不占有或控制资金的情况下(即,依赖于已获得许可的支付服务提供者)才能避免许可要求。这一规定旨在通过限制只有满足当地安全保障要求的受监管实体才能处理所获得的资金,从而降低平台和交易市场商家的信用风险。
代理商豁免允许各方在代表付款人或收款人担任代理商的情况下,无需许可即可提供支付服务。
PSD3 针对平台和交易市场制定了更严格的规则
PSD3 拟进一步收紧平台和交易市场使用代理商豁免的要求。因此,平台和交易市场可能只有在非常有限的情况下才能适用代理商豁免。如果您的平台或商家目前依赖代理商豁免,您应该仔细考虑 PSD3 的影响。
在新规则中,要适用代理商豁免,还需要进一步满足以下条件:代理人必须得到付款人或收款人的授权,才能代表其谈判/达成交易,并为付款人或收款人与代理人谈判支付一笔实际保证金。PSD3 的序言重申,同时代表个人买家和卖家的代理人,其电商平台不属于代理商,因此在没有许可的情况下不能从事支付服务活动。
PSD3 还授权欧洲银行管理局发布具体的指导方针,除豁免所涵盖的用例清单外,还应进一步明确欧盟成员国之间的一致性。
Stripe 如何帮助平台和交易市场满足新要求
Stripe 一直致力于通过创造产品,最大限度地减轻用户的监管负担。我们创建的 Connect 消除了平台面临的 PSD2 负担,允许平台使用技术解决方案将自己从监管要求中解放出来。Connect 为受 PSD3 监管的平台和交易市场提供了同样的优势,为他们提供了一个不需要获得支付许可的支付解决方案。
通过由 Stripe 提供受监管的服务,平台就可以自由地专注于他们最擅长的工作:为用户建立强大的交易市场。欧洲各地已有数百家平台和卖家选择依靠 Connect,而不必再自行获取支付许可或提供满足豁免情况的证据。
用 Connect 进行平台支付
如果您对 Stripe Connect 有任何疑问,我们期待收到您的反馈。
SCA 方面的新规则有哪些?
SCA 在减少欺诈方面的作用
欧洲通过 PSD2 引入了强客户认证,旨在减少欺诈,让线上和非接触式付款更加安全。SCA 要求通过双重验证的方式进行身份验证。有关 SCA 的更多信息,请参阅我们的强客户认证指南。
欧盟委员会对 PSD2 进行评估后得出结论:SCA 成功减少了欺诈。PSD3/PSR 旨在通过澄清关键定义,进一步规范低风险交易的豁免情况,并继续在安全性与开发对用户友好、创新且易于使用的支付方式之间取得平衡,来发展和改进 SCA。
在我们看来,新规则可以进一步改善客户在线结账时的体验。新规则进一步明确了金融机构、卡组织和支付服务商进行较低风险的交易或经常性交易时适用 SCA 豁免的情况。从长远来看,新规则还存在引入更多豁免情况的可能性,具体取决于交易的风险和技术的进步。商家应根据新规则继续优化其 SCA 引擎,以实现最佳的认证结果。
|
MIT
|
对于商家发起的交易 (MIT),SCA 只需要在设置授权时应用,而不需要应用于后续的 MIT。针对 MIT 引入了为期八周的无条件退款权,类似于 SEPA 直接借记。 |
|---|---|
|
MOTO
|
对于邮购和电话订购 (MOTO) 交易,只要支付交易是通过非数字方式发起的,该交易就可以获得 SCA 豁免。 |
|
动态链接
|
对于使用邻近技术(例如,近场通信,简称 NFC)通过付款人的设备进行支付,并且 SCA 的应用需要在付款人的设备上使用互联网的电子支付交易,应使用 SCA 元素将交易与特定金额和收款人进行动态链接。 |
|
账户信息服务
|
对于基于开放银行提供账户信息服务的 PSP,只有在首次访问数据时才需要 SCA。但是,当客户访问账户信息服务提供者域上的聚合账户数据时,需要至少每 180 天进行一次 SCA。 |
|
令牌化
|
当持卡人主动参与令牌化流程时(例如,注册或更换钱包或存档银行卡解决方案中的银行卡时),令牌化流程需要应用 SCA。 |
|
交易监测
|
欧洲银行管理局将发布监管技术标准,以规范支付服务提供者使用交易监测的行为,包括通过环境和行为特征(如客户所在地点或消费习惯)进行监测。这有助于对风险水平较低的交易使用 SCA 豁免(即交易风险分析豁免)。 |
|---|---|
|
SCA 豁免
|
EBA 还获得授权制定有关 SCA 要求和豁免方面的进一步监管技术标准,以同时考虑基于风险的方法和技术的使用。 |
|
双重验证
|
新规则建议,基于 SCA 用于双重验证的因素不需要属于不同的类别,前提是它们的独立性需要得到充分保障。这样客户就可以使用两个密码,或使用一个指纹和一个人脸 ID 进行身份验证。 |
|
可访问性
|
PSP 必须提供不限于使用智能设备的其他 SCA 执行方式,例如通过短信。 |
|
TSP 的责任
|
技术服务提供者 (TSP) 和支付协议运营者如果未能支持 SCA 的应用,则应承担责任。这一规定旨在确保参与执行 SCA 的所有当事人之间加强合作。 |
|---|---|
|
外包
|
依赖 TSP 提供和验证 SCA 元素的支付服务提供者必须与这些 TSP 签订外包协议。EBA 将对这些外包协议制定要求。 |
防止欺诈和保护消费者的进一步措施
除了最新的 SCA 要求外,新规则还引入了进一步的措施来加强消费者保护,并鼓励支付服务提供者采取额外措施防止欺诈。这其中包括要求 PSP 对客户进行欺诈趋势方面的教育、定期开展内部培训计划、与电子通信服务提供者合作以及与其他金融机构共享信息。新规则还要求 PSP 在遇到假冒欺诈时对存在欺诈的交易向支付服务用户退款。
Stripe 如何帮助您满足 SCA 要求
PSD2 中引入的 SCA 对欧洲的互联网商务产生了深远影响。为了确保向新规则顺利过渡,Stripe 与受影响的商家和合作伙伴合作,实施新要求并应对转化率受到的影响。这其中包括支持 3DS 2.0 验证等验证方法,并开发新的双重验证方法,以确保商家及其客户获得流畅的验证体验。
我们的 Stripe Checkout 和 Billing 等产品都基于我们的支付 API,该 API 会在必要时使用 Stripe 的 SCA 逻辑触发 3DS 验证。我们的 SCA 解决方案还能够成功处理豁免的情况,这是构建一流支付体验的关键组成部分,有助于最大限度地减少摩擦,同时提供最佳的安全性。我们针对不同的监管、银行和卡组织规则优化了 SCA 的应用条件,并应用相关豁免情况(例如低风险支付或安全公司支付),以便根据需要仅触发 3DS 验证和/或应用双重验证。
SCA 验证流程
Stripe 的验证引擎还利用机器学习模型实时检测风险,使商家能够为客户提供一流的体验,同时确保 SCA 监管合规。
我们将继续关注 SCA 即将发生的变化。我们最新的 SCA 解决方案可以帮助您应用 SCA,并帮助您提高验证成功率和转化率,同时确保遵守 SCA 规则并最大限度地减少欺诈。参阅更多相关信息,了解如何使用 Stripe 通过提高的授权率来增加您的收入。
下一步做什么?
PSD3 和 PSR 是对欧洲支付规则的重大更新。为了准备好应对修订后的规则,平台和交易市场必须审查代理商豁免等豁免条件的使用情况(如适用),或者继续依靠受监管的支付服务商提供支付解决方案。
对于 PSD3/PSR 和任何即将出台的 EBA 指南,商家还必须持续审查 SCA 的要求。支付服务商如果将 SCA 更新嵌入到验证引擎中,就可以帮助优化需要进行 SCA 的支付数量,最大限度地提高双重验证的成功率,同时最大限度地减少欺诈。
在 2024 年和 2025 年期间,欧盟委员会、欧洲议会和欧盟成员国将最终确定新规则。随后欧盟成员国必须将 PSD3 纳入其国家法律。虽然现阶段的谈判和实施期都没有明确的时间表,但这些规则很可能不会在 2026 年之前生效。
Stripe 正在与相关政策制定者进行讨论,分享我们对于未来什么样的欧洲支付规则最适合商家及其客户的见解。我们将在获得更多信息后更新本页面。
如果您想了解更多关于 Stripe 如何帮助您为修订后的规则做好准备的信息,或者您想与我们分享您的想法,请联系您的 Stripe 团队或发送电子邮件至 psd3@stripe.com 联系我们的 PSD3 团队。
有关 Stripe Connect 欧洲监管状态的常见用户问题回答,请参阅此常见问题页面。