欧盟支付服务指令第二版(PSD2)自实施以来,对欧洲支付行业产生了深远影响。该法案不仅重塑了平台和交易市场的支付流程,还规范了第三方支付服务商访问银行账户和处理支付的方式,同时通过引入强客户认证(SCA)提升了支付安全性。
为进一步完善支付服务框架,欧盟委员会现已提出新的支付服务指令第三版(PSD3)和支付服务条例 (PSR)提案。这套全新的监管规则旨在实现三大目标:在欧盟范围内统一支付规则、为支付服务商创造公平竞争环境、加强客户与欺诈防护措施。
虽然欧洲议会与欧盟成员国仍在就具体细节进行磋商,预计最终版本要到 2026 年后才会正式生效,但平台和交易市场(尤其是后者)应当及早关注并着手准备应对这些重要变革。本指南将为您详细解读这些即将到来的变化,助您从容应对欧洲新的支付监管环境。
欧盟委员会将授权欧洲银行管理局 (EBA) 制定配套的监管技术标准 (RTS),并就强客户认证等 PSD3/PSR 重要内容制定详细规则,以协助企业落实相关要求。
概览:PSD3 带来了哪些变化?
|
直接适用于整个欧盟的规则
|
支付服务条例涵盖了 PSD2 中的大部分现有规则,包括欺诈责任、透明度、开放银行和强客户认证等内容。但与之前不同的是,这些规则现在将在各成员国直接适用。这不仅减少了欧盟成员国对规则作出不同解释的空间,还意味着支付规则将在整个欧盟范围内得到更加统一的执行——这使得企业更容易落实这些规则。 |
|---|---|
|
支付机构将能够发行电子货币
|
PSD3 整合了适用于电子货币机构和支付机构的法律框架。未来,电子货币机构将根据 PSD3 获得支付机构牌照。支付机构将获准发行电子货币,而现行的电子货币指令(EMD2)将被废除。 |
|
进一步收紧代理商豁免要求
|
新规则进一步收紧了平台和交易市场使用商业代理豁免的要求,限制了它们在支付环节援引该豁免的适用情形。 |
|
加强开放银行支付的措施
|
新规则将引入基准标准,以提升开放银行 API 的性能表现,并消除第三方服务商在访问客户银行账户时遇到的现有障碍。这有望改善开放银行的运作情况,提高其采用率。 |
|
更严格的欺诈责任
|
支付服务提供商(PSP)在更多情况下将需要承担欺诈责任,并且必须采取额外措施来打击欺诈(例如,向客户普及欺诈风险知识,或与其他金融机构共享相关信息)。 |
|
SCA 和交易监测方面的新规则
|
新规则将明确 SCA 应用方面的规则(例如,针对商家发起的交易以及邮购和电话订购交易)。欧洲银行管理局制定的新的监管技术标准也可能会给交易监测要求和 SCA 豁免带来变化。 |
PSD3 将对平台和交易市场产生哪些影响?
现行 PSD2 规则下平台和交易市场的支付要求
PSD 框架对平台和交易市场的支付活动进行监管。例如,当平台获得买方应付资金的占有权或控制权并将其结算给卖方时,该平台将被视为在提供受监管的支付服务(如运营支付账户、执行支付交易或完成汇款)。这一规则有一个重要的例外——商业代理豁免,过去平台经常试图援引这一豁免来避免申请牌照。
PSD2 收紧了商业代理豁免的适用范围,规定该豁免仅适用于平台或交易市场专门代表付款人或收款人一方行事的情况,而不能同时代表双方。如果平台同时代表双方行事,只有在不占有或控制资金的情况下(即依赖持牌支付服务提供商),才能免除牌照要求。这一规定旨在通过将已获得资金的处理权限于必须满足当地资金保障要求的受监管实体,来降低平台和交易市场业务的信用风险。
代理商豁免允许各方在代表付款人或收款人担任代理商的情况下,无需许可即可提供支付服务。
PSD3 针对平台和交易市场制定了更严格的规则
PSD3 拟进一步收紧平台和交易市场使用商业代理豁免的要求。因此,商业代理豁免很可能仅在极其有限的情况下适用于平台和交易市场。如果您的平台或企业目前正在依赖商业代理豁免,应当认真评估 PSD3 带来的影响。
新规则为适用商业豁免引入了更多条件:代理必须获得付款人或收款人的授权以代表其协商/达成交易,并且要给付款人或收款人留出与代理协商的实际余地。PSD3 序言重申,代表个人买卖双方行事的电商平台不属于商业代理,因此在未获得牌照的情况下不得从事支付服务活动。
此外,PSD3 还授权欧洲银行管理局制定具体指南,以在欧盟成员国之间实现更好的明确性和趋同性,并列出适用该豁免的使用案例清单。
Stripe 如何帮助平台和交易市场满足新要求
Stripe 一直致力于开发能够最大程度减轻用户监管负担的产品。我们通过创建 Connect 帮助平台摆脱了 PSD2 带来的负担。借助这一技术解决方案,平台可以避免直接面对监管要求。在 PSD3 框架下,Connect 继续为平台和交易市场提供同样的优势,让它们无需获取支付牌照就能使用支付解决方案。
有了 Stripe 提供的受监管服务,平台便可以专注于自己最擅长的领域:为用户打造出色的交易市场。目前,欧洲已有超过 4,000 个拥有卖家的平台选择依托 Connect,而不是自行申请支付牌照或者证明自己符合豁免条件。
使用 Connect 进行平台支付
如果您对 Stripe Connect 有任何疑问,我们期待收到您的反馈。
SCA 方面的新规则有哪些?
SCA 在减少欺诈方面的作用
欧洲通过 PSD2 引入了强客户认证机制,旨在减少欺诈并提高线上和非接触式支付的安全性。强客户认证要求采用双重验证的方式验证身份。如需了解更多有关强客户认证的信息,请参阅我们的强客户认证指南。
欧盟委员会对 PSD2 的评估认为,强客户认证在减少欺诈方面取得了成效。PSD3/PSR 旨在在此基础上改进强客户认证机制,包括明确关键定义、进一步细化低风险交易的豁免条件,并继续在安全性与用户友好、创新、便捷的支付方式发展之间保持平衡。
我们认为,新规则可能进一步改善客户在线上支付环节的体验。这些规则为金融机构、卡组织和支付服务商提供了更清晰的指引,使其能够对低风险交易或重复交易采用强客户认证豁免。从长远来看,新规则还可能根据交易风险程度并结合技术进步,引入更多豁免情况。企业应当在新规则下继续优化其强客户认证引擎,以获得最佳的认证效果。
|
MIT
|
对于商家发起的交易 (MIT, merchant-initiated transactions),强客户认证仅需在设置授权时执行一次,后续的商户发起交易则无需再次认证。与 SEPA 直接借记类似,MIT 将引入为期八周的无条件退款权。 |
|---|---|
|
MOTO
|
对于邮购和电话订购 (MOTO, Mail Order Telephone Order) 交易,只要支付交易通过非电子渠道发起,就可以获得强客户认证豁免。 |
|
动态链接
|
在使用支付人设备通过近距离技术(如近场通信 NFC)进行电子支付交易,且强客户认证需要使用支付人设备联网的情况下,应采用能将交易动态关联到特定金额和收款人的强客户认证要素。 |
|
账户信息服务
|
对于在开放银行框架下提供账户信息服务的支付服务提供商,强客户认证仅需在首次数据访问时执行。不过,当客户在账户信息服务提供商的域名下访问汇总的账户数据时,至少每 180 天需要进行一次强客户认证。 |
|
令牌化
|
当持卡人主动参与令牌化流程时(例如,注册或更换钱包或存档银行卡解决方案中的银行卡时),令牌化流程需要应用 SCA。 |
|
交易监测
|
欧洲银行管理局将制定监管技术标准,规范支付服务商如何进行交易监测。这包括分析环境和行为特征(例如客户位置、消费习惯等)。通过这种分析,低风险交易可以豁免强客户验证,也就是所谓的交易风险分析豁免。 |
|---|---|
|
SCA 豁免
|
欧洲银行管理局 (EBA) 还被授权制定关于强客户验证要求及其豁免的补充监管技术标准,这些标准将同时考虑风险导向方法和技术应用两个维度。 |
|
双重验证
|
用于双重验证的强客户验证因素可以来自同一类别,前提是确保这些因素之间的独立性。这意味着客户可以选择使用两个密码,或者同时使用指纹和面部识别来完成身份验证。 |
|
可访问性
|
支付服务商必须提供多种执行强客户验证的方式,不能仅限于智能设备,例如应当支持短信验证。 |
|
TSP 的责任
|
如果技术服务提供商 (TSP) 和支付计划运营方未能支持强客户验证的实施,将需要承担相应责任。这项规定的目的是推动所有参与强客户验证实施的相关方加强协作。 |
|---|---|
|
外包
|
依赖 TSP 提供和验证 SCA 元素的支付服务提供者必须与这些 TSP 签订外包协议。EBA 将对这些外包协议制定要求。 |
防止欺诈和保护消费者的进一步措施
新规则除了更新强客户验证要求外,还引入了其他措施来加强消费者保护,并鼓励支付服务商采取额外措施防范欺诈。这些措施包括:要求支付服务商向客户普及欺诈趋势知识、定期开展内部培训、与电子通信服务提供商合作,以及与其他金融机构共享信息。规则还要求支付服务商在发生冒充欺诈的情况下,向支付服务用户退还被欺诈交易的资金。
Stripe 如何帮助您满足强用户认证要求
PSD2 引入强客户验证对欧洲电商领域产生了深远影响。为确保平稳过渡到新规则,Stripe 与受影响的商家和合作伙伴密切合作,共同落实新要求并管理其对转化率的影响。这包括支持 3DS 2.0 验证等认证方式,并开发新的双重验证方法,以确保为商家及其客户提供流畅的认证体验。
我们的产品,包括 Stripe Checkout 和 Billing,都建立在 Stripe 支付 API的基础上。该 API 运用 Stripe 的强用户认证逻辑,在必要时触发 3DS 认证。我们的强用户认证解决方案将成功处理豁免作为核心组成部分,在提供一流安全保障的同时,最大程度减少支付摩擦,打造顶级支付体验。我们针对不同的监管规则、银行规则和卡组织规则优化了强用户认证的应用条件,并采用相关豁免机制(如低风险支付或安全企业支付豁免),从而仅在必要时才触发 3DS 认证和/或采用双重认证。
强用户认证验证流程
Stripe的验证引擎运用机器学习模型进行实时风险检测,既能让商家为客户打造一流体验,又能确保符合强客户验证的监管要求。
我们持续追踪强客户验证的最新发展。我们先进的 SCA 解决方案不仅能助您正确实施强客户验证,还有助提升验证成功率和转化率,同时确保合规并将欺诈风险降至最低。敬请参阅更多相关信息,了解如何使用 Stripe 提高授权率,增加收入。
下一步行动
欧盟支付服务修订法案第三版 (PSD3) 和支付服务条例 (PSR) 将对欧洲支付规则进行重大更新。平台和交易市场需要为这些修订后的规则做好准备:可以选择审查现有的豁免条件(如代理商豁免)的使用情况,或继续依托受监管的支付服务商提供支付解决方案。
对于 PSD3/PSR 及欧洲银行管理局 (EBA) 即将发布的指南,商家需要持续关注强客户验证要求的变化。支付服务商如果能将强客户验证更新集成到验证引擎中,就可以优化需要进行强客户验证的交易数量,在提高双重验证成功率的同时,有效降低欺诈风险。
新规则将在 2024 年至 2025 年期间由欧盟委员会、欧洲议会和欧盟成员国最终确定。随后,各成员国需要将 PSD3 纳入本国法律体系。尽管现阶段的谈判和实施阶段尚无明确时间表,但这些规则预计最早要到 2026 年才会生效。
Stripe 正在与政策制定者保持沟通,分享我们对最适合商家及其客户的欧洲支付规则的见解。我们将及时更新本页面的相关信息,敬请收藏并关注。
如果您想了解 Stripe 如何协助您为新规则做好准备,或希望与我们分享您的想法,欢迎联系 Stripe 客户服务团队,或发送邮件至 psd3@stripe.com 与我们的 PSD3 团队联系。
如需了解关于 Stripe Connect 欧洲监管状态的常见问题解答,请访问我们的常见问题页面。