修订后的《支付服务指令》(PSD2) 是一项欧洲法规，旨在提高线上付款 的安全性，同时支持金融服务领域的竞争。PSD2 于 2016 年生效，是对 2007 年设立的原始 PSD 的更新。PSD2 要求加强客户身份验证以防止在线交易中的欺诈，并要求银行向第三方提供商 (TPP) 开放其支付服务和客户数据，这可以推动新金融产品和服务的创建。

PSD2 是一项重要的立法，正在重塑欧洲数字支付的运作方式。下面，我们将介绍该立法中包含的内容，它如何影响金融业，以及企业需要了解哪些内容来遵守 PSD2。

目录

• PSD2 的主要目标
  
• PSD2 的主要组成部分是什么？
  
• PSD2 如何影响金融业
  
• PSD2 对客户和企业的好处
  
• 与 PSD2 相关的挑战和担忧
  
• 如何与 PSD2 保持一致
  

PSD2 的主要目标

PSD2 专注于通过更强大的安全性和更具竞争力的产品/服务来改善零售支付市场。以下是此更新后的欧盟标准的主要目标：

• 市场竞争：通过开放对客户数据的访问，PSD2 鼓励新的参与者（如金融科技公司）进入市场并提供创新的金融服务。这有利于推动竞争，带来更好的产品和服务。

• 安全性：PSD2 对线上付款引入了更严格的安全要求，例如强客户身份验证 (SCA)。这有助于更大限度地减少欺诈并保护客户的财务数据。

• 消费者保护：PSD2 使客户能够更好地控制其财务数据，并加强处理投诉的程序，从而实现更快、更有效的解决方案。

• 综合支付市场：PSD2 通过标准化整个欧盟的支付法规，创造了一个更加一体化而高效的欧洲支付市场。这简化了企业和客户的跨境付款和收款流程。

PSD2 的主要组件是什么？

PSD2 影响了几个关键领域，以重塑欧洲支付服务的运作方式。以下是 PSD2 的主要组成部分：

• SCA：SCA 要求对大多数在线交易进行多重身份验证，以更大限度地减少数字支付中的欺诈行为。这可能涉及使用客户知道的东西（如密码）、他们拥有的东西（如手机）和他们本人的东西（如指纹）进行验证。

• 开放式银行：PSD2 要求银行允许 TPP 在征得客户同意的情况下访问客户的银行账户。账户访问 (XS2A) 服务支持开放式银行。通过开放式银行，客户可以使用金融科技公司的服务来管理他们的财务、支付账单，甚至进行投资，所有这些都直接从他们的银行账户进行。

• TPP：客户有权使用支付发起服务提供商 (PISP) 和账户信息服务提供商 (AISP)。PISP 可以代表用户发起付款，而 AISP 可以为用户提供来自不同银行账户的综合信息。

• 透明度：PSD2 提高了费用的透明度。它对如何向用户传达收款提出了严格的要求，并确保用户不会因产生意外费用而受到打击，尤其是在跨境支付 中。

• 责任和退款：PSD2 阐明了支付交易中涉及的所有各方的责任和义务。这包括更明确的规则，规定客户在出现问题时如何以及何时获得退款，例如在未经授权的交易的情况下。

• 附加费禁令：PSD2 禁止对银行卡付款收取附加费。这意味着欧盟的企业不能对使用信用卡或借记卡收取额外费用。

PSD2 如何影响金融业

PSD2 引入了额外的监管要求，增加了竞争，并通过赋予客户对其数据的更大控制权来增强客户的能力。以下是 PSD2 对欧洲金融业的影响：

• 竞争加剧：PSD2 降低了金融科技公司的进入门槛，并允许他们提供曾经是传统银行专属领域的服务。PSD2 要求银行共享客户数据，从而创造了一个更公平的竞争环境，并使规模较小、更灵活的公司能够与成熟的金融机构竞争。这有助于增加创新金融产品 和服务，以满足特定客户的需求。

• 转向开放式银行：PSD2 通过要求银行提供允许 TPP 访问客户账户的应用程序编程接口 (API)，加速了开放式银行的采用。这允许客户使用单一界面跨多个银行和平台管理他们的资金。

• 增强的安全措施：PSD2 的 SCA 要求迫使金融业对在线交易采取更严格的安全措施。这使欧洲的多重身份验证采用率 得到提升。

• 监管负担：PSD2 给金融机构带来了沉重的监管负担。银行和支付服务商必须采取措施，例如升级其 IT 基础设施和实施新的安全协议，以确保合规性。

• 客户赋能：客户可以利用 PSD2 更好地控制他们的财务数据和选择，从而获得了自主权。在 PSD2 下，客户可以使用第三方服务来管理他们的财务，不再受制于一家银行来满足所有的财务需求。

• 战略调整：PSD2 迫使传统银行重新思考其战略。他们必须与金融科技公司合作 才能在瞬息万变的金融领域保持相关性，要么将第三方服务集成到他们的产品中，要么开发自己的解决方案。

PSD2 对客户和企业的好处

PSD2 为客户和企业提供了更多的财务选择并降低了交易成本。以下是 PSD2 为这两个群体带来的好处。

对于客户

• 安全性：PSD2 的 SCA 要求为在线交易中的客户信息提供了更强大的保护。

• 金融服务：PSD2 有利于开发更多的金融工具和服务，通过全面的概述和“以数据为依据”的宝贵洞见，帮助客户更好地管理他们的资金。

• 透明度：PSD2 可保护客户免受隐藏费用的影响，尤其是使用国际支付。

• 数据控制：客户有权控制谁可以使用和访问他们的财务数据，并可以选择随时撤销访问权限。

对于企业

• 创新：PSD2 允许企业利用新功能和服务，从而优化内部流程、改善客户体验并创造新的收入来源。

• 付款方式：PSD2 增加了可用支付方式的数量，使企业能够为客户提供更大的灵活性，并使交易更快捷、更经济、更安全。

• 竞争：企业可以开发现代支付解决方案，并使用新技术来建立更牢固的客户关系和忠诚度。

• 战略决策：企业可以通过 AISP 获得更详细的财务数据。企业可以使用这些数据为客户打造更加个性化的服务。

• 费用：PSD2 可以通过消除传统支付网络的银行卡附加费和交易费用来助力企业节省资金。

与 PSD2 相关的挑战和担忧

虽然 PSD2 提供了许多好处，但也带来了挑战。以下是客户和企业在 PSD2 下遇到的一些常见障碍。

对于客户

• 铺天盖地的选择：在充满各种新服务和应用的市场中，用户可能很难找到可靠的 TPP。

• 数据隐私问题：更多的提供商可以访问 PSD2 下的用户数据。这可能会引起对数据安全的担忧。

• 用户体验问题：SCA 要求可能会让用户感到沮丧，因为它可能会引入额外的步骤，例如输入代码和使用指纹。

对于企业

• 监管合规成本：为满足 PSD2 标准，企业在升级系统和保护数据安全方面可能面临高昂成本。这可能是一个沉重的负担，特别是对于资源有限的企业。

• 竞争：传统银行和老牌金融机构必须迅速适应，否则就有可能将客户拱手让给更新、更灵活的金融科技公司。这就让企业处在艰难的环境中，只有适应性最强的企业才能蓬勃发展。

• 集成挑战：企业必须具备技术专长，才能在不中断运营的情况下将第三方服务集成到现有系统中。

• 安全风险：企业必须在保护客户数据方面保持警惕，并确保与之共享金融数据的 TPP 同样致力于数据安全。

• 客户指导：企业必须帮助客户了解与 PSD2 相关的变化，例如为什么他们在付款过程中被要求执行额外的步骤，以及为什么新应用现已成为金融生态系统的一部分。这需要清晰的沟通和有效的客户支持。

如何与 PSD2 保持一致

遵守 PSD2 是一项持续的多方面挑战，需要深思熟虑的策略。下面介绍企业如何管理和保持合规性。

SCA 要求

• 上下文身份验证：考虑实施基于风险的身份验证，该身份验证会根据每笔交易进行调整，并在任何内容被标记为异常时添加额外的安全检查。

• 行为生物识别：考虑将行为生物识别技术添加到您的 SCA 工具包中。这会跟踪用户如何自然地与网站或应用互动（例如，他们如何输入、如何浏览您的网站），以便在用户未察觉的情况下验证身份。这样可以使客户获得更强大的安全保护，减少了麻烦。

API 和安全性

• 自适应 API 网关：使用可以实时调整安全措施的 API 网关。这些网关应该足够智能，可以根据正在访问的数据类型调整保护级别。

• 零信任模型：使用零信任模型，在这种模型中，即使是在您的网络内，也不会自动信任任何人。要求每个请求都经过身份验证和授权，并严格分段，以便用户只能访问他们需要的内容。

数据治理

• 自动监控：投资可自动监控您是否符合 PSD2 要求的软件。该系统可监视数据处理做法，并在潜在问题变得严重之前对其进行标记。它还简化了审计流程。

• 数据匿名化和令牌化：匿名化和令牌化敏感的客户信息。通过将真实数据转换成对任何可能截获数据的人都毫无用处的东西，即使在共享数据时也能增加一道额外的保护。

使用技术

• 监管技术 (RegTech)：研究旨在处理 PSD2 要求的 RegTech 解决方案。这些平台有助于管理多项任务，包括报告和风险管理。

• 合规即服务 (CaaS)：如果扩大监管合规工作是一项挑战，请考虑与 CaaS 提供商合作。这些服务提供现成的解决方案，可以跟上法规的变化，让您无需在内部构建即可保持合规性。

适应性和敏捷性

• 敏捷合规：构建敏捷的合规框架，快速响应 PSD2 的变化或新的安全威胁。这可能涉及定期冲刺，您的团队会评估最近的更新，并对您的策略和技术堆栈进行必要的调整。

• 行业合作：参与行业团体和论坛，及时了解 PSD2 的最佳实践和变化。与同行合作，保持领先趋势，并分享策略，面对不断变化的监管环境始终符合相关政策。

客户沟通

• 积极主动的客户指导：通过定制的沟通方式吸引客户。利用数据洞察来细分受众，并通过个性化的应用内消息、有针对性的网络研讨会或详细的常见问题解答来提供特定的指导工作。

• 增强用户体验：通过将 PSD2 要求集成到您的用户体验 (UX) 设计中来微调客户体验。测试不同的身份验证方法，在安全性和便利性之间找到适当的平衡，并使用分析来不断改进用户旅程。

风险管理

• 动态风险评分：开发可实时适应的风险评分模型，并使用最新数据来预测和防范合规风险。集成机器学习，从反应性方法转变为预测性方法，并在问题升级之前发现问题。

• 持续的第三方评估：随着时间的推移，持续监控 TPP 的合规性和安全实践。自动化工具可以帮助您掌握其风险状况的任何变化。