PSD2强客户验证(Strong Customer Authentication,简称SCA)是欧盟《支付服务指令第二版》(Payment Services Directive 2,简称PSD2)中的核心安全要求,旨在通过强化电子支付的身份验证流程,减少欺诈风险,保护消费者资金安全,以下是详细解析:
PSD2与SCA的背景
- PSD2:欧盟于2015年发布的支付领域法规(2018年1月生效),旨在统一欧盟支付市场、促进开放银行(Open Banking)发展,并加强消费者保护和支付安全。
- SCA:作为PSD2的核心安全条款,要求金融机构和支付服务商在处理“电子支付交易”时,必须通过多因素身份验证确认用户身份,防止未授权交易。
SCA的核心要求:“三要素选二”
SCA规定,身份验证必须同时满足至少两种不同类别的“身份要素”,这三类要素被定义为:
知识要素(Something you know)
用户独有的知识信息,如密码、PIN码、安全问题答案等。
持有要素(Something you have)
用户物理持有或控制的设备,如手机(接收验证码)、银行卡、硬件令牌(如网银U盾)等。
生物要素(Something you are)
用户生物特征,如指纹、面部识别、虹膜扫描等。
举例:
- 网购支付时,输入密码(知识)+ 接收手机验证码(持有);
- ATM取款时,插入银行卡(持有)+ 输入PIN码(知识);
- 手机银行转账时,指纹识别(生物)+ 动态令牌(持有)。
SCA的适用场景
SCA主要适用于欧盟境内的“客户发起的电子支付”,包括:
- 在线购物(如电商网站、APP内支付);
- 银行卡非接触式支付(若金额超过阈值);
- 网银转账、手机银行转账;
- 订阅服务的首次支付(后续周期性扣款可能豁免)。
SCA的例外情况
并非所有交易都需强制SCA,以下场景可豁免(需满足严格条件,如低欺诈率):
低价值交易
单笔金额≤30欧元,且满足:
- 过去90天内累计交易额≤100欧元;
- 同一商户90天内交易次数≤5次。
(若超过上述任一条件,仍需触发SCA)。
固定商户的可信交易
用户可将常用商户标记为“可信受益人”,后续交易可能豁免SCA(需商户欺诈率极低)。
商户发起的交易(MIT)
如订阅服务(Netflix、Spotify)的周期性自动扣款(首次支付需SCA,后续无需)。
面对面支付(低于一定金额)
非接触式刷卡(如POS机)金额≤50欧元(部分国家可临时上调至100欧元,需商户系统支持风险评估)。
SCA的技术实现:3D Secure 2.0
为落地SCA,行业广泛采用3D Secure 2.0(3DS 2.0)协议,这是Visa、Mastercard等卡组织推出的升级方案,相比旧版(3DS 1.0):
- 更智能:通过数据分析(如设备指纹、交易历史)自动判断是否需用户干预(“无感验证”);
- 更友好:支持生物识别(指纹/面容)、手机APP弹窗验证,替代传统短信验证码;
- 更安全:减少钓鱼风险,提升欺诈识别精度。
实施时间与现状
- PSD2于2018年1月生效,SCA原计划2019年9月强制执行,后因技术准备延迟至2021年3月全面落地。
- 欧盟境内所有合规支付服务商(银行、支付机构、电商平台)均需支持SCA,否则交易可能被拒绝。
SCA的目的与影响
- 核心目的:降低电子支付欺诈率(欧盟每年因支付欺诈损失数十亿欧元),保护消费者资金安全;
- 对用户:支付流程可能增加1-2步验证(如指纹/验证码),但通过3DS 2.0的“无感验证”可减少摩擦;
- 对商家:需升级支付系统支持SCA,否则面临交易失败风险(尤其跨境电商),但长期可降低欺诈纠纷和拒付成本。
PSD2强客户验证(SCA)是欧盟通过“多因素身份验证”提升支付安全的核心措施,通过“知识+持有+生物”三要素选二的规则,平衡安全性与用户体验,尽管初期可能增加支付步骤,但3D Secure 2.0等技术正逐步实现“无感验证”,最终目标是构建更安全、开放的欧洲支付生态。
注:SCA仅适用于欧盟境内交易,但全球多国(如英国、澳大利亚)已借鉴其框架推出类似法规(如英国的SCA、澳大利亚的Consumer Data Right)。
网友评论