Payment Services Directive 2 (PSD2) 和 「強大的客戶驗證」 - 常見問答

PSD2 已於 2018 年 1 月 13 日生效。PSD2 是歐洲歐盟支付管理委員會監管要求的修訂版，並且個別歐盟成員國已經將其納入到當地條例中。

PSD2 條規僅將於 2019 年 9 月 14 日生效。

主要目的之一在於：使客戶進行更安全的線上支付。為了實現此目的，必須使用「強大的客戶驗證」。該項驗證必須在進行任何銀行線上付款之前完成（例如，信用卡付款或線上轉賬）。

大部分銀行在最近幾個月已經聯繫其客戶，通知客戶其《條款和條件》中即將生效的相關變更和修改。

在以後，在發起線上付款之前，銀行必須驗證客戶是否符合三個標準中的兩個：

• 屬於您自己的東西（例如，信用卡、智能手機）
• 您所瞭解的情況（例如，PIN）
• 屬於您自己的身份特征（例如，手指模，面部特征）

這意味著，為了滿足「強大的客戶驗證」的要求，客戶可能需要提供手指模，以驗證支付。

這種生物認證方法使客戶更容易完成身份驗證，因為她們只需提供自身具有的特征，在這種情況下，比如智慧手機和手指模。

靜態密碼已經不夠用。

銀行必須要求商家對信用卡支付進行「強大的客戶驗證」。因此，商家必須在其網站展示來自銀行是頁面；透過該頁面，客戶能夠明確完成身份驗證。這可確保任何未經授權的人員均無法訪問此銀行帳戶，並以客戶的名義進行付款。

透過第三方進行的轉賬，比如德國 SOFORT 或荷蘭 iDeal，都要求「強大的客戶驗證」。

PSD2 對「強大的客戶驗證」的使用列明了一些例外情況。
在以下情況下，不需要使用「強大的客戶驗證」：

• 客戶方銀行認為可忽略風險的付款，且該筆付款由未經授權的第三方（而非客戶）作出；
• 最高價值 30 EUR 的付款。注意：但是，如果自上次授權之後做出了五次付款，或者自上次授權作出的付款金額超過 100 EUR，銀行要求進行「強大的客戶驗證」。
• 客戶向商家支付，且該商家的客戶與其銀行有著可信收款人的「白名單」記錄。客戶通常會在驗證流程中完成該操作。

重要須知：
儘管有這些免責條款，客戶方銀行將隨時要求進行「強大的客戶驗證」。这并不能保证不需要使用「強大的客戶驗證」。

在以下情況下，無須使用「強大的客戶驗證」：

• 客戶已向商家授權初筆付款。當客戶註冊商家服務時會發生這種情況，客戶提供付款所必需的證書並提供「強大的客戶驗證」。
• 付款為訂閱付款。在這種情況下，客戶僅在註冊訂閱時需要提供「強大的客戶驗證」。

客戶的銀行可最後決定使用何種「強大的客戶驗證」方式。商家沒有話事權。

同樣地，商家也無法確認客戶選擇並提供哪種「強大的客戶驗證」。

這是因為，內聯框架均用於展示由銀行或第三方支付提供商（例如，iDeal）提供的「強大的客戶驗證」頁面。

網站上所顯示的內聯框架內容對商家沒有任何影響，同時商家也無法訪問此類內聯框架內容。

同樣地，對於商家將客戶轉接至支付提供商網站（例如，SOFORT）的支付方式，其也無法獲悉客戶提供或選擇何種驗證方式。

一般來說，3D Secure 設計用於為信用卡線上付款提供保障的流程。該流程旨在降低欺詐風險；用戶需要輸入代碼或密碼確認其身份資料。

3D Secure 2.0 是該流程的修訂版，並納入 PSD2 的各項要求，特別是「強大的客戶驗證」。

在今以後，透過 3D Secure 2.0 流程進行的所有信用卡支付也需要「強大的客戶驗證」。

「強大的客戶驗證」將受到 3D Secure 2.0 使用保障，例如，使用由客戶銀行提供的應用。顯示在商家網站的銀行頁面將要求客戶在其智慧手機上打開應用。根據具體方法，該應用可能會要求客戶在智慧手機上按下手指模。

銀行可能也會為客戶提供不同的驗證方法，以供選擇。

其他可用方法包括：在特定應用中向客戶展示的一次性密碼，或者透過客戶銀行業務應用進行面部識別。

透過付款服務提供商進行的線上轉賬，比如SOFORT、iDeal、Multibanco 或者 Przelewy24，在以後也要求收集「強大的客戶驗證」。

許多商家和銀行並未能根據要求在 2019 年 9 月 14 日之前提供「強大的客戶驗證」。

因此，在 2019 年 6 月 21 日，European Banking Authority (EBA) 建議，歐盟國家及其負責監控 PSD2 執行的金融當局應該向此類公司提供延長執行期。

因此，某些國家依然遵循原定期限，而其他國家將提供銀行所述的延長執行期。
然而，儘管一些國家享受延長執行期，某些銀行將於 2019 年 9 月 14 日開始使用「強大的客戶驗證」。

如需瞭解您所屬銀行如何及何時要求「強大的客戶驗證」，請聯繫您的銀行。