المصادقة المفوضة ومفاتيح المرور (Passkeys) في ظل توجيه PSD3 ولائحة PSR

لقد تغير مشهد المدفوعات الأوروبي بشكل كبير بفضل توجيه خدمات الدفع الثاني (PSD2). مع دخوله حيز التنفيذ تدريجيًا اعتبارًا من عام 2018، فرض PSD2 المصادقة القوية للعملاء (SCA) على معظم المدفوعات الإلكترونية لتعزيز الأمان ومكافحة الاحتيال. يتطلب هذا عادةً التحقق من هوية المستخدم باستخدام عاملين على الأقل من ثلاثة عوامل مستقلة: المعرفة (شيء يعرفه المستخدم فقط، مثل كلمة المرور)، والحيازة (شيء يمتلكه المستخدم فقط، مثل هاتف أو رمز مادي)، والسمة الشخصية (شيء يتعلق بذات المستخدم، مثل بصمة الإصبع أو مسح الوجه).

في حين أن متطلبات المصادقة القوية للعملاء (SCA) في PSD2 قد قللت بشكل واضح من أنواع معينة من الاحتيال، إلا أنها أضافت أيضًا بعض التعقيدات إلى عملية الدفع، خاصة بالنسبة لمدفوعات البطاقات التي تستخدم بروتوكولات 3-D Secure (3DS)، والتي غالبًا ما تعيد توجيه المستخدمين إلى نطاق البنك الخاص بهم للمصادقة. يمكن أن تؤدي هذه التعقيدات الإضافية عند الدفع إلى التخلي عن عربة التسوق وتجربة مستخدم أقل سلاسة.

إدراكًا لهذه التحديات والتطور السريع في سوق المدفوعات الرقمية، نشرت المفوضية الأوروبية مقترحات تشريعية في 28 يونيو 2023 لتحديث إطار العمل. تتكون هذه الحزمة من توجيه خدمات الدفع الجديد (PSD3) ولائحة خدمات الدفع (PSR).

غالبًا ما يوصف هذا الإصلاح بأنه "تطور وليس ثورة"، ويهدف إلى تحسين المفاهيم الحالية مثل المصادقة القوية للعملاء (SCA) والخدمات المصرفية المفتوحة، وزيادة تعزيز حماية المستهلك من الاحتيال، وتشجيع المنافسة بين مزودي خدمات الدفع (PSPs)، وتحسين الأداء العام لسوق المدفوعات في الاتحاد الأوروبي. أحد مجالات التطور الرئيسية هو التوضيح الصريح وتوفير إطار عمل للمصادقة المفوضة.

تتضمن الرحلة من الاقتراح إلى التطبيق عدة مراحل. بعد النشر في يونيو 2023، دخلت المقترحات في العملية التشريعية للاتحاد الأوروبي التي تشمل البرلمان الأوروبي ومجلس الاتحاد الأوروبي. نشرت لجنة الشؤون الاقتصادية والنقدية (ECON) بالبرلمان مسودات تقارير مع تعديلات في أواخر عام 2023 وأوائل عام 2024، تلاها اعتماد البرلمان لموقفه في القراءة الأولى في أبريل 2024. تتضمن المرحلة التالية مفاوضات بين البرلمان والمجلس والمفوضية للاتفاق على النصوص النهائية. طوال هذه العملية، يشارك أصحاب المصلحة بما في ذلك البنوك ومزودو خدمات الدفع وشركات التكنولوجيا ومجموعات المستهلكين في المشاورات العامة وجهود الضغط للتأثير على النتيجة.

بينما أشارت التقديرات الأولية إلى الانتهاء بحلول أواخر عام 2024 أو أوائل عام 2025، يمكن أن تكون العملية التشريعية معقدة، وتشير بعض التحليلات الآن إلى تأخيرات محتملة، مما قد يؤخر الاتفاق النهائي وتاريخ التطبيق إلى الربع الأول من عام 2027. بشكل عام، من المتوقع أن تطبق القواعد الجديدة بعد 18 شهرًا من نشرها في الجريدة الرسمية للاتحاد الأوروبي، مما يضع تاريخ البدء المحتمل في منتصف عام 2026 على أقرب تقدير، ولكن من المحتمل أن يكون لاحقًا اعتمادًا على الجدول الزمني للانتهاء.

أحد التغييرات الهيكلية المهمة هو إدخال PSR إلى جانب PSD3. ستكون PSR قابلة للتطبيق مباشرة في جميع الدول الأعضاء في الاتحاد الأوروبي، مما يضمن تنفيذًا موحدًا للقواعد التشغيلية مثل متطلبات SCA والوصول إلى الخدمات المصرفية المفتوحة. يعالج هذا بشكل مباشر نقطة ضعف في PSD2، حيث أدت طبيعته كتوجيه إلى اختلافات في النقل والتنفيذ على المستوى الوطني، مما أدى إلى التجزئة. سيبقى PSD3 توجيهًا، وسيركز على ترخيص وتفويض والإشراف على مؤسسات الدفع، مما يسمح ببعض السياق الوطني في مراقبة السوق. يمثل هذا الهيكل المزدوج نهجًا استراتيجيًا: يهدف إلى تحقيق تنسيق أسرع ومتسق في المجالات التشغيلية الحرجة عبر اللائحة، مع الاحتفاظ بشكل التوجيه للرقابة المؤسسية حيث تكون الخصوصيات الوطنية أكثر أهمية.

نظرًا لتعقيدات المفاوضات الثلاثية، والحاجة اللاحقة لـالهيئة المصرفية الأوروبية (EBA) لتطوير معايير فنية تنظيمية (RTS) وإرشادات مفصلة، والوقت اللازم للصناعة للتحضير للتنفيذ، تبدو الفترة الانتقالية المذكورة عادةً بـ 18 شهرًا طموحة. يجب على الشركات أن تأخذ في الاعتبار التأخيرات المحتملة في تخطيطها، وتتطلع إلى أواخر عام 2026 أو حتى أوائل عام 2027 كمواعيد تطبيق معقولة.

أحد أبرز التوضيحات في إطار PSD3/PSR المقترح هو السماح الصريح بالمصادقة المفوضة (DA).

تشير المصادقة المفوضة (DA) إلى العملية التي يسمح فيها مزود خدمة الدفع (PSP) للدافع، والذي عادة ما يكون البنك الذي يصدر أداة الدفع (مثل جهة إصدار البطاقة)، لطرف ثالث بإجراء المصادقة القوية للعملاء (SCA) نيابة عنه.

النص الأصلي من اللائحة المقترحة (المادة 87 من اقتراح PSR، مع إضافة التأكيد) ينص على ما يلي:

تنص مسودات النصوص على أن جهات الإصدار (عادةً البنوك التي توفر حساب الدفع) يمكنها تفويض مسؤولية تطبيق SCA إلى أطراف ثالثة معينة. من المتصور أن تشمل هذه الأطراف الثالثة التجار، أو بوابات الدفع أو المحصلين، أو الأسواق عبر الإنترنت، أو مزودي المحافظ الرقمية.

تعتبر هذه الخطوة مهمة لأنها تعترف رسميًا وتوفر مسارًا تنظيميًا محتملاً للسيناريوهات التي يقوم فيها شخص آخر غير المؤسسة التي تحتفظ بالحساب بإجراء فحص المصادقة المطلوب بموجب SCA. الهدف المعلن وراء تمكين DA هو تعزيز الابتكار في تجربة المصادقة. من خلال السماح بالتفويض، تأمل اللائحة في تمكين تلك الكيانات التي غالبًا ما تكون الأقرب إلى تفاعل العملاء (مثل التجار أو المحافظ) لبناء تدفقات مصادقة أقل تعقيدًا وأكثر تكاملاً تستفيد من أحدث التقنيات، مثل القياسات الحيوية أو مفاتيح المرور، مما يحسن في النهاية تجربة المستخدم. تهدف الأمثلة المبكرة، مثل تطبيق DA من Stripe الذي تم إطلاقه قبل مسودة PSD3، إلى الاستفادة من هذه الفوائد، حيث أبلغت عن أوقات مصادقة أسرع وزيادة في معدلات التحويل لـجهات الإصدار المشاركة.

ومع ذلك، تقدم مسودات المقترحات شرطًا حاسمًا: يتم تصنيف تفويض SCA من قبل جهة إصدار إلى طرف ثالث صراحةً على أنه استعانة بمصادر خارجية. هذا التصنيف ليس مجرد تصنيف دلالي؛ بل يحمل وزنًا تنظيميًا كبيرًا. يعني هذا أن أي ترتيب DA يجب أن يمتثل للقواعد الصارمة التي تحكم الاستعانة بمصادر خارجية من قبل المؤسسات المالية، وفي المقام الأول إرشادات EBA بشأن ترتيبات الاستعانة بمصادر خارجية. علاوة على ذلك، سيحتاج مشغلو المحافظ الرقمية الذين يتحققون من عناصر SCA إلى اتفاقيات استعانة بمصادر خارجية رسمية مع البنوك المصدرة.

يمثل تصنيف "الاستعانة بمصادر خارجية" هذا مقايضة معقدة. فمن ناحية، يشير السماح الصريح بـ DA إلى انفتاح تنظيمي على الابتكار وتجربة مستخدم أفضل محتملة. ومن ناحية أخرى، فإن إخضاع هذه الترتيبات للوزن الكامل للوائح الاستعانة بمصادر خارجية في الخدمات المالية يفرض أعباء امتثال كبيرة. تتحول العملية من تسليم فني بسيط محتمل إلى تفويض وظيفة أمنية أساسية ومنظمة. يؤدي هذا إلى متطلبات واسعة تتعلق بالعناية الواجبة، وتفاصيل تعاقدية، وإدارة المخاطر، والمراقبة المستمرة، وحقوق التدقيق، والامتثال المحتمل لقانون المرونة التشغيلية الرقمية (DORA). يمكن أن يؤدي العبء الكبير المرتبط بمتطلبات الاستعانة بمصادر خارجية هذه إلى إيقاف الابتكار الذي يهدف DA إلى تشجيعه، خاصة بالنسبة لـالتجار الصغار أو مزودي الخدمات الفنية الذين يفتقرون إلى الموارد اللازمة للتنقل في هذا المشهد التنظيمي المعقد.

إن تصنيف المصادقة المفوضة على أنها "استعانة بمصادر خارجية" بموجب مقترحات PSD3/PSR يعني أن مثل هذه الترتيبات تقع بشكل مباشر ضمن نطاق إرشادات EBA بشأن ترتيبات الاستعانة بمصادر خارجية. تضع هذه الإرشادات إطارًا شاملاً يجب على المؤسسات المالية (بما في ذلك جهات الإصدار التي تفوض SCA) وبالتالي، مزودي الخدمات الفنية (TSPs) الذين يؤدون الوظيفة المفوضة، الالتزام به.

تفرض هذه الإرشادات عدة التزامات رئيسية:

• العناية الواجبة: قبل تفويض SCA، يجب على جهة الإصدار إجراء العناية الواجبة الشاملة على مزودي الخدمات الفنية (TSP). يتضمن ذلك تقييم سمعة TSP التجارية، وقدراته الفنية، واستقراره المالي، وخبرته، وموارده (البشرية، وتكنولوجيا المعلومات)، وهيكله التنظيمي، وتدابيره الأمنية لضمان ملاءمته لأداء الوظيفة الحرجة لـSCA.
• تقييم المخاطر: يعد تحليل المخاطر الشامل إلزاميًا قبل الدخول في ترتيب الاستعانة بمصادر خارجية وطوال مدته. يجب أن يغطي هذا المخاطر التشغيلية، والمخاطر القانونية، ومخاطر الامتثال، ومخاطر التركيز (الاعتماد المفرط على TSP واحد)، والمخاطر المرتبطة بالاستعانة بمصادر خارجية فرعية (حيث يقوم TSP بتفويض أجزاء من الوظيفة). يؤدي الاستعانة بمصادر خارجية لوظائف تعتبر "حرجة أو مهمة" (مع اعتبار SCA ضمنيًا كذلك، ما لم يتم إعفاؤها صراحةً) إلى متطلبات أكثر صرامة.
• المتطلبات التعاقدية: يعد الاتفاق المكتوب المفصل ضروريًا. يجب أن يحدد هذا العقد بوضوح نطاق الوظيفة المفوضة، والأدوار والمسؤوليات، واتفاقيات مستوى الخدمة، والقانون الحاكم، والالتزامات المالية، وأحكام أمن البيانات (التي تغطي إمكانية الوصول، والتوافر، والنزاهة، والسرية، والسلامة)، وخطط استمرارية الأعمال، وشروط الإنهاء. بشكل حاسم، يجب أن يمنح الاتفاق المؤسسة المفوضة ومنظميها حقوق وصول وتدقيق غير مقيدة فيما يتعلق بالوظيفة المستعان بها.
• المراقبة المستمرة: لا يمكن لجهة الإصدار ببساطة "التفويض والنسيان". يجب عليها مراقبة أداء TSP باستمرار مقابل المقاييس المتفق عليها، وتقييم وضعه الحالي للمخاطر، ومراجعة تدابيره الأمنية واستمرارية الأعمال. الاعتماد فقط على شهادات TSP غير كافٍ.
• استراتيجية الخروج: بالنسبة للوظائف الحرجة مثل SCA، يجب أن يكون لدى جهة الإصدار خطة خروج موثقة. يجب أن تحدد هذه الخطة استراتيجيات لإنهاء الترتيب، أو نقل الوظيفة إلى TSP آخر، أو إعادة الوظيفة داخليًا دون تعطيل الخدمة أو المساس بالأمن أو الامتثال.
• مخاطر التركيز: يجب على كل من المؤسسات المفوضة والسلطات المختصة مراقبة مخاطر التركيز الناشئة عن اعتماد مؤسسات متعددة على نفس TSP، أو عدد قليل من TSPs المهيمنة، خاصة بالنسبة للوظائف الحرجة.
• لا "كيانات فارغة": تنص الإرشادات صراحة على أن الاستعانة بمصادر خارجية يجب ألا تؤدي إلى وضع تصبح فيه المؤسسة المفوضة "كيانًا فارغًا" يفتقر إلى الجوهر والقدرة التشغيلية للبقاء مرخصة. تظل المسؤولية النهائية عن الامتثال وإدارة المخاطر على عاتق الهيئة الإدارية للمؤسسة المفوضة.

يضيف قانون المرونة التشغيلية الرقمية (DORA) طبقة أخرى من التعقيد، حيث يضع قواعد منسقة في جميع أنحاء الاتحاد الأوروبي لإدارة مخاطر تكنولوجيا المعلومات والاتصالات (ICT) في القطاع المالي. يطبق DORA اعتبارًا من 17 يناير 2025.

يعتبر DORA ذا صلة بـ DA بعدة طرق:

• التطبيق المباشر: يطبق DORA مباشرة على الكيانات المالية، بما في ذلك البنوك ومزودي خدمات الدفع الآخرين الذين سيفوضون SCA.
• مزودو خدمات تكنولوجيا المعلومات والاتصالات الحيوية من الأطراف الثالثة (CTPPs): ينشئ DORA إطارًا للرقابة على مزودي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة الذين يعتبرون حيويين للنظام المالي. يمكن تصنيف TSPs الكبار الذين يقدمون خدمات DA على نطاق واسع (مثل بوابات الدفع الرئيسية، ومزودي المحافظ، وربما مزودي الخدمات السحابية المعنيين) على أنهم CTPPs، مما يضعهم تحت إشراف مباشر من قبل سلطات الاتحاد الأوروبي.
• التكامل مع PSD3/PSR: تشير مقترحات PSD3/PSR صراحة إلى DORA، مما يشير إلى أن ترتيبات الاستعانة بمصادر خارجية، بما في ذلك DA، يجب أن تمتثل لمتطلباته. هذا يعني أن TSPs الذين يؤدون DA سيحتاجون إلى تلبية معايير DORA لإدارة مخاطر تكنولوجيا المعلومات والاتصالات، والإبلاغ عن الحوادث، واختبار المرونة، وإدارة مخاطر الأطراف الثالثة، مما يزيد من عبء الامتثال.

يخلق التفاعل بين إرشادات EBA للاستعانة بمصادر خارجية و DORA شبكة كثيفة من التزامات الامتثال لأي TSP يغامر في DA. سيتطلب تقديم هذه الخدمات بنجاح ليس فقط البراعة الفنية ولكن أيضًا استثمارًا كبيرًا في هياكل الحوكمة، وأطر إدارة المخاطر، والتوثيق القوي، والاستعداد للتدقيق، والمرونة التشغيلية التي يمكن إثباتها. قد تفضل هذه البيئة المعقدة عن غير قصد TSPs الأكبر والأكثر رسوخًا الذين لديهم الموارد والخبرة للتنقل في هذه المتطلبات الصعبة.

إحدى النتائج الحاسمة لـ DA بموجب الإطار المقترح هي التحول في المسؤولية عن المعاملات الاحتيالية حيث تفشل SCA.

• تشير مسودات المقترحات إلى أن الطرف الثالث الذي يؤدي SCA المفوض (مثل التاجر، أو البوابة، أو المحفظة) يصبح مسؤولاً عن الأضرار المالية الناتجة عن الاحتيال إذا فشل في تطبيق SCA بشكل صحيح. هذا تغيير جوهري عن التحول النموذجي للمسؤولية بموجب 3DS، حيث غالبًا ما تنتقل المسؤولية إلى جهة الإصدار إذا تم تطبيق SCA بنجاح.
• علاوة على ذلك، تقدم مسودة PSR مسؤولية محتملة لمزودي الخدمات الفنية ومشغلي أنظمة الدفع إذا كان فشل SCA يُعزى إلى أنظمتهم أو بنيتهم التحتية. تواجه هذه النقطة المحددة معارضة قوية، لا سيما من Mastercard، التي تجادل بأنها تستند إلى مفاهيم خاطئة حول مسؤوليات تنفيذ SCA.
• لا يتم إعفاء جهات الإصدار تمامًا، على الرغم من أنها قد تفوض عملية SCA. تظل مسؤولة عن أنواع معينة من الاحتيال، مثل "الانتحال" حيث ينتحل محتال شخصية البنك. حتى أن البرلمان الأوروبي اقترح توسيع حقوق استرداد الأموال هذه في حالات الاحتيال في مدفوعات التطبيقات (APP fraud).

تمثل هذه المسؤولية المباشرة المفروضة على TSPs لفشل SCA بموجب DA مخاطر مالية كبيرة. في حين أن وعد تحسين تجربة المستخدم ومعدلات التحويل جذاب، فإن التكلفة المحتملة للاحتيال يمكن أن تكون رادعًا كبيرًا للعديد من TSPs الذين يفكرون في تقديم خدمات DA. قد تصبح استراتيجيات التخفيف من المخاطر القوية، والتي قد تشمل رسوم خدمة أعلى أو تأمينًا متخصصًا، شروطًا مسبقة ضرورية لتبني DA على نطاق واسع من قبل التجار والبوابات.

تحمل المصادقة المفوضة القدرة على إعادة تشكيل تجربة المستخدم لمدفوعات البطاقات بشكل أساسي، خاصة بالمقارنة مع عملية 3-D Secure (3DS) التقليدية.

حاليًا، تتضمن عملية 3DS لتحديات SCA عادةً تسليمًا حيث يتفاعل العميل مع عنصر يتحكم فيه المصدر. تقليديًا، كان هذا يعني إعادة توجيه كاملة للمتصفح بعيدًا عن موقع التاجر أو تطبيقه إلى نطاق جهة الإصدار (مثل تطبيقهم المصرفي أو صفحة مصادقة محددة). بشكل متزايد، تقدم إصدارات 3DS الأحدث هذا التحدي بشكل مضمن عبر iframe مدمج في صفحة التاجر. في حين أن iframe يتجنب مغادرة الصفحة بالكامل، فإن كلتا الطريقتين لإعادة توجيه تركيز المستخدم إلى خطوة يتحكم فيها المصدر يمكن أن تكون مزعجة، وتضيف وقتًا إلى عملية الدفع، وتساهم في تخلي العملاء عن الشراء.

تقدم DA مسارًا لإزالة هذه التعقيدات في تغيير العملية. من خلال السماح لـالتاجر، أو بوابة الدفع، أو المحفظة الرقمية بإجراء SCA مباشرة داخل بيئتهم الخاصة، يمكن دمج خطوة المصادقة بسلاسة في تدفق الدفع. يعد هذا بتجربة أكثر سلاسة وسرعة وتماسكًا للعميل. عند دمجها مع طرق المصادقة الحديثة منخفضة الاحتكاك مثل القياسات الحيوية المدمجة في الجهاز (Face ID، مسح بصمات الأصابع) أو مفاتيح المرور، يمكن لـ DA أن تقلل بشكل كبير من تعقيدات الدفع، مما قد يؤدي إلى انخفاض معدلات التخلي عن عربة التسوق وارتفاع معدلات تحويل المدفوعات. تؤكد البيانات الواقعية، مثل تقرير Stripe عن زيادة بنسبة 7% في التحويل ومصادقة أسرع بأربع مرات للمعاملات التي تستخدم حل DA الخاص بهم مع حاملي بطاقات Wise، على هذه الفائدة المحتملة.

يتطلب تحقيق هذه الإمكانية أساسًا فنيًا وتجاريًا كبيرًا. يتضمن ذلك إنشاء نقاط تكامل وبروتوكولات اتصال جديدة بين التجار/البوابات/المحافظ وجهات الإصدار. تلعب أنظمة الدفع مثل Visa و Mastercard دورًا مهمًا هنا. على سبيل المثال، طورت Mastercard خدمة Identity Check Express التي تمكن التجار و Mastercard من مصادقة المستهلك نيابة عن جهة الإصدار ضمن تدفق التاجر. وبالمثل، قامت Stripe ببناء قدرات DA الخاصة بها بناءً على اتفاقيات ثنائية مع جهات إصدار محددة مثل Wise.

تشير هذه التطورات إلى أن DA أكثر من مجرد تحديث تنظيمي. إنها تعمل كمساعدة لإعادة تصميم تدفقات مصادقة الدفع. إن نقل نقطة المصادقة من نطاق جهة الإصدار إلى بيئة التاجر أو المحفظة يخلق فرصًا لقرارات مصادقة أكثر ثراءً ووعيًا بالسياق وتجارب مستخدم أقل إزعاجًا من نموذج إعادة التوجيه التقليدي. يستلزم هذا التحول المعماري دمج طرق المصادقة الحديثة مثل مفاتيح المرور مباشرة في عمليات الدفع. ومع ذلك، يتوقف هذا الانتقال على إنشاء تدابير أمنية قوية، وتخصيص واضح للمسؤولية (كما نوقش سابقًا)، وأطر موثوقة، من المحتمل أن تحكمها مجموعة من قواعد الأنظمة، والاتفاقيات الثنائية، والالتزام بلوائح الاستعانة بمصادر خارجية و DORA الصارمة.

بينما تضع مسودات مقترحات PSD3/PSR الأساس التشريعي، فإن الشكل النهائي للمصادقة المفوضة سيتأثر بشكل كبير بالحوار المستمر والضغط من قبل اللاعبين الرئيسيين في الصناعة. تقوم البنوك ومزودو خدمات الدفع ومقدمو التكنولوجيا والتجار بتفسير هذه المسودات بنشاط والدعوة إلى تغييرات تتماشى مع نماذج أعمالهم وأهدافهم الاستراتيجية. يمكن الوصول إلى العديد من جهود الضغط في الاتحاد الأوروبي عبر سجل اللوبي الألماني (ملاحظة: هذا السجل باللغة الألمانية بشكل أساسي، والعديد من الوثائق المقدمة تم إرسالها أيضًا إلى هيئات أخرى في الاتحاد الأوروبي). يستند التحليل التالي إلى الملخصات والوثائق المتاحة من هذه التقديمات العامة.

بصفتها مزودًا رئيسيًا لـالبنية التحتية للمدفوعات، ترى Stripe فرصة كبيرة في DA. إنهم يعتبرونها أداة حاسمة لتحسين معدلات تحويل المدفوعات وتعزيز تجربة الدفع للعملاء عن طريق تقليل التعقيدات. أطلقت Stripe بشكل استباقي حل DA الخاص بها، بناءً على اتفاقيات ثنائية مع جهات إصدار مثل Wise، مما يدل على التزامها بهذا النموذج حتى قبل الانتهاء من PSD3/PSR. يبدو أن جهود الضغط التي تبذلها تركز على ضمان أن البيئة التنظيمية تدعم الابتكار وتقلل من الأعباء. تشمل المجالات الرئيسية الدعوة إلى عمليات إعادة ترخيص مبسطة للكيانات المرخصة الحالية بموجب PSD3، والسعي لمزيد من الوضوح والمرونة فيما يتعلق بإعفاءات SCA (مثل عتبات تحليل مخاطر المعاملات (TRA) والمعاملات التي يبدأها التاجر (MITs))، وضمان عدم تحميل المنصات التي تستخدم حلولًا مثل Stripe Connect أعباء متطلبات ترخيص الوكلاء دون داع، والدفع من أجل الوصول المباشر إلى أنظمة الدفع لمزودي خدمات الدفع غير البنكيين.

تعد PayPal، وهي مؤسسة مالية إلكترونية رئيسية ومزود للمحافظ، من أشد المؤيدين لـنهج قائم على النتائج لـ SCA. يجادلون بأن اللوائح يجب أن تعطي الأولوية للفعالية الأمنية التي يمكن إثباتها لطريقة المصادقة - خاصة مقاومتها للتهديدات الحديثة مثل التصيد الاحتيالي - بدلاً من الالتزام الصارم بفئات العوامل التقليدية للمعرفة/الحيازة/السمة الشخصية المحددة في PSD2. يسلطون الضوء على نجاح تطبيقهم لمفاتيح المرور، والذي قلل بشكل كبير من الاحتيال مع تحسين نجاح تسجيل الدخول. وبالتالي، تحث PayPal صانعي السياسات الذين يصممون PSR على التركيز على القوة الإجمالية لحلول المصادقة، والسماح بمجموعات من العوامل القوية حتى لو كانت من نفس الفئة (على سبيل المثال، عاملين للحيازة)، والموازنة بين الأمان وسهولة الاستخدام، وتجنب التفويضات التكنولوجية المفرطة في التحديد.

تعارض Mastercard بشدة التصنيف الواسع للمسودة لجميع DA على أنها استعانة بمصادر خارجية. يجادلون، إلى جانب مجموعات صناعية أخرى، بأنه يجب فقط إخضاع نماذج المصادقة التي تفتقر فيها جهة الإصدار إلى السيطرة على عملية SCA للصرامة الكاملة لمتطلبات الاستعانة بمصادر خارجية. يعكس موقفهم في الضغط هذا: يسعون إلى توضيح أن DA ليست استعانة بمصادر خارجية "حرجة"، ويدعون إلى اتفاقيات استعانة بمصادر خارجية قابلة للتطوير أو متعددة الأطراف لتسهيل تبني DA، ويريدون إزالة المسؤولية المقترحة على الأنظمة و TSPs المتعلقة بفشل SCA بالكامل. بالإضافة إلى ذلك، تدفع Mastercard لإلزام التجار بإرسال معلومات إضافية، مثل البيانات السلوكية والبيئية إلى جهات الإصدار لتحسين تقييم المخاطر، وتطلب السماح الصريح لـ TSPs بمعالجة البيانات البيومترية دون موافقة صريحة من المستخدم خصيصًا لأغراض SCA، وتقترح تحسين إعفاءات SCA لحالات استخدام محددة منخفضة المخاطر.

تعكس الجمعيات التجارية والهيئات الصناعية إلى حد كبير المخاوف التي أثارها اللاعبون الرئيسيون. على سبيل المثال، تعكس Payments Europe موقف Mastercard بشأن تعريف الاستعانة بمصادر خارجية، مؤكدة أن السيناريوهات التي تفقد فيها جهة الإصدار السيطرة فقط هي التي يجب أن تؤدي إلى قواعد الاستعانة بمصادر خارجية. كما تدعو Bitkom، التي تمثل الصناعة الرقمية، إلى الوضوح بشأن هذه النقطة وتدعو إلى التنظيم الصريح للقياسات الحيوية السلوكية لـ SCA. تؤكد هذه المجموعات باستمرار على الحاجة إلى الحياد التكنولوجي والمرونة داخل إطار SCA لتعزيز الابتكار وتجنب الإقصاء الرقمي). تثير CCIA Europe مخاوف عملية بشأن قابلية تنفيذ حقوق جهات الإصدار الواسعة في تدقيق ومراقبة الأحكام الأمنية لـ TSPs بموجب ترتيبات DA.

جدول: المواقف الصناعية الرئيسية بشأن المصادقة المفوضة و SCA بموجب PSD3/PSR

يؤكد الرفض القوي والمنسق للنهج الحالي للمسودة على توتر أساسي. ترغب الصناعة في فوائد تجربة المستخدم والابتكار التي يمكن أن تقدمها DA ولكنها تسعى إلى تجنب أعباء الامتثال الكبيرة المرتبطة بالاستعانة بمصادر خارجية المنظمة بموجب إرشادات EBA. يهدف بديلهم المقترح - تعريف الاستعانة بمصادر خارجية بناءً على ما إذا كانت جهة الإصدار تحتفظ بالسيطرة - إلى إنشاء مساحة لـ DA تكون أقل كثافة من الناحية التنظيمية. سيكون حل هذا النقاش خلال المناقشات التشريعية حاسمًا في تحديد الجدوى العملية وجاذبية DA للعديد من TSPs.

على الرغم من هذا الغموض التنظيمي، فإن اللاعبين البارزين مثل Stripe و Mastercard لا ينتظرون. إنهم يطورون وينشرون حلول DA بنشاط الآن، مستخدمين الأطر الحالية مثل الاتفاقيات الثنائية وقواعد الأنظمة، وغالبًا ما يدمجون تقنيات متقدمة مثل القياسات الحيوية ومعايير FIDO. تتيح لهم هذه الاستراتيجية الاستباقية الحصول على حصة سوقية مبكرة، وإثبات الجدوى الفنية لـ DA، وربما تشكيل المعايير الناشئة، وإعداد عملائهم للمشهد المستقبلي. لا يتم دفع هذا النهج فقط من خلال تعزيز تجربة المستهلك؛ بل يخدم أيضًا لربط العملاء بشكل أوثق بمزود الدفع بدلاً من جهة الإصدار، كل ذلك أثناء التنقل في المخاطر الكامنة في بيئة تنظيمية متطورة وتحولات المسؤولية المرتبطة بها. مع استكشاف الصناعة لنماذج DA الجديدة هذه، يصبح دور تقنيات المصادقة المتقدمة مثل مفاتيح المرور مركزيًا بشكل متزايد لتحقيق أهداف الأمان وتجربة المستخدم.

تمثل مفاتيح المرور (Passkeys)، القائمة على معيار WebAuthn من تحالف FIDO، تقدمًا مهمًا في تكنولوجيا المصادقة، وسيناقش هذا القسم كيف يمكن أن تساعد في سد الفجوة للمصادقة القوية للعملاء (SCA) في سياق المصادقة المفوضة (DA).

تكمن القوة الأساسية لمفاتيح المرور في استخدام تشفير المفتاح العام لإنشاء بيانات اعتماد فريدة لكل موقع ويب أو تطبيق. تجعل هذه الآلية مفاتيح المرور مقاومة بطبيعتها لهجمات التصيد الاحتيالي، حيث تعمل بيانات الاعتماد فقط على الموقع الشرعي الذي تم إنشاؤها من أجله، وتعتمد على فتح قفل الجهاز بشكل آمن (غالبًا عبر القياسات الحيوية) بدلاً من الأسرار المشتركة مثل كلمات المرور. يوفر هذا المزيج إمكانية تعزيز الأمان وتجربة مستخدم أكثر سلاسة.

من وجهة نظر فنية، تبدو مفاتيح المرور مناسبة بشكل مثالي لسيناريوهات المصادقة المفوضة. في تدفق DA، يمكن للتاجر أو بوابة الدفع التي تقوم بـ SCA أن تطلب من المستخدم المصادقة باستخدام مفتاح مرور مخزن على جهازه (هاتف، كمبيوتر). تحدث هذه المصادقة مباشرة داخل بيئة التاجر أو TSP، مستفيدة من قدرات القياسات الحيوية المدمجة في الجهاز (مثل Face ID أو مسح بصمات الأصابع) للتحقق، مما يلغي الحاجة إلى عمليات إعادة التوجيه أو كلمات المرور لمرة واحدة (OTPs) المرهقة. يتماشى هذا تمامًا مع هدف DA لإنشاء عمليات دفع أكثر سلاسة وأمانًا. ولكن دعونا نلقي نظرة على كيف يمكن لجهة الإصدار التحكم والتحقق من مصادقة طرف ثالث باستخدام مفاتيح المرور.

ومع ذلك، يواجه دمج مفاتيح المرور في عالم SCA المنظم، خاصة بموجب DA، تحديات. أدى التصنيف الصارم لـPSD2 المكون من ثلاثة عوامل (المعرفة، الحيازة، السمة الشخصية) إلى خلق غموض حول كيفية ملاءمة مفاتيح المرور، خاصة فيما يتعلق بعنصر "الحيازة" واستقلالية العوامل عندما تفتح القياسات الحيوية قفل الجهاز الذي يحمل مفتاح المرور. يزيد ظهور مفاتيح المرور المتزامنة (التي يمكن أن تكون متاحة عبر أجهزة متعددة) من تعقيد هذا التصنيف.

بينما يقدم PSD3/PSR بعض المرونة من خلال توضيح أن عوامل المصادقة تحتاج فقط إلى أن تكون مستقلة (لا يؤثر اختراق أحدها على الآخر) بدلاً من الانتماء بالضرورة إلى فئات مختلفة، كما هو مذكور صراحة في اللائحة المقترحة:

لا يحل هذا الغموض في التصنيف بالكامل أو يوفر تأييدًا صريحًا لـمفاتيح المرور المتزامنة على أنها متوافقة مع SCA. يعزز هذا الغموض التنظيمي الحجج التي قدمها لاعبون مثل PayPal، الذين يدعون إلى نهج قائم على النتائج لـ SCA، مع التركيز على النتائج الأمنية المثبتة (مثل مقاومة التصيد الاحتيالي) التي تقدمها طرق مثل مفاتيح المرور، بدلاً من إجبارها على الدخول في صناديق فئوية قديمة محتملة. (للاطلاع على تحليل أعمق لـSCA القائم على النتائج ومفاتيح المرور، راجع تحليلنا لـ SCA القائم على النتائج)

نظرًا للتبني الواسع لمفاتيح المرور المتزامنة من قبل المستخدمين والتجار، وقيود SPC، يجب أن يهدف إطار PSD3/PSR إلى إنشاء مسار واضح للاستفادة من علاقات مفاتيح المرور الحالية هذه ضمن المصادقة المفوضة. سيركز هذا النهج على الأمان العملي القائم على النتائج بدلاً من التقيد بتطبيقات فنية محددة تم تصورها في الأصل قبل نضج مفاتيح المرور المتزامنة. لتحقيق ذلك، من الضروري إجراء العديد من التطورات الرئيسية، مع التركيز على التعديلات التنظيمية، وآليات الثقة التشغيلية، وتطور معايير الصناعة. يمكن أن يتضمن نموذج DA المستقبلي الذي يستفيد من مفاتيح المرور المتزامنة العديد من التطورات الرئيسية التي سنناقشها الآن.

يبدأ التعميم الفعال لمفاتيح المرور المتزامنة في DA بـالتمكين التنظيمي والتفويضات الواضحة بموجب PSD3/PSR. يتضمن هذا الاعتبارات الرئيسية التالية:

• التأييد الصريح لمفاتيح المرور المتزامنة لـ DA: يجب أن يوضح PSD3/PSR صراحة أن مفاتيح المرور المتزامنة، عند استخدامها بشكل مناسب، يمكن أن تفي بمتطلبات SCA في سياق DA. يجب أن يكون التركيز على الرابط المشفر القابل للتحقق، ومقاومة التصيد الاحتيالي المحققة، واستقلالية عملية المصادقة، بدلاً من الالتزام الصارم بتصنيفات عوامل SCA التي سبقت مفاتيح المرور.
• تفويض بيانات المصادقة الغنية: تماشيًا مع طلبات الصناعة (مثل تلك الواردة من Mastercard)، يجب أن تفرض اللائحة على TSPs الذين يقومون بـ DA تضمين بيانات مصادقة شاملة وموحدة (على سبيل المثال، تفاصيل مصادقة مفتاح المرور، وعناصر تأكيد FIDO ذات الصلة، وإشارات المخاطر السياقية) ضمن معلومات معاملة الدفع المرسلة إلى شبكات الدفع وجهات الإصدار. يعتمد هذا على الآليات الحالية مثل حقل threeDSRequestorAuthenticationInfo المستخدم في EMV 3DS لبيانات FIDO الخاصة بالتاجر 1.

إلى جانب الوضوح التنظيمي، يعد تفعيل الثقة مع مفاتيح المرور التي يحتفظ بها التاجر أمرًا بالغ الأهمية للتبني على نطاق واسع. يتطلب هذا أنظمة وعمليات قوية من أجل:

• تحقق جهة الإصدار من DA الذي يبدأه التاجر: ستحتاج جهات الإصدار إلى أنظمة قوية لتلقي والتحقق بشكل مشفر من تأكيدات المصادقة الناتجة عن مفاتيح المرور. بشكل حاسم، في العديد من سيناريوهات DA، يمكن أن يكون مفتاح المرور المستخدم هو الذي أنشأه المستخدم بالفعل مع التاجر للوصول إلى خدمات التاجر الخاصة.
• التحدي الديناميكي وسيطرة جهة الإصدار: للحفاظ على سيطرة جهة الإصدار وضمان الربط الديناميكي، يمكن أن تعمل معاملة DA على النحو التالي:
  • توفر جهة الإصدار (أو شبكة الدفع نيابة عنها) تحديًا فريدًا خاصًا بالمعاملة إلى TSP (التاجر/البوابة).
  • يطلب TSP من المستخدم تفويض المعاملة عن طريق توقيع هذا التحدي (بالإضافة إلى بيانات المعاملة الحرجة) باستخدام مفتاح المرور المتزامن الحالي المسجل لدى التاجر.
  • يتم إرجاع التأكيد الموقع إلى جهة الإصدار للتحقق منه.
• ترحيل DA المشروط: يمكن لمصادقة أولية أقوى مباشرة مع جهة الإصدار (ربما باستخدام مفتاح مرور مسجل لدى جهة الإصدار أو تدفق تحدي 3DS قوي) أن تنشئ علاقة موثوقة لمفتاح مرور تاجر معين. يمكن بعد ذلك المضي قدمًا في معاملات DA اللاحقة التي تستخدم نفس مفتاح مرور التاجر الذي تم التحقق منه باستخدام نموذج التحدي الديناميكي الموضح أعلاه، مما يوفر تجربة مستخدم أكثر سلاسة طالما ظل مفتاح المرور صالحًا وتم استيفاء معايير المخاطر.

أخيرًا، سيعتمد النجاح طويل الأمد لـ DA القائم على مفاتيح المرور على تطور المعايير والتحول الحازم نحو منظور SCA القائم على النتائج. يستلزم هذا:

• دور الهيئات الصناعية: تلعب منظمات مثل تحالف FIDO (بما في ذلك مجموعات العمل التي تركز على المدفوعات) و EMVCo دورًا حاسمًا في تطوير وتوحيد البروتوكولات وإشارات الثقة اللازمة لدعم نماذج DA هذه بشكل آمن وقابل للتطوير. يتضمن ذلك تحديد كيفية تقديم تأكيدات المصادقة من مفاتيح المرور التي يحتفظ بها التاجر والتحقق منها بشكل موثوق من قبل جهات الإصدار في سياق DA.
• ما وراء تعريفات SCA الصارمة: يجب أن يكون الهدف النهائي هو الانتقال نحو نهج قائم على النتائج لـ SCA. إذا كانت طريقة DA التي تستخدم مفاتيح المرور المتزامنة (حتى تلك التي تم إنشاؤها مع التاجر) يمكن أن توفر بشكل واضح مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي ومرتبطة ديناميكيًا بالمعاملة، فيجب اعتبارها متوافقة. يعطي هذا الأولوية لنتائج الأمان الفعلية على الالتزام بالتفسيرات التقليدية، وأحيانًا القديمة، لعناصر SCA، وبالتالي تعزيز الابتكار والاستفادة من التقنيات المألوفة بالفعل للمستخدمين.

سيسمح هذا التطور لنظام المدفوعات البيئي بالاستفادة من الاستثمار الكبير الحالي في مفاتيح المرور المتزامنة واعتمادها من قبل كل من المستخدمين والتجار، مما يخلق مسارًا لمصادقة مفوضة أكثر أمانًا وسلاسة ويمكن الوصول إليها على نطاق أوسع.

يوضح مخطط التسلسل أعلاه مستقبلًا محتملاً للمصادقة المفوضة (DA) التي تستفيد من مفاتيح المرور داخل النظام البيئي للمدفوعات. يصور تدفقًا مبسطًا حيث يمكن للتجار، باستخدام مفاتيح المرور، إجراء المصادقة القوية للعملاء (SCA) نيابة عن جهات الإصدار. تتماشى هذه الرؤية مع اتجاه PSD3/PSR والتبني المتزايد لتقنية مفاتيح المرور.

فحص الواقع: ومع ذلك، فإن هذا المستقبل المتصور ليس هو المعيار الحالي بعد. يجب معالجة العديد من التحديات العملية للتبني على نطاق واسع. تحتاج الأطر التنظيمية، لا سيما بموجب PSD3/PSR القادم، إلى توضيح كيفية ملاءمة مفاتيح المرور المتزامنة في المصادقة القوية للعملاء وكيفية إدارة المسؤولية في سيناريوهات المصادقة المفوضة. لا تزال المعايير الفنية الأساسية، بما في ذلك تلك الخاصة بجهات الإصدار للتحقق من مفاتيح المرور التي يحتفظ بها التاجر ولضمان ربط المعاملات الديناميكي المتسق عبر جميع المنصات، في طور النضج. يعد بناء ثقة واسعة من جهات الإصدار في عمليات المصادقة التي يقودها التاجر خطوة حاسمة أيضًا. علاوة على ذلك، يظل ضمان تجربة مستخدم سلسة، وإدارة مفاتيح مرور متعددة محتملة لكل مستخدم، وتحقيق دعم عالمي للمتصفح/المنصة لجميع الوظائف المطلوبة الخاصة بالدفع مساعي مستمرة. أخيرًا، سيكون من المهم معالجة أي تصورات أمنية باقية حول أنظمة مفاتيح المرور المتزامنة البيئية وموثوقية الشهادة لبناء ثقة كاملة.

على الرغم من هذه العقبات - التي يتعلق الكثير منها بتشريعات SCA الأوروبية التي، من المهم أن نتذكر، تنطبق فقط على أوروبا - فإن التكنولوجيا الأساسية لمثل هذا النظام موجودة إلى حد كبير. يتضح هذا من خلال الواقع اليوم: تبني مفاتيح المرور على نطاق واسع من قبل لاعبين رئيسيين خارج الاتحاد الأوروبي، مثل PayPal، والاستخدام الواسع من قبل العديد من البنوك الأمريكية (بما في ذلك تلك التي تستخدم Banno by Jack Henry وغيرها الكثير). وبالتالي، فإن التدفق الموضح ممكن تقنيًا وسيستفيد من هذا الزخم القوي الحالي لـتبني مفاتيح المرور من قبل المستخدمين والتجار، بدلاً من العمل ضده. يمكن أن يمهد هذا النهج الطريق لتجارب دفع أكثر أمانًا وسلاسة على مستوى العالم.

يمثل توجيه PSD3 ولائحة PSR المقترحان تطورًا كبيرًا في الإطار التنظيمي للمدفوعات في الاتحاد الأوروبي، ويهدفان إلى البناء على أسس PSD2 مع معالجة قيوده والتكيف مع سوق رقمي سريع التطور.

أحد التطورات الرئيسية هو التمكين الصريح للمصادقة المفوضة (DA)، مما يسمح لأطراف ثالثة مثل التجار والمحافظ بإجراء المصادقة القوية للعملاء (SCA) نيابة عن البنوك المصدرة. ومع ذلك، يأتي هذا التمكين مع تحذير حاسم داخل الاتحاد الأوروبي: تصنيف DA على أنه "استعانة بمصادر خارجية". يؤدي هذا إلى شبكة معقدة من التزامات الامتثال بموجب إرشادات EBA بشأن ترتيبات الاستعانة بمصادر خارجية وقانون المرونة التشغيلية الرقمية (DORA). علاوة على ذلك، تنقل المقترحات المسؤولية عن فشل SCA مباشرة إلى الكيان الذي يقوم بالمصادقة المفوضة.

يخلق هذا توترًا أساسيًا، لا سيما في السياق الأوروبي. فمن ناحية، هناك الدافع التنظيمي لتعزيز الأمن والتحكم والمرونة، والذي يتجلى من خلال متطلبات الاستعانة بمصادر خارجية والمرونة التشغيلية الصارمة. ومن ناحية أخرى، هناك رغبة قوية من الصناعة في الابتكار والمرونة وتحسين تجارب المستخدم، وهو ما تعد به DA، خاصة عند دمجها مع طرق حديثة مثل مفاتيح المرور. تسلط جهود الضغط المكثفة المحيطة بتعريف "الاستعانة بمصادر خارجية" لأغراض DA الضوء على هذا الصراع. من الجدير بالذكر أنه في حين أن هذه العقبات التنظيمية المحددة بارزة في الاتحاد الأوروبي، فإن تقنية مفاتيح المرور الأساسية تشهد تبنيًا عالميًا قويًا وتنفيذًا ناجحًا في أسواق أخرى ذات مناظر تنظيمية مختلفة.

يتوقف معدل التبني المستقبلي وتأثير المصادقة المفوضة، خاصة داخل الاتحاد الأوروبي، بشكل حاسم على التفاصيل النهائية للعملية التشريعية - لا سيما فيما يتعلق بنطاق قواعد الاستعانة بمصادر خارجية، وتخصيص المسؤولية، وبشكل حاسم، الاعتراف الصريح بمفاتيح المرور المتزامنة كآلية متوافقة مع SCA ضمن DA. ستكون قدرة الصناعة على إنشاء أطر ثقة عملية وقابلة للتطوير بين جهات الإصدار و TSPs الذين يقومون بالمصادقة أمرًا بالغ الأهمية أيضًا.

تتماشى مفاتيح المرور، وخاصة مفاتيح المرور المتزامنة، بشكل جوهري مع أهداف DA، حيث توفر مقاومة قوية للتصيد الاحتيالي وإمكانية تجارب مستخدم سلسة قائمة على القياسات الحيوية. إنها تمثل بديلاً مقنعًا لكلمات المرور التقليدية وكلمات المرور لمرة واحدة (OTPs). لا يكمن التحدي في الجدوى الفنية لاستخدام مفاتيح المرور لـ DA - كما يتضح من تبنيها العالمي الناجح لأغراض المصادقة المختلفة - ولكن في التنقل في المتطلبات التنظيمية الخاصة بالاتحاد الأوروبي وإنشاء معايير واضحة قائمة على النتائج لقبولها بموجب SCA. سيكون النهج الذي يعطي الأولوية لنتائج الأمان التي يمكن إثباتها لمصادقات مفاتيح المرور (على سبيل المثال، قابلية التحقق المشفر، ومقاومة التصيد الاحتيالي، والربط الديناميكي) على الالتزام الصارم بتصنيفات العوامل التقليدية ضروريًا لإطلاق إمكاناتها الكاملة في DA.

بالنسبة للشركات العاملة في النظام البيئي للمدفوعات الأوروبية، تتطلب السنوات القادمة مراقبة دقيقة للانتهاء من PSD3 و PSR والمعايير الفنية المرتبطة بها من EBA. يجب على المنظمات تقييم كيفية قيام المصادقة المفوضة، المدعومة بنظام مفاتيح المرور الناضج، بإعادة تشكيل استراتيجيات الدفع والمصادقة الخاصة بها بشكل استباقي. لا يتضمن هذا فقط تقييم إمكانات تقنيات مثل مفاتيح المرور المتزامنة ولكن أيضًا الاستعداد للتحولات التشغيلية والامتثال اللازمة لبناء ثقة يمكن التحقق منها مع الشركاء في ترتيبات DA.

بالنسبة لمقدمي حلول المصادقة، تكمن الفرصة في تطوير عروض آمنة وسهلة الاستخدام ومصممة لمساعدة العملاء (TSPs) على تلبية متطلبات الامتثال الصعبة لـ DA ضمن مشهد PSD3/PSR. يتضمن ذلك تسهيل التبادل الآمن لبيانات المصادقة ودعم الآليات التي تسمح لجهات الإصدار بالتحقق بثقة من معاملات DA التي يتم إجراؤها باستخدام مفاتيح المرور التي يحتفظ بها التاجر، مما يعزز في النهاية تجارب الدفع الآمنة والسلسة التي يهدف PSD3/PSR إلى تحقيقها من خلال الاستفادة من الزخم العالمي لتقنية مفاتيح المرور.