مفاتيح المرور (Passkeys) المتوافقة مع PSD2: مصادقة متعددة العوامل (MFA) مقاومة للتصيد الاحتيالي

في عالم الخدمات المصرفية الرقمية، لم يعد الأمان وتجربة المستخدم أمرين متعارضين. تدمج مفاتيح المرور (Passkeys) هذين العاملين، مقدمةً مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي تتوافق مع متطلبات توجيه خدمات الدفع الثاني (PSD2) والمصادقة القوية للعملاء (SCA). تعد مفاتيح المرور الشكل الأكثر أمانًا وسهولة في الاستخدام للمصادقة التي يمكن تنفيذها عبر الخدمات المالية. تأتي هذه القفزة النوعية في وقت حاسم، حيث يواجه القطاع المصرفي تحديات في تطبيق توجيه خدمات الدفع الثاني المعدل (PSD2) - وهو إطار تنظيمي مصمم لتعزيز أمان وتنافسية قطاع الخدمات المصرفية الأوروبي.

تبرز مفاتيح المرور (Passkeys) في هذا السياق ليس فقط كحل للامتثال، بل أيضًا كشكل رائع من أشكال الابتكار، حيث تعد بتلبية متطلبات PSD2 الصارمة دون المساس بتجربة المستخدم. في هذا المقال، نحلل الفروق الدقيقة في توجيه PSD2 وتفويضه للمصادقة القوية للعملاء (SCA): يتضح أن مفاتيح المرور تمثل مستقبل المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي في الخدمات المصرفية.

توجيه خدمات الدفع الثاني (PSD2) هو تشريع قدمه الاتحاد الأوروبي لإحداث ثورة في خدمات الدفع والمشهد المصرفي في أوروبا. تتمثل أهدافه الأساسية في زيادة المنافسة، وتعزيز حماية المستهلك، وتشجيع الابتكار في مجال المدفوعات الرقمية. من خلال فرض الوصول المفتوح إلى المعلومات المالية للعملاء لأطراف ثالثة معتمدة (بموافقة العميل)، يمهد PSD2 الطريق لنظام مالي أكثر تكاملاً وكفاءة وسهولة في الاستخدام. ومع ذلك، مع القوة الكبيرة تأتي مسؤولية كبيرة، ويتناول PSD2 هذا الأمر من خلال تركيزه على الأمان، لا سيما من خلال بروتوكولات المصادقة.

في صميم الإجراءات الأمنية لتوجيه PSD2 يكمن متطلب المصادقة القوية للعملاء (SCA)، وهو بروتوكول مصمم لتقليل الاحتيال بشكل كبير وتعزيز أمان المدفوعات الإلكترونية. تعتمد SCA على مبدأ أن المدفوعات الإلكترونية يجب ألا تكون سلسة فحسب، بل آمنة أيضًا بما يكفي لمقاومة التهديدات المختلفة. هذا الإطار للمصادقة إلزامي لمقدمي خدمات الدفع، والبنوك، وبوابات الدفع الإلكترونية التي تعمل ضمن نطاق PSD2.

يتم تحديد تنفيذ SCA بموجب PSD2 من خلال عدة متطلبات حاسمة:

يجب أن تتضمن المصادقة عنصرين على الأقل من الفئات التالية:

• المعرفة: شيء يعرفه المستخدم فقط، مثل كلمة مرور أو رقم تعريف شخصي (PIN).
• الحيازة: شيء يمتلكه المستخدم فقط، مثل جهاز محمول، أو بطاقة ذكية، أو جهاز توكن مادي.
• السمة الشخصية (البيومترية): شيء متأصل في المستخدم، ويشمل المعرفات البيومترية مثل بصمات الأصابع أو التعرف على الوجه أو أنماط الصوت.

لكل معاملة، يجب إنشاء رمز مصادقة فريد يربط ديناميكيًا تفاصيل المعاملة المحددة، مثل المبلغ ورقم حساب المستلم.

يُطلب من المستخدمين إعادة المصادقة على فترات زمنية، عادة كل 90 يومًا، للحفاظ على الوصول إلى الخدمات المصرفية عبر الإنترنت. ومع ذلك، تمت مراجعة هذا المطلب لتحسين التوازن بين الأمان والراحة.

يجب تطبيق SCA على جميع المعاملات الإلكترونية، مما يضمن أن المصادقة خاصة بالمبلغ والمدفوع له، مما يخلق توقيعًا فريدًا لكل معاملة.

يجب على مقدمي خدمات الدفع استخدام نهج قائم على المخاطر لتطبيق SCA، حيث يمكن إعفاء المعاملات منخفضة المخاطر من SCA لتبسيط عملية الدفع دون المساس بالأمان (لاحظ الارتباط بمفاتيح المرور هنا بالفعل؟).

يجب أن تكون عملية المصادقة بأكملها قابلة للتتبع والتدقيق، مع الاحتفاظ بالسجلات لإثبات الالتزام بمتطلبات SCA.

من خلال تقديم SCA، رفع PSD2 بشكل كبير مستوى أمان المعاملات في القطاع المصرفي. في ما يلي، سنركز على العوامل المختلفة المشاركة في المصادقة متعددة العوامل (MFA). تؤثر هذه العوامل أيضًا على متطلب المصادقة الخاصة بالمعاملة (اقرأ المزيد أدناه).

فيما يلي، سنقدم مراحل التطور المختلفة للمصادقة في القطاع المصرفي.

بدأت رحلة المصادقة في قطاع البنوك باستخدام أرقام التعريف الشخصية (PINs) وأرقام مصادقة المعاملات (TANs). كان العملاء يتلقون قائمة من أرقام TANs، ليتم استخدام كل منها مرة واحدة للتحقق من المعاملة. هذه الطريقة، على الرغم من كونها ثورية في ذلك الوقت، كانت لها عيوبها، بما في ذلك خطر سرقة قوائم TANs أو إساءة استخدامها.

مع تقدم التكنولوجيا، قدمت البنوك أرقام TANs الإلكترونية (eTANs) وأرقام TANs المتنقلة (mTANs)، حيث يتم إنشاء أرقام TANs وإرسالها إلى الجهاز المحمول للعميل عبر الرسائل القصيرة (SMS). حسنت هذه الطريقة الأمان عن طريق ربط TAN بالجهاز، لكنها أدخلت أيضًا ثغرات جديدة، مثل خطر اعتراض الرسائل القصيرة والإزعاج الناتج عن الاضطرار إلى انتظار وإدارة هذه الرسائل. حتى ظهور مفاتيح المرور، لا تزال الرسائل القصيرة التي تحتوي على كلمة مرور لمرة واحدة (SMS OTP) تعتبر الخيار الأكثر راحة للمصادقة الثنائية (2FA) المتاح للخدمات المصرفية من وجهة نظر تجربة المستخدم.

لتعزيز الأمان بشكل أكبر، اعتمدت البنوك البطاقات الذكية وأجهزة التوكن التي تولد رموزًا فريدة للمصادقة. قدمت هذه الحلول القائمة على الأجهزة مستوى أعلى من الأمان ولكنها أضافت أيضًا تعقيدًا وإزعاجًا للعملاء، الذين أصبحوا الآن بحاجة إلى حمل جهاز إضافي.

يشمل أحدث تطور في المصادقة المصرفية القياسات الحيوية (بصمة الإصبع أو التعرف على الوجه) وتطبيقات الخدمات المصرفية عبر الهاتف المحمول مع ميزات أمان مدمجة. تهدف هذه الطرق إلى الموازنة بين الأمان والراحة من خلال الاستفادة من السمات البيولوجية الفريدة للمستخدم وانتشار الهواتف الذكية. ومع ذلك، فإنها تتطلب أيضًا من العملاء المرور بعملية تنزيل وإعداد تطبيق لكل بنك يستخدمه العميل على حدة.

على الرغم من هذه التطورات، لا يزال العملاء يواجهون إزعاجًا وإحباطًا كبيرين مع طرق المصادقة المصرفية الحالية وهم معرضون لخطر استهداف المحتالين:

• التعقيد والإزعاج: إن تجميع خطوات مصادقة متعددة، على الرغم من أنه يعزز الأمان، غالبًا ما يترجم إلى عملية مرهقة للمستخدمين. هذا التعقيد ليس مجرد إزعاج بسيط؛ بل يمكن أن يثني العملاء عن التعامل مع الخدمات المصرفية الرقمية، مما يقوض الغرض ذاته من التحول الرقمي.
• الاعتماد على الجهاز والمنصة: يربط التحول نحو المصادقة عبر الهاتف المحمول والقياسات الحيوية المستخدمين بشكل وثيق بأجهزتهم. يخلق هذا الاعتماد حلقة ضعيفة في حالة السرقة. كما أن الأعطال الفنية يمكن أن تجعل الخدمات المصرفية غير متاحة، مما يترك العملاء في مأزق.
• ثغرات التصيد الاحتيالي (Phishing): على الرغم من التطورات، تظل قابلية عوامل المصادقة للتصيد ثغرة لم تعالجها SCA. يمكن اختراق العوامل التقليدية مثل رقم التعريف الشخصي (PIN)، وكلمة المرور، وكلمات المرور لمرة واحدة عبر الرسائل القصيرة (SMS OTPs)، وكلمات المرور لمرة واحدة عبر البريد الإلكتروني (email OTPs) من خلال مخططات التصيد الاحتيالي المتطورة، مما يعرض بيانات العملاء وأموالهم للخطر.

حتى يومنا هذا، تواصل البنوك، وخاصة التقليدية منها، تحذير العملاء من الخطر الكبير للتصيد الاحتيالي.

في القسم التالي، سنشرح كيف يعمل هذا باستخدام مثال حقيقي.

لطالما شكلت هجمات التصيد الاحتيالي تهديدًا كبيرًا لأمن القطاع المصرفي، حيث تستغل علم النفس البشري (الهندسة الاجتماعية) والثغرات التكنولوجية للوصول غير المصرح به إلى المعلومات المالية الحساسة. مع تطور طرق المصادقة في البنوك، تكيف المحتالون، وابتكروا مخططات متطورة لتجاوز الإجراءات الأمنية. إن فهم كيفية عمل التصيد الاحتيالي، خاصة في سياق طرق المصادقة شائعة الاستخدام هذه، أمر بالغ الأهمية لإدراك الحاجة الملحة لحلول مصادقة غير قابلة للتصيد مثل مفاتيح المرور.

في جوهره، يتضمن التصيد الاحتيالي خداع الأفراد للكشف عن معلومات حساسة، مثل بيانات تسجيل الدخول أو المعلومات المالية، تحت ستار اتصال شرعي من بنكهم. يتم تحقيق ذلك عادة من خلال الخطوات التالية:

1. البداية: يرسل المحتالون رسائل (غالبًا عبر البريد الإلكتروني أو الرسائل القصيرة) تحاكي الاتصالات المصرفية الرسمية، كاملة مع الشعارات واللغة التي تبدو جديرة بالثقة. عادة ما تخلق هذه الرسائل شعورًا بالإلحاح، مدعية أن هناك حاجة إلى اتخاذ إجراء فوري لحل مشكلة أو منع إغلاق الحساب.
2. الخداع: تحتوي الرسالة على رابط لموقع ويب احتيالي يشبه إلى حد كبير بوابة الخدمات المصرفية عبر الإنترنت الرسمية للبنك. دون علم بالخداع، يتم توجيه الضحية للاعتقاد بأنهم يصلون إلى موقع البنك الشرعي.
3. الالتقاط: بمجرد الوصول إلى موقع التصيد، يُطلب من الضحية إدخال تفاصيل المصادقة الخاصة بهم، مثل رقم التعريف الشخصي (PIN) أو تأكيد معاملة بكلمة مرور لمرة واحدة (OTP) مرسلة عبر الرسائل القصيرة. معتقدين أنهم يتفاعلون مع بنكهم، يمتثل الضحية، ويسلمون بيانات اعتمادهم للمهاجمين دون قصد.
4. الاستغلال: مسلحين بهذه التفاصيل، يمكن للمحتالين بعد ذلك الوصول إلى الحساب المصرفي للضحية، وإجراء معاملات غير مصرح بها، أو ارتكاب سرقة هوية.

لنتخيل سيناريو يتلقى فيه عميل لدويتشه بنك رسالة نصية قصيرة تنبهه إلى أنه سيتم إلغاء تنشيط حسابه. تتضمن الرسالة رابطًا لموقع ويب للتحقق من هوية العميل يحتوي على "deutschebank" كجزء من عنوان URL بما في ذلك شهادة SSL مطابقة. هذا الموقع، وهو نسخة طبق الأصل من صفحة تسجيل الدخول الخاصة بدويتشه بنك (كما ترون في لقطات الشاشة أدناه)، يطالب العميل برقم التعريف الشخصي للخدمات المصرفية عبر الإنترنت الخاص به وبعد ذلك يطلب كلمة مرور لمرة واحدة عبر الرسائل القصيرة في الوقت الفعلي (غير مرئية في لقطات الشاشة لأسباب أمنية). دون علم العميل، يسمح إدخال هذه المعلومات على موقع التصيد للمهاجمين بالوصول الكامل إلى حساب دويتشه بنك الخاص بهم وربما تحويل مبالغ ضخمة من المال إلى حسابات أخرى.

هذه هي رسالة التصيد الاحتيالي النصية مع المطالبة باستعادة الوصول إلى الحساب المصرفي (لقطات الشاشة باللغة الألمانية فقط متاحة):

هذا هو موقع التصيد الاحتيالي من قبل المهاجمين (https://deutschebank-hilfe.info):

هذا هو الموقع الأصلي كمرجع (https://meine.deutsche-bank.de) الذي نسخه المهاجمون بشكل شبه مثالي (لقد تركوا فقط تحذير التصيد الاحتيالي في الأسفل):

يمكن للعملاء المعتادين على تسجيل الدخول من خلال واجهة المستخدم المتطابقة هذه واستخدام كلمة المرور لمرة واحدة عبر الرسائل القصيرة كعامل مصادقة أن يقعوا بسهولة ضحية لمثل هذه الهجمات. يوجد نظام بيئي كبير من الحزم مفتوحة المصدر المصممة للتركيز على هجمات التصيد الاحتيالي التي تستهدف أنظمة OAuth أو الأنظمة المصرفية (على سبيل المثال، https://github.com/gophish/gophish) لأغراض البحث الأمني. ومع ذلك، يمكن تكييف هذه الأنظمة بسهولة لأغراض ضارة.

يصبح التصيد الاحتيالي في القطاع المصرفي دقيقًا بشكل متزايد مع كل تسرب للبيانات على الويب المظلم. عادةً ما تكون معلومات الدفع مثل أرقام IBAN جزءًا من هذه التسريبات أيضًا. على الرغم من أنه لا يمكن استخدام هذه المعلومات لسرقة الأموال مباشرة، إلا أنه يمكن استخدامها في أساليب التصيد الموجه (spear-phishing) حيث يعرف المهاجم أن الهدف هو بالفعل عميل للبنك.

يكمن الخلل الحاسم في السيناريو أعلاه في قابلية عوامل المصادقة للتصيد: يمكن بسهولة طلب كل من رقم التعريف الشخصي (PIN) وكلمة المرور لمرة واحدة عبر الرسائل القصيرة (SMS OTP) من العميل تحت ذرائع كاذبة. تؤكد هذه الثغرة على ضرورة وجود طرق مصادقة لا يمكن اختراقها من خلال الهندسة الاجتماعية أو هجمات التصيد الاحتيالي.

توفر عوامل المصادقة غير القابلة للتصيد، مثل تلك التي تتيحها مفاتيح المرور، دفاعًا قويًا ضد مثل هذه المخططات. نظرًا لأن مفاتيح المرور لا تعتمد على أسرار مشتركة يمكن الكشف عنها أو خداع المستخدم للحصول عليها أو اعتراضها، فإنها تغير المشهد الأمني بشكل أساسي. مع مفاتيح المرور، تتضمن عملية المصادقة إثباتًا مشفرًا للهوية لا يمكن للمحتالين تكراره، مما يزيل ناقل الهجوم الأكثر شيوعًا في التصيد الاحتيالي.

لمواجهة تهديدات التصيد الاحتيالي بفعالية، يجب على القطاع المصرفي اعتماد نهج متعدد الأوجه يشمل:

1. تثقيف العملاء: يجب على البنوك إعلام عملائها باستمرار بمخاطر التصيد الاحتيالي وكيفية التعرف على الاتصالات الاحتيالية.
2. تنفيذ مصادقة غير قابلة للتصيد: الانتقال إلى طرق مصادقة لا تعتمد على معلومات يمكن طلبها أو اعتراضها، وبالتالي إغلاق الباب أمام العديد من محاولات التصيد الاحتيالي.
3. تعزيز أنظمة كشف الاحتيال: استخدام التحليلات المتقدمة والتعلم الآلي لاكتشاف ومنع المعاملات غير المصرح بها، حتى لو حصل المتصيدون على شكل من أشكال بيانات المصادقة.

بينما يظل التصيد الاحتيالي تهديدًا كبيرًا للقطاع المصرفي، يمثل اعتماد طرق مصادقة غير قابلة للتصيد مثل مفاتيح المرور خطوة حاسمة إلى الأمام في تأمين الخدمات المصرفية عبر الإنترنت ضد المحتالين. من خلال إزالة الحلقة الأضعف - قابلية عوامل المصادقة للتصيد - يمكن للبنوك تعزيز أمان أصول عملائها ومعلوماتهم الشخصية بشكل كبير.

حتى يومنا هذا، لم يتخذ البنك المركزي الأوروبي والسلطات الإشرافية المصرفية المحلية (مثل BaFin) موقفًا بشأن ما إذا كان سيتم تصنيف مفاتيح المرور، ككل، على أنها مصادقة ثنائية (2FA) أو كيف يجب على البنوك استخدامها.

في القسم التالي، نهدف إلى شرح سبب اعتقادنا بأن مفاتيح المرور متوافقة مع PSD2.

في المناقشات مع أصحاب المصلحة من قطاعات الدفع والتكنولوجيا المالية (fintech) والخدمات المصرفية، يظهر سؤال متكرر: هل مفاتيح المرور متوافقة مع PSD2، وهل يمكن أن تكون الشكل الوحيد للمصادقة في السيناريوهات المصرفية؟ العلاقة بين مفاتيح المرور وتوجيه خدمات الدفع الثاني المعدل (PSD2) في الاتحاد الأوروبي دقيقة وتتطلب استكشافًا مفصلاً. للتوضيح، عادة ما يتم تصنيف مفاتيح المرور إلى نوعين: مفاتيح المرور المتزامنة (لأجهزة متعددة) ومفاتيح المرور غير المتزامنة (لجهاز واحد)، ولكل منهما خصائص مميزة فيما يتعلق بالامتثال لـ PSD2:

يعد الالتزام بالامتثال أمرًا مهمًا جدًا للكيانات الخاضعة للتنظيم مثل البنوك وشركات التأمين. ومع ذلك، يمكن أن تستغرق سياسات الامتثال وقتًا طويلاً للتغيير. في حالة مفاتيح المرور، تكمن الميزة الأمنية الرئيسية في كونها غير قابلة للتصيد، حيث لا يمكن للعملاء الكشف عن هذه المعلومات للمهاجمين عن غير قصد.

بينما تعزز مفاتيح المرور الأمان بشكل كبير من خلال كونها غير قابلة للتصيد، فإنها تنقل بعض المخاطر إلى حساب العميل السحابي، مثل Apple iCloud Keychain. هذا يجعل الحساب السحابي هدفًا أكثر جاذبية للمهاجمين. ومع ذلك، تتمتع خدمات مثل Apple iCloud بإجراءات أمنية قوية، لا سيما للميزات التي تدعم مفاتيح المرور.

أولاً، تعتمد مفاتيح مرور iCloud على تمكين المصادقة الثنائية (2FA) على الحساب، مما يضيف طبقة إضافية من الأمان. هذا يعني أنه حتى لو كان المهاجم يعرف كلمة مرور iCloud الخاصة بالعميل، فإنه سيظل بحاجة إلى الوصول إلى جهاز موثوق به أو رقم هاتف لتلقي رمز 2FA.

تستثمر Apple، وبالمثل Google لحساباتها، موارد كبيرة في تأمين هذه الخدمات السحابية. إن بروتوكولات الأمان للحسابات التي تدعم مفاتيح المرور في السحابة صارمة، مما يجعل من شبه المستحيل على المستخدمين غير المصرح لهم اختراقها. يتم الحفاظ على هذا المستوى العالي من الأمان من خلال التحديثات المستمرة والتصحيحات الأمنية (وقد أدخلوا أيضًا مفاتيح المرور لحساباتهم، انظر هذا المقال).

علاوة على ذلك، فإن سرقة الأجهزة أو الحسابات السحابية، على الرغم من كونها خطرًا محتملاً، ليست ناقل الهجوم الأكثر شيوعًا للتطبيقات المصرفية. في حالة وجود احتياجات أمنية مشددة، مثل المعاملات المشبوهة، يمكن للبنوك الاستمرار في استخدام كلمات المرور لمرة واحدة عبر الرسائل القصيرة كعامل إضافي. من خلال استبدال رقم التعريف الشخصي / كلمة المرور بمفاتيح المرور، يصبح عامل المصادقة الأول غير قابل للتصيد، مما يقلل بشكل كبير من خطر نجاح هجمات التصيد الاحتيالي. يمكن إدخال عامل ثالث للمعاملات التي يتم الإبلاغ عنها على أنها مشبوهة، مما يضمن موقفًا أمنيًا قويًا.

على عكس الآراء التقليدية (التي تتجنب المخاطر) بشأن الامتثال لـ PSD2، قررت Finom وRevolut أن حماية بيانات العملاء أكثر أهمية، وبالتالي تستخدمان مفاتيح المرور، على الرغم من عدم وجود قرار أوروبي عام حول كيفية تعامل الإشراف المصرفي مع مفاتيح المرور فيما يتعلق بالامتثال لـ PSD2. تتحدى البنوك الجديدة وشركات التكنولوجيا المالية مثل Finom وRevolut الوضع الراهن، وبذلك، تؤثر على المشهد التنظيمي فيما يتعلق بتدابير المصادقة التي يفرضها PSD2.

من خلال إعطاء الأولوية لأمن وسلامة بيانات العملاء، يتبنى رواد التكنولوجيا المالية هؤلاء مفاتيح المرور حتى في غياب توجيه تنظيمي صريح من السلطات الأوروبية. يضع هذا الموقف الاستباقي العبء على المنظمين لإعادة تقييم أطر الامتثال الخاصة بهم في ضوء التطورات التكنولوجية التي تقدم حلولًا أمنية متفوقة.

تسلط خطوة Finom وRevolut الجريئة لتنفيذ مفاتيح المرور الضوء على جانب حاسم من الامتثال التنظيمي - لا ينبغي أن يكون الأمر متعلقًا بالالتزام بالمعايير بشكل صارم، بل بتحقيق الأهداف الأساسية لتلك المعايير، والتي هي في هذه الحالة، الأمان المطلق لبيانات العملاء ومعاملاتهم. من خلال اختيار إعطاء الأولوية لحماية البيانات على الالتزام الصارم بنماذج الامتثال التقليدية، تضع هذه البنوك الجديدة معايير جديدة للصناعة.

من منظور تنظيمي، هناك حاجة ملحة للوضوح والتكيف لاستيعاب التطورات مثل مفاتيح المرور ضمن إطار الامتثال لـ PSD2. نحث الاتحاد الأوروبي على اتخاذ موقف حاسم بشأن مفاتيح المرور، معترفًا بها كشكل متفوق من المصادقة متعددة العوامل (MFA) يتماشى مع الأهداف الأساسية لـ PSD2 لتعزيز الأمان وتقليل الاحتيال في النظام البيئي للمدفوعات الرقمية.

توفر مفاتيح المرور، بحكم تصميمها، عامل مصادقة قويًا ومقاومًا للتصيد الاحتيالي يتجاوز القدرات الأمنية لمعظم طرق MFA التقليدية. هذا لا يعزز الأمان فحسب، بل يبسط أيضًا تجربة المستخدم، ويعالج جانبين حاسمين من الامتثال لـ PSD2.

يجب أن يتطور موقف الاتحاد الأوروبي ليعكس التطورات التكنولوجية التي تعيد تعريف ما يشكل مصادقة فعالة وآمنة. من خلال تبني الابتكارات مثل مفاتيح المرور ودمجها في النسيج التنظيمي، يمكن للاتحاد الأوروبي إظهار التزامه بحماية المستهلكين وتعزيز بيئة مالية رقمية تطلعية.

مع استمرار ابتكار الصناعة المالية، يقع على عاتق المنظمين توفير توجيهات واضحة وتقدمية لا تواكب التغيير التكنولوجي فحسب، بل تتوقع أيضًا التطورات المستقبلية. تقود البنوك الجديدة حاليًا هذا التوجه، ولكن في النهاية، تقع على عاتق الهيئات التنظيمية مسؤولية ضمان أن يتمكن القطاع المالي ككل من المضي قدمًا بأمان وثقة نحو مستقبل الخدمات المصرفية الرقمية.

يبرز اعتماد مفاتيح المرور في مجال الخدمات المصرفية والتكنولوجيا المالية كمثال رئيسي على الابتكار الذي يعزز بشكل كبير كلاً من الأمان وتجربة المستخدم. خلال مقالنا، أثبتنا إمكانات مفاتيح المرور كحل مصادقة تطلعي يتماشى مع المتطلبات الأمنية الصارمة لـ PSD2 مع التخفيف من التهديدات السائدة مثل التصيد الاحتيالي. لقد أرست البنوك الجديدة / شركات التكنولوجيا المالية مثل Finom وRevolut سابقة من خلال دمج مفاتيح المرور في أطرها الأمنية، مما يثبت فعاليتها ونهجها المتمحور حول العملاء.

يمكن أن تبدو خطة عمل من ثلاث خطوات للبنوك التقليدية كما يلي:

1. التواصل مع المنظمين المحليين: يجب على البنوك التقليدية التواصل بشكل استباقي مع هيئاتها التنظيمية المحلية وسلطات الإشراف المصرفي لمناقشة تنفيذ مفاتيح المرور. يجب أن يهدف هذا الحوار إلى توضيح المواقف التنظيمية وتمهيد الطريق لدمج مفاتيح المرور ضمن هيكل الامتثال الحالي. من خلال أخذ زمام المبادرة، يمكن للبنوك المساهمة في تشكيل بيئة تنظيمية تدعم طرق المصادقة المبتكرة.
2. التعلم من أفضل ممارسات البنوك الجديدة: من الضروري للبنوك التقليدية مراقبة والتعلم من البنوك الجديدة التي نفذت مفاتيح المرور بنجاح. ستوفر دراسة أفضل الممارسات هذه رؤى قيمة في الجوانب التشغيلية والتقنية وخدمة العملاء لنشر مفاتيح المرور. يمكن أن يساعد نقل المعرفة هذا البنوك التقليدية في صياغة استراتيجياتها لتبني مفاتيح المرور.
3. الانتقال الاستراتيجي إلى مفاتيح المرور: مع الوضوح التنظيمي وفهم أفضل الممارسات، يمكن للبنوك التقليدية تطوير خطة شاملة لنقل العملاء إلى المصادقة القائمة على مفاتيح المرور. يجب أن تتضمن هذه الخطة حملات لتثقيف العملاء لشرح فوائد واستخدام مفاتيح المرور، وعمليات طرح مرحلية لضمان انتقال سلس، وتقييم مستمر لمعالجة أي تحديات على الفور.

يكمن مستقبل المصادقة المصرفية في التقنيات التي تعطي الأولوية لكل من الأمان وسهولة الاستخدام. تمثل مفاتيح المرور (Passkeys) خطوة في هذا الاتجاه، حيث توفر طريقة مصادقة سهلة الاستخدام وغير قابلة للتصيد الاحتيالي تلبي المعايير التي وضعها PSD2 والأطر التنظيمية الأخرى.

بالنسبة للبنوك التقليدية، حان الوقت الآن لتبني التغيير والبدء في التحول نحو مفاتيح المرور. ومع ذلك، لا ينبغي أن يكون هذا الانتقال مفاجئًا بل خطوة مدروسة جيدًا، مع مراعاة الاحتياجات الفريدة لقاعدة عملائها، والبيئة التنظيمية المحددة، والجاهزية التكنولوجية للمؤسسة.

الهدف النهائي هو ضمان استفادة كل عميل من الأمان المعزز دون التضحية بالراحة. من خلال اعتماد مفاتيح المرور، لن تحمي البنوك عملائها بأحدث التقنيات فحسب، بل ستشير أيضًا إلى التزامها بالابتكار والتركيز على العملاء في عصر التمويل الرقمي.