Autentikasi yang Didelegasikan & Passkeys di bawah PSD3 / PSR

Lanskap pembayaran Eropa telah berubah secara signifikan oleh Payment Services Directive kedua (PSD2). Mulai berlaku secara bertahap dari tahun 2018, PSD2 mewajibkan Autentikasi Pelanggan yang Kuat (SCA) untuk sebagian besar pembayaran elektronik guna meningkatkan keamanan dan melawan penipuan. Hal ini biasanya memerlukan verifikasi identitas pengguna menggunakan setidaknya dua dari tiga faktor independen: Pengetahuan (sesuatu yang hanya diketahui pengguna, seperti kata sandi), Kepemilikan (sesuatu yang hanya dimiliki pengguna, seperti ponsel atau token perangkat keras), dan Inherensi (sesuatu yang melekat pada diri pengguna, seperti sidik jari atau pemindaian wajah).

Meskipun persyaratan SCA dari PSD2 telah terbukti mengurangi jenis penipuan tertentu, persyaratan tersebut juga menimbulkan friksi dalam proses pembayaran, terutama untuk pembayaran kartu yang melibatkan protokol 3-D Secure (3DS), yang sering kali mengalihkan pengguna ke domain bank mereka untuk autentikasi. Friksi tambahan saat checkout ini dapat menyebabkan pengabaian keranjang belanja dan pengalaman pengguna yang kurang mulus.

Menyadari tantangan ini dan evolusi pesat pasar pembayaran digital, Komisi Eropa menerbitkan proposal legislatif pada 28 Juni 2023, untuk memperbarui kerangka kerja tersebut. Paket ini terdiri dari Payment Services Directive (PSD3) dan Payment Services Regulation (PSR) yang baru.

Sering digambarkan sebagai "evolusi, bukan revolusi", reformasi ini bertujuan untuk menyempurnakan konsep yang sudah ada seperti Autentikasi Pelanggan yang Kuat (SCA) dan Open Banking, lebih memperkuat perlindungan konsumen terhadap penipuan, mendorong persaingan di antara penyedia layanan pembayaran (PSP), dan meningkatkan fungsi pasar pembayaran Uni Eropa secara keseluruhan. Salah satu area evolusi utama adalah klarifikasi dan kerangka kerja eksplisit yang disediakan untuk Autentikasi yang Didelegasikan.

Perjalanan dari proposal hingga penerapan melibatkan beberapa tahap. Setelah publikasi Juni 2023, proposal tersebut memasuki proses legislatif Uni Eropa yang melibatkan Parlemen Eropa dan Dewan Uni Eropa. Komite Urusan Ekonomi dan Moneter (ECON) Parlemen menerbitkan draf laporan dengan amendemen pada akhir 2023 dan awal 2024, diikuti oleh Parlemen yang mengadopsi posisinya pada pembacaan pertama pada April 2024. Fase berikutnya melibatkan negosiasi antara Parlemen, Dewan, dan Komisi untuk menyepakati teks akhir. Selama proses ini, para pemangku kepentingan termasuk bank, PSP, perusahaan teknologi, dan kelompok konsumen terlibat dalam konsultasi publik dan upaya lobi untuk memengaruhi hasilnya.

Meskipun perkiraan awal menyarankan finalisasi pada akhir 2024 atau awal 2025, proses legislatif dapat menjadi rumit, dan beberapa analisis sekarang menyarankan potensi penundaan, yang mungkin mendorong kesepakatan akhir lebih lambat dan tanggal penerapan hingga Kuartal 1 2027. Umumnya, aturan baru diharapkan berlaku 18 bulan setelah publikasinya di Jurnal Resmi Uni Eropa, menempatkan tanggal mulai yang paling mungkin pada pertengahan 2026 paling cepat, tetapi berpotensi lebih lambat tergantung pada linimasa finalisasi.

Perubahan struktural yang signifikan adalah pengenalan PSR di samping PSD3. PSR akan langsung berlaku di semua negara anggota Uni Eropa, memastikan implementasi yang seragam dari aturan operasional seperti persyaratan SCA dan akses Open Banking. Ini secara langsung mengatasi kelemahan PSD2, di mana sifatnya sebagai direktif menyebabkan variasi dalam transposisi dan implementasi nasional, menciptakan fragmentasi. PSD3, yang tetap menjadi direktif, akan fokus pada otorisasi, perizinan, dan pengawasan lembaga pembayaran, memungkinkan beberapa konteks nasional dalam pengawasan pasar. Struktur ganda ini mewakili pendekatan strategis: bertujuan untuk harmonisasi yang lebih cepat dan konsisten di area operasional kritis melalui regulasi, sambil mempertahankan format direktif untuk pengawasan kelembagaan di mana kekhususan nasional lebih relevan.

Mengingat kompleksitas negosiasi trilog, kebutuhan selanjutnya bagi Otoritas Perbankan Eropa (EBA) untuk mengembangkan Standar Teknis Regulasi (RTS) dan Pedoman yang terperinci, dan waktu yang dibutuhkan industri untuk mempersiapkan implementasi, periode transisi 18 bulan yang umum dikutip tampak ambisius. Bisnis harus memperhitungkan potensi penundaan dalam perencanaan mereka, melihat ke arah akhir 2026 atau bahkan awal 2027 sebagai tanggal penerapan yang masuk akal.

Salah satu klarifikasi paling menonjol dalam kerangka kerja PSD3/PSR yang diusulkan adalah izin eksplisit untuk Autentikasi yang Didelegasikan (DA).

Autentikasi yang Didelegasikan (DA) mengacu pada proses di mana Penyedia Layanan Pembayaran (PSP) Pembayar, biasanya bank yang menerbitkan instrumen pembayaran (misalnya, penerbit kartu), mengizinkan pihak ketiga untuk melakukan Autentikasi Pelanggan yang Kuat (SCA) atas namanya.

Teks asli dari proposal regulasi (Pasal 87 dari proposal PSR, penekanan ditambahkan) berbunyi:

Draf teks menyatakan bahwa penerbit (biasanya bank yang menyediakan akun pembayaran) dapat mendelegasikan tanggung jawab untuk menerapkan SCA kepada pihak ketiga tertentu. Pihak ketiga ini diperkirakan akan mencakup merchant, gateway pembayaran atau acquirer, marketplace online, atau penyedia dompet digital.

Langkah ini signifikan karena secara formal mengakui dan menyediakan jalur regulasi potensial untuk skenario di mana pihak selain lembaga pemegang akun melakukan pemeriksaan autentikasi yang disyaratkan di bawah SCA. Tujuan yang dinyatakan di balik pengaktifan DA adalah untuk mendorong inovasi dalam pengalaman autentikasi. Dengan mengizinkan delegasi, regulasi berharap dapat memberdayakan entitas yang sering kali paling dekat dengan interaksi pelanggan (seperti merchant atau dompet) untuk membangun alur autentikasi yang lebih rendah friksi dan lebih terintegrasi yang memanfaatkan teknologi terbaru, seperti biometrik atau passkeys, yang pada akhirnya meningkatkan pengalaman pengguna. Contoh awal, seperti implementasi DA Stripe yang diluncurkan sebelum draf PSD3, bertujuan untuk menangkap manfaat ini, melaporkan waktu autentikasi yang lebih cepat dan peningkatan tingkat konversi untuk penerbit yang berpartisipasi.

Namun, draf proposal memperkenalkan kondisi kritis: delegasi SCA oleh penerbit kepada pihak ketiga secara eksplisit diklasifikasikan sebagai outsourcing. Klasifikasi ini bukan sekadar semantik; ia membawa bobot regulasi yang signifikan. Ini berarti bahwa setiap pengaturan DA harus mematuhi aturan ketat yang mengatur outsourcing oleh lembaga keuangan, terutama Pedoman EBA tentang Pengaturan Outsourcing. Selanjutnya, operator dompet digital yang memverifikasi elemen SCA akan memerlukan perjanjian outsourcing formal dengan bank penerbit.

Label 'outsourcing' ini menyajikan trade-off yang kompleks. Di satu sisi, mengizinkan DA secara eksplisit menandakan keterbukaan regulasi terhadap inovasi dan potensi UX yang lebih baik. Di sisi lain, menundukkan pengaturan ini pada beban penuh regulasi outsourcing jasa keuangan memperkenalkan beban kepatuhan yang substansial. Proses ini berubah dari serah terima teknis yang berpotensi sederhana menjadi delegasi fungsi keamanan inti yang diatur. Ini memicu persyaratan ekstensif terkait uji tuntas, spesifikasi kontraktual, manajemen risiko, pemantauan berkelanjutan, hak audit, dan potensi kepatuhan terhadap Digital Operational Resilience Act (DORA). Beban signifikan yang terkait dengan persyaratan outsourcing ini berpotensi menghentikan inovasi yang seharusnya didorong oleh DA, terutama untuk merchant atau TSP yang lebih kecil yang tidak memiliki sumber daya untuk menavigasi lanskap regulasi yang kompleks ini.

Klasifikasi Autentikasi yang Didelegasikan sebagai 'outsourcing' di bawah proposal PSD3/PSR berarti bahwa pengaturan semacam itu jatuh tepat dalam lingkup Pedoman EBA tentang Pengaturan Outsourcing. Pedoman ini menetapkan kerangka kerja komprehensif yang harus dipatuhi oleh lembaga keuangan (termasuk penerbit yang mendelegasikan SCA) dan, sebagai perpanjangannya, Penyedia Layanan Teknis (TSP) yang melakukan fungsi yang didelegasikan.

Pedoman ini memberlakukan beberapa kewajiban utama:

• Uji Tuntas: Sebelum mendelegasikan SCA, penerbit harus melakukan uji tuntas yang menyeluruh terhadap Penyedia Layanan Teknis (TSP). Ini melibatkan penilaian reputasi bisnis TSP, kemampuan teknis, stabilitas keuangan, keahlian, sumber daya (manusia, TI), struktur organisasi, dan langkah-langkah keamanan untuk memastikan mereka cocok untuk melakukan fungsi kritis SCA.
• Penilaian Risiko: Analisis risiko yang komprehensif adalah wajib sebelum masuk dan selama pengaturan outsourcing. Ini harus mencakup risiko operasional, risiko hukum, risiko kepatuhan, risiko konsentrasi (terlalu bergantung pada satu TSP), dan risiko yang terkait dengan sub-outsourcing (di mana TSP lebih lanjut mendelegasikan bagian dari fungsi tersebut). Fungsi outsourcing yang dianggap 'kritis atau penting' (dengan SCA secara implisit dianggap demikian, kecuali dikecualikan secara eksplisit) memicu persyaratan yang lebih ketat.
• Persyaratan Kontraktual: Perjanjian tertulis yang terperinci sangat penting. Kontrak ini harus dengan jelas mendefinisikan ruang lingkup fungsi yang didelegasikan, peran dan tanggung jawab, perjanjian tingkat layanan, hukum yang mengatur, kewajiban keuangan, ketentuan keamanan data (mencakup aksesibilitas, ketersediaan, integritas, kerahasiaan, dan keamanan), rencana kelangsungan bisnis, dan klausul penghentian. Secara kritis, perjanjian harus memberikan lembaga yang mendelegasikan dan regulatornya hak akses dan audit tanpa batas terhadap fungsi yang di-outsource.
• Pemantauan Berkelanjutan: Penerbit tidak bisa hanya 'mendelegasikan dan melupakan'. Mereka harus terus memantau kinerja TSP terhadap metrik yang disepakati, menilai postur risikonya yang berkelanjutan, dan meninjau langkah-langkah keamanan dan kelangsungan bisnisnya. Hanya mengandalkan sertifikasi TSP tidaklah cukup.
• Strategi Keluar: Untuk fungsi kritis seperti SCA, penerbit harus memiliki rencana keluar yang terdokumentasi. Rencana ini harus menguraikan strategi untuk mengakhiri pengaturan, mentransfer fungsi ke TSP lain, atau membawa fungsi kembali secara internal tanpa mengganggu layanan atau mengorbankan keamanan atau kepatuhan.
• Risiko Konsentrasi: Baik lembaga yang mendelegasikan maupun otoritas yang kompeten harus memantau risiko konsentrasi yang timbul dari beberapa lembaga yang mengandalkan TSP yang sama, atau sejumlah kecil TSP yang dominan, terutama untuk fungsi kritis.
• Tidak Ada 'Cangkang Kosong': Pedoman secara eksplisit menyatakan bahwa outsourcing tidak boleh mengarah pada situasi di mana lembaga yang mendelegasikan menjadi 'cangkang kosong' yang tidak memiliki substansi dan kemampuan operasional untuk tetap berwenang. Tanggung jawab utama untuk kepatuhan dan manajemen risiko tetap berada pada badan manajemen lembaga yang mendelegasikan.

Menambahkan lapisan kompleksitas lain adalah Digital Operational Resilience Act (DORA), yang menetapkan aturan yang diharmonisasi di seluruh Uni Eropa untuk mengelola risiko Teknologi Informasi dan Komunikasi (TIK) di sektor keuangan. DORA berlaku mulai 17 Januari 2025.

DORA relevan dengan DA dalam beberapa cara:

• Penerapan Langsung: DORA berlaku langsung untuk entitas keuangan, termasuk bank dan PSP lain yang akan mendelegasikan SCA.
• Penyedia Pihak Ketiga TIK Kritis (CTPPs): DORA menetapkan kerangka kerja pengawasan untuk penyedia pihak ketiga TIK yang dianggap kritis bagi sistem keuangan. TSP besar yang menawarkan layanan DA dalam skala besar (misalnya, gateway pembayaran utama, penyedia dompet, berpotensi penyedia layanan cloud yang terlibat) dapat ditunjuk sebagai CTPP, membawa mereka di bawah pengawasan langsung oleh otoritas Uni Eropa.
• Integrasi dengan PSD3/PSR: Proposal PSD3/PSR secara eksplisit merujuk DORA, menunjukkan bahwa pengaturan outsourcing, termasuk DA, harus mematuhi persyaratannya. Ini berarti TSP yang melakukan DA perlu memenuhi standar DORA untuk manajemen risiko TIK, pelaporan insiden, pengujian ketahanan, dan manajemen risiko pihak ketiga, yang semakin meningkatkan beban kepatuhan.

Interaksi antara Pedoman Outsourcing EBA dan DORA menciptakan jaring kewajiban kepatuhan yang padat bagi setiap TSP yang merambah ke DA. Berhasil menawarkan layanan ini akan membutuhkan tidak hanya kehebatan teknis tetapi juga investasi signifikan dalam struktur tata kelola, kerangka kerja manajemen risiko, dokumentasi yang kuat, kesiapan audit, dan ketahanan operasional yang dapat dibuktikan. Lingkungan yang kompleks ini mungkin secara tidak sengaja menguntungkan TSP yang lebih besar dan mapan dengan sumber daya dan keahlian untuk menavigasi persyaratan yang menuntut ini.

Konsekuensi penting dari DA di bawah kerangka kerja yang diusulkan adalah pergeseran liabilitas untuk transaksi penipuan di mana SCA gagal.

• Draf proposal menunjukkan bahwa pihak ketiga yang melakukan SCA yang didelegasikan (misalnya, merchant, gateway, dompet) menjadi bertanggung jawab atas kerugian finansial yang diakibatkan oleh penipuan jika mereka gagal menerapkan SCA dengan benar. Ini adalah perubahan mendasar dari pergeseran liabilitas tipikal di bawah 3DS, di mana liabilitas sering kali beralih ke penerbit jika SCA berhasil diterapkan.
• Selanjutnya, draf PSR memperkenalkan potensi liabilitas untuk penyedia layanan teknis dan operator skema pembayaran jika kegagalan SCA disebabkan oleh sistem atau infrastruktur mereka. Poin spesifik ini menghadapi penentangan kuat, terutama dari Mastercard, yang berpendapat bahwa ini didasarkan pada kesalahpahaman tentang tanggung jawab implementasi SCA.
• Penerbit, meskipun berpotensi mendelegasikan proses SCA, tidak sepenuhnya dibebaskan. Mereka tetap bertanggung jawab atas jenis penipuan tertentu, seperti 'spoofing' di mana penipu meniru bank. Parlemen Eropa bahkan telah mengusulkan perluasan hak pengembalian dana ini dalam kasus penipuan APP.

Liabilitas langsung yang ditempatkan pada TSP untuk kegagalan SCA di bawah DA ini merupakan risiko finansial yang signifikan. Meskipun janji pengalaman pengguna yang lebih baik dan tingkat konversi menarik, potensi biaya penipuan dapat bertindak sebagai pencegah yang cukup besar bagi banyak TSP yang mempertimbangkan untuk menawarkan layanan DA. Strategi mitigasi risiko yang kuat, berpotensi termasuk biaya layanan yang lebih tinggi atau asuransi khusus, mungkin menjadi prasyarat yang diperlukan untuk adopsi DA yang luas oleh merchant dan gateway.

Autentikasi yang Didelegasikan memiliki potensi untuk secara fundamental membentuk kembali pengalaman pengguna untuk pembayaran kartu, terutama dibandingkan dengan proses 3-D Secure (3DS) tradisional.

Saat ini, proses 3DS untuk tantangan SCA biasanya melibatkan serah terima di mana pelanggan berinteraksi dengan elemen yang dikendalikan penerbit. Secara tradisional, ini berarti pengalihan browser penuh jauh dari situs web atau aplikasi merchant ke domain penerbit (misalnya, aplikasi perbankan mereka atau halaman autentikasi tertentu). Semakin banyak, versi 3DS yang lebih baru menyajikan tantangan ini secara inline melalui iframe yang disematkan di halaman merchant. Meskipun iframe menghindari kepergian halaman penuh, kedua metode pengalihan fokus pengguna ke langkah yang dikendalikan penerbit dapat mengganggu, menambah waktu pada proses checkout, dan berkontribusi pada penurunan pelanggan.

DA menawarkan jalur untuk menghilangkan friksi perubahan proses ini. Dengan mengizinkan merchant, gateway pembayaran, atau dompet digital untuk melakukan SCA langsung di dalam lingkungan mereka sendiri, langkah autentikasi dapat diintegrasikan dengan mulus ke dalam alur checkout. Ini menjanjikan pengalaman yang lebih lancar, lebih cepat, dan lebih kohesif bagi pelanggan. Ketika dikombinasikan dengan metode autentikasi modern yang rendah friksi seperti biometrik yang terintegrasi dengan perangkat (Face ID, pemindaian sidik jari) atau passkeys, DA dapat secara signifikan mengurangi friksi checkout, berpotensi mengarah pada tingkat pengabaian keranjang yang lebih rendah dan tingkat konversi pembayaran yang lebih tinggi. Data dunia nyata, seperti peningkatan konversi 7% yang dilaporkan Stripe dan autentikasi empat kali lebih cepat untuk transaksi yang menggunakan solusi DA mereka dengan pemegang kartu Wise, menggarisbawahi potensi manfaat ini.

Mewujudkan potensi ini membutuhkan landasan teknis dan komersial yang signifikan. Ini melibatkan pembentukan titik integrasi baru dan protokol komunikasi antara merchant/gateway/dompet dan penerbit. Skema pembayaran seperti Visa dan Mastercard memainkan peran penting di sini. Mastercard, misalnya, telah mengembangkan Identity Check Express yang memungkinkan merchant dan Mastercard untuk mengautentikasi konsumen atas nama penerbit di dalam alur merchant. Demikian pula, Stripe telah membangun kemampuan DA-nya berdasarkan perjanjian bilateral dengan penerbit tertentu seperti Wise.

Perkembangan ini menunjukkan bahwa DA lebih dari sekadar pembaruan peraturan. Ini bertindak sebagai bantuan untuk merekayasa ulang alur autentikasi pembayaran. Memindahkan titik autentikasi dari domain penerbit kembali ke lingkungan merchant atau dompet menciptakan peluang untuk keputusan autentikasi yang lebih kaya, lebih sadar konteks, dan pengalaman pengguna yang kurang mengganggu daripada model pengalihan tradisional. Pergeseran arsitektur ini mengharuskan integrasi metode autentikasi modern seperti passkeys langsung ke dalam proses checkout. Namun, transisi ini bergantung pada pembentukan langkah-langkah keamanan yang kuat, alokasi liabilitas yang jelas (seperti yang dibahas sebelumnya), dan kerangka kerja tepercaya, yang kemungkinan diatur oleh kombinasi aturan skema, perjanjian bilateral, dan kepatuhan terhadap peraturan outsourcing dan DORA yang ketat.

Sementara draf proposal PSD3/PSR menetapkan landasan legislatif, bentuk akhir dari Autentikasi yang Didelegasikan akan secara signifikan dipengaruhi oleh dialog dan lobi yang sedang berlangsung dari para pemain industri utama. Bank, PSP, penyedia teknologi, dan merchant secara aktif menafsirkan draf ini dan mengadvokasi perubahan yang selaras dengan model bisnis dan tujuan strategis mereka. Banyak upaya lobi Uni Eropa dapat diakses melalui German Lobby Register (catatan: register ini sebagian besar dalam bahasa Jerman, dan banyak dokumen yang diserahkan juga dikirim ke badan Uni Eropa lainnya). Analisis berikut diambil dari ringkasan dan dokumen yang tersedia dari pengajuan publik ini.

Sebagai penyedia infrastruktur pembayaran utama, Stripe melihat peluang signifikan dalam DA. Mereka melihatnya sebagai alat penting untuk meningkatkan tingkat konversi pembayaran dan meningkatkan pengalaman checkout pelanggan dengan mengurangi friksi. Stripe telah secara proaktif meluncurkan solusi DA-nya sendiri, berdasarkan perjanjian bilateral dengan penerbit seperti Wise, menunjukkan komitmennya pada model ini bahkan sebelum PSD3/PSR diselesaikan. Upaya lobi mereka tampaknya terfokus pada memastikan lingkungan peraturan mendukung inovasi dan meminimalkan beban. Area utama termasuk mengadvokasi proses re-otorisasi yang disederhanakan untuk entitas berlisensi yang ada di bawah PSD3, mencari kejelasan dan fleksibilitas yang lebih besar mengenai pengecualian SCA (seperti ambang batas Analisis Risiko Transaksi (TRA) dan Transaksi yang Diinisiasi Merchant (MIT)), memastikan platform yang menggunakan solusi seperti Stripe Connect tidak dibebani secara tidak perlu dengan persyaratan lisensi agen, dan mendorong akses langsung ke sistem pembayaran untuk PSP non-bank.

PayPal, sebuah lembaga uang elektronik dan penyedia dompet utama, adalah pendukung vokal dari pendekatan berbasis hasil untuk SCA. Mereka berpendapat bahwa peraturan harus memprioritaskan efektivitas keamanan yang dapat dibuktikan dari suatu metode autentikasi – terutama ketahanannya terhadap ancaman modern seperti phishing – daripada secara ketat mematuhi kategori faktor Pengetahuan/Kepemilikan/Inherensi tradisional yang didefinisikan dalam PSD2. Mereka menyoroti keberhasilan implementasi passkey mereka, yang secara signifikan mengurangi penipuan sambil meningkatkan keberhasilan login. Akibatnya, PayPal mendesak para pembuat kebijakan yang merancang PSR untuk fokus pada kekuatan keseluruhan solusi autentikasi, mengizinkan kombinasi faktor-faktor kuat bahkan jika dari kategori yang sama (misalnya, dua faktor kepemilikan), menyeimbangkan keamanan dengan kegunaan, dan menghindari mandat teknologi yang terlalu preskriptif.

Mastercard sangat menentang klasifikasi luas draf tersebut tentang semua DA sebagai outsourcing. Mereka berpendapat, bersama dengan kelompok industri lainnya, bahwa hanya model autentikasi di mana penerbit tidak memiliki kendali atas proses SCA yang harus tunduk pada keketatan penuh persyaratan outsourcing. Posisi lobi mereka mencerminkan hal ini: mereka mencari klarifikasi bahwa DA bukanlah outsourcing 'kritis', mengadvokasi perjanjian outsourcing yang dapat diskalakan atau multilateral untuk memfasilitasi adopsi DA, dan ingin liabilitas yang diusulkan untuk skema dan TSP terkait kegagalan SCA dihapus seluruhnya. Selain itu, Mastercard mendorong agar merchant diwajibkan untuk mengirim informasi tambahan, seperti data perilaku dan lingkungan ke penerbit untuk meningkatkan penilaian risiko, dan meminta izin eksplisit bagi TSP untuk memproses data biometrik tanpa persetujuan pengguna eksplisit khusus untuk tujuan SCA, dan menyarankan penyesuaian pengecualian SCA untuk kasus penggunaan berisiko rendah tertentu.

Asosiasi perdagangan dan badan industri sebagian besar menggemakan kekhawatiran yang diangkat oleh para pemain utama. Payments Europe, misalnya, mencerminkan sikap Mastercard tentang definisi outsourcing, menekankan bahwa hanya skenario di mana penerbit kehilangan kendali yang harus memicu aturan outsourcing. Bitkom, yang mewakili industri digital, juga menyerukan kejelasan pada poin ini dan mengadvokasi regulasi eksplisit biometrik perilaku untuk SCA. Kelompok-kelompok ini secara konsisten menekankan perlunya netralitas teknologi dan fleksibilitas dalam kerangka kerja SCA untuk mendorong inovasi dan menghindari eksklusi digital). CCIA Europe mengangkat kekhawatiran praktis tentang implementabilitas hak luas penerbit untuk mengaudit dan mengontrol ketentuan keamanan TSP di bawah pengaturan DA.

Tabel: Posisi Industri Kunci tentang Autentikasi yang Didelegasikan & SCA di bawah PSD3/PSR

Penolakan yang kuat dan terkoordinasi terhadap pendekatan draf saat ini menggarisbawahi ketegangan fundamental. Industri menginginkan manfaat pengalaman pengguna dan inovasi yang berpotensi ditawarkan oleh DA tetapi berusaha menghindari beban kepatuhan yang signifikan yang terkait dengan outsourcing yang diatur di bawah Pedoman EBA. Alternatif yang mereka usulkan – mendefinisikan outsourcing berdasarkan apakah penerbit mempertahankan kendali – bertujuan untuk menciptakan ruang bagi DA yang kurang intensif secara regulasi. Resolusi dari debat ini selama diskusi legislatif akan sangat penting dalam menentukan kelayakan praktis dan daya tarik DA bagi banyak TSP.

Meskipun ada ketidakpastian peraturan ini, para pemain terkemuka seperti Stripe dan Mastercard tidak menunggu. Mereka secara aktif mengembangkan dan menerapkan solusi DA sekarang, memanfaatkan kerangka kerja yang ada seperti perjanjian bilateral dan aturan skema, sering kali menggabungkan teknologi canggih seperti biometrik dan standar FIDO. Strategi proaktif ini memungkinkan mereka untuk merebut pangsa pasar awal, menunjukkan kelayakan teknis DA, berpotensi membentuk standar yang muncul, dan mempersiapkan klien mereka untuk lanskap masa depan. Pendekatan ini tidak semata-mata didorong oleh peningkatan pengalaman konsumen; ini juga berfungsi untuk mengikat pelanggan lebih erat ke penyedia pembayaran daripada ke penerbit, sambil menavigasi risiko inheren dari lingkungan peraturan yang berkembang dan pergeseran liabilitas terkait. Saat industri mengeksplorasi model DA baru ini, peran teknologi autentikasi canggih seperti passkeys menjadi semakin sentral untuk mencapai tujuan keamanan dan pengalaman pengguna.

Passkeys, berdasarkan standar WebAuthn dari FIDO Alliance, mewakili kemajuan penting dalam teknologi autentikasi, dan bagian ini akan membahas bagaimana mereka dapat membantu menjembatani kesenjangan untuk Autentikasi Pelanggan yang Kuat (SCA) dalam konteks Autentikasi yang Didelegasikan (DA).

Kekuatan inti Passkeys adalah menggunakan kriptografi kunci publik untuk membuat kredensial unik untuk setiap situs web atau aplikasi. Mekanisme ini membuatnya secara inheren tahan terhadap serangan phishing, karena kredensial hanya berfungsi di situs sah tempat ia dibuat, dan mengandalkan pembukaan kunci perangkat yang aman (sering kali melalui biometrik) daripada rahasia bersama seperti kata sandi. Kombinasi ini menawarkan potensi untuk keamanan yang ditingkatkan dan pengalaman pengguna yang lebih lancar.

Dari sudut pandang teknis, passkeys tampak ideal untuk skenario Autentikasi yang Didelegasikan. Dalam alur DA, merchant atau gateway yang melakukan SCA dapat meminta pengguna untuk mengautentikasi menggunakan passkey yang disimpan di perangkat mereka (ponsel, komputer). Autentikasi ini terjadi langsung di dalam lingkungan merchant atau TSP, memanfaatkan kemampuan biometrik bawaan perangkat (seperti Face ID atau pemindaian sidik jari) untuk verifikasi, sehingga menghilangkan kebutuhan akan pengalihan atau kode sandi sekali pakai (OTP) yang merepotkan. Ini sangat selaras dengan tujuan DA untuk menciptakan checkout yang lebih mulus dan aman. Tetapi mari kita lihat bagaimana Penerbit dapat mengontrol dan memverifikasi autentikasi pihak ketiga dengan passkeys.

Namun, mengintegrasikan passkeys ke dalam dunia SCA yang diatur, terutama di bawah DA, menghadapi tantangan. Kategorisasi tiga faktor (Pengetahuan, Kepemilikan, Inherensi) yang kaku dari PSD2 menciptakan ambiguitas tentang bagaimana passkeys cocok, terutama mengenai elemen 'Kepemilikan' dan independensi faktor ketika biometrik membuka kunci perangkat yang memegang passkey. Munculnya passkeys yang disinkronkan (yang dapat tersedia di beberapa perangkat) semakin memperumit klasifikasi ini.

Meskipun PSD3/PSR memperkenalkan beberapa fleksibilitas dengan mengklarifikasi bahwa faktor autentikasi hanya perlu independen (kompromi satu tidak memengaruhi yang lain) daripada harus termasuk dalam kategori yang berbeda, seperti yang dinyatakan secara eksplisit dalam regulasi yang diusulkan:

Ini tidak sepenuhnya menyelesaikan ambiguitas klasifikasi atau memberikan dukungan eksplisit untuk passkeys yang disinkronkan sebagai yang sesuai dengan SCA. Ketidakpastian peraturan ini memperkuat argumen yang dibuat oleh para pemain seperti PayPal, yang mengadvokasi pendekatan berbasis hasil untuk SCA, fokus pada hasil keamanan yang terbukti (seperti ketahanan phishing) yang diberikan oleh metode seperti passkeys, daripada memaksanya ke dalam kotak kategoris yang berpotensi usang. (Untuk penyelaman lebih dalam tentang SCA berbasis hasil dan passkeys, lihat analisis SCA berbasis hasil kami)

Mengingat adopsi luas passkeys yang disinkronkan oleh pengguna dan merchant, dan keterbatasan SPC, kerangka kerja PSD3/PSR harus bertujuan untuk menciptakan jalur yang jelas untuk memanfaatkan hubungan passkey yang ada ini dalam Autentikasi yang Didelegasikan. Pendekatan ini akan fokus pada keamanan praktis berbasis hasil daripada dibatasi oleh implementasi teknis spesifik yang awalnya disusun sebelum pematangan passkeys yang disinkronkan. Untuk mencapai ini, beberapa perkembangan kunci diperlukan, dengan fokus pada penyesuaian peraturan, mekanisme kepercayaan operasional, dan standar industri yang berkembang. Model DA yang tahan masa depan yang memanfaatkan passkeys yang disinkronkan dapat melibatkan beberapa perkembangan kunci yang akan kita bahas sekarang.

Pengarusutamaan yang efektif dari passkeys yang disinkronkan dalam DA dimulai dengan Pemberdayaan Regulasi dan Mandat yang jelas di bawah PSD3/PSR. Ini melibatkan pertimbangan kunci berikut:

• Dukungan Eksplisit untuk Passkeys yang Disinkronkan untuk DA: PSD3/PSR harus secara eksplisit mengklarifikasi bahwa passkeys yang disinkronkan, ketika digunakan dengan tepat, dapat memenuhi persyaratan SCA dalam konteks DA. Fokusnya harus pada tautan kriptografis yang dapat diverifikasi, ketahanan phishing yang dicapai, dan independensi proses autentikasi, daripada kepatuhan yang kaku pada kategorisasi faktor SCA pra-passkey.
• Data Autentikasi Kaya yang Diwajibkan: Sejalan dengan permintaan industri (seperti dari Mastercard), regulasi harus mewajibkan TSP yang melakukan DA untuk menyertakan data autentikasi yang komprehensif dan terstandarisasi (misalnya, detail autentikasi passkey, elemen assertion FIDO yang relevan, dan sinyal risiko kontekstual) dalam informasi transaksi pembayaran yang dikirim ke jaringan pembayaran dan penerbit. Ini dibangun di atas mekanisme yang ada seperti bidang threeDSRequestorAuthenticationInfo yang digunakan di EMV 3DS untuk data FIDO merchant 1.

Di luar kejelasan peraturan, Mengoperasionalkan Kepercayaan dengan Passkeys yang Dipegang Merchant sangat penting untuk adopsi yang luas. Ini membutuhkan sistem dan proses yang kuat untuk:

• Verifikasi Penerbit atas DA yang Diinisiasi Merchant: Penerbit akan membutuhkan sistem yang kuat untuk menerima dan secara kriptografis memverifikasi assertion autentikasi yang dihasilkan dari passkeys. Yang terpenting, dalam banyak skenario DA, passkey yang digunakan bisa jadi salah satu yang telah dibuat pengguna dengan merchant untuk mengakses layanan merchant itu sendiri.
• Tantangan Dinamis & Kontrol Penerbit: Untuk mempertahankan kontrol penerbit dan memastikan penautan dinamis, transaksi DA dapat bekerja sebagai berikut:
  • Penerbit (atau jaringan pembayaran atas namanya) memberikan tantangan unik yang spesifik untuk transaksi kepada TSP (merchant/gateway).
  • TSP meminta pengguna untuk mengotorisasi transaksi dengan menandatangani tantangan ini (ditambah data transaksi kritis) menggunakan passkey yang disinkronkan yang ada yang terdaftar di merchant.
  • Assertion yang ditandatangani dikembalikan ke penerbit untuk verifikasi.
• Peralihan DA Bersyarat: Autentikasi awal yang lebih kuat langsung dengan penerbit (mungkin menggunakan passkey yang terdaftar di penerbit atau alur tantangan 3DS yang kuat) dapat membangun hubungan tepercaya untuk passkey merchant tertentu. Transaksi DA berikutnya menggunakan passkey merchant yang sama yang telah diverifikasi kemudian dapat dilanjutkan dengan model tantangan dinamis yang dijelaskan di atas, menawarkan pengalaman pengguna yang lebih lancar selama passkey tetap valid dan parameter risiko terpenuhi.

Akhirnya, keberhasilan jangka panjang DA berbasis passkey akan bergantung pada Standar yang Berkembang dan pergeseran yang kuat menuju Perspektif SCA Berbasis Hasil. Ini memerlukan:

• Peran Badan Industri: Organisasi seperti FIDO Alliance (termasuk kelompok kerja yang berfokus pada pembayaran) dan EMVCo sangat penting dalam mengembangkan dan menstandarisasi protokol dan sinyal kepercayaan yang diperlukan untuk mendukung model DA semacam itu secara aman dan dapat diskalakan. Ini termasuk mendefinisikan bagaimana assertion autentikasi dari passkeys yang dipegang merchant dapat disajikan dan diverifikasi secara andal oleh penerbit dalam konteks DA.
• Melampaui Definisi SCA yang Kaku: Tujuan utamanya adalah beralih ke pendekatan berbasis hasil untuk SCA. Jika metode DA yang menggunakan passkeys yang disinkronkan (bahkan yang dibuat dengan merchant) dapat secara nyata memberikan autentikasi multi-faktor yang tahan phishing yang tertaut secara dinamis ke transaksi, itu harus dianggap patuh. Ini memprioritaskan hasil keamanan aktual daripada kepatuhan terhadap interpretasi tradisional yang terkadang usang dari elemen SCA, sehingga mendorong inovasi dan memanfaatkan teknologi yang sudah akrab bagi pengguna.

Evolusi ini akan memungkinkan ekosistem pembayaran untuk memanfaatkan investasi dan adopsi passkeys yang disinkronkan yang sudah signifikan oleh pengguna dan merchant, menciptakan jalur untuk Autentikasi yang Didelegasikan yang lebih aman, mulus, dan dapat diakses secara luas.

Diagram urutan di atas mengilustrasikan potensi masa depan untuk Autentikasi yang Didelegasikan (DA) yang memanfaatkan passkeys dalam ekosistem pembayaran. Ini menggambarkan alur yang disederhanakan di mana merchant, menggunakan passkeys, dapat melakukan Autentikasi Pelanggan yang Kuat (SCA) atas nama penerbit. Visi ini sejalan dengan arah PSD3/PSR dan meningkatnya adopsi teknologi passkey.

Pemeriksaan Realitas: Namun, masa depan yang dibayangkan ini belum menjadi standar saat ini. Beberapa tantangan praktis harus diatasi untuk adopsi yang luas. Kerangka kerja peraturan, terutama di bawah PSD3/PSR yang akan datang, perlu sepenuhnya mengklarifikasi bagaimana passkeys yang disinkronkan cocok dengan Autentikasi Pelanggan yang Kuat dan bagaimana liabilitas akan dikelola dalam skenario Autentikasi yang Didelegasikan. Standar teknis yang penting, termasuk yang untuk penerbit memverifikasi passkeys yang dipegang merchant dan untuk memastikan penautan transaksi dinamis yang konsisten di semua platform, masih dalam tahap pematangan. Membangun kepercayaan penerbit yang luas dalam proses autentikasi yang dipimpin merchant juga merupakan langkah penting. Selain itu, memastikan pengalaman pengguna yang mulus, mengelola potensi beberapa passkeys per pengguna, dan mencapai dukungan browser/platform universal untuk semua fungsionalitas spesifik pembayaran yang diperlukan tetap menjadi upaya yang berkelanjutan. Akhirnya, mengatasi persepsi keamanan yang masih ada di sekitar ekosistem passkey yang disinkronkan dan keandalan attestation akan penting untuk membangun kepercayaan penuh.

Meskipun ada rintangan ini – banyak di antaranya spesifik untuk legislasi SCA Eropa yang, penting untuk diingat, hanya berlaku untuk Eropa – teknologi yang mendasari sistem semacam itu sebagian besar sudah ada. Hal ini dibuktikan dengan kenyataan saat ini: adopsi passkey yang luas oleh pemain besar di luar Uni Eropa, seperti PayPal, dan penggunaan ekstensif oleh banyak bank AS (termasuk yang menggunakan Banno oleh Jack Henry dan banyak lainnya). Alur yang digambarkan oleh karena itu secara teknis layak dan akan memanfaatkan momentum kuat yang ada ini dari adopsi passkey oleh pengguna dan merchant, daripada bekerja melawannya. Pendekatan ini dapat membuka jalan bagi pengalaman pembayaran yang lebih aman dan mulus secara global.

PSD3 dan PSR yang diusulkan mewakili evolusi signifikan dalam kerangka kerja peraturan pembayaran Uni Eropa, bertujuan untuk membangun fondasi PSD2 sambil mengatasi keterbatasannya dan beradaptasi dengan pasar yang terdigitalisasi dengan cepat.

Perkembangan utama adalah pengaktifan eksplisit Autentikasi yang Didelegasikan (DA), yang memungkinkan pihak ketiga seperti merchant dan dompet untuk melakukan Autentikasi Pelanggan yang Kuat (SCA) atas nama bank penerbit. Namun, pengaktifan ini datang dengan peringatan penting di dalam Uni Eropa: klasifikasi DA sebagai 'outsourcing'. Ini memicu jaring kewajiban kepatuhan yang kompleks di bawah Pedoman EBA tentang Pengaturan Outsourcing dan Digital Operational Resilience Act (DORA). Selanjutnya, proposal tersebut mengalihkan liabilitas untuk SCA yang gagal langsung ke entitas yang melakukan autentikasi yang didelegasikan.

Ini menciptakan ketegangan fundamental, terutama dalam konteks Eropa. Di satu sisi, ada dorongan peraturan untuk keamanan, kontrol, dan ketahanan yang ditingkatkan, yang diwujudkan melalui persyaratan outsourcing dan ketahanan operasional yang ketat. Di sisi lain, ada keinginan kuat industri untuk inovasi, fleksibilitas, dan pengalaman pengguna yang lebih baik, yang dijanjikan oleh DA, terutama ketika dikombinasikan dengan metode modern seperti passkeys. Upaya lobi yang intens seputar definisi 'outsourcing' untuk tujuan DA menyoroti konflik ini. Perlu dicatat bahwa meskipun hambatan peraturan spesifik ini menonjol di Uni Eropa, teknologi passkey yang mendasarinya melihat adopsi global yang kuat dan implementasi yang sukses di pasar lain dengan lanskap peraturan yang berbeda.

Tingkat adopsi dan dampak masa depan dari Autentikasi yang Didelegasikan, terutama di Uni Eropa, sangat bergantung pada detail akhir dari proses legislatif – terutama mengenai ruang lingkup aturan outsourcing, alokasi liabilitas, dan yang terpenting, pengakuan eksplisit passkeys yang disinkronkan sebagai mekanisme yang sesuai dengan SCA dalam DA. Kemampuan industri untuk membangun kerangka kerja kepercayaan yang praktis dan dapat diskalakan antara penerbit dan TSP yang melakukan autentikasi juga akan menjadi yang terpenting.

Passkeys, terutama passkeys yang disinkronkan, secara intrinsik selaras dengan tujuan DA, menawarkan ketahanan phishing yang kuat dan potensi untuk pengalaman pengguna berbasis biometrik yang mulus. Mereka mewakili alternatif yang menarik untuk kata sandi tradisional dan OTP. Tantangannya tidak terletak pada kelayakan teknis menggunakan passkeys untuk DA – seperti yang dibuktikan oleh adopsi global mereka yang sukses untuk berbagai tujuan autentikasi – tetapi dalam menavigasi persyaratan peraturan spesifik Uni Eropa dan menetapkan kriteria berbasis hasil yang jelas untuk penerimaan mereka di bawah SCA. Pendekatan yang memprioritaskan hasil keamanan yang dapat dibuktikan dari autentikasi passkey (misalnya, verifikasi kriptografis, ketahanan phishing, penautan dinamis) daripada kepatuhan yang kaku pada kategorisasi faktor tradisional akan sangat penting untuk membuka potensi penuh mereka dalam DA.

Bagi bisnis yang beroperasi di ekosistem pembayaran Eropa, tahun-tahun mendatang memerlukan pemantauan yang cermat terhadap finalisasi PSD3, PSR, dan standar teknis EBA terkait. Organisasi harus secara proaktif menilai bagaimana Autentikasi yang Didelegasikan, yang didukung oleh ekosistem passkey yang matang, dapat membentuk kembali strategi pembayaran dan autentikasi mereka. Ini tidak hanya melibatkan evaluasi potensi teknologi seperti passkeys yang disinkronkan tetapi juga mempersiapkan pergeseran operasional dan kepatuhan yang diperlukan untuk membangun kepercayaan yang dapat diverifikasi dengan mitra dalam pengaturan DA.

Bagi penyedia solusi autentikasi, peluangnya terletak pada pengembangan penawaran yang aman, ramah pengguna, dan dirancang untuk membantu pelanggan (TSP) memenuhi persyaratan kepatuhan yang menuntut dari DA dalam lanskap PSD3/PSR. Ini termasuk memfasilitasi pertukaran data autentikasi yang aman dan mendukung mekanisme yang memungkinkan penerbit untuk dengan percaya diri memverifikasi transaksi DA yang dilakukan dengan passkeys yang dipegang merchant, yang pada akhirnya mendorong pengalaman pembayaran yang aman dan mulus yang ingin dicapai oleh PSD3/PSR dengan memanfaatkan momentum global teknologi passkey.