Делегированная аутентификация и Passkeys в рамках PSD3 / PSR

Европейский ландшафт платежей значительно изменился с появлением второй Директивы о платежных услугах (PSD2). Вступившая в силу поэтапно с 2018 года, PSD2 ввела обязательную строгую аутентификацию клиентов (SCA) для большинства электронных платежей с целью повышения безопасности и борьбы с мошенничеством. Обычно это требует проверки личности пользователя с использованием как минимум двух из трех независимых факторов: Знание (то, что знает только пользователь, например, пароль), Владение (то, чем владеет только пользователь, например, телефон или аппаратный токен) и Неотъемлемость (то, чем является пользователь, например, отпечаток пальца или скан лица).

Хотя требования PSD2 к SCA доказали свою эффективность в снижении определенных видов мошенничества, они также создали неудобства в процессе оплаты, особенно для карточных платежей с использованием протоколов 3-D Secure (3DS), которые часто перенаправляют пользователей на домен их банка для аутентификации. Это дополнительное трение при оформлении заказа может приводить к отказу от корзины и менее удобному пользовательскому опыту.

Признавая эти проблемы и быстрое развитие рынка цифровых платежей, Европейская комиссия 28 июня 2023 года опубликовала законодательные предложения по обновлению нормативной базы. Этот пакет состоит из новой Директивы о платежных услугах (PSD3) и Регламента о платежных услугах (PSR).

Эту реформу часто называют «эволюцией, а не революцией». Она направлена на усовершенствование существующих концепций, таких как строгая аутентификация клиентов (SCA) и Open Banking, дальнейшее усиление защиты потребителей от мошенничества, содействие конкуренции среди поставщиков платежных услуг (PSP) и улучшение общего функционирования рынка платежей в ЕС. Одной из ключевых областей эволюции является явное разъяснение и создание рамок для делегированной аутентификации.

Путь от предложения до применения включает несколько этапов. После публикации в июне 2023 года предложения поступили в законодательный процесс ЕС с участием Европейского парламента и Совета ЕС. Комитет по экономическим и валютным вопросам (ECON) Парламента опубликовал проекты отчетов с поправками в конце 2023 и начале 2024 года, после чего в апреле 2024 года Парламент принял свою позицию в первом чтении. Следующий этап включает переговоры между Парламентом, Советом и Комиссией для согласования окончательных текстов. На протяжении всего этого процесса заинтересованные стороны, включая банки, PSP, технологические компании и группы потребителей, участвуют в общественных консультациях и лоббистских усилиях, чтобы повлиять на результат.

Хотя первоначальные оценки предполагали завершение к концу 2024 или началу 2025 года, законодательный процесс может быть сложным, и некоторые анализы теперь предполагают возможные задержки, которые могут сдвинуть окончательное соглашение на более поздний срок, а дату применения — на первый квартал 2027 года. Как правило, ожидается, что новые правила начнут применяться через 18 месяцев после их публикации в Официальном журнале ЕС, что делает вероятной датой начала середина 2026 года как минимум, но, возможно, и позже, в зависимости от сроков завершения процесса.

Значительным структурным изменением является введение PSR наряду с PSD3. PSR будет напрямую применяться во всех странах-членах ЕС, обеспечивая единообразное внедрение операционных правил, таких как требования SCA и доступ к Open Banking. Это напрямую устраняет слабость PSD2, которая, будучи директивой, приводила к различиям в национальном переносе и внедрении, создавая фрагментацию. PSD3, оставаясь директивой, будет сосредоточена на авторизации, лицензировании и надзоре за платежными учреждениями, допуская некоторый национальный контекст в надзоре за рынком. Эта двойная структура представляет собой стратегический подход: стремление к более быстрой и последовательной гармонизации в критически важных операционных областях через регламент, при сохранении формата директивы для институционального надзора, где национальные особенности более актуальны.

Учитывая сложности трехсторонних переговоров, последующую необходимость разработки Европейским банковским управлением (EBA) подробных регуляторных технических стандартов (RTS) и руководств, а также время, необходимое отрасли для подготовки к внедрению, общепринятый 18-месячный переходный период кажется амбициозным. Компаниям следует учитывать возможные задержки при планировании, ориентируясь на конец 2026 или даже начало 2027 года как на вероятные даты применения.

Одним из наиболее заметных уточнений в предлагаемой нормативной базе PSD3/PSR является явное разрешение делегированной аутентификации (DA).

Делегированная аутентификация (DA) — это процесс, при котором поставщик платежных услуг (PSP) плательщика, обычно банк, выпускающий платежный инструмент (например, эмитент карты), позволяет третьей стороне выполнять строгую аутентификацию клиентов (SCA) от его имени.

Оригинальный текст из предлагаемого регламента (статья 87 предложения PSR, выделение добавлено) гласит:

В проектах текстов говорится, что эмитенты (обычно банки, предоставляющие платежный счет) могут делегировать ответственность за применение SCA определенным третьим сторонам. Предполагается, что к этим третьим сторонам будут относиться продавцы, платежные шлюзы или эквайеры, онлайн-маркетплейсы или провайдеры цифровых кошельков.

Этот шаг важен, поскольку он формально признает и предоставляет потенциальный регуляторный путь для сценариев, когда кто-то, кроме учреждения, ведущего счет, выполняет проверку аутентификации, требуемую в рамках SCA. Заявленная цель разрешения DA — стимулирование инноваций в области аутентификации. Разрешая делегирование, регламент надеется дать возможность тем организациям, которые часто находятся ближе всего к взаимодействию с клиентом (например, продавцам или кошелькам), создавать менее обременительные, более интегрированные потоки аутентификации, использующие новейшие технологии, такие как биометрия или Passkeys, что в конечном итоге улучшит пользовательский опыт. Ранние примеры, такие как реализация DA от Stripe, запущенная до проекта PSD3, были нацелены на получение этих преимуществ, сообщая о более быстром времени аутентификации и увеличении коэффициента конверсии для участвующих эмитентов.

Однако проекты предложений вводят критическое условие: делегирование SCA эмитентом третьей стороне явно классифицируется как аутсорсинг. Эта классификация не просто семантическая; она несет значительный регуляторный вес. Это означает, что любое соглашение о DA должно соответствовать строгим правилам, регулирующим аутсорсинг финансовыми учреждениями, в первую очередь Руководству EBA по аутсорсингу. Кроме того, операторы цифровых кошельков, проверяющие элементы SCA, должны будут иметь официальные соглашения об аутсорсинге с банками-эмитентами.

Этот ярлык «аутсорсинг» представляет собой сложный компромисс. С одной стороны, явное разрешение DA сигнализирует о регуляторной открытости к инновациям и потенциально лучшему UX. С другой стороны, подчинение этих соглашений всей строгости правил аутсорсинга финансовых услуг вводит существенные накладные расходы на соблюдение требований. Процесс превращается из потенциально простой технической передачи в делегирование основной, регулируемой функции безопасности. Это влечет за собой обширные требования, связанные с комплексной проверкой, договорными особенностями, управлением рисками, постоянным мониторингом, правами на аудит и потенциально соответствием Закону о цифровой операционной устойчивости (DORA). Значительное бремя, связанное с этими требованиями к аутсорсингу, может потенциально остановить те самые инновации, которые DA призвана поощрять, особенно для небольших продавцов или TSP, у которых нет ресурсов для навигации по этому сложному регуляторному ландшафту.

Классификация делегированной аутентификации как «аутсорсинга» в рамках предложений PSD3/PSR означает, что такие соглашения полностью подпадают под действие Руководства EBA по аутсорсингу. Эти руководящие принципы устанавливают всеобъемлющую основу, которой должны придерживаться финансовые учреждения (включая эмитентов, делегирующих SCA) и, соответственно, поставщики технических услуг (TSP), выполняющие делегированную функцию.

Эти руководящие принципы налагают несколько ключевых обязательств:

• Комплексная проверка: Перед делегированием SCA эмитент должен провести тщательную комплексную проверку поставщика технических услуг (TSP). Это включает оценку деловой репутации TSP, технических возможностей, финансовой стабильности, опыта, ресурсов (человеческих, ИТ), организационной структуры и мер безопасности, чтобы убедиться, что они подходят для выполнения критически важной функции SCA.
• Оценка рисков: Комплексный анализ рисков является обязательным до заключения и на протяжении всего срока действия соглашения об аутсорсинге. Он должен охватывать операционные риски, юридические риски, риски соответствия, риски концентрации (слишком сильная зависимость от одного TSP) и риски, связанные с субаутсорсингом (когда TSP далее делегирует части функции). Аутсорсинг функций, считающихся «критическими или важными» (SCA неявно считается таковой, если явно не освобождена), влечет за собой еще более строгие требования.
• Требования к договору: Необходимо подробное письменное соглашение. Этот договор должен четко определять объем делегированной функции, роли и обязанности, соглашения об уровне обслуживания, применимое право, финансовые обязательства, положения о безопасности данных (охватывающие доступность, целостность, конфиденциальность и безопасность), планы обеспечения непрерывности бизнеса и условия прекращения действия. Критически важно, что соглашение должно предоставлять делегирующему учреждению и его регуляторам неограниченные права доступа и аудита в отношении аутсорсинговой функции.
• Постоянный мониторинг: Эмитент не может просто «делегировать и забыть». Он должен постоянно отслеживать производительность TSP по согласованным метрикам, оценивать его текущий профиль рисков и пересматривать его меры безопасности и непрерывности бизнеса. Полагаться исключительно на сертификаты TSP недостаточно.
• Стратегия выхода: Для критически важных функций, таких как SCA, эмитент должен иметь задокументированный план выхода. Этот план должен описывать стратегии прекращения соглашения, передачи функции другому TSP или возвращения функции внутрь компании без нарушения обслуживания или компрометации безопасности или соответствия требованиям.
• Риск концентрации: Как делегирующие учреждения, так и компетентные органы должны отслеживать риски концентрации, возникающие из-за того, что несколько учреждений полагаются на одного и того же TSP или на небольшое количество доминирующих TSP, особенно для критически важных функций.
• Никаких «пустых оболочек»: Руководящие принципы прямо указывают, что аутсорсинг не должен приводить к ситуации, когда делегирующее учреждение становится «пустой оболочкой», лишенной содержания и операционных возможностей для сохранения авторизации. Конечная ответственность за соблюдение требований и управление рисками остается за руководящим органом делегирующего учреждения.

Еще один уровень сложности добавляет Закон о цифровой операционной устойчивости (DORA), который устанавливает гармонизированные правила по всему ЕС для управления рисками в области информационных и коммуникационных технологий (ИКТ) в финансовом секторе. DORA вступает в силу с 17 января 2025 года.

DORA имеет отношение к DA в нескольких аспектах:

• Прямое применение: DORA напрямую применяется к финансовым организациям, включая банки и другие PSP, которые будут делегировать SCA.
• Критические сторонние поставщики ИКТ (CTPP): DORA устанавливает надзорную рамку для сторонних поставщиков ИКТ, считающихся критически важными для финансовой системы. Крупные TSP, предлагающие услуги DA в больших масштабах (например, крупные платежные шлюзы, провайдеры кошельков, потенциально вовлеченные провайдеры облачных услуг), могут быть назначены CTPP, что поставит их под прямой надзор органов ЕС.
• Интеграция с PSD3/PSR: Предложения PSD3/PSR прямо ссылаются на DORA, указывая, что соглашения об аутсорсинге, включая DA, должны соответствовать его требованиям. Это означает, что TSP, выполняющие DA, должны будут соответствовать стандартам DORA по управлению рисками ИКТ, отчетности об инцидентах, тестированию устойчивости и управлению рисками третьих сторон, что еще больше увеличивает бремя соответствия.

Взаимодействие между Руководством EBA по аутсорсингу и DORA создает плотную сеть обязательств по соблюдению требований для любого TSP, занимающегося DA. Успешное предложение этих услуг потребует не только технического мастерства, но и значительных инвестиций в структуры управления, системы управления рисками, надежную документацию, готовность к аудиту и демонстрацию операционной устойчивости. Эта сложная среда может непреднамеренно благоприятствовать крупным, устоявшимся TSP, обладающим ресурсами и опытом для навигации по этим требовательным нормам.

Важным последствием DA в рамках предлагаемой нормативной базы является сдвиг ответственности за мошеннические транзакции, в которых SCA не сработала.

• Проекты предложений указывают, что третья сторона, выполняющая делегированную SCA (например, продавец, шлюз, кошелек), становится ответственной за финансовые убытки в результате мошенничества, если она не применила SCA должным образом. Это фундаментальное изменение по сравнению с типичным сдвигом ответственности в рамках 3DS, где ответственность часто переходит к эмитенту, если SCA успешно применена.
• Кроме того, проект PSR вводит потенциальную ответственность для поставщиков технических услуг и операторов платежных систем, если сбой SCA связан с их системами или инфраструктурой. Этот конкретный пункт встречает сильное сопротивление, в частности со стороны Mastercard, которая утверждает, что он основан на неверных представлениях об ответственности за внедрение SCA.
• Эмитенты, хотя и могут делегировать процесс SCA, не освобождаются от ответственности полностью. Они остаются ответственными за определенные виды мошенничества, такие как «спуфинг», когда мошенник выдает себя за банк. Европейский парламент даже предложил расширить эти права на возмещение в случаях мошенничества с авторизованными push-платежами (APP).

Эта прямая ответственность, возлагаемая на TSP за сбои SCA в рамках DA, представляет собой значительный финансовый риск. Хотя обещание улучшенного пользовательского опыта и коэффициента конверсии привлекательно, потенциальные затраты на мошенничество могут стать серьезным сдерживающим фактором для многих TSP, рассматривающих возможность предложения услуг DA. Надежные стратегии снижения рисков, потенциально включающие более высокие сервисные сборы или специализированное страхование, могут стать необходимыми предпосылками для широкого внедрения DA продавцами и шлюзами.

Делегированная аутентификация может коренным образом изменить пользовательский опыт при карточных платежах, особенно по сравнению с традиционным процессом 3-D Secure (3DS).

В настоящее время процесс 3DS для проверки SCA обычно включает передачу управления, когда клиент взаимодействует с элементом, контролируемым эмитентом. Традиционно это означало полное перенаправление браузера с веб-сайта или приложения продавца на домен эмитента (например, в его банковское приложение или на специальную страницу аутентификации). Все чаще новые версии 3DS представляют эту проверку встроенным образом через iframe на странице продавца. Хотя iframe позволяет избежать полного ухода со страницы, оба метода перенаправления внимания пользователя на шаг, контролируемый эмитентом, могут быть резкими, увеличивать время оформления заказа и способствовать отказу клиентов.

DA предлагает путь к устранению этого трения, связанного с изменением процесса. Позволяя продавцу, платежному шлюзу или цифровому кошельку выполнять SCA непосредственно в своей среде, шаг аутентификации может быть бесшовно интегрирован в процесс оформления заказа. Это обещает более плавный, быстрый и целостный опыт для клиента. В сочетании с современными методами аутентификации с низким трением, такими как встроенная в устройство биометрия (Face ID, сканирование отпечатков пальцев) или Passkeys, DA может значительно снизить трение при оформлении заказа, что потенциально приведет к снижению количества брошенных корзин и повышению коэффициента конверсии платежей. Реальные данные, такие как сообщаемый Stripe рост конверсии на 7% и в четыре раза более быстрая аутентификация для транзакций с использованием их решения DA с держателями карт Wise, подчеркивают это потенциальное преимущество.

Реализация этого потенциала требует значительной технической и коммерческой подготовительной работы. Это включает в себя создание новых точек интеграции и протоколов связи между продавцами/шлюзами/кошельками и эмитентами. Платежные системы, такие как Visa и Mastercard, играют здесь важную роль. Mastercard, например, разработала свой Identity Check Express, позволяющий продавцам и Mastercard аутентифицировать потребителя от имени эмитента в рамках потока продавца. Аналогичным образом, Stripe создал свои возможности DA на основе двусторонних соглашений с конкретными эмитентами, такими как Wise.

Эти разработки предполагают, что DA — это больше, чем просто регуляторное обновление. Это способствует перестройке архитектуры потоков аутентификации платежей. Перемещение точки аутентификации из домена эмитента обратно в среду продавца или кошелька создает возможности для более богатых, контекстно-зависимых решений аутентификации и пользовательского опыта, которые менее разрушительны, чем традиционная модель перенаправления. Этот архитектурный сдвиг требует интеграции современных методов аутентификации, таких как Passkeys, непосредственно в процессы оформления заказа. Однако этот переход зависит от создания надежных мер безопасности, четкого распределения ответственности (как обсуждалось ранее) и доверенных рамок, вероятно, регулируемых комбинацией правил схем, двусторонних соглашений и соблюдения строгих правил аутсорсинга и DORA.

Хотя проекты PSD3/PSR закладывают законодательную основу, окончательная форма делегированной аутентификации будет в значительной степени зависеть от продолжающегося диалога и лоббирования со стороны ключевых игроков отрасли. Банки, PSP, поставщики технологий и продавцы активно интерпретируют эти проекты и выступают за изменения, которые соответствуют их бизнес-моделям и стратегическим целям. Многие лоббистские усилия в ЕС доступны через немецкий реестр лоббистов (примечание: этот реестр в основном на немецком языке, и многие из представленных документов также были отправлены в другие органы Европейского союза). Следующий анализ основан на доступных резюме и документах из этих публичных представлений.

Как крупный поставщик платежной инфраструктуры, Stripe видит значительные возможности в DA. Они рассматривают это как важнейший инструмент для повышения коэффициента конверсии платежей и улучшения опыта оформления заказа за счет снижения трения. Stripe проактивно запустил собственное решение DA на основе двусторонних соглашений с эмитентами, такими как Wise, демонстрируя свою приверженность этой модели еще до завершения PSD3/PSR. Их лоббистские усилия, по-видимому, сосредоточены на обеспечении того, чтобы регуляторная среда поддерживала инновации и минимизировала бремя. Ключевые области включают в себя защиту упрощенных процессов повторной авторизации для существующих лицензированных организаций в рамках PSD3, стремление к большей ясности и гибкости в отношении исключений из SCA (таких как пороги анализа рисков транзакций (TRA) и транзакций, инициированных продавцом (MIT)), обеспечение того, чтобы платформы, использующие решения, такие как Stripe Connect, не были излишне обременены требованиями лицензирования агентов, и продвижение прямого доступа к платежным системам для небанковских PSP.

PayPal, крупное учреждение электронных денег и провайдер кошельков, является ярым сторонником подхода к SCA, основанного на результатах. Они утверждают, что регулирование должно отдавать приоритет доказуемой эффективности безопасности метода аутентификации — в частности, его устойчивости к современным угрозам, таким как фишинг, — а не строгому соблюдению традиционных категорий факторов Знание/Владение/Неотъемлемость, определенных в PSD2. Они подчеркивают успех своей реализации Passkeys, которая значительно снизила мошенничество при одновременном улучшении успешности входа в систему. Следовательно, PayPal призывает политиков, разрабатывающих PSR, сосредоточиться на общей силе решений аутентификации, разрешить комбинации сильных факторов, даже если они из одной категории (например, два фактора владения), сбалансировать безопасность с удобством использования и избегать чрезмерно предписывающих технологических мандатов.

Mastercard решительно оспаривает широкую классификацию всего DA как аутсорсинга в проекте. Они утверждают, вместе с другими отраслевыми группами, что только модели аутентификации, в которых эмитент не имеет контроля над процессом SCA, должны подпадать под всю строгость требований к аутсорсингу. Их лоббистская позиция отражает это: они добиваются разъяснения, что DA не является «критическим» аутсорсингом, выступают за масштабируемые или многосторонние соглашения об аутсорсинге для облегчения внедрения DA и хотят полного снятия предложенной ответственности для схем и TSP, связанной со сбоями SCA. Кроме того, Mastercard настаивает на том, чтобы продавцы были обязаны отправлять дополнительную информацию, такую как поведенческие и средовые данные, эмитентам для улучшения оценки рисков, и просит явного разрешения для TSP обрабатывать биометрические данные без явного согласия пользователя специально для целей SCA, а также предлагает уточнить исключения из SCA для конкретных случаев с низким риском.

Торговые ассоциации и отраслевые организации в значительной степени разделяют опасения, высказанные крупными игроками. Payments Europe, например, повторяет позицию Mastercard по определению аутсорсинга, подчеркивая, что только сценарии, в которых эмитент теряет контроль, должны вызывать применение правил аутсорсинга. Bitkom, представляющая цифровую индустрию, также призывает к ясности по этому вопросу и выступает за явное регулирование поведенческой биометрии для SCA. Эти группы последовательно подчеркивают необходимость технологической нейтральности и гибкости в рамках SCA для содействия инновациям и избежания цифрового исключения. CCIA Europe высказывает практические опасения по поводу реализуемости широких прав эмитентов на аудит и контроль мер безопасности TSP в рамках соглашений о DA.

Таблица: Ключевые позиции отрасли по делегированной аутентификации и SCA в рамках PSD3/PSR

Сильное, скоординированное сопротивление текущему подходу проекта подчеркивает фундаментальное напряжение. Отрасль желает преимуществ в пользовательском опыте и инновациях, которые потенциально предлагает DA, но стремится избежать значительного бремени соответствия, связанного с регулируемым аутсорсингом в соответствии с Руководством EBA. Их предлагаемая альтернатива — определение аутсорсинга на основе того, сохраняет ли эмитент контроль, — направлена на создание пространства для DA, которое менее интенсивно с точки зрения регулирования. Решение этого спора в ходе законодательных обсуждений будет иметь решающее значение для определения практической осуществимости и привлекательности DA для многих TSP.

Несмотря на эту регуляторную неопределенность, ведущие игроки, такие как Stripe и Mastercard, не ждут. Они активно разрабатывают и внедряют решения DA уже сейчас, используя существующие рамки, такие как двусторонние соглашения и правила схем, часто включая передовые технологии, такие как биометрия и стандарты FIDO. Эта проактивная стратегия позволяет им захватить раннюю долю рынка, продемонстрировать техническую жизнеспособность DA, потенциально формировать новые стандарты и готовить своих клиентов к будущему ландшафту. Этот подход обусловлен не только стремлением улучшить потребительский опыт; он также служит для более тесной привязки клиентов к поставщику платежей, а не к эмитенту, при этом ориентируясь на присущие риски развивающейся регуляторной среды и связанные с ней сдвиги ответственности. По мере того как отрасль исследует эти новые модели DA, роль передовых технологий аутентификации, таких как Passkeys, становится все более центральной для достижения целей как безопасности, так и удобства для пользователя.

Passkeys, основанные на стандарте WebAuthn Альянса FIDO, представляют собой важный прогресс в технологии аутентификации, и в этом разделе мы обсудим, как они могут помочь преодолеть разрыв для строгой аутентификации клиентов (SCA) в контексте делегированной аутентификации (DA).

Основная сила Passkeys заключается в использовании криптографии с открытым ключом для создания уникальных учетных данных для каждого веб-сайта или приложения. Этот механизм делает их по своей природе устойчивыми к фишинговым атакам, поскольку учетные данные работают только на легитимном сайте, для которого они были созданы, и полагаются на безопасную разблокировку устройства (часто с помощью биометрии), а не на общие секреты, такие как пароли. Эта комбинация предлагает потенциал как для повышенной безопасности, так и для более плавного пользовательского опыта.

С технической точки зрения, Passkeys идеально подходят для сценариев делегированной аутентификации. В потоке DA продавец или шлюз, выполняющий SCA, может предложить пользователю аутентифицироваться с помощью Passkey, хранящегося на его устройстве (телефоне, компьютере). Эта аутентификация происходит непосредственно в среде продавца или TSP, используя встроенные биометрические возможности устройства (например, Face ID или сканирование отпечатков пальцев) для проверки, что устраняет необходимость в перенаправлениях или громоздких одноразовых паролях (OTP). Это идеально соответствует цели DA по созданию более бесшовных и безопасных процессов оформления заказа. Но давайте посмотрим, как эмитент может контролировать и проверять аутентификацию третьей стороны с помощью Passkeys.

Однако интеграция Passkeys в регулируемый мир SCA, особенно в рамках DA, сталкивается с проблемами. Жесткая трехфакторная (Знание, Владение, Неотъемлемость) категоризация PSD2 создала двусмысленность в отношении того, как Passkeys вписываются в эту модель, особенно в отношении элемента «Владение» и независимости факторов, когда биометрия разблокирует устройство, на котором хранится Passkey. Появление синхронизированных Passkeys (которые могут быть доступны на нескольких устройствах) еще больше усложняет эту классификацию.

Хотя PSD3/PSR вводит некоторую гибкость, уточняя, что факторы аутентификации должны быть только независимыми (компрометация одного не влияет на другой), а не обязательно принадлежать к разным категориям, как прямо указано в предлагаемом регламенте:

Это не решает полностью двусмысленность классификации и не дает явного одобрения для синхронизированных Passkeys как соответствующих требованиям SCA. Эта регуляторная неопределенность подкрепляет аргументы таких игроков, как PayPal, которые выступают за подход к SCA, основанный на результатах, сосредотачиваясь на доказанных результатах безопасности (таких как устойчивость к фишингу), предоставляемых методами, подобными Passkeys, вместо того, чтобы загонять их в потенциально устаревшие категориальные рамки. (Для более глубокого изучения SCA на основе результатов и Passkeys см. наш анализ SCA на основе результатов)

Учитывая широкое распространение синхронизированных Passkeys пользователями и продавцами, а также ограничения SPC, нормативная база PSD3/PSR должна стремиться создать четкий путь для использования этих существующих отношений с Passkeys в рамках делегированной аутентификации. Этот подход будет сосредоточен на практической, основанной на результатах безопасности, а не на ограничениях, связанных с конкретными техническими реализациями, изначально задуманными до созревания синхронизированных Passkeys. Для достижения этого необходимы несколько ключевых разработок, сосредоточенных на регуляторных корректировках, операционных механизмах доверия и развивающихся отраслевых стандартах. Перспективная модель DA, использующая синхронизированные Passkeys, может включать несколько ключевых разработок, которые мы сейчас обсудим.

Эффективное внедрение синхронизированных Passkeys в DA начинается с четкого регуляторного содействия и мандатов в рамках PSD3/PSR. Это включает следующие ключевые соображения:

• Явное одобрение синхронизированных Passkeys для DA: PSD3/PSR должны явно уточнить, что синхронизированные Passkeys при надлежащем использовании могут соответствовать требованиям SCA в контексте DA. Основное внимание следует уделять проверяемой криптографической связи, достигнутой устойчивости к фишингу и независимости процесса аутентификации, а не жесткому соблюдению категорий факторов SCA, существовавших до Passkeys.
• Обязательные расширенные данные аутентификации: В соответствии с запросами отрасли (например, от Mastercard), регулирование должно предписывать, чтобы TSP, выполняющие DA, включали всеобъемлющие, стандартизированные данные аутентификации (например, детали аутентификации с помощью Passkey, соответствующие элементы assertion FIDO и контекстуальные сигналы риска) в информацию о платежной транзакции, отправляемую в платежные сети и эмитентам. Это основывается на существующих механизмах, таких как поле threeDSRequestorAuthenticationInfo, используемое в EMV 3DS для данных FIDO продавца 1.

Помимо регуляторной ясности, операционализация доверия с помощью Passkeys, хранящихся у продавца, имеет решающее значение для широкого внедрения. Это требует надежных систем и процессов для:

• Проверка эмитентом инициированной продавцом DA: Эмитентам потребуются надежные системы для получения и криптографической проверки assertion аутентификации, сгенерированных из Passkeys. Важно отметить, что во многих сценариях DA используемый Passkey может быть тем, который пользователь уже создал у продавца для доступа к его собственным услугам.
• Динамический вызов и контроль эмитента: Для поддержания контроля эмитента и обеспечения динамической привязки, транзакция DA может работать следующим образом:
  • Эмитент (или платежная сеть от его имени) предоставляет уникальный, специфичный для транзакции вызов TSP (продавцу/шлюзу).
  • TSP предлагает пользователю авторизовать транзакцию, подписав этот вызов (плюс критические данные транзакции) с помощью своего существующего синхронизированного Passkey, зарегистрированного у продавца.
  • Подписанный assertion возвращается эмитенту для проверки.
• Условный перенос DA: Первоначальная, более сильная аутентификация непосредственно у эмитента (возможно, с использованием Passkey, зарегистрированного у эмитента, или надежного потока проверки 3DS) может установить доверительные отношения для конкретного Passkey продавца. Последующие транзакции DA с использованием того же проверенного Passkey продавца могут затем проходить по описанной выше модели динамического вызова, предлагая более плавный пользовательский опыт, пока Passkey остается действительным и параметры риска соблюдаются.

Наконец, долгосрочный успех DA на основе Passkeys будет зависеть от развития стандартов и твердого перехода к перспективе SCA, основанной на результатах. Это влечет за собой:

• Роль отраслевых организаций: Организации, такие как Альянс FIDO (включая его рабочие группы, ориентированные на платежи) и EMVCo, играют решающую роль в разработке и стандартизации необходимых протоколов и сигналов доверия для безопасной и масштабируемой поддержки таких моделей DA. Это включает определение того, как assertion аутентификации от Passkeys, хранящихся у продавца, могут быть надежно представлены и проверены эмитентами в контексте DA.
• За рамками жестких определений SCA: Конечной целью должен быть переход к подходу к SCA, основанному на результатах. Если метод DA, использующий синхронизированные Passkeys (даже те, которые созданы у продавца), может наглядно обеспечить устойчивую к фишингу, многофакторную аутентификацию, которая динамически связана с транзакцией, он должен считаться соответствующим требованиям. Это ставит в приоритет фактический результат безопасности над соблюдением традиционных, иногда устаревших, интерпретаций элементов SCA, тем самым способствуя инновациям и использованию технологий, уже знакомых пользователям.

Эта эволюция позволит платежной экосистеме извлечь выгоду из значительных существующих инвестиций в синхронизированные Passkeys и их внедрения как пользователями, так и продавцами, создавая путь для более безопасной, бесшовной и широко доступной делегированной аутентификации.

Приведенная выше диаграмма последовательности иллюстрирует потенциальное будущее делегированной аутентификации (DA) с использованием Passkeys в платежной экосистеме. Она изображает оптимизированный поток, в котором продавцы, используя Passkeys, могли бы выполнять строгую аутентификацию клиентов (SCA) от имени эмитентов. Это видение соответствует направлению PSD3/PSR и растущему внедрению технологии Passkeys.

Проверка реальностью: Однако это envisioned будущее еще не является текущим стандартом. Для широкого внедрения необходимо решить несколько практических проблем. Регуляторные рамки, особенно в рамках предстоящего PSD3/PSR, должны полностью прояснить, как синхронизированные Passkeys вписываются в строгую аутентификацию клиентов и как будет управляться ответственность в сценариях делегированной аутентификации. Важные технические стандарты, в том числе для проверки эмитентами Passkeys, хранящихся у продавцов, и для обеспечения последовательной динамической привязки транзакций на всех платформах, все еще находятся в стадии разработки. Построение широкого доверия эмитентов к процессам аутентификации, проводимым продавцами, также является критически важным шагом. Более того, обеспечение бесшовного пользовательского опыта, управление потенциально несколькими Passkeys на одного пользователя и достижение универсальной поддержки браузерами/платформами всех необходимых платежных функций остаются текущими задачами. Наконец, для построения полного доверия будет важно решить любые оставшиеся вопросы восприятия безопасности вокруг экосистем синхронизированных Passkeys и надежности аттестации.

Несмотря на эти препятствия — многие из которых специфичны для европейского законодательства SCA, которое, важно помнить, применяется только в Европе, — базовая технология для такой системы в значительной степени уже существует. Об этом свидетельствует сегодняшняя реальность: широкое внедрение Passkeys крупными игроками за пределами ЕС, такими как PayPal, и широкое использование многочисленными банками США (включая те, что используют Banno от Jack Henry, и многие другие). Изображенный поток, следовательно, технически осуществим и будет использовать этот сильный, существующий импульс внедрения Passkeys пользователями и продавцами, а не работать против него. Этот подход мог бы проложить путь к более безопасным и бесшовным платежным опытам во всем мире.

Предлагаемые PSD3 и PSR представляют собой значительную эволюцию в регуляторной базе платежей ЕС, направленную на развитие основ PSD2, устранение ее ограничений и адаптацию к быстро цифровизирующемуся рынку.

Ключевым развитием является явное разрешение делегированной аутентификации (DA), позволяющее третьим сторонам, таким как продавцы и кошельки, выполнять строгую аутентификацию клиентов (SCA) от имени банков-эмитентов. Однако это разрешение сопровождается важной оговоркой в ЕС: классификацией DA как «аутсорсинга». Это запускает сложную сеть обязательств по соблюдению требований в соответствии с Руководством EBA по аутсорсингу и Законом о цифровой операционной устойчивости (DORA). Кроме того, предложения переносят ответственность за неудачную SCA непосредственно на организацию, выполняющую делегированную аутентификацию.

Это создает фундаментальное напряжение, особенно в европейском контексте. С одной стороны, существует регуляторное стремление к повышенной безопасности, контролю и устойчивости, проявляющееся через строгие требования к аутсорсингу и операционной устойчивости. С другой стороны, существует сильное желание отрасли к инновациям, гибкости и улучшенному пользовательскому опыту, которые обещает предоставить DA, особенно в сочетании с современными методами, такими как Passkeys. Интенсивные лоббистские усилия вокруг определения «аутсорсинга» для целей DA подчеркивают этот конфликт. Примечательно, что хотя эти конкретные регуляторные препятствия заметны в ЕС, базовая технология Passkeys получает широкое глобальное распространение и успешно внедряется на других рынках с иными регуляторными ландшафтами.

Будущие темпы внедрения и влияние делегированной аутентификации, особенно в ЕС, критически зависят от окончательных деталей законодательного процесса — в частности, от сферы действия правил аутсорсинга, распределения ответственности и, что особенно важно, явного признания синхронизированных Passkeys как механизма, соответствующего требованиям SCA в рамках DA. Способность отрасли создать практические, масштабируемые рамки доверия между эмитентами и TSP, выполняющими аутентификацию, также будет иметь первостепенное значение.

Passkeys, особенно синхронизированные, по своей сути соответствуют целям DA, предлагая надежную устойчивость к фишингу и потенциал для бесшовного, основанного на биометрии пользовательского опыта. Они представляют собой убедительную альтернативу традиционным паролям и OTP. Проблема заключается не в технической осуществимости использования Passkeys для DA — что подтверждается их успешным глобальным внедрением для различных целей аутентификации — а в навигации по специфическим для ЕС регуляторным требованиям и установлении четких, основанных на результатах критериев для их принятия в рамках SCA. Подход, который отдает приоритет доказуемым результатам безопасности аутентификации с помощью Passkeys (например, криптографическая проверяемость, устойчивость к фишингу, динамическая привязка) над жестким соблюдением традиционных категорий факторов, будет необходим для раскрытия их полного потенциала в DA.

Для компаний, работающих в европейской платежной экосистеме, ближайшие годы требуют тщательного мониторинга завершения PSD3, PSR и связанных с ними технических стандартов EBA. Организациям следует проактивно оценивать, как делегированная аутентификация, усиленная развивающейся экосистемой Passkeys, может изменить их стратегии платежей и аутентификации. Это включает не только оценку потенциала технологий, таких как синхронизированные Passkeys, но и подготовку к операционным и нормативным сдвигам, необходимым для построения проверяемого доверия с партнерами в соглашениях о DA.

Для поставщиков решений аутентификации возможность заключается в разработке предложений, которые являются безопасными, удобными для пользователя и спроектированы так, чтобы помочь клиентам (TSP) соответствовать требовательным нормативным требованиям DA в рамках PSD3/PSR. Это включает в себя содействие безопасному обмену данными аутентификации и поддержку механизмов, которые позволяют эмитентам уверенно проверять транзакции DA, выполненные с помощью Passkeys, хранящихся у продавцов, в конечном итоге способствуя созданию безопасных и бесшовных платежных опытов, которых стремится достичь PSD3/PSR, используя глобальный импульс технологии Passkeys.