PSD3 / PSR Kapsamında Devredilmiş Kimlik Doğrulaması ve Passkey'ler

Avrupa ödeme ortamı, ikinci Ödeme Hizmetleri Direktifi (PSD2) ile önemli ölçüde değişti. 2018'den itibaren aşamalı olarak yürürlüğe giren PSD2, güvenliği artırmak ve dolandırıcılıkla mücadele etmek için çoğu elektronik ödemede Güçlü Müşteri Kimlik Doğrulaması'nı (SCA) zorunlu kıldı. Bu genellikle bir kullanıcının kimliğini üç bağımsız faktörden en az ikisini kullanarak doğrulamayı gerektirir: Bilgi (sadece kullanıcının bildiği bir şey, şifre gibi), Sahiplik (sadece kullanıcının sahip olduğu bir şey, telefon veya donanım token'ı gibi) ve Biyometri (kullanıcının kendisi olan bir şey, parmak izi veya yüz taraması gibi).

PSD2'nin SCA gereklilikleri belirli dolandırıcılık türlerini gözle görülür şekilde azaltmış olsa da, özellikle kullanıcıları kimlik doğrulaması için genellikle bankalarının alan adına yönlendiren 3-D Secure (3DS) protokollerini içeren kartlı ödemelerde, ödeme sürecine pürüzler ekledi. Ödeme sürecindeki bu ek pürüzler, sepet terkine ve daha az sorunsuz bir kullanıcı deneyimine yol açabilir.

Bu zorlukları ve dijital ödemeler pazarının hızlı evrimini göz önünde bulunduran Avrupa Komisyonu, 28 Haziran 2023'te çerçeveyi güncellemek için yasal teklifler yayınladı. Bu paket, yeni bir Ödeme Hizmetleri Direktifi (PSD3) ve bir Ödeme Hizmetleri Yönetmeliği'nden (PSR) oluşuyor.

Genellikle "devrim değil, evrim" olarak tanımlanan bu reform, Güçlü Müşteri Kimlik Doğrulaması (SCA) ve Açık Bankacılık gibi mevcut kavramları iyileştirmeyi, tüketicinin dolandırıcılığa karşı korunmasını daha da güçlendirmeyi, ödeme hizmeti sağlayıcıları (PSP'ler) arasında rekabeti teşvik etmeyi ve AB ödemeler pazarının genel işleyişini iyileştirmeyi amaçlıyor. Evrimin kilit alanlarından biri, Devredilmiş Kimlik Doğrulaması için sağlanan açık netleştirme ve çerçevedir.

Tekliften uygulamaya giden yolculuk birkaç aşamadan oluşur. Haziran 2023'teki yayının ardından, teklifler Avrupa Parlamentosu ve AB Konseyi'ni içeren AB yasama sürecine girdi. Parlamento'nun Ekonomik ve Parasal İşler (ECON) komitesi, 2023 sonu ve 2024 başında değişikliklerle birlikte taslak raporlar yayınladı ve ardından Parlamento, Nisan 2024'te ilk okumada pozisyonunu benimsedi. Bir sonraki aşama, Parlamento, Konsey ve Komisyon arasında nihai metinler üzerinde anlaşmaya varmak için yapılacak müzakereleri içeriyor. Bu süreç boyunca bankalar, PSP'ler, teknoloji şirketleri ve tüketici grupları da dahil olmak üzere paydaşlar, sonucu etkilemek için kamuoyu istişarelerine ve lobi faaliyetlerine katılır.

İlk tahminler 2024 sonu veya 2025 başı gibi bir kesinleşme tarihini işaret etse de, yasama süreci karmaşık olabilir ve bazı analizler şimdi potansiyel gecikmelere işaret ederek, nihai anlaşmayı daha ileri bir tarihe ve uygulama tarihini 2027'nin ilk çeyreğine itebileceğini öne sürüyor. Genellikle, yeni kuralların AB Resmi Gazetesi'nde yayınlandıktan 18 ay sonra uygulanması beklenir, bu da olası başlangıç tarihini en erken 2026 ortası olarak belirler, ancak kesinleşme takvimine bağlı olarak daha geç de olabilir.

Önemli bir yapısal değişiklik, PSD3'ün yanı sıra PSR'nin de getirilmesidir. PSR, tüm AB üye devletlerinde doğrudan uygulanabilir olacak ve SCA gereklilikleri ve Açık Bankacılık erişimi gibi operasyonel kuralların tek tip uygulanmasını sağlayacaktır. Bu, bir direktif olmasının ulusal yasalara aktarım ve uygulamada farklılıklara yol açarak parçalanma yarattığı PSD2'nin bir zayıflığını doğrudan ele almaktadır. Bir direktif olarak kalacak olan PSD3, ödeme kuruluşlarının yetkilendirilmesi, lisanslanması ve denetlenmesine odaklanarak, pazar gözetiminde bazı ulusal bağlamlara izin verecektir. Bu ikili yapı, stratejik bir yaklaşımı temsil eder: yönetmelik aracılığıyla kritik operasyonel alanlarda daha hızlı, tutarlı bir uyum sağlamayı hedeflerken, ulusal özelliklerin daha ilgili olduğu kurumsal gözetim için direktif formatını korur.

Üçlü müzakerelerin karmaşıklığı, ardından Avrupa Bankacılık Otoritesi'nin (EBA) ayrıntılı Düzenleyici Teknik Standartlar (RTS) ve Kılavuzlar geliştirmesi gerekliliği ve sektörün uygulamaya hazırlanması için gereken süre göz önüne alındığında, sıkça belirtilen 18 aylık geçiş dönemi iddialı görünmektedir. İşletmeler, planlamalarında potansiyel gecikmeleri hesaba katmalı ve olası uygulama tarihleri olarak 2026 sonu veya hatta 2027 başını göz önünde bulundurmalıdır.

Önerilen PSD3/PSR çerçevesindeki en dikkat çekici netleştirmelerden biri, Devredilmiş Kimlik Doğrulaması'na (DA) açıkça izin verilmesidir.

Devredilmiş Kimlik Doğrulaması (DA), ödemeyi yapanın Ödeme Hizmeti Sağlayıcısının (PSP), genellikle ödeme aracını (örneğin, kartı) ihraç eden bankanın, kendi adına Güçlü Müşteri Kimlik Doğrulamasını (SCA) gerçekleştirmesi için bir üçüncü tarafa izin verdiği süreci ifade eder.

Önerilen yönetmelikten orijinal metin (PSR teklifinin 87. Maddesi, vurgu eklenmiştir) şöyledir:

Taslak metinler, ihraççıların (genellikle ödeme hesabını sağlayan bankalar) SCA uygulama sorumluluğunu belirli üçüncü taraflara devredebileceğini belirtmektedir. Bu üçüncü tarafların satıcılar, ödeme ağ geçitleri veya acquirer'lar, çevrimiçi pazar yerleri veya dijital cüzdan sağlayıcıları olması öngörülmektedir.

Bu hamle önemlidir çünkü hesap sahibi kurum dışındaki birinin SCA kapsamında gerekli olan kimlik doğrulama kontrolünü gerçekleştirdiği senaryoları resmi olarak tanır ve potansiyel bir düzenleyici yol sağlar. DA'yı etkinleştirmenin arkasındaki belirtilen amaç, kimlik doğrulama deneyiminde yeniliği teşvik etmektir. Yönetmelik, devretmeye izin vererek, genellikle müşteri etkileşimine en yakın olan kuruluşları (satıcılar veya cüzdanlar gibi) biyometri veya passkey'ler gibi en son teknolojilerden yararlanan, daha az pürüzlü, daha entegre kimlik doğrulama akışları oluşturmaları için güçlendirmeyi umuyor. PSD3 taslağından önce başlatılan Stripe'ın DA uygulaması gibi erken örnekler, bu faydaları yakalamayı amaçlamış, daha hızlı kimlik doğrulama süreleri ve katılımcı ihraççılar için artan dönüşüm oranları bildirmiştir.

Ancak, taslak teklifler kritik bir koşul getiriyor: SCA'nın bir ihraççı tarafından bir üçüncü tarafa devredilmesi açıkça dış kaynak kullanımı olarak sınıflandırılıyor. Bu sınıflandırma sadece anlamsal değil; önemli bir düzenleyici ağırlık taşıyor. Bu, herhangi bir DA düzenlemesinin, finansal kurumlar tarafından dış kaynak kullanımını yöneten katı kurallara, öncelikle de Dış Kaynak Kullanımı Düzenlemelerine İlişkin EBA Kılavuzlarına uyması gerektiği anlamına gelir. Ayrıca, SCA unsurlarını doğrulayan dijital cüzdan operatörlerinin, ihraççı bankalarla resmi dış kaynak kullanımı anlaşmaları yapması gerekecektir.

Bu 'dış kaynak kullanımı' etiketi karmaşık bir denge sunar. Bir yandan, DA'ya açıkça izin vermek, yeniliğe ve potansiyel olarak daha iyi bir kullanıcı deneyimine yönelik düzenleyici açıklığın bir işaretidir. Diğer yandan, bu düzenlemeleri finansal hizmetler dış kaynak kullanımı düzenlemelerinin tüm ağırlığına tabi tutmak, önemli bir uyum yükü getirir. Süreç, potansiyel olarak basit bir teknik devir teslimden, düzenlenmiş temel bir güvenlik fonksiyonunun devrine dönüşür. Bu, durum tespiti, sözleşme özellikleri, risk yönetimi, sürekli izleme, denetim hakları ve potansiyel olarak Dijital Operasyonel Dayanıklılık Yasası (DORA) ile uyumlulukla ilgili kapsamlı gereklilikleri tetikler. Bu dış kaynak kullanımı gereklilikleriyle ilişkili önemli yük, özellikle bu karmaşık düzenleyici ortamda gezinmek için kaynakları olmayan küçük satıcılar veya TSP'ler için, DA'nın teşvik etmeyi amaçladığı yeniliği potansiyel olarak durdurabilir.

Devredilmiş Kimlik Doğrulamasının PSD3/PSR teklifleri kapsamında 'dış kaynak kullanımı' olarak sınıflandırılması, bu tür düzenlemelerin EBA'nın Dış Kaynak Kullanımı Düzenlemelerine İlişkin Kılavuzları kapsamına girdiği anlamına gelir. Bu kılavuzlar, finansal kurumların (SCA'yı devreden ihraççılar dahil) ve dolayısıyla devredilen işlevi yerine getiren Teknik Hizmet Sağlayıcılarının (TSP'ler) uyması gereken kapsamlı bir çerçeve oluşturur.

Bu kılavuzlar birkaç temel yükümlülük getirir:

• Durum Tespiti: SCA'yı devretmeden önce, ihraççı Teknik Hizmet Sağlayıcıları (TSP) üzerinde kapsamlı bir durum tespiti yapmalıdır. Bu, TSP'nin iş itibarını, teknik yeteneklerini, finansal istikrarını, uzmanlığını, kaynaklarını (insan, BT), organizasyon yapısını ve güvenlik önlemlerini değerlendirerek, SCA gibi kritik bir işlevi yerine getirmek için uygun olduklarından emin olmayı içerir.
• Risk Değerlendirmesi: Dış kaynak kullanımı düzenlemesine girmeden önce ve düzenleme boyunca kapsamlı bir risk analizi zorunludur. Bu, operasyonel riskleri, yasal riskleri, uyum risklerini, yoğunlaşma risklerini (tek bir TSP'ye aşırı güvenme) ve alt dış kaynak kullanımıyla ilişkili riskleri (TSP'nin işlevin bir kısmını daha da devretmesi) kapsamalıdır. 'Kritik veya önemli' olarak kabul edilen işlevlerin (SCA, açıkça muaf tutulmadıkça, zımnen böyle kabul edilir) dış kaynak kullanımı daha da katı gereklilikleri tetikler.
• Sözleşmesel Gereklilikler: Ayrıntılı bir yazılı anlaşma esastır. Bu sözleşme, devredilen işlevin kapsamını, rolleri ve sorumlulukları, hizmet seviyesi anlaşmalarını, geçerli hukuku, mali yükümlülükleri, veri güvenliği hükümlerini (erişilebilirlik, kullanılabilirlik, bütünlük, gizlilik ve güvenlik dahil), iş sürekliliği planlarını ve fesih maddelerini açıkça tanımlamalıdır. Kritik olarak, anlaşma, devreden kuruma ve düzenleyicilerine dış kaynaklı işleve ilişkin sınırsız erişim ve denetim hakkı tanımalıdır.
• Sürekli İzleme: İhraççı sadece 'devret ve unut' yapamaz. TSP'nin kararlaştırılan metriklere karşı performansını sürekli olarak izlemeli, devam eden risk durumunu değerlendirmeli ve güvenlik ile iş sürekliliği önlemlerini gözden geçirmelidir. Yalnızca TSP sertifikalarına güvenmek yetersizdir.
• Çıkış Stratejisi: SCA gibi kritik işlevler için, ihraççının belgelenmiş bir çıkış planı olmalıdır. Bu plan, düzenlemeyi sonlandırma, işlevi başka bir TSP'ye devretme veya hizmeti kesintiye uğratmadan veya güvenlik ya da uyumluluğu tehlikeye atmadan işlevi tekrar kurum içine alma stratejilerini özetlemelidir.
• Yoğunlaşma Riski: Hem devreden kurumlar hem de yetkili makamlar, birden fazla kurumun aynı TSP'ye veya az sayıda baskın TSP'ye güvenmesinden kaynaklanan yoğunlaşma risklerini, özellikle kritik işlevler için izlemelidir.
• 'Boş Kabuk' Olmama: Kılavuzlar, dış kaynak kullanımının, devreden kurumun yetkili kalmak için gerekli öz ve operasyonel yeteneğe sahip olmadığı bir 'boş kabuk' haline gelmesine yol açmaması gerektiğini açıkça belirtir. Uyum ve risk yönetiminden nihai sorumluluk, devreden kurumun yönetim organında kalır.

Karmaşıklığa bir katman daha ekleyen Dijital Operasyonel Dayanıklılık Yasası (DORA), finans sektöründe Bilgi ve İletişim Teknolojisi (BİT) risklerini yönetmek için AB genelinde uyumlaştırılmış kurallar oluşturur. DORA, 17 Ocak 2025'ten itibaren geçerli olacaktır.

DORA, DA ile birkaç yönden ilgilidir:

• Doğrudan Uygulanabilirlik: DORA, SCA'yı devredecek olan bankalar ve diğer PSP'ler de dahil olmak üzere finansal kuruluşlara doğrudan uygulanır.
• Kritik BİT Üçüncü Taraf Sağlayıcıları (CTPP'ler): DORA, finansal sistem için kritik kabul edilen BİT üçüncü taraf sağlayıcıları için bir gözetim çerçevesi oluşturur. Büyük ölçekte DA hizmetleri sunan büyük TSP'ler (örneğin, büyük ödeme ağ geçitleri, cüzdan sağlayıcıları, potansiyel olarak dahil olan bulut hizmeti sağlayıcıları) CTPP olarak belirlenebilir ve bu da onları AB yetkililerinin doğrudan denetimi altına sokar.
• PSD3/PSR ile Entegrasyon: PSD3/PSR teklifleri, DA dahil olmak üzere dış kaynak kullanımı düzenlemelerinin gerekliliklerine uyması gerektiğini belirterek DORA'ya açıkça atıfta bulunur. Bu, DA gerçekleştiren TSP'lerin, BİT risk yönetimi, olay raporlama, dayanıklılık testi ve üçüncü taraf risk yönetimi için DORA standartlarını karşılaması gerekeceği anlamına gelir ve bu da uyum yükünü daha da artırır.

EBA Dış Kaynak Kullanımı Kılavuzları ile DORA arasındaki etkileşim, DA'ya girişen herhangi bir TSP için yoğun bir uyum yükümlülükleri ağı oluşturur. Bu hizmetleri başarılı bir şekilde sunmak, sadece teknik beceri değil, aynı zamanda yönetişim yapılarına, risk yönetimi çerçevelerine, sağlam belgelendirmeye, denetime hazır olmaya ve kanıtlanabilir operasyonel dayanıklılığa önemli yatırımlar gerektirecektir. Bu karmaşık ortam, istemeden de olsa, bu zorlu gereklilikleri yönetmek için kaynaklara ve uzmanlığa sahip daha büyük, yerleşik TSP'leri destekleyebilir.

Önerilen çerçeve kapsamında DA'nın önemli bir sonucu, SCA'nın başarısız olduğu dolandırıcılık işlemlerinde sorumluluğun değişmesidir.

• Taslak teklifler, devredilen SCA'yı gerçekleştiren üçüncü tarafın (örneğin, satıcı, ağ geçidi, cüzdan), SCA'yı doğru bir şekilde uygulayamaması durumunda dolandırıcılıktan kaynaklanan mali zararlardan sorumlu olacağını göstermektedir. Bu, SCA'nın başarılı bir şekilde uygulanması durumunda sorumluluğun genellikle ihraççıya geçtiği 3DS kapsamındaki tipik sorumluluk kaymasından temel bir değişikliktir.
• Ayrıca, taslak PSR, bir SCA başarısızlığının sistemlerine veya altyapılarına atfedilebilmesi durumunda teknik hizmet sağlayıcıları ve ödeme şeması operatörleri için potansiyel sorumluluk getirir. Bu özel nokta, özellikle Mastercard tarafından güçlü bir muhalefetle karşılanmaktadır. Mastercard, bunun SCA uygulama sorumlulukları hakkındaki yanlış kanılara dayandığını savunmaktadır.
• İhraççılar, SCA sürecini devredebilseler de, tamamen sorumluluktan kurtulmuş değillerdir. Bir dolandırıcının bankayı taklit ettiği 'sahtekarlık' gibi belirli dolandırıcılık türlerinden sorumlu kalmaya devam ederler. Avrupa Parlamentosu, APP dolandırıcılığı vakalarında bu geri ödeme haklarını genişletmeyi bile önermiştir.

DA kapsamındaki SCA başarısızlıkları için TSP'lere yüklenen bu doğrudan sorumluluk, önemli bir finansal risk teşkil etmektedir. Geliştirilmiş kullanıcı deneyimi ve dönüşüm oranları vaadi çekici olsa da, potansiyel dolandırıcılık maliyeti, DA hizmetleri sunmayı düşünen birçok TSP için önemli bir caydırıcı unsur olabilir. Daha yüksek hizmet ücretleri veya özel sigorta dahil olmak üzere sağlam risk azaltma stratejileri, satıcılar ve ağ geçitleri tarafından yaygın DA benimsenmesi için gerekli ön koşullar haline gelebilir.

Devredilmiş Kimlik Doğrulaması, özellikle geleneksel 3-D Secure (3DS) sürecine kıyasla, kartlı ödemeler için kullanıcı deneyimini temelden yeniden şekillendirme potansiyeline sahiptir.

Şu anda, SCA sorgulamaları için 3DS süreci genellikle müşterinin ihraççı kontrolündeki bir unsurla etkileşime girdiği bir devir teslimi içerir. Geleneksel olarak bu, satıcının web sitesinden veya uygulamasından ihraççının alan adına (örneğin, bankacılık uygulaması veya belirli bir kimlik doğrulama sayfası) tam bir tarayıcı yönlendirmesi anlamına geliyordu. Giderek artan bir şekilde, daha yeni 3DS sürümleri bu sorgulamayı satıcının sayfasında gömülü bir iframe aracılığıyla satır içi olarak sunar. Bir iframe tam bir sayfa ayrılışını önlese de, kullanıcının odağını ihraççı kontrolündeki bir adıma yönlendiren her iki yöntem de sarsıcı olabilir, ödeme sürecine zaman ekleyebilir ve müşteri kaybına katkıda bulunabilir.

DA, süreç değişikliğinin bu pürüzünü ortadan kaldırmak için bir yol sunar. Satıcının, ödeme ağ geçidinin veya dijital cüzdanın SCA'yı doğrudan kendi ortamlarında gerçekleştirmesine izin vererek, kimlik doğrulama adımı ödeme akışına sorunsuz bir şekilde entegre edilebilir. Bu, müşteri için daha pürüzsüz, daha hızlı ve daha bütünsel bir deneyim vaat eder. Cihaza entegre biyometri (Face ID, parmak izi taramaları) veya passkey'ler gibi modern, düşük pürüzlü kimlik doğrulama yöntemleriyle birleştirildiğinde, DA ödeme pürüzünü önemli ölçüde azaltabilir, potansiyel olarak daha düşük sepet terk oranlarına ve daha yüksek ödeme dönüşüm oranlarına yol açabilir. Stripe'ın bildirdiği %7'lik dönüşüm artışı ve Wise kart sahipleriyle DA çözümünü kullanan işlemler için dört kat daha hızlı kimlik doğrulama gibi gerçek dünya verileri, bu potansiyel faydayı vurgulamaktadır.

Bu potansiyeli gerçekleştirmek, önemli teknik ve ticari temel çalışmalar gerektirir. Satıcılar/ağ geçitleri/cüzdanlar ve ihraççılar arasında yeni entegrasyon noktaları ve iletişim protokolleri oluşturmayı içerir. Visa ve Mastercard gibi ödeme şemaları burada önemli bir rol oynamaktadır. Örneğin Mastercard, satıcıların ve Mastercard'ın satıcının akışı içinde ihraççı adına tüketiciyi doğrulamasına olanak tanıyan Identity Check Express çözümünü geliştirmiştir. Benzer şekilde Stripe, DA yeteneklerini Wise gibi belirli ihraççılarla yaptığı ikili anlaşmalara dayanarak oluşturmuştur.

Bu gelişmeler, DA'nın sadece bir düzenleyici güncellemeden daha fazlası olduğunu göstermektedir. Ödeme kimlik doğrulama akışlarını yeniden yapılandırmak için bir yardımcı görevi görür. Kimlik doğrulama noktasını ihraççının alan adından satıcı veya cüzdan ortamına geri taşımak, daha zengin, daha bağlama duyarlı kimlik doğrulama kararları ve geleneksel yönlendirme modelinden daha az rahatsız edici kullanıcı deneyimleri için fırsatlar yaratır. Bu mimari değişim, passkey'ler gibi modern kimlik doğrulama yöntemlerinin doğrudan ödeme süreçlerine entegre edilmesini gerektirir. Ancak, bu geçiş, sağlam güvenlik önlemlerinin, net sorumluluk dağılımının (daha önce tartışıldığı gibi) ve muhtemelen şema kuralları, ikili anlaşmalar ve katı dış kaynak kullanımı ve DORA düzenlemelerine bağlılığın bir kombinasyonuyla yönetilen güvenilir çerçevelerin oluşturulmasına bağlıdır.

PSD3/PSR taslak teklifleri yasal zemini oluştururken, Devredilmiş Kimlik Doğrulamasının nihai şekli, kilit sektör oyuncularından gelen devam eden diyalog ve lobi faaliyetlerinden önemli ölçüde etkilenecektir. Bankalar, PSP'ler, teknoloji sağlayıcıları ve satıcılar bu taslakları aktif olarak yorumluyor ve iş modelleri ve stratejik hedefleriyle uyumlu değişiklikleri savunuyorlar. Birçok AB lobi faaliyeti Alman Lobi Sicili aracılığıyla erişilebilir (not: bu sicil öncelikle Almancadır ve sunulan belgelerin birçoğu diğer Avrupa Birliği organlarına da gönderilmiştir). Aşağıdaki analiz, bu kamuya açık sunumlardan elde edilen özetlere ve belgelere dayanmaktadır.

Büyük bir ödeme altyapısı sağlayıcısı olarak Stripe, DA'da önemli bir fırsat görüyor. Bunu, pürüzü azaltarak ödeme dönüşüm oranlarını iyileştirmek ve müşteri ödeme deneyimini geliştirmek için çok önemli bir araç olarak görüyorlar. Stripe, PSD3/PSR kesinleşmeden önce bile Wise gibi ihraççılarla yaptığı ikili anlaşmalara dayanarak kendi DA çözümünü proaktif olarak başlattı ve bu modele olan bağlılığını gösterdi. Lobi çabaları, düzenleyici ortamın yeniliği desteklemesini ve yükleri en aza indirmesini sağlamaya odaklanmış görünüyor. Kilit alanlar arasında, PSD3 kapsamında mevcut lisanslı kuruluşlar için kolaylaştırılmış yeniden yetkilendirme süreçlerini savunmak, SCA muafiyetleri (İşlem Riski Analizi (TRA) eşikleri ve Satıcı Tarafından Başlatılan İşlemler (MIT'ler) gibi) konusunda daha fazla netlik ve esneklik aramak, Stripe Connect gibi çözümleri kullanan platformların gereksiz yere acente lisanslama gereklilikleriyle yüklenmemesini sağlamak ve banka dışı PSP'ler için ödeme sistemlerine doğrudan erişim için baskı yapmak yer alıyor.

Büyük bir e-para kurumu ve cüzdan sağlayıcısı olan PayPal, SCA'ya sonuç odaklı bir yaklaşımın sesli bir savunucusudur. Düzenlemelerin, PSD2'de tanımlanan geleneksel Bilgi/Sahiplik/Biyometri faktör kategorilerine sıkı sıkıya bağlı kalmak yerine, bir kimlik doğrulama yönteminin kanıtlanabilir güvenlik etkinliğine - özellikle de phishing gibi modern tehditlere karşı direncine - öncelik vermesi gerektiğini savunuyorlar. Giriş başarısını artırırken dolandırıcılığı önemli ölçüde azaltan passkey uygulamalarının başarısını vurguluyorlar. Sonuç olarak PayPal, PSR'yi tasarlayan politika yapıcılara, kimlik doğrulama çözümlerinin genel gücüne odaklanmalarını, aynı kategoriden olsalar bile güçlü faktörlerin kombinasyonlarına izin vermelerini (örneğin, iki sahiplik faktörü), güvenliği kullanılabilirlikle dengelemelerini ve aşırı kuralcı teknolojik zorunluluklardan kaçınmalarını tavsiye ediyor.

Mastercard, taslağın tüm DA'ları dış kaynak kullanımı olarak geniş bir şekilde sınıflandırmasına şiddetle karşı çıkıyor. Diğer endüstri gruplarıyla birlikte, yalnızca ihraççının SCA süreci üzerinde kontrolü olmadığı kimlik doğrulama modellerinin dış kaynak kullanımı gerekliliklerinin tüm ciddiyetine tabi olması gerektiğini savunuyorlar. Lobi pozisyonları bunu yansıtıyor: DA'nın 'kritik' dış kaynak kullanımı olmadığına dair bir açıklama arıyorlar, DA'nın benimsenmesini kolaylaştırmak için ölçeklenebilir veya çok taraflı dış kaynak kullanımı anlaşmalarını savunuyorlar ve SCA başarısızlıklarıyla ilgili olarak şemalar ve TSP'ler için önerilen sorumluluğun tamamen kaldırılmasını istiyorlar. Ek olarak Mastercard, risk değerlendirmesini iyileştirmek için satıcıların ihraççılara davranışsal ve çevresel veriler gibi ek bilgileri göndermelerinin zorunlu kılınması için baskı yapıyor, TSP'lerin SCA amaçları için açık kullanıcı onayı olmadan biyometrik verileri işlemesine açıkça izin verilmesini talep ediyor ve belirli düşük riskli kullanım durumları için SCA muafiyetlerinin ince ayarlanmasını öneriyor.

Ticaret birlikleri ve sektör kuruluşları, büyük oyuncular tarafından dile getirilen endişeleri büyük ölçüde yansıtıyor. Örneğin Payments Europe, Mastercard'ın dış kaynak kullanımı tanımı konusundaki duruşunu yansıtarak, yalnızca ihraççının kontrolünü kaybettiği senaryoların dış kaynak kullanımı kurallarını tetiklemesi gerektiğini vurguluyor. Dijital endüstriyi temsil eden Bitkom da bu noktada netlik çağrısında bulunuyor ve SCA için davranışsal biyometrinin açıkça düzenlenmesini savunuyor. Bu gruplar, yeniliği teşvik etmek ve dijital dışlanmayı önlemek için SCA çerçevesi içinde teknolojik tarafsızlık ve esneklik ihtiyacını sürekli olarak vurguluyorlar. CCIA Europe, DA düzenlemeleri kapsamında ihraççıların TSP'lerin güvenlik hükümlerini denetleme ve kontrol etme konusundaki geniş haklarının uygulanabilirliği hakkında pratik endişeler dile getiriyor.

Tablo: PSD3/PSR Kapsamında Devredilmiş Kimlik Doğrulaması ve SCA Konusunda Kilit Sektör Pozisyonları

Taslağın mevcut yaklaşımına karşı güçlü, koordineli geri itme, temel bir gerilimi vurgulamaktadır. Sektör, DA'nın potansiyel olarak sunduğu kullanıcı deneyimi ve yenilik avantajlarını arzuluyor, ancak EBA Kılavuzları kapsamında düzenlenmiş dış kaynak kullanımıyla ilişkili önemli uyum yüklerinden kaçınmak istiyor. Önerdikleri alternatif - dış kaynak kullanımını ihraççının kontrolü elinde tutup tutmadığına göre tanımlamak - DA için daha az düzenleyici yoğunlukta bir alan yaratmayı amaçlıyor. Yasama tartışmaları sırasında bu tartışmanın çözümü, birçok TSP için DA'nın pratik fizibilitesini ve çekiciliğini belirlemede çok önemli olacaktır.

Bu düzenleyici belirsizliğe rağmen, Stripe ve Mastercard gibi önde gelen oyuncular beklemiyor. İkili anlaşmalar ve şema kuralları gibi mevcut çerçeveleri kullanarak, genellikle biyometri ve FIDO standartları gibi ileri teknolojileri birleştirerek, şimdi aktif olarak DA çözümleri geliştiriyor ve dağıtıyorlar. Bu proaktif strateji, erken pazar payı yakalamalarına, DA'nın teknik uygulanabilirliğini göstermelerine, potansiyel olarak ortaya çıkan standartları şekillendirmelerine ve müşterilerini gelecekteki manzaraya hazırlamalarına olanak tanır. Bu yaklaşım sadece tüketici deneyimini geliştirmekle kalmıyor; aynı zamanda müşterileri ihraççıdan ziyade ödeme sağlayıcısına daha yakından bağlamaya hizmet ediyor, tüm bunları yaparken gelişen bir düzenleyici ortamın ve ilgili sorumluluk kaymalarının doğal risklerini yönetiyor. Sektör bu yeni DA modellerini keşfederken, passkey'ler gibi gelişmiş kimlik doğrulama teknolojilerinin rolü, hem güvenlik hem de kullanıcı deneyimi hedeflerine ulaşmada giderek daha merkezi hale geliyor.

FIDO Alliance'ın WebAuthn standardına dayanan Passkey'ler, kimlik doğrulama teknolojisinde önemli bir ilerlemeyi temsil ediyor ve bu bölüm, Devredilmiş Kimlik Doğrulaması (DA) bağlamında Güçlü Müşteri Kimlik Doğrulaması (SCA) için boşluğu nasıl doldurabileceklerini tartışacak.

Passkey'lerin temel gücü, her web sitesi veya uygulama için benzersiz kimlik bilgileri oluşturmak üzere açık anahtar kriptografisini kullanmaktır. Bu mekanizma, kimlik bilgisi yalnızca oluşturulduğu meşru sitede çalıştığı ve şifreler gibi paylaşılan sırlar yerine güvenli cihaz kilidi açmaya (genellikle biyometri yoluyla) dayandığı için onları doğası gereği phishing saldırılarına karşı dirençli hale getirir. Bu kombinasyon, hem gelişmiş güvenlik hem de daha sorunsuz bir kullanıcı deneyimi potansiyeli sunar.

Teknik açıdan bakıldığında, passkey'ler Devredilmiş Kimlik Doğrulaması senaryoları için ideal olarak uygun görünmektedir. Bir DA akışında, SCA gerçekleştiren bir satıcı veya ağ geçidi, kullanıcıdan cihazında (telefon, bilgisayar) depolanan bir passkey kullanarak kimlik doğrulaması yapmasını isteyebilir. Bu kimlik doğrulama, doğrulama için cihazın yerleşik biyometrik yeteneklerini (Face ID veya parmak izi taraması gibi) kullanarak doğrudan satıcının veya TSP'nin ortamında gerçekleşir, böylece yönlendirmelere veya hantal tek kullanımlık şifrelere (OTP'ler) olan ihtiyacı ortadan kaldırır. Bu, DA'nın daha sorunsuz ve güvenli ödemeler oluşturma hedefiyle mükemmel bir şekilde uyumludur. Ancak şimdi bir İhraççının passkey'lerle üçüncü taraf kimlik doğrulamasını nasıl kontrol edip doğrulayabileceğine bir göz atalım.

Ancak, passkey'leri SCA'nın düzenlenmiş dünyasına, özellikle de DA kapsamında entegre etmek zorluklarla karşılaşıyor. PSD2'nin katı üç faktörlü (Bilgi, Sahiplik, Biyometri) sınıflandırması, passkey'lerin nasıl uyum sağladığı konusunda, özellikle 'Sahiplik' unsuru ve biyometrinin passkey'i tutan cihazın kilidini açtığında faktörlerin bağımsızlığı konusunda belirsizlik yarattı. Senkronize passkey'lerin (birden fazla cihazda mevcut olabilen) ortaya çıkması, bu sınıflandırmayı daha da karmaşıklaştırıyor.

PSD3/PSR, kimlik doğrulama faktörlerinin yalnızca bağımsız olması gerektiğini (birinin ele geçirilmesi diğerini etkilemez) ve mutlaka farklı kategorilere ait olması gerekmediğini açıklayarak bir miktar esneklik getirse de, önerilen yönetmelikte açıkça belirtildiği gibi:

Bu, sınıflandırma belirsizliğini tam olarak çözmez veya senkronize passkey'lerin SCA uyumlu olduğuna dair açık bir onay sağlamaz. Bu düzenleyici belirsizlik, passkey'ler gibi yöntemlerin kanıtlanmış güvenlik sonuçlarına (örneğin phishing direnci) odaklanan ve onları potansiyel olarak modası geçmiş kategorik kutulara zorlamak yerine SCA'ya sonuç odaklı bir yaklaşımı savunan PayPal gibi oyuncuların argümanlarını güçlendirir. (Sonuç odaklı SCA ve passkey'ler hakkında daha derin bir inceleme için sonuç odaklı SCA analizimize bakabilirsiniz)

Kullanıcılar ve satıcılar tarafından senkronize passkey'lerin yaygın olarak benimsenmesi ve SPC'nin sınırlamaları göz önüne alındığında, PSD3/PSR çerçevesi, Devredilmiş Kimlik Doğrulaması içinde bu mevcut passkey ilişkilerinden yararlanmak için net bir yol oluşturmayı hedeflemelidir. Bu yaklaşım, senkronize passkey'lerin olgunlaşmasından önce tasarlanan belirli teknik uygulamalarla kısıtlanmak yerine, pratik, sonuç odaklı güvenliğe odaklanacaktır. Bunu başarmak için, düzenleyici ayarlamalara, operasyonel güven mekanizmalarına ve gelişen endüstri standartlarına odaklanan birkaç temel gelişme gereklidir. Senkronize passkey'lerden yararlanan geleceğe dönük bir DA modeli, şimdi tartışacağımız birkaç temel gelişmeyi içerebilir.

Senkronize passkey'lerin DA'da etkili bir şekilde yaygınlaştırılması, PSD3/PSR Kapsamında Açık Düzenleyici Yetkilendirme ve Zorunluluklar ile başlar. Bu, aşağıdaki temel hususları içerir:

• DA için Senkronize Passkey'lerin Açıkça Onaylanması: PSD3/PSR, senkronize passkey'lerin uygun şekilde kullanıldığında bir DA bağlamında SCA gerekliliklerini karşılayabileceğini açıkça belirtmelidir. Odak, doğrulanabilir kriptografik bağlantı, elde edilen phishing direnci ve kimlik doğrulama sürecinin bağımsızlığı üzerinde olmalı, passkey öncesi SCA faktör sınıflandırmalarına katı bir şekilde bağlı kalınmamalıdır.
• Zengin Kimlik Doğrulama Verilerinin Zorunlu Kılınması: Sektör talepleriyle (Mastercard'dan gelenler gibi) uyumlu olarak, düzenleme, DA gerçekleştiren TSP'lerin, ödeme ağlarına ve ihraççılara gönderilen ödeme işlem bilgileri içine kapsamlı, standartlaştırılmış kimlik doğrulama verilerini (örneğin, passkey kimlik doğrulamasının ayrıntıları, ilgili FIDO assertion unsurları ve bağlamsal risk sinyalleri) dahil etmesini zorunlu kılmalıdır. Bu, satıcı FIDO verileri için EMV 3DS'de kullanılan threeDSRequestorAuthenticationInfo alanı gibi mevcut mekanizmalar üzerine inşa edilir 1.

Düzenleyici netliğin ötesinde, Satıcı Tarafından Tutulan Passkey'lerle Güveni Operasyonelleştirme yaygın benimseme için çok önemlidir. Bu, aşağıdakiler için sağlam sistemler ve süreçler gerektirir:

• Satıcı Tarafından Başlatılan DA'nın İhraççı Tarafından Doğrulanması: İhraççıların, passkey'lerden oluşturulan kimlik doğrulama assertion'larını almak ve kriptografik olarak doğrulamak için sağlam sistemlere ihtiyacı olacaktır. Önemli bir şekilde, birçok DA senaryosunda, kullanılan passkey, kullanıcının satıcının kendi hizmetlerine erişmek için zaten oluşturduğu bir passkey olabilir.
• Dinamik Sorgulama ve İhraççı Kontrolü: İhraççı kontrolünü sürdürmek ve dinamik bağlamayı sağlamak için bir DA işlemi şu şekilde çalışabilir:
  • İhraççı (veya adına hareket eden ödeme ağı), TSP'ye (satıcı/ağ geçidi) benzersiz, işleme özgü bir sorgulama sağlar.
  • TSP, kullanıcıdan satıcıda kayıtlı mevcut senkronize passkey'ini kullanarak bu sorgulamayı (artı kritik işlem verilerini) imzalayarak işlemi yetkilendirmesini ister.
  • İmzalanan assertion, doğrulama için ihraççıya geri gönderilir.
• Koşullu DA Devri: Doğrudan ihraççı ile yapılan ilk, daha güçlü bir kimlik doğrulama (belki de ihraççı tarafından kaydedilmiş bir passkey veya sağlam bir 3DS sorgulama akışı kullanarak), belirli bir satıcı passkey'i için güvenilir bir ilişki kurabilir. Daha sonra aynı doğrulanmış satıcı passkey'ini kullanan DA işlemleri, yukarıda açıklanan dinamik sorgulama modeliyle devam edebilir ve passkey geçerli kaldığı ve risk parametreleri karşılandığı sürece daha sorunsuz bir kullanıcı deneyimi sunar.

Son olarak, passkey tabanlı DA'nın uzun vadeli başarısı, Gelişen Standartlara ve Sonuç Odaklı bir SCA Perspektifine doğru kesin bir kaymaya bağlı olacaktır. Bu şunları gerektirir:

• Sektör Kuruluşlarının Rolü: FIDO Alliance (ödeme odaklı çalışma grupları dahil) ve EMVCo gibi kuruluşlar, bu tür DA modellerini güvenli ve ölçeklenebilir bir şekilde desteklemek için gerekli protokolleri ve güven sinyallerini geliştirmede ve standartlaştırmada çok önemlidir. Bu, satıcı tarafından tutulan passkey'lerden gelen kimlik doğrulama assertion'larının bir DA bağlamında ihraççılar tarafından güvenilir bir şekilde nasıl sunulabileceğini ve doğrulanabileceğini tanımlamayı içerir.
• Katı SCA Tanımlarının Ötesinde: Nihai hedef, SCA'ya sonuç odaklı bir yaklaşıma geçiş olmalıdır. Senkronize passkey'leri (satıcı ile oluşturulanlar bile) kullanan bir DA yöntemi, işlemle dinamik olarak bağlantılı, phishing'e dayanıklı, çok faktörlü kimlik doğrulaması sağladığını kanıtlayabiliyorsa, uyumlu kabul edilmelidir. Bu, SCA unsurlarının geleneksel, bazen modası geçmiş yorumlarına bağlı kalmak yerine gerçek güvenlik sonucuna öncelik verir, böylece yeniliği teşvik eder ve kullanıcıların zaten aşina olduğu teknolojilerden yararlanır.

Bu evrim, ödeme ekosisteminin hem kullanıcılar hem de satıcılar tarafından senkronize passkey'lere yapılan önemli mevcut yatırımdan ve benimsemeden yararlanmasına olanak tanıyacak ve daha güvenli, sorunsuz ve yaygın olarak erişilebilir Devredilmiş Kimlik Doğrulaması için bir yol oluşturacaktır.

Yukarıdaki sıra diyagramı, ödeme ekosistemi içinde passkey'lerden yararlanan Devredilmiş Kimlik Doğrulaması (DA) için potansiyel bir geleceği göstermektedir. Satıcıların, passkey'leri kullanarak, ihraççılar adına Güçlü Müşteri Kimlik Doğrulaması (SCA) gerçekleştirebileceği basitleştirilmiş bir akışı tasvir etmektedir. Bu vizyon, PSD3/PSR'nin yönü ve passkey teknolojisinin artan benimsenmesi ile uyumludur.

Gerçeklik Kontrolü: Ancak, bu öngörülen gelecek henüz mevcut standart değildir. Yaygın benimseme için birkaç pratik zorluğun ele alınması gerekmektedir. Özellikle yaklaşan PSD3/PSR kapsamındaki düzenleyici çerçevelerin, senkronize passkey'lerin Güçlü Müşteri Kimlik Doğrulaması'na nasıl uyduğunu ve Devredilmiş Kimlik Doğrulaması senaryolarında sorumluluğun nasıl yönetileceğini tam olarak netleştirmesi gerekmektedir. İhraççıların satıcı tarafından tutulan passkey'leri doğrulaması ve tüm platformlarda tutarlı dinamik işlem bağlaması sağlamak için gerekli olanlar da dahil olmak üzere temel teknik standartlar hala olgunlaşmaktadır. Satıcı liderliğindeki kimlik doğrulama süreçlerine geniş bir ihraççı güveni oluşturmak da kritik bir adımdır. Ayrıca, sorunsuz bir kullanıcı deneyimi sağlamak, kullanıcı başına potansiyel olarak birden fazla passkey'i yönetmek ve tüm gerekli ödemeye özgü işlevler için evrensel tarayıcı/platform desteği sağlamak devam eden çabalardır. Son olarak, senkronize passkey ekosistemleri ve attestation güvenilirliği etrafındaki kalan güvenlik algılarını ele almak, tam güven oluşturmak için önemli olacaktır.

Bu engellere rağmen - ki birçoğu sadece Avrupa için geçerli olan Avrupa SCA mevzuatına özgüdür - böyle bir sistem için temel teknoloji büyük ölçüde mevcuttur. Bu, bugünün gerçeğiyle kanıtlanmaktadır: AB dışındaki PayPal gibi büyük oyuncular tarafından yaygın passkey benimsenmesi ve çok sayıda ABD bankası tarafından (Jack Henry tarafından Banno'yu kullananlar ve diğerleri dahil) kapsamlı kullanımı. Tasvir edilen akış bu nedenle teknik olarak uygulanabilirdir ve kullanıcılar ve satıcılar tarafından mevcut güçlü passkey benimseme ivmesinden yararlanacak, ona karşı çalışmak yerine. Bu yaklaşım, küresel olarak daha güvenli ve sorunsuz ödeme deneyimlerinin yolunu açabilir.

Önerilen PSD3 ve PSR, AB'nin ödeme düzenleyici çerçevesinde önemli bir evrimi temsil ediyor ve PSD2'nin temelleri üzerine inşa ederken sınırlamalarını ele almayı ve hızla dijitalleşen bir pazara uyum sağlamayı amaçlıyor.

Önemli bir gelişme, satıcılar ve cüzdanlar gibi üçüncü tarafların ihraççı bankalar adına Güçlü Müşteri Kimlik Doğrulaması (SCA) yapmasına olanak tanıyan Devredilmiş Kimlik Doğrulaması'nın (DA) açıkça etkinleştirilmesidir. Ancak, bu yetkilendirme AB içinde önemli bir uyarı ile birlikte gelir: DA'nın 'dış kaynak kullanımı' olarak sınıflandırılması. Bu, Dış Kaynak Kullanımı Düzenlemelerine İlişkin EBA Kılavuzları ve Dijital Operasyonel Dayanıklılık Yasası (DORA) kapsamında karmaşık bir uyum yükümlülükleri ağını tetikler. Ayrıca, teklifler başarısız SCA için sorumluluğu doğrudan devredilen kimlik doğrulamasını gerçekleştiren kuruluşa kaydırır.

Bu, özellikle Avrupa bağlamında temel bir gerilim yaratır. Bir yanda, katı dış kaynak kullanımı ve operasyonel dayanıklılık gereklilikleri aracılığıyla kendini gösteren, gelişmiş güvenlik, kontrol ve dayanıklılık için düzenleyici bir itki vardır. Diğer yanda ise, özellikle passkey'ler gibi modern yöntemlerle birleştirildiğinde DA'nın sunmayı vaat ettiği yenilik, esneklik ve geliştirilmiş kullanıcı deneyimleri için sektörün güçlü bir arzusu vardır. DA amaçları için 'dış kaynak kullanımı' tanımı etrafındaki yoğun lobi çabaları bu çatışmayı vurgulamaktadır. Bu özel düzenleyici engellerin AB'de belirgin olmasına rağmen, temel passkey teknolojisinin küresel olarak sağlam bir şekilde benimsendiğini ve farklı düzenleyici manzaralara sahip diğer pazarlarda başarılı bir şekilde uygulandığını belirtmek gerekir.

Devredilmiş Kimlik Doğrulamasının gelecekteki benimsenme oranı ve etkisi, özellikle AB içinde, yasama sürecinin nihai ayrıntılarına - özellikle dış kaynak kullanımı kurallarının kapsamı, sorumluluğun dağılımı ve en önemlisi, senkronize passkey'lerin DA içinde SCA uyumlu bir mekanizma olarak açıkça tanınması - kritik bir şekilde bağlıdır. Sektörün, kimlik doğrulama gerçekleştiren ihraççılar ve TSP'ler arasında pratik, ölçeklenebilir güven çerçeveleri kurma yeteneği de çok önemli olacaktır.

Passkey'ler, özellikle senkronize passkey'ler, sağlam phishing direnci ve sorunsuz, biyometrik tabanlı kullanıcı deneyimleri potansiyeli sunarak DA'nın hedefleriyle özünde uyumludur. Geleneksel şifrelere ve OTP'lere karşı çekici bir alternatif temsil ederler. Zorluk, passkey'leri DA için kullanmanın teknik fizibilitesinde değil - çeşitli kimlik doğrulama amaçları için küresel olarak başarılı bir şekilde benimsenmeleriyle kanıtlandığı gibi - AB'ye özgü düzenleyici gerekliliklerde gezinmek ve SCA kapsamında kabul edilmeleri için net, sonuç odaklı kriterler oluşturmaktır. Passkey kimlik doğrulamalarının kanıtlanabilir güvenlik sonuçlarına (örneğin, kriptografik doğrulanabilirlik, phishing direnci, dinamik bağlama) geleneksel faktör sınıflandırmalarına katı bir şekilde bağlı kalmaktan daha fazla öncelik veren bir yaklaşım, DA'daki tam potansiyellerini ortaya çıkarmak için gerekli olacaktır.

Avrupa ödeme ekosisteminde faaliyet gösteren işletmeler için, önümüzdeki yıllar PSD3, PSR ve ilgili EBA teknik standartlarının kesinleşmesinin dikkatli bir şekilde izlenmesini gerektirir. Kuruluşlar, olgunlaşan passkey ekosistemi tarafından güçlendirilen Devredilmiş Kimlik Doğrulamasının ödeme ve kimlik doğrulama stratejilerini nasıl yeniden şekillendirebileceğini proaktif olarak değerlendirmelidir. Bu, yalnızca senkronize passkey'ler gibi teknolojilerin potansiyelini değerlendirmeyi değil, aynı zamanda DA düzenlemelerinde ortaklarla doğrulanabilir güven oluşturmak için gerekli operasyonel ve uyum değişikliklerine hazırlanmayı da içerir.

Kimlik doğrulama çözümleri sağlayıcıları için fırsat, güvenli, kullanıcı dostu ve müşterilerin (TSP'ler) PSD3/PSR ortamında DA'nın zorlu uyum gerekliliklerini karşılamalarına yardımcı olmak için tasarlanmış teklifler geliştirmekte yatmaktadır. Bu, kimlik doğrulama verilerinin güvenli değişimini kolaylaştırmayı ve ihraççıların satıcı tarafından tutulan passkey'lerle gerçekleştirilen DA işlemlerini güvenle doğrulamasına olanak tanıyan mekanizmaları desteklemeyi içerir, sonuçta passkey teknolojisinin küresel ivmesinden yararlanarak PSD3/PSR'nin ulaşmayı hedeflediği güvenli ve sorunsuz ödeme deneyimlerini teşvik eder.