Xác thực Ủy quyền & Passkeys theo PSD3 / PSR

Bối cảnh thanh toán châu Âu đã thay đổi đáng kể bởi Chỉ thị Dịch vụ Thanh toán thứ hai (PSD2). Dần có hiệu lực từ năm 2018, PSD2 đã bắt buộc áp dụng Xác thực Khách hàng Mạnh mẽ (SCA) cho hầu hết các giao dịch thanh toán điện tử để tăng cường bảo mật và chống gian lận. Điều này thường yêu cầu xác minh danh tính của người dùng bằng ít nhất hai trong ba yếu tố độc lập: Kiến thức (thứ mà chỉ người dùng biết, như mật khẩu), Sở hữu (thứ mà chỉ người dùng sở hữu, như điện thoại hoặc token phần cứng), và Vốn có (thứ thuộc về bản thân người dùng, như vân tay hoặc quét khuôn mặt).

Trong khi các yêu cầu SCA của PSD2 đã chứng tỏ hiệu quả trong việc giảm một số loại gian lận, chúng cũng tạo ra sự phiền toái trong quy trình thanh toán, đặc biệt là đối với các giao dịch thanh toán bằng thẻ có sử dụng giao thức 3-D Secure (3DS), thường chuyển hướng người dùng đến tên miền của ngân hàng để xác thực. Sự phiền toái này trong quá trình thanh toán có thể dẫn đến việc khách hàng từ bỏ giỏ hàng và trải nghiệm người dùng kém liền mạch.

Nhận thấy những thách thức này và sự phát triển nhanh chóng của thị trường thanh toán kỹ thuật số, Ủy ban châu Âu đã công bố các đề xuất lập pháp vào ngày 28 tháng 6 năm 2023 để cập nhật khuôn khổ này. Gói đề xuất này bao gồm một Chỉ thị Dịch vụ Thanh toán mới (PSD3) và một Quy định Dịch vụ Thanh toán (PSR).

Thường được mô tả là một "sự tiến hóa, không phải là một cuộc cách mạng", cuộc cải cách này nhằm mục đích tinh chỉnh các khái niệm hiện có như Xác thực Khách hàng Mạnh mẽ (SCA) và Open Banking, tăng cường hơn nữa việc bảo vệ người tiêu dùng khỏi gian lận, thúc đẩy cạnh tranh giữa các nhà cung cấp dịch vụ thanh toán (PSP), và cải thiện hoạt động chung của thị trường thanh toán EU. Một trong những lĩnh vực tiến hóa quan trọng là việc làm rõ và cung cấp một khuôn khổ rõ ràng cho Xác thực Ủy quyền (Delegated Authentication).

Quá trình từ đề xuất đến khi áp dụng bao gồm nhiều giai đoạn. Sau khi công bố vào tháng 6 năm 2023, các đề xuất đã đi vào quy trình lập pháp của EU, với sự tham gia của Nghị viện châu Âu và Hội đồng EU. Ủy ban Kinh tế và Tiền tệ (ECON) của Nghị viện đã công bố các báo cáo dự thảo với các sửa đổi vào cuối năm 2023 và đầu năm 2024, sau đó Nghị viện đã thông qua lập trường của mình trong lần đọc đầu tiên vào tháng 4 năm 2024. Giai đoạn tiếp theo bao gồm các cuộc đàm phán giữa Nghị viện, Hội đồng và Ủy ban để thống nhất về các văn bản cuối cùng. Trong suốt quá trình này, các bên liên quan bao gồm ngân hàng, PSP, công ty công nghệ và các nhóm người tiêu dùng tham gia vào các cuộc tham vấn công khai và các nỗ lực vận động hành lang để tác động đến kết quả.

Trong khi các ước tính ban đầu cho rằng việc hoàn thiện sẽ diễn ra vào cuối năm 2024 hoặc đầu năm 2025, quy trình lập pháp có thể phức tạp, và một số phân tích hiện nay cho thấy khả năng có sự chậm trễ, có thể đẩy việc thống nhất cuối cùng lùi lại và ngày áp dụng sang Quý 1 năm 2027. Nhìn chung, các quy tắc mới dự kiến sẽ được áp dụng sau 18 tháng kể từ khi được công bố trên Tạp chí Chính thức của EU, đặt ngày bắt đầu có khả năng sớm nhất là vào giữa năm 2026, nhưng có thể muộn hơn tùy thuộc vào tiến trình hoàn thiện.

Một thay đổi cấu trúc đáng kể là việc giới thiệu PSR cùng với PSD3. PSR sẽ được áp dụng trực tiếp trên tất cả các quốc gia thành viên EU, đảm bảo việc thực thi thống nhất các quy tắc hoạt động như yêu cầu SCA và quyền truy cập Open Banking. Điều này trực tiếp giải quyết một điểm yếu của PSD2, khi bản chất là một chỉ thị đã dẫn đến sự khác biệt trong việc chuyển luật và thực thi ở các quốc gia, tạo ra sự phân mảnh. PSD3, vẫn là một chỉ thị, sẽ tập trung vào việc cấp phép, cấp giấy phép và giám sát các tổ chức thanh toán, cho phép một số bối cảnh quốc gia trong việc giám sát thị trường. Cấu trúc kép này đại diện cho một cách tiếp cận chiến lược: nhằm mục đích hài hòa hóa nhanh hơn, nhất quán hơn trong các lĩnh vực hoạt động quan trọng thông qua quy định, trong khi vẫn giữ định dạng chỉ thị cho việc giám sát thể chế nơi các đặc thù quốc gia có liên quan hơn.

Với sự phức tạp của các cuộc đàm phán ba bên, nhu cầu tiếp theo của Cơ quan Ngân hàng châu Âu (EBA) trong việc phát triển các Tiêu chuẩn Kỹ thuật Quy định (RTS) và Hướng dẫn chi tiết, và thời gian cần thiết để ngành công nghiệp chuẩn bị cho việc thực thi, giai đoạn chuyển tiếp 18 tháng thường được trích dẫn có vẻ tham vọng. Các doanh nghiệp nên tính đến khả năng chậm trễ trong kế hoạch của mình, hướng tới cuối năm 2026 hoặc thậm chí đầu năm 2027 là những ngày áp dụng khả thi.

Một trong những điểm làm rõ đáng chú ý nhất trong khuôn khổ PSD3/PSR được đề xuất là việc cho phép rõ ràng Xác thực Ủy quyền (Delegated Authentication - DA).

Xác thực Ủy quyền (DA) là quy trình mà Nhà cung cấp Dịch vụ Thanh toán (PSP) của Người thanh toán, thường là ngân hàng phát hành công cụ thanh toán (ví dụ: nhà phát hành thẻ), cho phép một bên thứ ba thực hiện Xác thực Khách hàng Mạnh mẽ (SCA) thay mặt mình.

Văn bản gốc từ quy định được đề xuất (Điều 87 của đề xuất PSR, phần nhấn mạnh được thêm vào) có nội dung:

Các văn bản dự thảo nêu rõ rằng các nhà phát hành (thường là các ngân hàng cung cấp tài khoản thanh toán) có thể ủy quyền trách nhiệm áp dụng SCA cho một số bên thứ ba nhất định. Các bên thứ ba này được dự kiến bao gồm các merchant, cổng thanh toán hoặc acquirer, các sàn thương mại điện tử, hoặc các nhà cung cấp ví kỹ thuật số.

Động thái này rất quan trọng vì nó chính thức công nhận và cung cấp một con đường pháp lý tiềm năng cho các kịch bản mà một bên không phải là tổ chức giữ tài khoản thực hiện việc kiểm tra xác thực theo yêu cầu của SCA. Mục tiêu được nêu ra đằng sau việc cho phép DA là để thúc đẩy sự đổi mới trong trải nghiệm xác thực. Bằng cách cho phép ủy quyền, quy định hy vọng sẽ trao quyền cho những thực thể thường gần gũi nhất với tương tác của khách hàng (như merchant hoặc ví) để xây dựng các luồng xác thực ít phiền toái hơn, tích hợp hơn, tận dụng các công nghệ mới nhất như sinh trắc học hoặc passkeys, cuối cùng cải thiện trải nghiệm người dùng. Các ví dụ ban đầu, như việc triển khai DA của Stripe được ra mắt trước dự thảo PSD3, đã nhằm mục đích nắm bắt những lợi ích này, báo cáo thời gian xác thực nhanh hơn và tăng tỷ lệ chuyển đổi cho các nhà phát hành tham gia.

Tuy nhiên, các đề xuất dự thảo đưa ra một điều kiện quan trọng: việc ủy quyền SCA của một nhà phát hành cho một bên thứ ba được phân loại rõ ràng là thuê ngoài. Việc phân loại này không chỉ đơn thuần về mặt ngữ nghĩa; nó mang một trọng lượng pháp lý đáng kể. Điều đó có nghĩa là bất kỳ thỏa thuận DA nào cũng phải tuân thủ các quy tắc nghiêm ngặt về việc thuê ngoài của các tổ chức tài chính, chủ yếu là Hướng dẫn của EBA về Thỏa thuận Thuê ngoài. Hơn nữa, các nhà khai thác ví kỹ thuật số xác minh các yếu tố SCA sẽ cần có các thỏa thuận thuê ngoài chính thức với các ngân hàng phát hành.

Nhãn 'thuê ngoài' này đặt ra một sự đánh đổi phức tạp. Một mặt, việc cho phép DA một cách rõ ràng báo hiệu sự cởi mở của cơ quan quản lý đối với sự đổi mới và tiềm năng cải thiện UX. Mặt khác, việc áp đặt các thỏa thuận này theo toàn bộ gánh nặng của các quy định thuê ngoài trong dịch vụ tài chính sẽ tạo ra gánh nặng tuân thủ đáng kể. Quá trình này biến đổi từ một sự chuyển giao kỹ thuật có thể đơn giản thành việc ủy quyền một chức năng bảo mật cốt lõi, được quản lý. Điều này kích hoạt các yêu cầu sâu rộng liên quan đến thẩm định, các chi tiết hợp đồng, quản lý rủi ro, giám sát liên tục, quyền kiểm toán và có thể là tuân thủ Đạo luật Khả năng Phục hồi Hoạt động Kỹ thuật số (DORA). Gánh nặng đáng kể liên quan đến các yêu cầu thuê ngoài này có thể làm đình trệ chính sự đổi mới mà DA dự định khuyến khích, đặc biệt là đối với các merchant hoặc TSP nhỏ hơn thiếu nguồn lực để điều hướng bối cảnh pháp lý phức tạp này.

Việc phân loại Xác thực Ủy quyền là 'thuê ngoài' theo các đề xuất PSD3/PSR có nghĩa là các thỏa thuận như vậy nằm hoàn toàn trong phạm vi của Hướng dẫn của EBA về Thỏa thuận Thuê ngoài. Những hướng dẫn này thiết lập một khuôn khổ toàn diện mà các tổ chức tài chính (bao gồm các nhà phát hành ủy quyền SCA) và, theo đó, các Nhà cung cấp Dịch vụ Kỹ thuật (TSP) thực hiện chức năng được ủy quyền, phải tuân thủ.

Những hướng dẫn này áp đặt một số nghĩa vụ chính:

• Thẩm định (Due Diligence): Trước khi ủy quyền SCA, nhà phát hành phải tiến hành thẩm định kỹ lưỡng đối với Nhà cung cấp Dịch vụ Kỹ thuật (TSP). Điều này bao gồm việc đánh giá uy tín kinh doanh, năng lực kỹ thuật, sự ổn định tài chính, chuyên môn, nguồn lực (con người, CNTT), cơ cấu tổ chức và các biện pháp bảo mật của TSP để đảm bảo họ phù hợp để thực hiện chức năng quan trọng của SCA.
• Đánh giá Rủi ro: Phân tích rủi ro toàn diện là bắt buộc trước khi tham gia và trong suốt thỏa thuận thuê ngoài. Điều này phải bao gồm rủi ro hoạt động, rủi ro pháp lý, rủi ro tuân thủ, rủi ro tập trung (phụ thuộc quá nhiều vào một TSP), và rủi ro liên quan đến việc thuê ngoài phụ (khi TSP tiếp tục ủy quyền một phần chức năng). Việc thuê ngoài các chức năng được coi là 'quan trọng hoặc trọng yếu' (với SCA được ngầm hiểu là như vậy, trừ khi được miễn trừ rõ ràng) sẽ kích hoạt các yêu cầu nghiêm ngặt hơn nữa.
• Yêu cầu Hợp đồng: Một thỏa thuận bằng văn bản chi tiết là cần thiết. Hợp đồng này phải xác định rõ phạm vi của chức năng được ủy quyền, vai trò và trách nhiệm, thỏa thuận cấp độ dịch vụ, luật điều chỉnh, nghĩa vụ tài chính, các điều khoản bảo mật dữ liệu (bao gồm khả năng truy cập, tính sẵn sàng, tính toàn vẹn, tính bảo mật và an toàn), kế hoạch kinh doanh liên tục và các điều khoản chấm dứt. Quan trọng là, thỏa thuận phải cấp cho tổ chức ủy quyền và các cơ quan quản lý của họ quyền truy cập và kiểm toán không hạn chế đối với chức năng được thuê ngoài.
• Giám sát Liên tục: Nhà phát hành không thể chỉ đơn giản 'ủy quyền và quên đi'. Họ phải liên tục giám sát hiệu suất của TSP so với các chỉ số đã thỏa thuận, đánh giá tình hình rủi ro liên tục của họ, và xem xét các biện pháp bảo mật và kinh doanh liên tục của họ. Việc chỉ dựa vào các chứng chỉ của TSP là không đủ.
• Chiến lược Rút lui: Đối với các chức năng quan trọng như SCA, nhà phát hành phải có một kế hoạch rút lui được lập thành văn bản. Kế hoạch này nên phác thảo các chiến lược để chấm dứt thỏa thuận, chuyển giao chức năng cho một TSP khác, hoặc đưa chức năng trở lại nội bộ mà không làm gián đoạn dịch vụ hoặc ảnh hưởng đến bảo mật hay tuân thủ.
• Rủi ro Tập trung: Cả các tổ chức ủy quyền và các cơ quan có thẩm quyền đều phải giám sát rủi ro tập trung phát sinh từ việc nhiều tổ chức phụ thuộc vào cùng một TSP, hoặc một số ít TSP thống trị, đặc biệt là đối với các chức năng quan trọng.
• Không có 'Vỏ rỗng': Các hướng dẫn nêu rõ rằng việc thuê ngoài không được dẫn đến tình huống mà tổ chức ủy quyền trở thành một 'vỏ rỗng' thiếu thực chất và năng lực hoạt động để duy trì giấy phép. Trách nhiệm cuối cùng về tuân thủ và quản lý rủi ro vẫn thuộc về ban quản lý của tổ chức ủy quyền.

Thêm một lớp phức tạp nữa là Đạo luật Khả năng Phục hồi Hoạt động Kỹ thuật số (DORA), thiết lập các quy tắc hài hòa trên toàn EU để quản lý rủi ro Công nghệ Thông tin và Truyền thông (ICT) trong lĩnh vực tài chính. DORA có hiệu lực từ ngày 17 tháng 1 năm 2025.

DORA có liên quan đến DA theo nhiều cách:

• Áp dụng Trực tiếp: DORA áp dụng trực tiếp cho các tổ chức tài chính, bao gồm các ngân hàng và các PSP khác sẽ ủy quyền SCA.
• Nhà cung cấp Bên thứ ba ICT Quan trọng (CTPPs): DORA thiết lập một khuôn khổ giám sát cho các nhà cung cấp bên thứ ba ICT được coi là quan trọng đối với hệ thống tài chính. Các TSP lớn cung cấp dịch vụ DA trên quy mô lớn (ví dụ: các cổng thanh toán lớn, nhà cung cấp ví, có thể là các nhà cung cấp dịch vụ đám mây liên quan) có thể được chỉ định là CTPP, đưa họ vào diện giám sát trực tiếp của các cơ quan EU.
• Tích hợp với PSD3/PSR: Các đề xuất PSD3/PSR tham chiếu rõ ràng đến DORA, cho thấy rằng các thỏa thuận thuê ngoài, bao gồm cả DA, phải tuân thủ các yêu cầu của nó. Điều này có nghĩa là các TSP thực hiện DA sẽ cần đáp ứng các tiêu chuẩn của DORA về quản lý rủi ro ICT, báo cáo sự cố, kiểm tra khả năng phục hồi và quản lý rủi ro bên thứ ba, làm tăng thêm gánh nặng tuân thủ.

Sự tương tác giữa Hướng dẫn Thuê ngoài của EBA và DORA tạo ra một mạng lưới nghĩa vụ tuân thủ dày đặc cho bất kỳ TSP nào tham gia vào DA. Để cung cấp thành công các dịch vụ này sẽ không chỉ đòi hỏi năng lực kỹ thuật mà còn cần đầu tư đáng kể vào các cấu trúc quản trị, khuôn khổ quản lý rủi ro, tài liệu vững chắc, sự sẵn sàng cho kiểm toán và khả năng phục hồi hoạt động có thể chứng minh được. Môi trường phức tạp này có thể vô tình tạo lợi thế cho các TSP lớn, đã có uy tín với nguồn lực và chuyên môn để điều hướng các yêu cầu khắt khe này.

Một hệ quả quan trọng của DA theo khuôn khổ được đề xuất là sự thay đổi về trách nhiệm pháp lý đối với các giao dịch gian lận khi SCA thất bại.

• Các đề xuất dự thảo chỉ ra rằng bên thứ ba thực hiện SCA được ủy quyền (ví dụ: merchant, cổng thanh toán, ví) sẽ chịu trách nhiệm pháp lý về các thiệt hại tài chính do gian lận nếu họ không áp dụng SCA một cách chính xác. Đây là một thay đổi cơ bản so với việc chuyển giao trách nhiệm pháp lý thông thường theo 3DS, nơi trách nhiệm thường chuyển sang nhà phát hành nếu SCA được áp dụng thành công.
• Hơn nữa, dự thảo PSR đưa ra trách nhiệm pháp lý tiềm tàng cho các nhà cung cấp dịch vụ kỹ thuật và các nhà khai thác chương trình thanh toán nếu một lỗi SCA có thể quy cho hệ thống hoặc cơ sở hạ tầng của họ. Điểm cụ thể này phải đối mặt với sự phản đối mạnh mẽ, đáng chú ý là từ Mastercard, họ cho rằng điều này dựa trên những quan niệm sai lầm về trách nhiệm triển khai SCA.
• Các nhà phát hành, trong khi có thể ủy quyền quy trình SCA, không hoàn toàn được miễn trừ. Họ vẫn chịu trách nhiệm pháp lý đối với một số loại gian lận, chẳng hạn như 'giả mạo' (spoofing) khi kẻ gian lận mạo danh ngân hàng. Nghị viện châu Âu thậm chí đã đề xuất mở rộng các quyền hoàn tiền này trong các trường hợp gian lận APP.

Trách nhiệm pháp lý trực tiếp này đặt lên các TSP đối với các lỗi SCA theo DA đại diện cho một rủi ro tài chính đáng kể. Mặc dù lời hứa về trải nghiệm người dùng được cải thiện và tỷ lệ chuyển đổi hấp dẫn, chi phí tiềm tàng của gian lận có thể hoạt động như một yếu tố ngăn cản đáng kể đối với nhiều TSP đang cân nhắc cung cấp dịch vụ DA. Các chiến lược giảm thiểu rủi ro mạnh mẽ, có thể bao gồm phí dịch vụ cao hơn hoặc bảo hiểm chuyên biệt, có thể trở thành điều kiện tiên quyết cần thiết để các merchant và cổng thanh toán áp dụng rộng rãi DA.

Xác thực Ủy quyền có tiềm năng định hình lại cơ bản trải nghiệm người dùng cho các giao dịch thanh toán bằng thẻ, đặc biệt khi so sánh với quy trình 3-D Secure (3DS) truyền thống.

Hiện tại, quy trình 3DS cho các thử thách SCA thường bao gồm một sự chuyển giao nơi khách hàng tương tác với một yếu tố do nhà phát hành kiểm soát. Theo truyền thống, điều này có nghĩa là một sự chuyển hướng trình duyệt hoàn toàn khỏi trang web hoặc ứng dụng của merchant đến tên miền của nhà phát hành (ví dụ: ứng dụng ngân hàng của họ hoặc một trang xác thực cụ thể). Ngày càng có nhiều phiên bản 3DS mới hơn trình bày thử thách này ngay trong trang thông qua một iframe được nhúng trên trang của merchant. Mặc dù iframe tránh được việc rời khỏi trang hoàn toàn, cả hai phương pháp chuyển hướng sự tập trung của người dùng đến một bước do nhà phát hành kiểm soát đều có thể gây khó chịu, làm tăng thời gian thanh toán và góp phần vào việc khách hàng bỏ ngang.

DA cung cấp một con đường để loại bỏ sự phiền toái của việc thay đổi quy trình này. Bằng cách cho phép merchant, cổng thanh toán hoặc ví kỹ thuật số thực hiện SCA trực tiếp trong môi trường của riêng họ, bước xác thực có thể được tích hợp liền mạch vào luồng thanh toán. Điều này hứa hẹn một trải nghiệm mượt mà hơn, nhanh hơn và gắn kết hơn cho khách hàng. Khi kết hợp với các phương thức xác thực hiện đại, ít phiền toái như sinh trắc học tích hợp trên thiết bị (Face ID, quét vân tay) hoặc passkeys, DA có thể giảm đáng kể sự phiền toái khi thanh toán, có khả năng dẫn đến tỷ lệ từ bỏ giỏ hàng thấp hơn và tỷ lệ chuyển đổi thanh toán cao hơn. Dữ liệu thực tế, chẳng hạn như báo cáo của Stripe về việc tăng 7% tỷ lệ chuyển đổi và xác thực nhanh hơn bốn lần cho các giao dịch sử dụng giải pháp DA của họ với chủ thẻ Wise, đã nhấn mạnh lợi ích tiềm năng này.

Để hiện thực hóa tiềm năng này đòi hỏi nền tảng kỹ thuật và thương mại đáng kể. Nó liên quan đến việc thiết lập các điểm tích hợp và giao thức truyền thông mới giữa các merchant/cổng thanh toán/ví và các nhà phát hành. Các chương trình thanh toán như Visa và Mastercard đóng một vai trò quan trọng ở đây. Ví dụ, Mastercard đã phát triển Identity Check Express cho phép các merchant và Mastercard xác thực người tiêu dùng thay mặt cho nhà phát hành ngay trong luồng của merchant. Tương tự, Stripe đã xây dựng khả năng DA của mình dựa trên các thỏa thuận song phương với các nhà phát hành cụ thể như Wise.

Những phát triển này cho thấy DA không chỉ là một bản cập nhật quy định. Nó hoạt động như một sự trợ giúp để tái kiến trúc các luồng xác thực thanh toán. Việc di chuyển điểm xác thực từ tên miền của nhà phát hành trở lại môi trường của merchant hoặc ví tạo ra cơ hội cho các quyết định xác thực phong phú hơn, nhận biết ngữ cảnh tốt hơn và trải nghiệm người dùng ít gây gián đoạn hơn so với mô hình chuyển hướng truyền thống. Sự thay đổi kiến trúc này đòi hỏi phải tích hợp các phương thức xác thực hiện đại như passkeys trực tiếp vào quy trình thanh toán. Tuy nhiên, quá trình chuyển đổi này phụ thuộc vào việc thiết lập các biện pháp bảo mật mạnh mẽ, phân bổ trách nhiệm pháp lý rõ ràng (như đã thảo luận trước đó) và các khuôn khổ đáng tin cậy, có khả năng được điều chỉnh bởi sự kết hợp của các quy tắc chương trình, thỏa thuận song phương và tuân thủ các quy định nghiêm ngặt về thuê ngoài và DORA.

Trong khi các dự thảo PSD3/PSR thiết lập nền tảng lập pháp, hình dạng cuối cùng của Xác thực Ủy quyền sẽ bị ảnh hưởng đáng kể bởi các cuộc đối thoại và vận động hành lang đang diễn ra từ các bên tham gia chính trong ngành. Các ngân hàng, PSP, nhà cung cấp công nghệ và các merchant đang tích cực diễn giải các dự thảo này và ủng hộ những thay đổi phù hợp với mô hình kinh doanh và mục tiêu chiến lược của họ. Nhiều nỗ lực vận động hành lang của EU có thể được truy cập thông qua Sổ đăng ký Vận động hành lang của Đức (lưu ý: sổ đăng ký này chủ yếu bằng tiếng Đức, và nhiều tài liệu được nộp cũng đã được gửi đến các cơ quan khác của Liên minh châu Âu). Phân tích sau đây dựa trên các bản tóm tắt và tài liệu có sẵn từ các đệ trình công khai này.

Là một nhà cung cấp cơ sở hạ tầng thanh toán lớn, Stripe nhận thấy cơ hội đáng kể trong DA. Họ xem đây là một công cụ quan trọng để cải thiện tỷ lệ chuyển đổi thanh toán và nâng cao trải nghiệm thanh toán của khách hàng bằng cách giảm bớt sự phiền toái. Stripe đã chủ động ra mắt giải pháp DA của riêng mình, dựa trên các thỏa thuận song phương với các nhà phát hành như Wise, thể hiện cam kết của mình với mô hình này ngay cả trước khi PSD3/PSR được hoàn thiện. Các nỗ lực vận động hành lang của họ dường như tập trung vào việc đảm bảo môi trường pháp lý hỗ trợ sự đổi mới và giảm thiểu gánh nặng. Các lĩnh vực chính bao gồm việc ủng hộ các quy trình tái cấp phép hợp lý cho các tổ chức đã được cấp phép theo PSD3, tìm kiếm sự rõ ràng và linh hoạt hơn về các miễn trừ SCA (như ngưỡng Phân tích Rủi ro Giao dịch (TRA) và Giao dịch do Merchant Khởi tạo (MIT)), đảm bảo các nền tảng sử dụng các giải pháp như Stripe Connect không bị gánh nặng không cần thiết với các yêu cầu cấp phép đại lý, và thúc đẩy quyền truy cập trực tiếp vào các hệ thống thanh toán cho các PSP không phải là ngân hàng.

PayPal, một tổ chức tiền điện tử và nhà cung cấp ví lớn, là một người ủng hộ mạnh mẽ cho cách tiếp cận SCA dựa trên kết quả. Họ cho rằng các quy định nên ưu tiên hiệu quả bảo mật có thể chứng minh được của một phương thức xác thực – đặc biệt là khả năng chống lại các mối đe dọa hiện đại như lừa đảo – thay vì tuân thủ nghiêm ngặt các loại yếu tố Kiến thức/Sở hữu/Vốn có truyền thống được định nghĩa trong PSD2. Họ nhấn mạnh sự thành công của việc triển khai passkey của mình, đã giảm đáng kể gian lận trong khi cải thiện tỷ lệ đăng nhập thành công. Do đó, PayPal kêu gọi các nhà hoạch định chính sách thiết kế PSR tập trung vào sức mạnh tổng thể của các giải pháp xác thực, cho phép kết hợp các yếu tố mạnh ngay cả khi chúng thuộc cùng một loại (ví dụ: hai yếu tố sở hữu), cân bằng giữa bảo mật và khả năng sử dụng, và tránh các yêu cầu công nghệ quá khắt khe.

Mastercard phản đối mạnh mẽ việc dự thảo phân loại rộng rãi tất cả DA là thuê ngoài. Họ cho rằng, cùng với các nhóm ngành khác, chỉ những mô hình xác thực mà nhà phát hành thiếu quyền kiểm soát đối với quy trình SCA mới nên phải chịu sự nghiêm ngặt đầy đủ của các quy định thuê ngoài. Lập trường vận động hành lang của họ phản ánh điều này: họ tìm kiếm sự làm rõ rằng DA không phải là thuê ngoài 'quan trọng', ủng hộ các thỏa thuận thuê ngoài có thể mở rộng hoặc đa phương để tạo điều kiện cho việc áp dụng DA, và muốn loại bỏ hoàn toàn trách nhiệm pháp lý được đề xuất cho các chương trình và TSP liên quan đến các lỗi SCA. Ngoài ra, Mastercard thúc đẩy việc yêu cầu các merchant gửi thêm thông tin, như dữ liệu hành vi và môi trường cho các nhà phát hành để cải thiện việc đánh giá rủi ro, và yêu cầu cho phép rõ ràng các TSP xử lý dữ liệu sinh trắc học mà không cần sự đồng ý rõ ràng của người dùng đặc biệt cho mục đích SCA, và đề xuất tinh chỉnh các miễn trừ SCA cho các trường hợp sử dụng rủi ro thấp cụ thể.

Các hiệp hội thương mại và các cơ quan ngành phần lớn lặp lại những lo ngại được nêu ra bởi các bên tham gia chính. Ví dụ, Payments Europe phản ánh lập trường của Mastercard về định nghĩa thuê ngoài, nhấn mạnh rằng chỉ những kịch bản mà nhà phát hành mất quyền kiểm soát mới nên kích hoạt các quy tắc thuê ngoài. Bitkom, đại diện cho ngành công nghiệp kỹ thuật số, cũng kêu gọi sự rõ ràng về điểm này và ủng hộ việc quy định rõ ràng về sinh trắc học hành vi cho SCA. Các nhóm này liên tục nhấn mạnh sự cần thiết của tính trung lập về công nghệ và sự linh hoạt trong khuôn khổ SCA để thúc đẩy sự đổi mới và tránh loại trừ kỹ thuật số). CCIA Europe nêu ra những lo ngại thực tế về khả năng thực thi quyền kiểm toán và kiểm soát rộng rãi của các nhà phát hành đối với các điều khoản bảo mật của TSP theo các thỏa thuận DA.

Bảng: Các Lập trường Chính của Ngành về Xác thực Ủy quyền & SCA theo PSD3/PSR

Sự phản đối mạnh mẽ, có phối hợp chống lại cách tiếp cận hiện tại của dự thảo nhấn mạnh một sự căng thẳng cơ bản. Ngành công nghiệp mong muốn những lợi ích về trải nghiệm người dùng và sự đổi mới mà DA có thể mang lại nhưng lại tìm cách tránh những gánh nặng tuân thủ đáng kể liên quan đến việc thuê ngoài được quy định theo Hướng dẫn của EBA. Giải pháp thay thế mà họ đề xuất – định nghĩa việc thuê ngoài dựa trên việc liệu nhà phát hành có giữ quyền kiểm soát hay không – nhằm tạo ra một không gian cho DA ít bị quản lý hơn. Việc giải quyết cuộc tranh luận này trong các cuộc thảo luận lập pháp sẽ rất quan trọng trong việc xác định tính khả thi và sự hấp dẫn thực tế của DA đối với nhiều TSP.

Bất chấp sự không chắc chắn về quy định này, các công ty hàng đầu như Stripe và Mastercard không chờ đợi. Họ đang tích cực phát triển và triển khai các giải pháp DA ngay bây giờ, sử dụng các khuôn khổ hiện có như thỏa thuận song phương và các quy tắc của chương trình, thường kết hợp các công nghệ tiên tiến như sinh trắc học và tiêu chuẩn FIDO. Chiến lược chủ động này cho phép họ chiếm lĩnh thị phần sớm, chứng minh tính khả thi về mặt kỹ thuật của DA, có khả năng định hình các tiêu chuẩn mới nổi và chuẩn bị cho khách hàng của họ cho bối cảnh tương lai. Cách tiếp cận này không chỉ được thúc đẩy bởi việc nâng cao trải nghiệm người tiêu dùng; nó còn phục vụ mục đích gắn kết khách hàng chặt chẽ hơn với nhà cung cấp thanh toán thay vì nhà phát hành, trong khi vẫn điều hướng các rủi ro cố hữu của một môi trường pháp lý đang phát triển và các thay đổi về trách nhiệm pháp lý liên quan. Khi ngành công nghiệp khám phá các mô hình DA mới này, vai trò của các công nghệ xác thực tiên tiến như passkeys ngày càng trở nên trung tâm để đạt được cả mục tiêu bảo mật và trải nghiệm người dùng.

Passkeys, dựa trên tiêu chuẩn WebAuthn của Liên minh FIDO, đại diện cho một tiến bộ quan trọng trong công nghệ xác thực, và phần này sẽ thảo luận về cách chúng có thể giúp thu hẹp khoảng cách cho Xác thực Khách hàng Mạnh mẽ (SCA) trong bối cảnh Xác thực Ủy quyền (DA).

Sức mạnh cốt lõi của Passkeys là sử dụng mật mã khóa công khai để tạo ra các thông tin xác thực duy nhất cho mỗi trang web hoặc ứng dụng. Cơ chế này làm cho chúng có khả năng chống lại các cuộc tấn công lừa đảo một cách tự nhiên, vì thông tin xác thực chỉ hoạt động trên trang web hợp pháp mà nó được tạo ra, và dựa vào việc mở khóa thiết bị an toàn (thường thông qua sinh trắc học) thay vì các bí mật được chia sẻ như mật khẩu. Sự kết hợp này mang lại tiềm năng cho cả bảo mật nâng cao và trải nghiệm người dùng mượt mà hơn.

Về mặt kỹ thuật, passkeys dường như rất phù hợp cho các kịch bản Xác thực Ủy quyền. Trong một luồng DA, một merchant hoặc cổng thanh toán thực hiện SCA có thể nhắc người dùng xác thực bằng cách sử dụng một passkey được lưu trữ trên thiết bị của họ (điện thoại, máy tính). Việc xác thực này diễn ra trực tiếp trong môi trường của merchant hoặc TSP, tận dụng khả năng sinh trắc học tích hợp của thiết bị (như Face ID hoặc quét vân tay) để xác minh, do đó loại bỏ nhu cầu chuyển hướng hoặc các mã OTP rườm rà. Điều này hoàn toàn phù hợp với mục tiêu của DA là tạo ra các quy trình thanh toán liền mạch và an toàn hơn. Nhưng hãy cùng xem cách một Nhà phát hành có thể kiểm soát và xác minh một xác thực của bên thứ ba bằng passkeys.

Tuy nhiên, việc tích hợp passkeys vào thế giới được quy định của SCA, đặc biệt là theo DA, phải đối mặt với những thách thức. Việc phân loại cứng nhắc theo ba yếu tố (Kiến thức, Sở hữu, Vốn có) của PSD2 đã tạo ra sự mơ hồ về cách passkeys phù hợp, đặc biệt là liên quan đến yếu tố 'Sở hữu' và tính độc lập của các yếu tố khi sinh trắc học mở khóa thiết bị giữ passkey. Sự xuất hiện của passkeys được đồng bộ hóa (có thể có sẵn trên nhiều thiết bị) càng làm phức tạp thêm việc phân loại này.

Trong khi PSD3/PSR giới thiệu một số sự linh hoạt bằng cách làm rõ rằng các yếu tố xác thực chỉ cần độc lập (việc xâm phạm một yếu tố không ảnh hưởng đến yếu tố kia) thay vì nhất thiết phải thuộc các loại khác nhau, như đã nêu rõ trong quy định được đề xuất:

Điều này không giải quyết hoàn toàn sự mơ hồ trong phân loại hoặc cung cấp sự chứng thực rõ ràng cho passkeys được đồng bộ hóa là tuân thủ SCA. Sự không chắc chắn về quy định này củng cố các lập luận của các bên như PayPal, những người ủng hộ cách tiếp cận SCA dựa trên kết quả, tập trung vào các kết quả bảo mật đã được chứng minh (như khả năng chống lừa đảo) do các phương pháp như passkeys mang lại, thay vì ép chúng vào các hộp phân loại có thể đã lỗi thời. (Để tìm hiểu sâu hơn về SCA dựa trên kết quả và passkeys, hãy xem phân tích SCA dựa trên kết quả của chúng tôi)

Với việc người dùng và các merchant áp dụng rộng rãi passkeys được đồng bộ hóa, và những hạn chế của SPC, khuôn khổ PSD3/PSR nên nhằm mục đích tạo ra một con đường rõ ràng để tận dụng các mối quan hệ passkey hiện có này trong Xác thực Ủy quyền. Cách tiếp cận này sẽ tập trung vào bảo mật thực tế, dựa trên kết quả thay vì bị ràng buộc bởi các triển khai kỹ thuật cụ thể được hình thành trước khi passkeys được đồng bộ hóa trưởng thành. Để đạt được điều này, một số phát triển quan trọng là cần thiết, tập trung vào các điều chỉnh quy định, cơ chế tin cậy hoạt động và các tiêu chuẩn ngành đang phát triển. Một mô hình DA có khả năng thích ứng với tương lai tận dụng passkeys được đồng bộ hóa có thể bao gồm một số phát triển quan trọng mà chúng ta sẽ thảo luận ngay bây giờ.

Việc phổ biến hiệu quả passkeys được đồng bộ hóa trong DA bắt đầu bằng việc Cho phép và Yêu cầu theo Quy định rõ ràng trong PSD3/PSR. Điều này bao gồm các cân nhắc chính sau:

• Chứng thực Rõ ràng cho Passkeys được Đồng bộ hóa cho DA: PSD3/PSR nên làm rõ một cách rõ ràng rằng passkeys được đồng bộ hóa, khi được sử dụng hợp lý, có thể đáp ứng các yêu cầu SCA trong bối cảnh DA. Trọng tâm nên là liên kết mật mã có thể xác minh, khả năng chống lừa đảo đạt được và tính độc lập của quy trình xác thực, thay vì tuân thủ cứng nhắc các phân loại yếu tố SCA có từ trước passkey.
• Yêu cầu Dữ liệu Xác thực Phong phú: Phù hợp với các yêu cầu của ngành (chẳng hạn như từ Mastercard), quy định nên yêu cầu các TSP thực hiện DA phải bao gồm dữ liệu xác thực toàn diện, được tiêu chuẩn hóa (ví dụ: chi tiết về xác thực passkey, các yếu tố assertion FIDO có liên quan và các tín hiệu rủi ro theo ngữ cảnh) trong thông tin giao dịch thanh toán được gửi đến các mạng thanh toán và nhà phát hành. Điều này xây dựng dựa trên các cơ chế hiện có như trường threeDSRequestorAuthenticationInfo được sử dụng trong EMV 3DS cho dữ liệu FIDO của merchant 1.

Ngoài sự rõ ràng về quy định, việc Vận hành Lòng tin với Passkeys do Merchant nắm giữ là rất quan trọng để áp dụng rộng rãi. Điều này đòi hỏi các hệ thống và quy trình mạnh mẽ cho:

• Xác minh của Nhà phát hành đối với DA do Merchant khởi tạo: Các nhà phát hành sẽ cần các hệ thống mạnh mẽ để nhận và xác minh mật mã các assertion xác thực được tạo ra từ passkeys. Quan trọng là, trong nhiều kịch bản DA, passkey được sử dụng có thể là một passkey mà người dùng đã tạo với merchant để truy cập các dịch vụ của chính merchant đó.
• Thử thách Động & Kiểm soát của Nhà phát hành: Để duy trì quyền kiểm soát của nhà phát hành và đảm bảo liên kết động, một giao dịch DA có thể hoạt động như sau:
  • Nhà phát hành (hoặc mạng thanh toán thay mặt) cung cấp một thử thách duy nhất, dành riêng cho giao dịch cho TSP (merchant/cổng thanh toán).
  • TSP nhắc người dùng ủy quyền giao dịch bằng cách ký vào thử thách này (cộng với dữ liệu giao dịch quan trọng) bằng passkey được đồng bộ hóa hiện có của họ đã đăng ký với merchant.
  • Assertion đã ký được trả lại cho nhà phát hành để xác minh.
• Chuyển giao DA có Điều kiện: Một xác thực ban đầu, mạnh mẽ hơn trực tiếp với nhà phát hành (có thể sử dụng passkey do nhà phát hành đăng ký hoặc một luồng thử thách 3DS mạnh mẽ) có thể thiết lập một mối quan hệ tin cậy cho một passkey cụ thể của merchant. Các giao dịch DA tiếp theo sử dụng cùng một passkey của merchant đã được xác minh đó sau đó có thể tiến hành với mô hình thử thách động được mô tả ở trên, mang lại trải nghiệm người dùng mượt mà hơn miễn là passkey vẫn còn hiệu lực và các thông số rủi ro được đáp ứng.

Cuối cùng, thành công lâu dài của DA dựa trên passkey sẽ phụ thuộc vào Phát triển Tiêu chuẩn và một sự chuyển dịch vững chắc sang Quan điểm SCA Dựa trên Kết quả. Điều này đòi hỏi:

• Vai trò của các Cơ quan Ngành: Các tổ chức như Liên minh FIDO (bao gồm các nhóm làm việc tập trung vào thanh toán) và EMVCo là rất quan trọng trong việc phát triển và tiêu chuẩn hóa các giao thức và tín hiệu tin cậy cần thiết để hỗ trợ các mô hình DA như vậy một cách an toàn và có thể mở rộng. Điều này bao gồm việc xác định cách các assertion xác thực từ passkeys do merchant nắm giữ có thể được trình bày và xác minh một cách đáng tin cậy bởi các nhà phát hành trong bối cảnh DA.
• Vượt ra ngoài các Định nghĩa SCA Cứng nhắc: Mục tiêu cuối cùng nên là chuyển đổi sang một cách tiếp cận SCA dựa trên kết quả. Nếu một phương pháp DA sử dụng passkeys được đồng bộ hóa (ngay cả những passkey được tạo với merchant) có thể chứng minh được rằng nó cung cấp xác thực đa yếu tố chống lừa đảo, được liên kết động với giao dịch, thì nó nên được coi là tuân thủ. Điều này ưu tiên kết quả bảo mật thực tế hơn là tuân thủ các diễn giải truyền thống, đôi khi đã lỗi thời, về các yếu tố SCA, từ đó thúc đẩy sự đổi mới và tận dụng các công nghệ đã quen thuộc với người dùng.

Sự tiến hóa này sẽ cho phép hệ sinh thái thanh toán tận dụng khoản đầu tư và sự chấp nhận đáng kể hiện có đối với passkeys được đồng bộ hóa của cả người dùng và merchant, tạo ra một con đường cho Xác thực Ủy quyền an toàn hơn, liền mạch hơn và có thể truy cập rộng rãi hơn.

Sơ đồ tuần tự ở trên minh họa một tương lai tiềm năng cho Xác thực Ủy quyền (DA) tận dụng passkeys trong hệ sinh thái thanh toán. Nó mô tả một luồng được tinh giản nơi các merchant, sử dụng passkeys, có thể thực hiện Xác thực Khách hàng Mạnh mẽ (SCA) thay mặt cho các nhà phát hành. Tầm nhìn này phù hợp với định hướng của PSD3/PSR và sự chấp nhận ngày càng tăng của công nghệ passkey.

Kiểm tra Thực tế: Tuy nhiên, tương lai được hình dung này chưa phải là tiêu chuẩn hiện tại. Một số thách thức thực tế phải được giải quyết để áp dụng rộng rãi. Các khuôn khổ pháp lý, đặc biệt là theo PSD3/PSR sắp tới, cần làm rõ hoàn toàn cách passkeys được đồng bộ hóa phù hợp với Xác thực Khách hàng Mạnh mẽ và cách trách nhiệm pháp lý sẽ được quản lý trong các kịch bản Xác thực Ủy quyền. Các tiêu chuẩn kỹ thuật thiết yếu, bao gồm cả những tiêu chuẩn để các nhà phát hành xác minh passkeys do merchant nắm giữ và để đảm bảo liên kết giao dịch động nhất quán trên tất cả các nền tảng, vẫn đang trong quá trình hoàn thiện. Xây dựng lòng tin rộng rãi của nhà phát hành vào các quy trình xác thực do merchant dẫn dắt cũng là một bước quan trọng. Hơn nữa, việc đảm bảo trải nghiệm người dùng liền mạch, quản lý nhiều passkeys tiềm năng cho mỗi người dùng và đạt được sự hỗ trợ phổ biến của trình duyệt/nền tảng cho tất cả các chức năng thanh toán cụ thể cần thiết vẫn là những nỗ lực không ngừng. Cuối cùng, việc giải quyết bất kỳ nhận thức bảo mật nào còn tồn tại xung quanh hệ sinh thái passkey được đồng bộ hóa và độ tin cậy của attestation sẽ rất quan trọng để xây dựng sự tin tưởng hoàn toàn.

Bất chấp những trở ngại này – nhiều trong số đó là đặc thù của luật SCA châu Âu, điều quan trọng cần nhớ là chỉ áp dụng cho châu Âu – công nghệ cơ bản cho một hệ thống như vậy phần lớn đã có sẵn. Điều này được chứng minh bằng thực tế ngày nay: sự chấp nhận passkey rộng rãi bởi các công ty lớn ngoài EU, chẳng hạn như PayPal, và việc sử dụng rộng rãi bởi nhiều ngân hàng Hoa Kỳ (bao gồm cả những ngân hàng sử dụng Banno của Jack Henry và nhiều ngân hàng khác). Do đó, luồng được mô tả là khả thi về mặt kỹ thuật và sẽ tận dụng đà phát triển mạnh mẽ, hiện có của việc chấp nhận passkey bởi người dùng và merchant, thay vì đi ngược lại nó. Cách tiếp cận này có thể mở đường cho những trải nghiệm thanh toán an toàn và liền mạch hơn trên toàn cầu.

PSD3 và PSR được đề xuất đại diện cho một sự tiến hóa đáng kể trong khuôn khổ pháp lý thanh toán của EU, nhằm mục đích xây dựng trên nền tảng của PSD2 đồng thời giải quyết những hạn chế của nó và thích ứng với một thị trường đang số hóa nhanh chóng.

Một phát triển quan trọng là việc cho phép rõ ràng Xác thực Ủy quyền (DA), cho phép các bên thứ ba như merchant và ví thực hiện Xác thực Khách hàng Mạnh mẽ (SCA) thay mặt cho các ngân hàng phát hành. Tuy nhiên, việc cho phép này đi kèm với một cảnh báo quan trọng trong EU: việc phân loại DA là 'thuê ngoài'. Điều này kích hoạt một mạng lưới phức tạp các nghĩa vụ tuân thủ theo Hướng dẫn của EBA về Thỏa thuận Thuê ngoài và Đạo luật Khả năng Phục hồi Hoạt động Kỹ thuật số (DORA). Hơn nữa, các đề xuất chuyển trách nhiệm pháp lý đối với SCA thất bại trực tiếp sang thực thể thực hiện xác thực được ủy quyền.

Điều này tạo ra một sự căng thẳng cơ bản, đặc biệt là trong bối cảnh châu Âu. Một bên là động lực pháp lý cho việc tăng cường bảo mật, kiểm soát và khả năng phục hồi, được thể hiện thông qua các yêu cầu nghiêm ngặt về thuê ngoài và khả năng phục hồi hoạt động. Bên kia là mong muốn mạnh mẽ của ngành công nghiệp về sự đổi mới, linh hoạt và trải nghiệm người dùng được cải thiện, mà DA, đặc biệt khi kết hợp với các phương pháp hiện đại như passkeys, hứa hẹn sẽ mang lại. Các nỗ lực vận động hành lang mạnh mẽ xung quanh định nghĩa 'thuê ngoài' cho mục đích DA đã làm nổi bật cuộc xung đột này. Đáng chú ý là trong khi những rào cản pháp lý cụ thể này nổi bật ở EU, công nghệ passkey cơ bản đang được áp dụng mạnh mẽ trên toàn cầu và triển khai thành công ở các thị trường khác với các bối cảnh pháp lý khác nhau.

Tỷ lệ chấp nhận và tác động trong tương lai của Xác thực Ủy quyền, đặc biệt là trong EU, phụ thuộc rất nhiều vào các chi tiết cuối cùng của quy trình lập pháp – đặc biệt là liên quan đến phạm vi của các quy tắc thuê ngoài, việc phân bổ trách nhiệm pháp lý, và quan trọng là, sự công nhận rõ ràng của passkeys được đồng bộ hóa như một cơ chế tuân thủ SCA trong DA. Khả năng của ngành công nghiệp trong việc thiết lập các khuôn khổ tin cậy thực tế, có thể mở rộng giữa các nhà phát hành và các TSP thực hiện xác thực cũng sẽ là tối quan trọng.

Passkeys, đặc biệt là passkeys được đồng bộ hóa, vốn đã phù hợp với các mục tiêu của DA, cung cấp khả năng chống lừa đảo mạnh mẽ và tiềm năng cho trải nghiệm người dùng liền mạch, dựa trên sinh trắc học. Chúng đại diện cho một giải pháp thay thế hấp dẫn cho mật khẩu truyền thống và OTP. Thách thức không nằm ở tính khả thi về mặt kỹ thuật của việc sử dụng passkeys cho DA – như được chứng minh bằng sự chấp nhận thành công trên toàn cầu cho các mục đích xác thực khác nhau – mà là ở việc điều hướng các yêu cầu pháp lý cụ thể của EU và thiết lập các tiêu chí rõ ràng, dựa trên kết quả cho việc chấp nhận chúng theo SCA. Một cách tiếp cận ưu tiên các kết quả bảo mật có thể chứng minh được của các xác thực passkey (ví dụ: khả năng xác minh mật mã, khả năng chống lừa đảo, liên kết động) hơn là tuân thủ cứng nhắc các phân loại yếu tố truyền thống sẽ là điều cần thiết để khai thác hết tiềm năng của chúng trong DA.

Đối với các doanh nghiệp hoạt động trong hệ sinh thái thanh toán châu Âu, những năm tới đòi hỏi phải theo dõi cẩn thận việc hoàn thiện PSD3, PSR và các tiêu chuẩn kỹ thuật liên quan của EBA. Các tổ chức nên chủ động đánh giá cách Xác thực Ủy quyền, được tăng cường bởi hệ sinh thái passkey đang trưởng thành, có thể định hình lại các chiến lược thanh toán và xác thực của họ. Điều này không chỉ bao gồm việc đánh giá tiềm năng của các công nghệ như passkeys được đồng bộ hóa mà còn chuẩn bị cho các thay đổi về hoạt động và tuân thủ cần thiết để xây dựng lòng tin có thể xác minh với các đối tác trong các thỏa thuận DA.

Đối với các nhà cung cấp giải pháp xác thực, cơ hội nằm ở việc phát triển các sản phẩm an toàn, thân thiện với người dùng và được kiến trúc để giúp khách hàng (TSP) đáp ứng các yêu cầu tuân thủ khắt khe của DA trong bối cảnh PSD3/PSR. Điều này bao gồm việc tạo điều kiện thuận lợi cho việc trao đổi dữ liệu xác thực an toàn và hỗ trợ các cơ chế cho phép các nhà phát hành tự tin xác minh các giao dịch DA được thực hiện bằng passkeys do merchant nắm giữ, cuối cùng thúc đẩy các trải nghiệm thanh toán an toàn và liền mạch mà PSD3/PSR hướng tới bằng cách tận dụng đà phát triển toàn cầu của công nghệ passkey.