PSD3 / PSR 下的委托认证与 Passkeys

第二次支付服务指令 (PSD2) 极大地改变了欧洲的支付格局。自 2018 年起逐步生效的 PSD2 强制要求大多数电子支付采用强客户身份验证 (SCA)，以增强安全性并打击欺诈。这通常需要使用以下三个独立因素中的至少两个来验证用户身份：知识（只有用户知道的东西，如密码）、所有权（只有用户拥有的东西，如手机或硬件令牌）和内在性（用户自身的特征，如指纹或面部扫描）。

虽然 PSD2 的 SCA 要求已证明能有效减少某些类型的欺诈，但它们也给支付流程带来了摩擦，特别是对于涉及 3-D Secure (3DS) 协议的银行卡支付。3DS 协议通常会将用户重定向到其银行的域名进行身份验证。这种额外的结账摩擦可能导致购物车放弃率上升，用户体验也不够流畅。

认识到这些挑战以及数字支付市场的快速发展，欧盟委员会于 2023 年 6 月 28 日发布了更新该框架的立法提案。该提案包包括一项新的支付服务指令 (PSD3) 和一项支付服务法规 (PSR)。

这次改革通常被描述为“演进，而非革命”，旨在完善现有概念，如强客户身份验证 (SCA) 和开放银行业务，进一步加强对消费者的欺诈保护，促进支付服务提供商 (PSP) 之间的竞争，并改善欧盟支付市场的整体运作。其中一个关键的演进领域是为委托认证提供了明确的说明和框架。

从提案到应用的立法过程涉及多个阶段。在 2023 年 6 月发布后，这些提案进入了涉及欧洲议会和欧盟理事会的欧盟立法程序。议会的经济和货币事务 (ECON) 委员会在 2023 年底和 2024 年初发布了附有修正案的报告草案，随后议会于 2024 年 4 月通过了一读立场。下一阶段是议会、理事会和委员会之间进行谈判，以商定最终文本。在整个过程中，包括银行、PSP、科技公司和消费者团体在内的利益相关者通过公开咨询和游说活动来影响最终结果。

虽然最初估计最终文本将在 2024 年底或 2025 年初敲定，但立法过程可能很复杂，一些分析现在表明可能会出现延迟，最终协议可能推迟，而生效日期可能推迟到 2027 年第一季度。通常，新规预计在其在欧盟官方公报上发布 18 个月后适用，这意味着最早可能在 2026 年年中开始实施，但根据最终敲定时间表的推迟，也可能更晚。

一个重大的结构性变化是在 PSD3 之外引入了 PSR。PSR 将直接适用于所有欧盟成员国，确保像 SCA 要求和开放银行访问等操作规则的统一实施。这直接解决了 PSD2 的一个弱点，即其作为指令的性质导致各国在转化和实施上存在差异，造成了市场碎片化。而 PSD3 仍将作为指令，侧重于支付机构的授权、许可和监管，允许在市场监督方面保留一定的国家自主性。这种双重结构代表了一种战略性方法：通过法规在关键操作领域实现更快、更一致的协调，同时保留指令的形式用于机构监督，因为在这些领域国家特性更为重要。

考虑到三方会谈的复杂性、欧洲银行管理局 (EBA) 后续制定详细的监管技术标准 (RTS) 和指南的需要，以及行业为实施做准备所需的时间，通常引用的 18 个月过渡期显得颇具挑战性。企业在规划时应考虑到潜在的延迟，将 2026 年底甚至 2027 年初视为可能的生效日期。

在拟议的 PSD3/PSR 框架中，最引人注目的澄清之一是明确允许委托认证 (DA)。

委托认证 (DA) 是指付款人的支付服务提供商 (PSP)，通常是发行支付工具的银行（例如，银行卡发卡行），允许第三方代其执行强客户身份验证 (SCA) 的过程。

拟议法规的原文（PSR 提案第 87 条，重点为后加）如下：

草案文本指出，发卡行（通常是提供支付账户的银行）可以将应用 SCA 的责任委托给某些第三方。这些第三方预计将包括商户、支付网关或收单行、在线市场或数字钱包提供商。

此举意义重大，因为它正式承认并为账户持有机构以外的实体执行 SCA 规定的身份验证检查提供了潜在的监管途径。启用 DA 的既定目标是促进身份验证体验的创新。通过允许委托，该法规希望赋能那些通常最接近客户互动的实体（如商户或钱包），以利用最新技术（如生物识别或 Passkeys）构建摩擦更低、集成度更高的身份验证流程，最终改善用户体验。早期的例子，如 Stripe 在 PSD3 草案发布前推出的 DA 实施方案，旨在抓住这些好处，据报道，参与的发卡行的身份验证时间更快，转化率也更高。

然而，提案草案引入了一个关键条件：发卡行将 SCA 委托给第三方被明确归类为外包。这种分类不仅仅是语义上的；它具有重大的监管分量。这意味着任何 DA 安排都必须遵守金融机构外包的严格规定，主要是 EBA 的《外包安排指南》。此外，验证 SCA 要素的数字钱包运营商将需要与发卡行签订正式的外包协议。

这个“外包”标签带来了一个复杂的权衡。一方面，明确允许 DA 表明了监管机构对创新和更好用户体验的开放态度。另一方面，将这些安排置于金融服务外包法规的全面监管之下，会带来巨大的合规开销。这个过程从一个可能简单的技术交接转变为一个核心、受监管的安全功能的委托。这引发了关于尽职调查、合同细节、风险管理、持续监控、审计权以及可能遵守《数字运营韧性法案》(DORA) 的广泛要求。与这些外包要求相关的巨大负担可能会扼杀 DA 旨在鼓励的创新，特别是对于缺乏资源来应对这一复杂监管环境的小型商户或技术服务提供商 (TSP) 而言。

根据 PSD3/PSR 提案，将委托认证归类为“外包”，意味着此类安排完全属于 EBA《外包安排指南》的范围。这些指南为金融机构（包括委托 SCA 的发卡行）以及执行委托功能的技术服务提供商 (TSP) 建立了一个必须遵守的全面框架。

这些指南规定了几个关键义务：

• 尽职调查： 在委托 SCA 之前，发卡行必须对技术服务提供商 (TSP) 进行彻底的尽职调查。这包括评估 TSP 的商业声誉、技术能力、财务稳定性、专业知识、资源（人力、IT）、组织结构和安全措施，以确保他们适合执行 SCA 这一关键功能。
• 风险评估： 在签订外包协议之前和整个协议期间，必须进行全面的风险分析。这必须涵盖操作风险、法律风险、合规风险、集中风险（过度依赖某个 TSP）以及与次级外包相关的风险（即 TSP 进一步委托部分功能）。外包被视为“关键或重要”的功能（SCA 除非明确豁免，否则被默认为此类）会触发更严格的要求。
• 合同要求： 详细的书面协议至关重要。该合同必须明确界定委托功能的范围、角色和责任、服务水平协议、管辖法律、财务义务、数据安全规定（涵盖可访问性、可用性、完整性、机密性和安全性）、业务连续性计划和终止条款。至关重要的是，协议必须授予委托机构及其监管机构对所外包功能不受限制的访问和审计权。
• 持续监控： 发卡行不能简单地“委托了事”。他们必须根据商定的指标持续监控 TSP 的表现，评估其持续的风险状况，并审查其安全和业务连续性措施。仅仅依赖 TSP 的认证是不够的。
• 退出策略： 对于像 SCA 这样的关键功能，发卡行必须有书面的退出计划。该计划应概述终止协议、将功能转移给另一个 TSP 或将功能收回内部的策略，而不会中断服务或损害安全性或合规性。
• 集中风险： 委托机构和主管当局都必须监控因多个机构依赖同一 TSP 或少数占主导地位的 TSP 而产生的集中风险，特别是对于关键功能。
• 禁止“空壳”： 指南明确规定，外包不得导致委托机构成为缺乏实质和运营能力以维持其授权的“空壳”。合规和风险管理的最终责任仍由委托机构的管理层承担。

《数字运营韧性法案》(DORA) 增加了另一层复杂性，它为欧盟范围内的金融行业信息和通信技术 (ICT) 风险管理建立了统一规则。DORA 将于 2025 年 1 月 17 日起适用。

DORA 在以下几个方面与 DA 相关：

• 直接适用性： DORA 直接适用于金融实体，包括将委托 SCA 的银行和其他 PSP。
• 关键 ICT 第三方提供商 (CTPP)： DORA 为被认为对金融系统至关重要的 ICT 第三方提供商建立了一个监督框架。大规模提供 DA 服务的 TSP（例如，主要的支付网关、钱包提供商，可能还包括相关的云服务提供商）可能被指定为 CTPP，从而受到欧盟当局的直接监管。
• 与 PSD3/PSR 的整合： PSD3/PSR 提案明确引用了 DORA，表明包括 DA 在内的外包安排必须符合其要求。这意味着执行 DA 的 TSP 需要满足 DORA 在 ICT 风险管理、事件报告、韧性测试和第三方风险管理方面的标准，进一步增加了合规负担。

EBA 外包指南和 DORA 之间的相互作用为任何涉足 DA 的 TSP 创造了一个密集的合规义务网络。成功提供这些服务不仅需要技术实力，还需要在治理结构、风险管理框架、健全的文档、审计准备和可证明的运营韧性方面进行大量投资。这种复杂的环境可能会无意中偏向于拥有资源和专业知识来应对这些苛刻要求的大型、成熟的 TSP。

根据拟议框架，DA 的一个关键后果是，在 SCA 失败导致欺诈交易时，责任的转移。

• 草案提案指出，执行委托 SCA 的第三方（例如，商户、网关、钱包）如果未能正确应用 SCA，将对欺诈造成的经济损失承担责任。这与 3DS 下典型的责任转移有根本不同，在 3DS 中，如果 SCA 成功应用，责任通常会转移给发卡行。
• 此外，拟议的 PSR 引入了技术服务提供商和支付方案运营商的潜在责任，如果 SCA 失败可归因于他们的系统或基础设施。这一点遭到了强烈反对，特别是来自万事达卡，他们认为这是基于对 SCA 实施责任的误解。
• 发卡行虽然可能委托了 SCA 流程，但并未完全免除责任。他们仍然对某些类型的欺诈负责，例如欺诈者冒充银行的“欺骗”行为。欧洲议会甚至提议在 APP 欺诈案件中扩大这些退款权利。

这种将 SCA 失败的直接责任置于 TSP 身上的做法，对 TSP 来说是一个重大的财务风险。虽然改善用户体验和转化率的承诺很有吸引力，但欺诈的潜在成本可能会成为许多考虑提供 DA 服务的 TSP 的一个相当大的威慑因素。稳健的风险缓解策略，可能包括更高的服务费或专门的保险，可能会成为商户和网关广泛采用 DA 的必要先决条件。

委托认证有潜力从根本上重塑银行卡支付的用户体验，特别是与传统的 3-D Secure (3DS) 流程相比。

目前，用于 SCA 挑战的 3DS 流程通常涉及一个交接过程，客户与发卡行控制的元素进行交互。传统上，这意味着从商户的网站或应用完全浏览器重定向到发卡行的域名（例如，他们的银行应用或特定的认证页面）。现在，较新版本的 3DS 越来越多地通过在商户页面上嵌入的 iframe 来内联呈现此挑战。虽然 iframe 避免了完全离开页面，但这两种将用户焦点重定向到发卡行控制步骤的方法都可能显得突兀，增加结账时间，并导致客户流失。

DA 提供了一条消除这种流程变化摩擦的途径。通过允许商户、支付网关或数字钱包在自己的环境中直接执行 SCA，认证步骤可以无缝集成到结账流程中。这有望为客户带来更流畅、更快速、更具凝聚力的体验。当与现代、低摩擦的认证方法（如设备集成的生物识别技术（Face ID、指纹扫描）或 Passkeys）相结合时，DA 可以显著减少结账摩擦，可能导致更低的购物车放弃率和更高的支付转化率。真实世界的数据，例如 Stripe 报告称，使用其 DA 解决方案与 Wise 持卡人进行的交易，转化率提升了 7%，认证速度快了四倍，凸显了这一潜在好处。

实现这一潜力需要大量的技术和商业基础工作。这涉及到在商户/网关/钱包和发卡行之间建立新的集成点和通信协议。像维萨和万事达卡这样的支付方案在这里扮演着重要角色。例如，万事达卡开发了其 Identity Check Express，使商户和万事达卡能够在商户流程中代表发卡行对消费者进行身份验证。同样，Stripe 也基于与 Wise 等特定发卡行的双边协议构建了其 DA 功能。

这些发展表明，DA 不仅仅是一项监管更新。它有助于重新构建支付认证流程。将认证点从发卡行的领域移回商户或钱包环境，为更丰富、更具情境感知能力的认证决策和用户体验创造了机会，这些体验比传统的重定向模型更少干扰。这种架构转变需要将像 Passkeys 这样的现代认证方法直接集成到结账流程中。然而，这一转变取决于建立稳健的安全措施、明确的责任分配（如前所述）以及可信的框架，这些框架可能由方案规则、双边协议以及对严格的外包和 DORA 法规的遵守共同管理。

虽然 PSD3/PSR 草案提案为委托认证奠定了立法基础，但其最终形态将受到主要行业参与者持续对话和游说的显著影响。银行、PSP、技术提供商和商户正在积极解读这些草案，并倡导进行符合其商业模式和战略目标的变革。许多欧盟的游说活动可以通过德国游说登记册获取（注意：该登记册主要为德语，许多提交的文件也已发送给其他欧盟机构）。以下分析基于这些公开提交文件的可用摘要和文档。

作为一家主要的支付基础设施提供商，Stripe 在 DA 中看到了巨大机遇。他们认为这是提高支付转化率和通过减少摩擦来增强客户结账体验的关键工具。Stripe 已主动推出了自己的 DA 解决方案，该方案基于与 Wise 等发卡行的双边协议，甚至在 PSD3/PSR 最终确定之前就展示了其对该模式的承诺。他们的游说努力似乎集中在确保监管环境支持创新并尽量减少负担。关键领域包括倡导简化现有持牌实体在 PSD3 下的重新授权流程，寻求关于 SCA 豁免（如交易风险分析 (TRA) 阈值和商户发起的交易 (MIT)）的更大清晰度和灵活性，确保使用像 Stripe Connect 这样的解决方案的平台不会不必要地承担代理许可要求，以及推动非银行 PSP 直接接入支付系统。

PayPal 是一家主要的电子货币机构和钱包提供商，是基于结果的 SCA 方法的积极倡导者。他们认为，法规应优先考虑认证方法可证明的安全有效性——特别是其对网络钓鱼等现代威胁的抵抗力——而不是严格遵守 PSD2 中定义的传统知识/所有权/内在性因素类别。他们强调了其 Passkey 实施的成功，该实施在提高登录成功率的同时显著减少了欺诈。因此，PayPal 敦促政策制定者在设计 PSR 时，应关注认证解决方案的整体强度，允许组合使用强因素，即使它们来自同一类别（例如，两个所有权因素），平衡安全性与可用性，并避免过于规范的技术指令。

万事达卡强烈反对草案将所有 DA 广泛归类为外包的提议。他们与其他行业团体一同认为，只有在发卡行无法控制 SCA 流程的认证模型中，才应受到外包要求的全面严格监管。他们的游说立场反映了这一点：他们寻求澄清 DA 并非“关键”外包，倡导可扩展或多边的外包协议以促进 DA 的采用，并希望完全取消拟议中方案和 TSP 因 SCA 失败而承担的责任。此外，万事达卡推动强制商户向发卡行发送额外信息，如行为和环境数据，以改善风险评估，并要求明确允许 TSP 为 SCA 目的处理生物识别数据而无需用户明确同意，并建议针对特定低风险用例微调 SCA 豁免。

行业协会和机构的担忧与主要参与者基本一致。例如，Payments Europe 与万事达卡在外包定义上的立场相同，强调只有在发卡行失去控制权的情况下才应触发外包规则。代表数字产业的 Bitkom 也呼吁澄清这一点，并倡导对行为生物识别技术用于 SCA 进行明确监管。这些团体一致强调，SCA 框架内需要技术中立性和灵活性，以促进创新并避免数字排斥。CCIA Europe 则提出了实际担忧，涉及发卡行在 DA 安排下对 TSP 安全规定进行广泛审计和控制的可实施性。

表格：关于 PSD3/PSR 下委托认证与 SCA 的主要行业立场

针对草案当前方法的强烈、协调一致的反对意见，凸显了一个根本性的紧张关系。行业希望获得 DA 可能带来的用户体验和创新好处，但又试图避免与 EBA 指南下受监管的外包相关的重大合规负担。他们提出的替代方案——基于发卡行是否保留控制权来定义外包——旨在为 DA 开辟一个监管强度较低的空间。在立法讨论期间，这场辩论的解决方案将对决定 DA 对许多 TSP 的实际可行性和吸引力至关重要。

尽管存在这种监管不确定性，但像 Stripe 和万事达卡这样的领先企业并没有坐等。他们正在积极开发和部署 DA 解决方案，利用现有框架（如双边协议和方案规则），通常结合生物识别和 FIDO 标准等先进技术。这种积极主动的策略使他们能够抢占早期市场份额，展示 DA 的技术可行性，可能塑造新兴标准，并为客户准备好迎接未来的格局。这种方法不仅是为了提升消费者体验；它还有助于将客户更紧密地绑定到支付提供商而非发卡行，同时应对不断变化的监管环境和相关的责任转移所带来的固有风险。随着行业探索这些新的 DA 模型，像 Passkeys 这样的先进认证技术在实现安全和用户体验目标方面的作用变得越来越核心。

Passkeys 基于 FIDO 联盟的 WebAuthn 标准，代表了认证技术的一项重要进步，本节将讨论它们如何帮助在委托认证 (DA) 环境中弥合强客户身份验证 (SCA) 的差距。

Passkeys 的核心优势是使用公钥加密技术为每个网站或应用创建唯一的凭证。这种机制使其天生能够抵抗网络钓鱼攻击，因为凭证只在为其创建的合法网站上有效，并且依赖于安全的设备解锁（通常通过生物识别），而不是像密码这样的共享秘密。这种组合有望同时增强安全性和提供更流畅的用户体验。

从技术角度来看，Passkeys 似乎非常适合委托认证场景。在 DA 流程中，执行 SCA 的商户或网关可以提示用户使用存储在其设备（手机、电脑）上的 Passkey 进行身份验证。此身份验证直接在商户或 TSP 的环境中进行，利用设备内置的生物识别功能（如 Face ID 或指纹扫描）进行验证，从而无需重定向或繁琐的一次性密码 (OTP)。这与 DA 旨在创建更无缝、更安全的结账流程的目标完全一致。但让我们来看看发卡行如何通过 Passkeys 控制和验证第三方认证。

然而，将 Passkeys 整合到受监管的 SCA 世界中，尤其是在 DA 下，面临着挑战。PSD2 严格的三因素（知识、所有权、内在性）分类造成了模糊性，即 Passkeys 如何归类，特别是在“所有权”要素以及当生物识别解锁持有 Passkey 的设备时各因素的独立性方面。同步 Passkeys（可在多个设备上使用）的出现进一步使这种分类复杂化。

虽然 PSD3/PSR 通过澄清认证因素只需是独立的（一个因素的泄露不影响另一个），而不必属于不同类别，从而引入了一些灵活性，正如拟议法规中明确指出的：

但这并未完全解决分类的模糊性，也未明确认可同步 Passkeys 符合 SCA 要求。这种监管不确定性强化了像 PayPal 这样的参与者的论点，他们倡导对 SCA 采取基于结果的方法，关注像 Passkeys 这样的方法所提供的已证实的安全性结果（如抗网络钓鱼性），而不是强行将它们归入可能过时的分类框中。（要深入了解基于结果的 SCA 和 Passkeys，请参阅我们的基于结果的 SCA 分析）

鉴于用户和商户已广泛采用同步 Passkeys，以及 SPC 的局限性，PSD3/PSR 框架应旨在为在委托认证中利用这些现有的 Passkey 关系创建一条清晰的途径。这种方法将侧重于实际的、基于结果的安全性，而不是受限于同步 Passkeys 成熟之前构想的特定技术实现。为实现这一目标，需要进行几项关键发展，重点是监管调整、运营信任机制和不断发展的行业标准。一个利用同步 Passkeys 的、面向未来的 DA 模型可能涉及我们现在将讨论的几个关键发展。

要有效地将同步 Passkeys 主流化用于 DA，首先需要明确的PSD3/PSR 下的监管赋能和强制要求。这涉及以下关键考虑因素：

• 明确认可同步 Passkeys 用于 DA： PSD3/PSR 应明确澄清，在适当使用时，同步 Passkeys 可以在 DA 环境中满足 SCA 要求。重点应放在可验证的加密链接、实现的抗网络钓鱼性以及认证过程的独立性上，而不是僵化地遵守 Passkey 出现之前的 SCA 因素分类。
• 强制要求丰富的认证数据： 与行业要求（如万事达卡的要求）保持一致，法规应强制要求执行 DA 的 TSP 必须在发送给支付网络和发卡行的支付交易信息中包含全面、标准化的认证数据（例如，Passkey 认证的详细信息、相关的 FIDO 断言元素和情境风险信号）。这建立在现有机制之上，例如 EMV 3DS 中用于商户 FIDO 数据的 threeDSRequestorAuthenticationInfo 字段 1。

除了监管清晰度之外，通过商户持有的 Passkeys 实现运营信任对于广泛采用至关重要。这需要稳健的系统和流程来支持：

• 发卡行对商户发起的 DA 的验证： 发卡行需要稳健的系统来接收和加密验证由 Passkeys 生成的认证断言。至关重要的是，在许多 DA 场景中，使用的 Passkey 可能是用户已经为访问商户自身服务而创建的那个。
• 动态挑战与发卡行控制： 为了保持发卡行的控制并确保动态链接，DA 交易可以按以下方式工作：
  • 发卡行（或代表其的支付网络）向 TSP（商户/网关）提供一个唯一的、特定于交易的挑战。
  • TSP 提示用户通过使用其在商户处注册的现有同步 Passkey 签署此挑战（以及关键交易数据）来授权交易。
  • 签名的断言返回给发卡行进行验证。
• 有条件的 DA 延续： 最初通过与发卡行直接进行的更强认证（可能使用发卡行注册的 Passkey 或稳健的 3DS 挑战流程）可以为特定的商户 Passkey 建立可信关系。随后使用该已验证的商户 Passkey 进行的 DA 交易可以采用上述动态挑战模型进行，只要 Passkey 保持有效且风险参数得到满足，就能提供更流畅的用户体验。

最后，基于 Passkey 的 DA 的长期成功将取决于不断发展的标准和向基于结果的 SCA 视角的坚定转变。这需要：

• 行业机构的角色： 像 FIDO 联盟（包括其专注于支付的工作组）和 EMVCo 这样的组织在开发和标准化必要的协议和信任信号方面至关重要，以安全、可扩展地支持此类 DA 模型。这包括定义如何可靠地呈现和验证来自商户持有的 Passkeys 的认证断言，以便发卡行在 DA 环境中进行验证。
• 超越僵化的 SCA 定义： 最终目标应该是向基于结果的 SCA 方法过渡。如果一种利用同步 Passkeys（即使是与商户一起创建的）的 DA 方法能够证明其提供了抗网络钓鱼的、多因素身份验证，并且与交易动态链接，那么它就应该被视为合规。这优先考虑了实际的安全结果，而不是遵守传统的、有时是过时的 SCA 元素解释，从而促进创新并利用用户已经熟悉的技术。

这种演进将使支付生态系统能够利用用户和商户在同步 Passkeys 上的大量现有投资和采用，为更安全、无缝且广泛可及的委托认证创造一条道路。

上方的时序图展示了在支付生态系统中利用 Passkeys 实现委托认证 (DA) 的一种可能未来。它描绘了一个简化的流程，商户可以使用 Passkeys 代表发卡行执行强客户身份验证 (SCA)。这一愿景与 PSD3/PSR 的方向以及 Passkey 技术的日益普及相一致。

现实检验： 然而，这个设想的未来尚未成为当前的标准。要实现广泛采用，必须解决几个实际挑战。监管框架，特别是在即将到来的 PSD3/PSR 下，需要完全澄清同步 Passkeys 如何融入强客户身份验证以及在委托认证场景中如何管理责任。关键的技术标准，包括发卡行验证商户持有的 Passkeys 的标准以及确保在所有平台上实现一致的动态交易链接的标准，仍在成熟中。在商户主导的认证流程中建立广泛的发卡行信任也是一个关键步骤。此外，确保无缝的用户体验、管理每个用户可能拥有的多个 Passkeys，以及实现所有必需的支付特定功能的通用浏览器/平台支持，仍然是持续的努力。最后，解决围绕同步 Passkey 生态系统的任何挥之不去的安全观念以及证明的可靠性问题，对于建立完全的信心将非常重要。

尽管存在这些障碍——其中许多是欧洲 SCA 立法特有的，需要记住的是，它只适用于欧洲——但实现这样一个系统的底层技术已基本就位。这一点可以从今天的现实中得到证明：欧盟以外的主要参与者，如 PayPal，已广泛采用 Passkey，并且众多美国银行（包括使用 Jack Henry 的 Banno 的银行和许多其他银行）也在广泛使用。因此，所描绘的流程在技术上是可行的，并且将利用用户和商户采用 Passkey 的强大现有势头，而不是与之背道而驰。这种方法可以为全球更安全、更无缝的支付体验铺平道路。

拟议的 PSD3 和 PSR 代表了欧盟支付监管框架的一次重大演进，旨在在 PSD2 的基础上，解决其局限性并适应快速数字化的市场。

一个关键的发展是明确启用了委托认证 (DA)，允许像商户和钱包这样的第三方代表发卡行执行强客户身份验证 (SCA)。然而，在欧盟内部，这一启用伴随着一个关键的警告：将 DA 归类为“外包”。这引发了 EBA《外包安排指南》和《数字运营韧性法案》(DORA) 下一系列复杂的合规义务。此外，提案将失败的 SCA 的责任直接转移给了执行委托认证的实体。

这造成了一种根本性的紧张关系，尤其是在欧洲背景下。一方面，是监管机构对增强安全性、控制和韧性的推动，体现在严格的外包和运营韧性要求上。另一方面，是行业对创新、灵活性和改善用户体验的强烈渴望，而 DA，特别是与 Passkeys 等现代方法相结合时，有望实现这一点。围绕 DA“外包”定义的激烈游说活动凸显了这种冲突。值得注意的是，虽然这些特定的监管障碍在欧盟很突出，但底层的 Passkey 技术正在全球范围内得到稳健的采用，并在其他具有不同监管格局的市场成功实施。

委托认证的未来采用率和影响，尤其是在欧盟内部，关键取决于立法过程的最终细节——特别是关于外包规则的范围、责任的分配，以及至关重要的是，明确承认同步 Passkeys 作为 DA 中符合 SCA 要求的机制。行业能否在发卡行和执行认证的 TSP 之间建立实用、可扩展的信任框架也将至关重要。

Passkeys，特别是同步 Passkeys，与 DA 的目标内在一致，提供了强大的抗网络钓鱼能力和实现无缝、基于生物识别的用户体验的潜力。它们是传统密码和 OTP 的一个引人注目的替代方案。挑战不在于使用 Passkeys 进行 DA 的技术可行性——正如它们在全球范围内成功用于各种认证目的所证明的那样——而在于应对欧盟特定的监管要求，并为其在 SCA 下的接受建立清晰、基于结果的标准。一种优先考虑 Passkey 认证可证明的安全结果（例如，加密可验证性、抗网络钓鱼性、动态链接）而非僵化遵守传统因素分类的方法，对于在 DA 中释放其全部潜力至关重要。

对于在欧洲支付生态系统中运营的企业来说，未来几年需要密切关注 PSD3、PSR 及相关 EBA 技术标准的最终确定。组织应积极评估委托认证，在成熟的 Passkey 生态系统的推动下，将如何重塑其支付和认证策略。这不仅涉及评估像同步 Passkeys 这样的技术的潜力，还包括为在 DA 安排中与合作伙伴建立可验证的信任所必需的运营和合规转变做好准备。

对于认证解决方案提供商而言，机遇在于开发安全、用户友好且架构上能帮助客户 (TSP) 满足 PSD3/PSR 框架下 DA 苛刻合规要求的产品。这包括促进认证数据的安全交换，并支持使发卡行能够自信地验证使用商户持有的 Passkeys 执行的 DA 交易的机制，最终通过利用 Passkey 技术的全球势头，实现 PSD3/PSR 旨在达成的安全、无缝的支付体验。