PSD3 وPSR: أهم التغييرات لشركات التكنولوجيا المالية ومقدمي خدمات الدفع (AR)

لقد أعادت توجيهات خدمات الدفع الثانية (PSD2) في الاتحاد الأوروبي تشكيل المدفوعات الأوروبية. تذهب توجيهات PSD3 – ولائحة خدمات الدفع المصاحبة لها (PSR) – إلى أبعد من ذلك: فهي تحوّل مسؤولية الاحتيال بشكل أكثر وضوحًا إلى عاتق مزودي خدمات الدفع (PSPs)، وتشدد المصادقة القوية للعملاء (SCA)، وتفرض التحقق من اسم IBAN، وتضفي طابعًا رسميًا على مشاركة بيانات الاحتيال عبر الصناعات. بالنسبة لشركات التكنولوجيا المالية، والبنوك الرقمية، ومقدمي خدمات الدفع، يمثل هذا عبئًا امتثاليًا وميزة تنافسية على حد سواء.

PSD3 هو توجيه (تقوم الدول الأعضاء بنقله إلى قوانينها الوطنية)؛ PSR هي لائحة (قابلة للتطبيق مباشرة عبر الاتحاد الأوروبي). يحلان معًا محل PSD2 ويخلقان أساسًا قانونيًا أكثر اتساقًا – تقع معظم القواعد التشغيلية في PSR، والتي تُطبق مباشرة بمجرد دخولها حيز التنفيذ، بينما تحصل الدول الأعضاء على فترة لنقل PSD3. تعامل مع الجداول الزمنية على أنها إرشادية وتتبعها عبر المصادر الرسمية للاتحاد الأوروبي.

ما الذي يتغير فعليًا

1. مسؤولية الاحتيال – احتيال APP ومقدم خدمة الدفع للمستفيد

أحد التغييرات الهيكلية الهامة هو توسيع المسؤولية لتشمل مقدم خدمة الدفع للمستفيد (المؤسسة التي تتلقى الدفعة الاحتيالية) في حالات احتيال APP. بموجب PSD2، كان التركيز بالكامل تقريبًا على مقدم خدمة الدفع للمُرسل؛ يقدم الإطار الجديد تقاسم المسؤولية – حيث إذا فشل مقدم خدمة الدفع للمستفيد في التصرف بناءً على إشارات تفيد بأن الحساب المستلم كان يستخدم للاحتيال، فإنه يتحمل جزءًا من الخسارة. يحتاج مقدمو خدمات الدفع على كلا الجانبين الآن إلى إشارات احتيال أفضل، وليس فقط المصادقة من جانب المُرسل.

2. المصادقة القوية للعملاء – قواعد أوضح، نطاق أضيق

كانت قواعد SCA في PSD2 صحيحة من حيث المبدأ ولكنها فوضوية في الممارسة. توضح PSD3/PSR ما يلي:

• تفويض المصادقة: يمكن لمقدم خدمة الدفع تفويض SCA لطرف ثالث بشكل أوضح – وهو أمر مهم لتدفقات التجار المدمجة ومقدمي المحافظ.
• إطار الإعفاء: يتم تشديد إعفاءات تحليل مخاطر المعاملات (TRA) وعتبات القيمة المنخفضة – تتطلب الإعفاءات نماذج مخاطر موثقة، وتواجه الأساليب الشاملة ذات الاحتكاك المنخفض تدقيقًا.
• حسابات الشركات: تحصل الشركات الكبيرة التي تستخدم بروتوكولات دفع مخصصة على مسار إعفاء أكثر تحديدًا.
• SCA للوصول إلى الحساب: تم ترشيد متطلب إعادة المصادقة الصامتة لمدة 90 يومًا الذي أعاق تدفقات الخدمات المصرفية المفتوحة في PSD2.

التعريف الفني لم يتغير؛ ما يتغير هو من يتحمل المسؤولية عندما تفشل SCA أو يتم إعفاؤها بشكل غير صحيح.

3. التحقق من المستفيد – اسم IBAN إلزامي

يتطلب التحقق من المستفيد من مقدم خدمة الدفع للمُرسل التحقق من أن الاسم المرفق بتعليمات الدفع يطابق الاسم المسجل في IBAN الوجهة قبل التنفيذ. في حالة عدم التطابق، يجب على مقدم خدمة الدفع تحذير المُرسل؛ إذا استمر المُرسل على أي حال، تنتقل المسؤولية إليه. تنقل PSR التحقق من المستفيد (VoP) من خيار وطني إلى متطلب عبر الاتحاد الأوروبي مع واجهات برمجة تطبيقات موحدة (APIs) ورموز استجابة – بحيث يمكن لمقدم خدمة الدفع للمُرسل في إسبانيا التحقق من IBAN مستفيد في بولندا. بالنسبة لمقدمي خدمات الدفع، يعني هذا البحث عن اسم المستفيد في الوقت الفعلي قبل التنفيذ.

4. مشاركة بيانات الاحتيال – قابلية التشغيل البيني الإلزامية

بموجب PSD3، سيُطلب من مقدمي خدمات الدفع المشاركة في أطر مشاركة معلومات الاحتيال. يتم استبدال الترتيبات الثنائية الطوعية بمتطلب قابلية تشغيل بيني منظم: يجب أن تكون المؤسسات قادرة على تلقي إشارات الاحتيال من مقدمي خدمات الدفع الآخرين والتصرف بناءً عليها. ستملأ المعايير الفنية لهيئة المصارف الأوروبية (EBA) التفاصيل.

5. الوصول إلى الخدمات المصرفية المفتوحة – عقبات أقل لمقدمي الخدمات من الأطراف الثالثة (TPPs)

أنشأت PSD2 الحق القانوني لمقدمي الخدمات من الأطراف الثالثة (TPPs) للوصول إلى حسابات الدفع عبر واجهات برمجة التطبيقات (APIs)؛ توسع PSD3 هذا الحق وتفرضه. يجب أن تفي الواجهات المخصصة بمعايير الأداء (وقت التشغيل، زمن الوصول، اكتمال البيانات)، ويتم إلغاء الاسترجاع عبر سكرابر الشاشة للواجهات المتوافقة، وتحصل TPPs على تدفقات موافقة أوضح.

ماذا تعني PSD3 تشغيليًا لشركات التكنولوجيا المالية ومقدمي خدمات الدفع

تُترجم الأحكام إلى متطلبات ملموسة عبر دورة الحياة. عند الإعداد، تؤدي فحوصات الهوية الضعيفة إلى إضعاف موقف مسؤولية مقدم خدمة الدفع المستلم؛ تعد إجراءات التعرف على العميل (KYC) القوية خط الدفاع الأول. عند المصادقة، يعتبر رقم التعريف الشخصي المكون من أربعة أرقام مع كلمة مرور لمرة واحدة عبر الرسائل القصيرة (SMS OTP) متوافقًا ولكنه محفوف بالمخاطر بشكل متزايد؛ يوفر مطابقة الوجه البيومترية ضمانًا أعلى. عند تنفيذ الدفع، يعني التحقق من المستفيد (VoP) استدعاء API لمطابقة الاسم قبل الإرسال – الحظر، وليس بعد ذلك. في المراقبة المستمرة، تجعل أحكام مقدم خدمة الدفع للمستفيد المراقبة الواردة بنفس أهمية المراقبة الصادرة – مطابقة الأنماط في الوقت الفعلي، وليس المراجعات الدفعية.

كيف تساعد Didit

Didit هي بنية تحتية للهوية والاحتيال – واجهة برمجة تطبيقات واحدة تغطي المصادقة والتحقق والمراقبة. الوحدات التي تتوافق مع متطلبات PSD3/PSR موجودة بالفعل.

المصادقة البيومترية بدرجة SCA

تتطلب SCA "متأصلة" كأحد العوامل. توفر وحدة المصادقة البيومترية من Didit (0.10 دولار) مطابقة الوجه الحيوي ضد البيانات البيومترية الأصلية للتعرف على العميل، وليس مجرد وجه مقابل نفسه. بالاقتران مع ربط الجهاز، فإنها تلبي المتأصلة على مستوى لا تحققه SCA المستندة إلى PIN السلبية. نفس المجموعة متاحة باسم الحيوية النشطة (0.15 دولار) أو الحيوية السلبية (0.10 دولار).

التحقق من الهوية عند الإعداد

يعمل تدفق KYC الأساسي – التحقق من الهوية + الحيوية السلبية + مطابقة الوجه + تحليل IP/الجهاز – بتكلفة 0.33 دولار لكل فحص، ويغطي أكثر من 14000 نوع مستند عبر أكثر من 220 دولة، ويكتمل في أقل من ثانيتين. يمنحك هوية موثقة لترسيخ إعادة المصادقة عليها، بالإضافة إلى سجل تدقيق للعناية الواجبة. Didit هو المزود الوحيد للهوية المعتمد رسميًا من قبل حكومة دولة عضو في الاتحاد الأوروبي – وزارة الخزانة الإسبانية، وبنك إسبانيا (BdE)، وSEPBLAC – على أنه أكثر أمانًا من التحقق الشخصي، وهو أمر مهم عند إثبات الامتثال للمشرفين. يضيف قراءة NFC (0.15 دولار) التحقق من الشريحة للمستندات التي تدعم NFC – أعلى مستوى ضمان.

فحص مكافحة غسيل الأموال (AML)

تُشدد PSD3 عواقب إعداد عملاء أو شركات مرتبطة بالجرائم المالية. تعمل فحص مكافحة غسيل الأموال من Didit (0.20 دولار) ضد أكثر من 1300 قائمة عقوبات، وشخصيات سياسية بارزة (PEP)، ووسائط سلبية في الوقت الفعلي. تُعيد المراقبة المستمرة لمكافحة غسيل الأموال (0.07 دولار/مستخدم/سنة) فحص السكان المسجلين بشكل مستمر – إذا تغير ملف المخاطر بعد الإعداد، فإنك تعرف قبل المعاملة التالية.

مراقبة المعاملات

تُجعل أحكام مقدم خدمة الدفع للمستفيد المراقبة المستمرة على التدفقات الواردة مطلبًا من PSD3 بكل ما تعنيه الكلمة. تعمل مراقبة المعاملات من Didit (0.02 دولار لكل معاملة) بمحرك قواعد في الوقت الفعلي – 11 حزمة قواعد جاهزة تغطي السرعة، وشذوذات المبلغ، والموقع الجغرافي، والأنماط السلوكية – مع إدارة الحالات، وسير عمل تقرير الأنشطة المشبوهة (SAR)، وحلقة معالجة تلقائية AWAITING_USER تطلب أدلة هوية إضافية دون تدخل يدوي. يتم إصدار فاتورة فحص مكافحة غسيل الأموال على المعاملات التي تم الإبلاغ عنها بسعر 0.20 دولار عند التشغيل، مما يحافظ على التكلفة الأساسية منخفضة للتدفقات النظيفة.

تحليل الجهاز وعنوان IP

يعتمد احتيال APP والاستيلاء على الحساب على سياقات جهاز زائفة. يعمل تحليل الجهاز وعنوان IP من Didit (0.03 دولار) تلقائيًا في كل جلسة تحقق، ويعيد بصمة الجهاز، وإشارات الجهاز المكررة، واكتشاف VPN/الوكيل/Tor، وتحذيرات عدم تطابق الوثيقة الجغرافية – إشارة سلوكية تكمل فحص بيانات اعتماد الهوية.

حالات الاستخدام

إعداد البنوك الرقمية. قم بتشغيل تدفق KYC الأساسي عند التسجيل – المستند + الحيوية + مطابقة الوجه + تحليل الجهاز – للحصول على هوية موثقة، ومرجع بيومتري، وربط الجهاز قبل فتح الحساب. يصبح القياس الحيوي المسجل عامل المتأصلة في SCA للمصادقة اللاحقة.

منع احتيال APP – مقدم خدمة الدفع من جانب المستفيد. قم بتشغيل حزمة قواعد مراقبة المعاملات على المدفوعات الواردة التي تتجاوز حدًا معينًا؛ يتم عرض الحسابات التي تتلقى تحويلات متعددة من مرسلين مختلفين في فترة قصيرة للمراجعة، مع إضافة Linked KYB سياق مكافحة غسيل الأموال للكيانات على حسابات الشركات.

تصعيد SCA للمدفوعات ذات القيمة العالية. عندما تحدد TRA دفعة للتصعيد، قم بتشغيل فحص المصادقة البيومترية – مطابقة الوجه مع الهوية المسجلة – بدلاً من SMS OTP، لضمان أعلى وسجل تدقيق. نفس التدفق يعيد التحقق من الحسابات الخاملة قبل إعادة التنشيط، مطابقة مع القياس الحيوي الأصلي للإعداد.

الأسئلة المتكررة

متى يُطبق PSD3؟

PSD3 هو توجيه – يجب على الدول الأعضاء نقله إلى قوانينها الوطنية خلال فترة محددة بعد اعتماده رسميًا. أما PSR، بصفتها لائحة، فتُطبق مباشرة بمجرد دخولها حيز التنفيذ. لا تزال العملية قيد التنفيذ في مؤسسات الاتحاد الأوروبي اعتبارًا من منتصف عام 2026؛ تحقق من المنشورات الرسمية للمفوضية الأوروبية وهيئة المصارف الأوروبية للحصول على الجداول الزمنية الحالية بدلاً من المصادر الثانوية.

ما الفرق بين PSD3 وPSR؟

PSD3 هو توجيه يحدد الإطار – الترخيص، والتصريح بالعمل في دول أخرى، وحقوق الوصول – ويتطلب من الدول الأعضاء سن تشريعات وطنية. أما PSR فهي لائحة تُطبق مباشرة وبشكل موحد دون الحاجة إلى نقل، وتحمل معظم القواعد التشغيلية (SCA، مسؤولية الاحتيال، VoP، مشاركة البيانات).

هل ينطبق PSD3 على مقدمي خدمات الدفع بالعملات المشفرة؟

خدمات الدفع التي تتضمن أصولًا مشفرة تقع ضمن النطاق حيث تتضمن المعاملة تحويلًا لعملة ورقية أو حساب دفع منظم. التحويلات المشفرة البحتة التي لا تلامس حسابات الدفع المنظمة تقع تحت لائحة الأسواق في الأصول المشفرة (MiCA). يجب على الشركات التي تجمع بين الاثنين تقييم الالتزامات بموجب كليهما.

ماذا يُعد SCA بموجب PSD3؟

تتطلب SCA عاملين مستقلين على الأقل من فئات مختلفة: المعرفة (PIN، كلمة المرور)، الحيازة (الجهاز، الرمز المميز)، والمتأصلة (البيومترية). يؤكد مسح الوجه المتأصلة؛ يؤكد الرمز المميز المرتبط بالجهاز الحيازة. إن رقم التعريف الشخصي (PIN) وكلمة المرور المحفوظة كلاهما معرفة – وهذا ليس SCA.

هل نحتاج إلى تنفيذ التحقق من المستفيد قبل دخول PSD3 حيز التنفيذ؟

بالنسبة للتحويلات الائتمانية الفورية بموجب لائحة المدفوعات الفورية في الاتحاد الأوروبي، تنطبق متطلبات التحقق من اسم IBAN بالفعل قبل الجدول الزمني الكامل لـ PSD3/PSR. إذا كنت تعالج تحويلات ائتمانية فورية للمستفيدين في الاتحاد الأوروبي، فقد تكون التزامات VoP سارية بالفعل – تحقق من إرشادات السلطة الوطنية المختصة لديك.

هل أنت مستعد للبدء؟

امتثال PSD3 متعدد الطبقات – الهوية عند الإعداد، المصادقة البيومترية عند التصعيد، مكافحة غسيل الأموال ومراقبة المعاملات بعد الموافقة. تغطي Didit المجموعة الكاملة من واجهة برمجة تطبيقات واحدة، بأسعار عامة وبدون حدود دنيا.

• تعلم المنصة ← وثائق Didit
• شاهد المنتج ← التحقق من المستخدم · مراقبة المعاملات
• تحقق من السعر ← الأسعار — تدفق KYC الأساسي بسعر 0.33 دولار، ومراقبة المعاملات بسعر 0.02 دولار/معاملة، 500 عملية تحقق مجانية/شهر
• ابدأ مجانًا ← business.didit.me