PSD3与PSR深度解读：金融科技公司与支付服务提供商面临的变革 (ZH)

欧盟的第二份支付服务指令（PSD2）重塑了欧洲支付格局。PSD3及其配套法规——支付服务条例（PSR）——则更进一步：它将欺诈责任更明确地转移到支付服务提供商（PSP）身上，收紧了强客户认证（SCA）要求，强制执行IBAN名称验证，并正式规定了跨行业的欺诈数据共享。对于金融科技公司、新兴银行和支付服务提供商而言，这既是合规负担，也是竞争优势。

PSD3是一项指令（成员国需将其纳入本国法律）；PSR是一项法规（在整个欧盟直接适用）。它们共同取代了PSD2，并创建了一个更统一的法律基础——大多数操作规则位于PSR中，一旦生效即可直接适用，而成员国则有PSD3的转换期。请将时间表视为指示性信息，并通过欧盟官方来源进行跟踪。

实际变化有哪些

1. 欺诈责任——APP欺诈与收款方PSP

一项重要的结构性变化是将责任扩展到APP欺诈案件中的收款方PSP（接收欺诈性付款的机构）。在PSD2下，重点几乎完全放在付款方PSP上；新框架引入了责任分担——如果收款方PSP未能对表明接收账户被用于欺诈的信号采取行动，则需承担一部分损失。现在，双方的PSP都需要更好的欺诈信号，而不仅仅是付款方的身份验证。

2. 强客户认证——更清晰的规则，更严格的范围

PSD2的SCA规则原则上正确，但在实践中却很混乱。PSD3/PSR对此进行了澄清：

• 认证委托：PSP可以更清晰地将SCA委托给第三方——这对于嵌入商家流程和钱包提供商至关重要。
• 豁免框架：交易风险分析（TRA）豁免和低价值阈值被收紧——豁免需要有记录的风险模型，并且一揽子的低摩擦方法将受到审查。
• 公司账户：使用专用支付协议的大型公司获得了更明确的豁免路径。
• 账户访问的SCA：令人沮丧的PSD2开放银行流程中90天无声重新认证要求得到合理化。

技术定义不变；变化的是当SCA失败或被错误豁免时，谁将承担责任。

3. 收款人验证——IBAN名称强制要求

收款人验证要求付款方PSP在执行支付指令之前，检查支付指令中附加的名称是否与目标IBAN注册的名称匹配。如果名称不匹配，PSP必须警告付款人；如果付款人仍然继续，责任将转移到付款人。PSR将VoP从国家可选要求转变为具有标准化API和响应代码的欧盟范围内的要求——因此，西班牙的付款方PSP可以验证波兰的收款方IBAN。对于PSP而言，这意味着在执行前进行实时的收款人姓名查询。

4. 欺诈数据共享——强制互操作性

根据PSD3，PSP将被要求参与欺诈情报共享框架。自愿的双边安排将被受监管的互操作性要求取代：机构必须能够接收并根据来自其他PSP的欺诈信号采取行动。欧洲银行管理局（EBA）的技术标准将补充具体细节。

5. 开放银行访问——减少第三方支付服务提供商的障碍

PSD2创建了第三方支付服务提供商（TPP）通过API访问支付账户的合法权利；PSD3扩展并强制执行了这一权利。专用接口必须满足性能标准（正常运行时间、延迟、数据完整性），对于合规接口，屏幕抓取回退已被取消，并且TPP将获得更清晰的同意流程。

PSD3对金融科技公司和PSP的运营意味着什么

这些规定在整个生命周期中转化为具体的合规要求。在开户时，薄弱的身份检查会削弱收款方PSP的责任地位；强大的KYC是第一道防线。在认证时，带有短信OTP的四位PIN码虽然合规但风险日益增加；生物识别面部匹配提供了更高的保障。在支付执行时，VoP意味着在发送前进行名称匹配API调用——是阻止，而不是事后处理。在持续监控中，收款方PSP的规定使得入站监控与出站监控同等重要——实时模式匹配，而非批量审查。

Didit如何提供帮助

Didit是身份和欺诈基础设施——一个API涵盖认证、验证和监控。与PSD3/PSR要求对应的模块已上线。

SCA级生物识别认证

SCA要求“固有性”作为其中一个因素。Didit的生物识别认证模块（0.10美元）提供针对原始KYC生物识别信息的面部匹配活体检测，而不仅仅是面部本身的匹配。结合设备绑定，它满足了固有性要求，其水平高于基于PIN的被动SCA。同样的堆栈可作为主动活体检测（0.15美元）或被动活体检测（0.10美元）使用。

开户时的身份验证

KYC核心流程——身份验证+被动活体检测+面部匹配+IP/设备分析——每次检查费用为0.33美元，涵盖220多个国家/地区的14,000多种文档类型，并在2秒内完成。它为您提供了一个经过验证的身份，以便进行重新认证，以及尽职调查的审计记录。Didit是唯一一家获得欧盟成员国政府（西班牙财政部、西班牙银行（BdE）和SEPBLAC）正式认证的身份提供商，被认为比面对面验证更安全，这在向监管机构证明合规性时至关重要。NFC读取（0.15美元）为支持NFC的文档添加了芯片验证——这是最高级别的保障。

AML筛查

PSD3加强了与金融犯罪相关的客户或企业开户的后果。Didit的AML筛查（0.20美元）实时运行，对抗1,300多个制裁、PEP和不良媒体列表。持续AML监控（0.07美元/用户/年）持续重新筛查已注册用户——如果注册后风险状况发生变化，您将在下一笔交易之前得知。

交易监控

收款方PSP的规定使得入站流的持续监控成为PSD3的隐形要求。Didit的交易监控（每笔交易0.02美元）运行实时规则引擎——11个预设规则集，涵盖速度、金额异常、地理位置和行为模式——并提供案例管理、SAR工作流和AWAITING_USER自动修复循环，无需人工干预即可请求额外的身份证据。对标记交易的AML筛查在触发时按0.20美元收费，从而降低了干净流的基本成本。

设备与IP分析

APP欺诈和账户盗用依赖于欺骗性设备上下文。Didit的设备与IP分析（0.03美元）在每次验证会话中自动运行，返回设备指纹、重复设备信号、VPN/代理/Tor检测以及地理位置文档不匹配警告——这是一种补充身份凭证检查的行为信号。

使用场景

新兴银行开户。 在注册时运行KYC核心流程——文档+活体检测+面部匹配+设备分析——以获得验证身份、生物识别参考和设备绑定，然后才开通账户。注册的生物识别信息成为后续认证的SCA固有性因素。

APP欺诈预防——收款方PSP。 对超出阈值的入站付款运行交易监控规则集；在短时间内从不同发件人接收多笔转账的账户将被标记以供审查，并使用关联KYB为企业账户添加实体AML上下文。

高价值支付的SCA升级。 当TRA标记支付需要升级时，触发生物识别认证检查——与注册身份进行面部匹配——而不是短信OTP，以获得更高的保障和审计日志。相同的流程在重新激活之前重新验证休眠账户，并与原始开户生物识别信息进行匹配。

常见问题

PSD3何时适用？

PSD3是一项指令——成员国必须在正式通过后的规定期限内将其纳入国家法律。PSR作为一项法规，一旦生效即可直接适用。截至2026年中期，该流程仍在欧盟机构中推进；请查阅欧盟委员会和EBA的官方出版物以获取当前时间表，而非次要来源。

PSD3和PSR之间有什么区别？

PSD3是一项设定框架（许可、通行、访问权限）的指令，要求成员国颁布国家立法。PSR是一项直接且统一适用的法规，无需转换，并承载了大部分操作规则（SCA、欺诈责任、VoP、数据共享）。

PSD3是否适用于加密PSP？

涉及加密资产的支付服务，如果交易涉及法定货币兑换或受监管的支付账户，则在适用范围内。纯粹的加密到加密转账，如果未涉及受监管的支付账户，则属于MiCA（加密资产市场监管）的范畴。同时涉及两者的企业必须评估两种法规下的义务。

根据PSD3，什么算作SCA？

SCA要求至少来自不同类别的两个独立因素：知识（PIN、密码）、持有（设备、令牌）和固有性（生物识别）。面部扫描确认固有性；设备绑定令牌确认持有。PIN码和记忆密码都属于知识——这不属于SCA。

我们是否需要在PSD3生效前实施收款人验证？

对于欧盟即时支付条例下的即时信用转账，IBAN名称验证要求已在PSD3/PSR全面实施之前适用。如果您处理向欧盟受益人的即时信用转账，VoP义务可能已经生效——请查阅您国家主管机构的指导意见。

准备好开始了吗？

PSD3合规是分层的——开户时的身份验证、升级时的生物识别认证、批准后的AML和交易监控。Didit通过单一API覆盖整个堆栈，提供公开定价且无最低消费。

• 了解平台 → Didit文档
• 查看产品 → 用户验证 · 交易监控
• 查看价格 → 定价 — KYC核心流程0.33美元，TM 0.02美元/笔交易，每月500次免费验证
• 免费开始 → business.didit.me