شرح SCA و3DS2: مصادقة الدفع PSD2

البيع عبر الإنترنت للعملاء الأوروبيين يعني التعامل مع المصادقة القوية للعملاء (SCA) و3DS2، سواءً رغبت بذلك أم لا. تُعدّ المصادقة القوية للعملاء متطلبًا قانونيًا إلزاميًا بموجب توجيه خدمات الدفع PSD2، ويُعتبر 3D Secure 2 الوسيلة التي يتبعها معظم التجار لتحقيق ذلك. يتناول هذا الدليل شرحًا عمليًا لمفهومي SCA و3DS2، والحالات الاستثنائية، وتكاليف الأخطاء في تطبيقهما.

ما هو SCA؟ تعريف المصادقة القوية للعملاء

يعد التحقق القوي من هوية العميل شرطًا للتحقق بموجب توجيه خدمات الدفع الثاني للاتحاد الأوروبي (PSD2). وينطبق ذلك عندما يبدأ العميل عملية دفع إلكترونية ويكون كل من البنك المصدر لبطاقته والبنك المستحوذ للتاجر موجودين في المنطقة الاقتصادية الأوروبية.

تتعلق القاعدة نفسها بالعوامل. يجب أن تستخدم المصادقة الآمنة عاملين على الأقل من ثلاثة عوامل، ويجب أن تنتمي هذه العوامل إلى فئات منفصلة:

• المعرفة - شيء يعرفه حامل البطاقة: كلمة مرور، أو رقم تعريف شخصي، أو سؤال أمان
• الحيازة - شيء يملكه حامل البطاقة: هاتف محمول، أو رمز مميز مادي، أو بطاقة ذكية
• الخصائص الجوهرية - شيء يميز حامل البطاقة: بصمة الإصبع، والتعرف على الوجه، والتعرف على الصوت

يجب أن تكون العوامل مستقلة عن بعضها البعض، بحيث لا يؤدي اختراق أحدها إلى كشف الآخر. كما يجب أن تكون مرتبطة ديناميكيًا بمبلغ المعاملة المحدد والمستفيد. ولا يُعدّ استخدام كلمة مرور ثابتة تعمل في كل عملية شراء كافيًا.

نطاق التطبيق: يغطي نظام المصادقة القوية للعملاء (SCA) عمليات الشراء الإلكترونية التي تتم عبر البطاقات من قبل العملاء. ولا ينطبق على المعاملات التي تتم من قبل التجار (الفوترة المتكررة بعد المصادقة الأولية)، أو طلبات البريد أو الهاتف، أو أي معاملة يكون فيها التاجر أو بنك حامل البطاقة خارج المنطقة الاقتصادية الأوروبية. تُعرف هذه الفئة الأخيرة باسم "المعاملة أحادية الطرف"، وهي ذات صلة بالتجار الذين لديهم قواعد عملاء عالمية متنوعة.

ما هو جهاز 3DS2 وما علاقته بـ SCA؟

يتكون الاسم من ثلاثة عناصر: البنك المُصدر لبطاقة حاملها، والبنك المُستحوذ الذي يُعالج مدفوعات التاجر، وشبكة البطاقات التي تربط بينهما. ويُميز الإصدار الثاني هذا البروتوكول عن البروتوكول الأصلي الذي أطلقته فيزا عام ١٩٩٩ تحت اسم "Verified by Visa". وقد قامت شركة EMVCo، المملوكة بشكل مشترك لفيزا وماستركارد وأمريكان إكسبريس وغيرها من شركات الدفع، بتطوير معيار 3D Secure 2 وتتولى صيانته حاليًا.

ما علاقة ذلك بالمصادقة القوية للعملاء (SCA)؟ يتطلب توجيه خدمات الدفع PSD2 التحقق من صحة مدفوعات البطاقات باستخدام عاملين. 3D Secure 2 هي الآلية التي يستخدمها التجار لإجراء هذا التحقق فعليًا للمعاملات التي لا تتطلب وجود البطاقة. من الناحية التقنية، يمكن لعمليات الخدمات المصرفية المفتوحة وعمليات إعادة توجيه تطبيقات البنوك أن تفي بمتطلبات المصادقة القوية للعملاء، ولكن في الواقع العملي، تتولى 3D Secure 2 معالجة الغالبية العظمى من مدفوعات البطاقات عبر الإنترنت.

توقفت فيزا وماستركارد عن دعم بروتوكول 3DS1 للمعاملات الأوروبية في أكتوبر 2022. بعد ذلك التاريخ، لم يعد توجيه مدفوعات البطاقات عبر 3DS1 مجرد إجراء قديم، بل أصبح مخالفًا للوائح. ما كان اختياريًا أصبح إلزاميًا، وأصبح التحديث إلى 3D Secure 2، الذي أوصى به معالجو المدفوعات لسنوات، هو الخيار الوحيد المتاح.

تاريخ نظام 3D Secure: من 3DS1 إلى 3DS2

أُطلق نظام 3DS1 في أوائل العقد الأول من الألفية الثانية. وكانت آلية المصادقة عبارة عن نافذة منبثقة لإعادة التوجيه، تستضيفها عادةً جهة إصدار البطاقة. كان حاملو البطاقات يرون نافذة متصفح جديدة، ويدخلون كلمة مرور ثابتة غالباً ما ينسونها، ثم إما أن ينجحوا في إتمام العملية أو يفشلوا. وكان التخلي عن العملية في هذه المرحلة مشكلةً ملموسةً للتجار في جميع القطاعات.

صُمم بروتوكول 3DS2 لمعالجة المشاكل التي أحدثها بروتوكول 3DS1 في عملية التحويل. من خلال إرسال أكثر من 100 إشارة تحذيرية إلى جهة الإصدار في بداية العملية، يوفر البروتوكول للبنوك بيانات كافية للموافقة على معظم المعاملات دون الحاجة إلى أي إجراء من العميل. وعندما يتم التحقق من صحة البيانات، يكون ذلك عبر رمز رسالة نصية قصيرة أو بيانات بيومترية، وليس كلمة مرور أنشأها حامل البطاقة قبل ثلاث سنوات.

كيفية عمل مصادقة 3DS2: خطوة بخطوة

تمر كل معاملة 3DS2 عبر أحد مسارين. يختار البنك المُصدر المسار بناءً على بيانات المخاطر التي يتلقاها. في معظم الحالات، لا يلاحظ العملاء حدوث عملية المصادقة على الإطلاق.

التدفق السلس (70-90% من المعاملات):

1. يقوم العميل بإدخال بيانات البطاقة عند إتمام عملية الشراء
2. تجمع بوابة الدفع الخاصة بالتاجر أو خادم 3DS أكثر من 100 نقطة بيانات: بصمة الجهاز، وموقع IP الجغرافي، وخصائص المتصفح، وسجل المعاملات، والإشارات السلوكية
3. يتم إرسال هذه البيانات في طلب مصادقة (AReq) إلى خادم دليل شبكة البطاقات، ثم يتم إعادة توجيهها إلى خادم التحكم في الوصول (ACS) الخاص بالبنك المُصدر.
4. يقوم نظام ACS بإجراء تقييم آلي للمخاطر - عادةً في أقل من ثانية
5. إذا صُنفت المعاملة على أنها منخفضة المخاطر، فإن نظام ACS يصدر موافقة سلسة دون الحاجة إلى أي إجراء من جانب العميل.
6. تكتمل المعاملة بانتقال المسؤولية إلى البنك المُصدر

مسار التحدي (10-30% من المعاملات):

1. الخطوات من 1 إلى 3 هي نفسها - جمع البيانات وتقديم طلب AReq
2. يصنف نظام ACS المعاملة على أنها عالية المخاطر: جهاز جديد، مبلغ غير معتاد، عنوان تسليم جديد، أو ارتفاع معدل الاحتيال في فئة التاجر المعنية.
3. يُطلب من العميل إدخال عامل ثانٍ - رمز مرور لمرة واحدة عبر الرسائل النصية القصيرة، أو إشعار فوري من تطبيق الخدمات المصرفية الخاص به، أو بيانات بيومترية
4. أكمل العميل التحدي
5. تمت الموافقة على الصفقة مع نقل المسؤولية إلى الجهة المصدرة

إنّ سهولة استخدام نظام 3DS2 هي ما يميّزه عن سابقه. فمعظم العملاء يُكملون معاملاتهم الموثقة دون أي إجراءات إضافية. وعندما تظهر رسالة التحقق، فإنها تُستخدم بطريقة مألوفة - نفس الإشعار الذي يستخدمونه للموافقة على التحويلات البنكية.

إعفاءات قانون مكافحة الاحتيال وحالات تطبيقها

لا تتطلب جميع المعاملات المصادقة القوية للعملاء (SCA). يحدد توجيه خدمات الدفع (PSD2) استثناءات تسمح بإتمام المدفوعات دون مصادقة ثنائية. طلب الاستثناء لا يعني بالضرورة الحصول عليه، إذ يقرر البنك المُصدر الموافقة عليه من عدمها. الرفض يعني رفضًا مبدئيًا، ويتعين على التاجر إعادة تقديم الطلب مع تفعيل المصادقة القوية للعملاء.

تتبع المسؤولية الجهة التي طلبت الإعفاء. فإذا طلب المُستحوذ إعفاءً من قانون المعاملات الإلكترونية (TRA) وقبله المُصدر، يتحمل المُستحوذ (وبالتالي التاجر) مسؤولية الاحتيال في حال حدوث أي خطأ. أما إذا قام المُصدر بتطبيق الإعفاء بشكل مستقل، فتقع المسؤولية عليه. ينبغي على التجار الذين يُجرون أي حجم معاملات باستخدام إعفاءات قانون المعاملات الإلكترونية (TRA) تتبع المسار الذي غطى كل معاملة.

كيف يؤثر كل من SCA و3DS2 على التجار

إنّ جدوى إتقان تقنية sca 3ds2 تتجاوز بكثير مجرد الامتثال التنظيمي:

• نقل المسؤولية : عند إتمام عملية المصادقة الثلاثية (3DS2)، تنتقل مسؤولية رد المبالغ المدفوعة في حالات الاحتيال من التاجر إلى البنك المُصدر للبطاقة. أما في حال عدم وجود مصادقة، يتحمل التاجر مسؤولية الاحتيال في البطاقات مباشرةً. وتزيد معدلات الاحتيال في البطاقات في الاتحاد الأوروبي بمقدار 17 ضعفًا في المناطق التي لا يُشترط فيها تطبيق المصادقة القوية للعملاء (SCA).
• معدلات الموافقة : غالبًا ما يُحسّن نظام 3DS2 معدلات الموافقة مقارنةً بالمدفوعات غير المصادق عليها. يُبدي مُصدرو البطاقات ثقة أكبر في الموافقة عندما تتوفر لديهم 100 نقطة بيانات بدلاً من رقم البطاقة ورمز التحقق من البطاقة (CVV).
• زيادة معدل التحويل عند إتمام عملية الشراء : يضيف مسار التحدي خطوة إضافية، بينما لا يضيف نظام 3DS2 السلس أي صعوبة تُذكر. عادةً ما يُحقق نظام 3DS2 المُطبق بشكل جيد تأثيرًا إيجابيًا أو ثابتًا على معدل التحويل مقارنةً بنظام 3DS1.
• جودة البيانات : تحدد جودة حمولة طلب التحقق من الهوية (AReq) نسبة إتمام المعاملات بسلاسة. يحصل التجار الذين يرسلون الحقول الإلزامية فقط على معدلات تحقق أعلى من أولئك الذين يملؤون الحقول الاختيارية - مثل بصمة الجهاز، وعدد المعاملات السابقة، وتاريخ عنوان الشحن.
• الجغرافيا : تختلف قواعد المصادقة القوية للعملاء (SCA) بين الدول الأعضاء في المنطقة الاقتصادية الأوروبية، والمملكة المتحدة (التي لديها جدول زمني خاص بها للمصادقة القوية للعملاء بعد خروج بريطانيا من الاتحاد الأوروبي)، وغيرها من الأسواق. لذا، يجب على نظام الدفع العالمي تقسيم هذه البيانات بشكل صحيح على مستوى الطلب.

قائمة التحقق من امتثال هيئة حماية المستهلك للتجار عبر الإنترنت

يتطلب إعداد SCA 3DS2 بشكل صحيح أكثر من مجرد تفعيل 3DS2 على البوابة. فالعمل المستمر مهم أيضاً.

1. تأكد من أن جهاز PSP أو بوابة الدفع الخاصة بك يدعم 3DS2. معظم المعالجات الرئيسية (Stripe، Adyen، Worldpay، Braintree) تتعامل مع هذا الأمر تلقائيًا. قد تعمل المعالجات الإقليمية أو القديمة على 3DS1 أو قد يكون لديها تطبيقات جزئية.
2. راجع بيانات طلب الموافقة (AReq) الخاصة بك. تواصل مع مزود خدمة الدفع للتأكد من إرسال جميع حقول البيانات الاختيارية التي يزيد عددها عن 100 حقل، وليس فقط الحد الأدنى الإلزامي. كل حقل إضافي يعزز ثقة جهة الإصدار في سلاسة عملية الموافقة.
3. حدد أنواع معاملاتك. حدد المدفوعات التي يبدأها التاجر (الاشتراكات بعد الإعداد)، أو طلبات البريد/الهاتف، أو المدفوعات التي تتم عبر طرف واحد. ضع علامة واضحة على هذه المدفوعات - فهي لا تمر عبر 3DS2 ولا ينبغي توجيهها إليه.
4. اختبر تجربة المستخدم لمسار التحدي. عند بدء التحدي، يجب أن تكون التجربة واضحة وسهلة الاستخدام على الأجهزة المحمولة. شاشة التحقق من رمز التحقق لمرة واحدة (OTP) المُربكة تُقلل من التحويلات. اختبر على مختلف الأجهزة والمتصفحات قبل الإطلاق الرسمي.
5. راقب معدلات المعاملات السلسة مقابل معدلات المعاملات الصعبة. يشير انخفاض معدل المعاملات السلسة إلى وجود مشكلة - تدهور حمولة البيانات، أو تغيير جهة الإصدار لنموذج المخاطر الخاص بها، أو تجاوز معدل الاحتيال في فئة التجار عتبة تقييم المخاطر.
6. تتبّع نتائج طلبات الإعفاء. تعرّف على طلبات الإعفاء التي تقدمها، والتي تم قبولها، والتي تم رفضها مبدئيًا. غالبًا ما يعني الرفض المبدئي لطلبات الإعفاء ذات القيمة المنخفضة بلوغ الحد الأقصى التراكمي البالغ 100 يورو دون إعادة ضبطه.
7. تابعوا الجدول الزمني لتوجيه خدمات الدفع PSD3. لا يزال اقتراح المفوضية الأوروبية بشأن توجيه خدمات الدفع PSD3 قيد الإجراءات التشريعية؛ ومن المتوقع أن يبدأ تنفيذه في الدول الأعضاء خلال الفترة 2026-2027. وهو يوسّع نطاق المصادقة القوية للعملاء (SCA) بدلاً من استبدالها، حيث تصبح متطلبات المصادقة أكثر دقة، لا أقل صرامة.

هناك أمرٌ يغفل عنه العديد من التجار بخصوص نظام SCA 3DS2: يقتصر نطاق هذا النظام بالكامل على معاملات الدفع الإلكتروني الخاضعة لتوجيهات PSD2، ما يعني تداول العملات الورقية عبر البنوك وشبكات البطاقات. أما مدفوعات العملات المشفرة فتقع خارج هذا النطاق تماماً.

عندما يدفع العميل باستخدام بيتكوين أو إيثيريوم أو عملة مستقرة، لا تمر المعاملة عبر شبكة بطاقات أو بنك. لا يوجد جهة إصدار تدير نظام التحقق من البطاقة (ACS). لا يوجد طلب تحقق (AReq)، ولا خادم دليل، ولا آلية تحدٍّ لإدارتها. لا تنطبق قواعد المصادقة القوية للعملاء (SCA) لأن نوع الدفع يقع خارج النطاق التنظيمي.

بالنسبة للتجار، يتجلى هذا الأمر عمليًا. فعملية الدفع بالعملات الرقمية لا تتطلب أي خطوة مصادقة 3DS2، ولا طلب رمز التحقق لمرة واحدة، ولا أي إجراءات تحقق. يدفع العميل من محفظته، وتصل الأموال إليه. كما لا وجود لعمليات رد المبالغ المدفوعة، فالمعاملات بالعملات الرقمية غير قابلة للإلغاء، مما يلغي تمامًا أي مسؤولية عن الاحتيال.

بالنسبة للتجار الذين يتطلعون إلى إضافة خيار دفع خارج إطار مصادقة البطاقة تمامًا، يدعم Plisio أكثر من 20 عملة مشفرة بدون أي تكلفة إضافية لمصادقة البطاقة القوية، وبدون التعرض لعمليات رد المبالغ المدفوعة، وبدون الاعتماد على نموذج مخاطر البنك المُصدر.

ماذا تعني SCA و3DS2 بالنسبة لمجموعة أدوات الدفع الخاصة بك؟

لا يزال نظام المصادقة القوية للعملاء (SCA) قيد التطوير. سيوسع توجيه خدمات الدفع PSD3 متطلبات المصادقة، وستطبق المملكة المتحدة نظامها الخاص لإنفاذ المصادقة القوية للعملاء بعد خروج بريطانيا من الاتحاد الأوروبي. السؤال العملي الذي يطرح نفسه على التجار هو مدى كفاءة تطبيق بروتوكول 3DS2 للمصادقة القوية للعملاء، وليس ما إذا كان ينبغي تطبيقه أم لا.

عند تطبيق هذا الإطار بشكل صحيح، فإنه يُفيد جميع الأطراف المعنية. يحصل التجار على حماية من المسؤولية القانونية في حالات رد المبالغ المدفوعة بسبب الاحتيال. ويحصل مُصدرو البطاقات على معلومات أكثر دقة بفضل حمولة البيانات المُوسّعة لتقنية 3D Secure 2، مما يُتيح لهم الموافقة على المزيد من المعاملات بثقة. ويحصل العملاء على مصادقة آمنة لا تُؤثر عادةً على عملية الدفع. أما التجار الذين يواجهون صعوبات فهم أولئك الذين فعّلوا 3D Secure 2 كحد أدنى على مستوى البوابة ولم يُراجعوا معدلات الدفع السلسة، أو جودة حمولة بيانات AReq، أو معدلات نجاح الإعفاءات.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.