強力な顧客認証の免除は、顧客体験に役立ちます

Magdalena Rut, 2021年3月22日

Strong Customer Authentication Exemptions Can Help Your Customer Experience

"挑戦。"

これは、改訂された決済サービス指令（PSD2）のすべての要件の実装に関して最も一般的な言葉である必要があります。

私たちはそれについてすべて聞いたことがあります。技術を法的要件に合わせるための専用のリソース。指令および技術基準に含まれる規則の領域をナビゲートすることの難しさ。規制当局が設定した期限に間に合わないことへの懸念。顧客体験、ひいてはビジネスへの潜在的な影響に関する懸念。

この最後の挑戦は多くの興味深い会話につながりました。 PSD2は、安全な認証とトランザクション承認の要件により、確かに顧客体験に影響を与えます。これらの要件を満たすために、金融機関（FI）は、リモートチャネルでの多数のユーザーアクションに対して、デフォルトで強力な顧客認証（SCA）を適用する必要があります。実装方法によっては、これによりユーザーエクスペリエンスに摩擦が加わり、顧客の放棄につながる可能性があります。

SCA実装の期限に直面して、一部のFIは当初、コンプライアンスに焦点を合わせ、カスタマーエクスペリエンスの会話を延期した可能性があります。 FIがユーザージャーニーの改善、つまり摩擦を必要最小限に抑えることを模索するにつれて、この会話は現在重要性を増しています。このブログでは、SCA免除が果たすことができる役割について説明します。

ポジティブなカスタマーエクスペリエンス

まず、ポジティブなカスタマーエクスペリエンスが何を意味するかを定義しましょう。デジタルバンキングチャネルは、支店内の経験と比較することはできません。代わりに、FIは、小売プラットフォーム、ソーシャルメディアの巨人、ネオバンク、フィンテックの新興企業など、デジタル空間で他のプレーヤーと競争します。FIの課題の一部は、モバイルアプリの分野で専門知識を迅速に開発する必要性です。クリック、ユーザーフローの再考、または顧客との新しい関わり方の発見。

金融機関は、顧客の摩擦に対する許容度が低いことを理解しています。顧客を引き付けて維持するということは、合理化された認証プロセスを含む、シームレスで直感的なデジタル体験を提供することを意味します。支払いフローを通過する顧客は、リスクが特定のしきい値を超えている場合にのみ認証チャレンジを経験する必要があります。多くの場合、高額の送金のように、認証の課題は、保護的なセキュリティ対策が実施されているという顧客の信頼を築きます。ただし、日常的な価値の低い操作の場合、多要素認証（MFA）を要求されるとイライラする可能性があります。

時間と使いやすさはこれまで以上に重要です。過度に複雑で厳格な認証フローは、特にモバイルチャネルが銀行業務の重要な部分になるため、フラストレーションを高めます。多くの地域で、モバイルバンキングはすでにそうです。 Forresterによるとデジタルバンキングの現状、2021年、英国のオンライン成人の68％は、銀行業務に少なくとも毎月電話を使用していますが、アジアでは「モバイルバンキングが最も人気のある銀行のタッチポイントです」。

PSD2革命

PSD2は、SCAとトランザクションセキュリティに関する厳格な要件を備えており、金融サービス、特にeコマースと決済の革命のように到来しました。セキュリティを向上させる一方で、それが顧客体験に影響を及ぼし、支払いフローに追加の手順と小切手を追加することは最初から明らかでした。懸念されるのは、全体として、これらの要件がトランザクションの放棄と顧客離れの増加につながることです。

PSD2の影響を理解するために、消費者にとって最も重要な変更について簡単に復習しましょう。まず、改訂された決済サービス指令は、FI間での安全な情報共有を可能にすることにより、人々に財務データへの洞察を提供します。オープンバンキングの基盤を確立することで、さまざまな銀行オペレーター間でデータを交換できるようになります。つまり、場合によっては、消費者は1つのモバイルアプリからすべての銀行口座を管理できます。これは、より良い銀行体験に向けた素晴らしい動きです。

次に、PSD2は、オンラインの金融取引を保護するための特定のセキュリティ基準を確立します。とりわけ、SCAは、支払いのセキュリティを強化し、不正を減らすために、PSD2の規制技術基準（RTS）に導入されました。を使用して顧客を認証するには、FIが必要です。少なくとも2つの相互に独立した認証要素。これにより、詐欺師の水準が上がります。パスワードをハッキングできたとしても、他の要因を把握する必要があり、詐欺の可能性が低くなります。

強力な顧客認証の免除

SCAは、欧州経済領域全体のほとんどのオンライン支払い方法で必須です。特定の認証シナリオにより多くのステップが導入されるため、これは困難な場合があります。影響を評価するには時期尚早ですが（SCAの全範囲の実装の期限は2020年12月31日でした）、ある調査では次のように推定されています。ヨーロッパのeコマースビジネスは570億ユーロを失う可能性がありますチェックアウト時の摩擦が増えたため、SCA施行後の最初の年。

一方、SCAの要件に従わない加盟店も、銀行がそのような取引を拒否しなければならないため、深刻な問題に直面します。からの最近の更新によるとCMSPI 、890億ユーロ近くの小売業は、「取引が失敗し、技術的なエラーが発生し、最終的には優良顧客が購入をキャンセルせざるを得なくなるリスクがあります」。

これは、FIと加盟店がすべてのシナリオにSCAを組み込む義務があることを意味しますか？消費者は常にマルチステップ認証（コーヒーを購入するときにPINを入力するなど）を行う必要がありますか？幸いなことにそうではありません。

規制技術基準の第III章では、次のような魔法の言葉を紹介しています。 SCA免除。これらの免除は、正常に処理されたトランザクションのレートに対する予想される悪影響を補うために作成されました。一般に、SCAの免除を許可するには、特定の基準が適用されます。一方トランザクション監視それらすべてに必須であり、特定の免除ケースの適格性は、詐欺の監視と報告の強化を適用することを条件としています。

免除のユースケースの例は次のとおりです。

定期的なトランザクション：サブスクリプションの場合のように、値、受信者、および繰り返しサイクルが同じである場合、これらはSCAから免除できます。
価値の低い取引：免除は、特定の数の低価格（30ユーロ未満）の取引、または駐車場ターミナルでの取引などの非接触型取引に適用できます。
信頼できる受益者（受取人） ：これは、顧客が特定の受取人を安全にリストするオンラインバンキングにとって興味深いものです。顧客が支払いを認証した後、発行銀行に特定のマーチャントを信頼できるものとしてマークするように要求する場合、eコマースにとっても興味深いものです。このような場合、銀行がこの免除を適用することに同意すれば、SCAは後の取引に必須ではありません。
低リスクの取引：もう1つの例は、低リスクのトランザクションです。「低リスク」のラベルは、銀行が以下に基づいて決定します。リアルタイムのトランザクションリスク分析複数のデータポイント（支出パターン、支払人の異常な場所など）の。この免除は、一般的なトランザクション監視要件に加えて、追加の分析が必要になるため、最も注意が必要です。例えば：
- 不正率は、参照不正率と同等かそれ以下である必要があります。
- トランザクションの金額は、免除のしきい値を超えることはできません。
- トランザクションリスク分析（TRA）基準が満たされているため、リアルタイムTRAは、異常な支出または動作、デバイスとソフトウェアへのアクセス、マルウェアまたは既知の不正シナリオ、支払人の異常な場所、受取人の場所のリスクレベル。

要件の詳細な説明は、これらの要件を満たすのに役立つ不正監視システムの機能とともに、ホワイトペーパーに記載されています。 PSD2準拠の不正監視の有効化。

SCA免除によるセキュリティとカスタマーエクスペリエンスの向上

SCA免除を柔軟で適応性のある認証フローにうまく適用することは、摩擦を減らし、顧客体験の課題を解決するためのソリューションの1つです。免除のリストを読むと、データの範囲が免除のケースごとに異なっていても、それらはすべてデータ分析に基づいていることがわかります。
免除ベースのフローを計画するときは、次の点を考慮することが重要です。

十分な品質データ：デジタルチャネルは、不正分析チームに強力な武器であるデータを提供します。これは、ユーザーのデバイスから収集されたデータから、ユーザーとそのアカウントに関するコンテキストデータ（過去のアクションや支出パターンを含む）まで多岐にわたります。目的は、トランザクションのコンテキストの完全で正確な図を作成することです。

すべての支払いには、特定の範囲のトランザクション監視が必須です（ RTSの第2条）。そのため、データを収集する場合、FIは特定の免除の下にリストされている範囲のみを見ることができません。いつでもトランザクションの不正リスクを評価できるようにするために、データが必要です。
信頼性の高いデータ分析：信頼できる不正監視ソリューションは、免除されているかどうかにかかわらず、すべてのトランザクションに必要です。理想的には、正しい出力を提供するために、ルールエンジンと機械学習を活用したビジネス主導のポリシーとリスク主導のポリシーを組み合わせます。たとえば、「信頼できる受益者」の免除の場合、不正監視システムは、受信者の信頼レベルをそれに関連するSCA要件にリンクするだけではありません。機械学習を通じて、「信頼できる」受取人であっても、各トランザクションのリスクレベルも評価する必要があります。特定の受取人への取引に関連するリスクのレベルが変化した場合、銀行はリアルタイムで通知されます。
分析結果に基づく適切なアクションとワークフロー：データの収集と分析により結果が得られ、高度で柔軟な認証ワークフローに組み込むことができます。リスクレベルが十分に低い場合、トランザクションは解放されます。 SCAの免除は、これらの柔軟なワークフローに含めることができ、リスクエンジンは常にバックグラウンドでデータをリアルタイムで分析します。このプロセスは、トランザクションの実行を遅らせることはありません。さらに、それは他の方法で顧客体験に利益をもたらします。免除の基準が満たされている場合、顧客は瞬く間にプロセスを実行します。不正防止エンジンが定義されたしきい値を超えるリスクスコアでトランザクションにフラグを立てる場合、別のワークフローが適用され、リスクに見合った認証チャレンジが強化されます。
報告：不正率に関する報告は、リスクベースの免除の要件です。したがって、トランザクションリスクレベルの増加と、免除ポリシーの変更を適用する必要がある場合の両方を検出する包括的なレポートツールを実装することが不可欠です。理想的には、このようなツールには、RTS要件とPSD2での不正報告に関するガイドラインをカバーする事前定義されたレポートテンプレートのセットが含まれています。

まとめ

強力な顧客認証が支払いの世界をどのように変えるかはまだわかりませんが、より多くのFIやeコマースマーチャントが、シームレスな方法でトランザクションを通じて顧客をガイドする柔軟でインテリジェントな認証ワークフローを実装することを期待しています。

OneSpanは、世界をリードする銀行の信頼できるセキュリティパートナーとして、PSD2SCAコンプライアンスに関する専門的な業界および技術ガイダンスを提供しています。私たちは、FIがリスク分析に基づく適応認証ソリューションの価値を理解するのを支援します。これは、顧客体験から摩擦を取り除きながら、PSD2コンプライアンスに役立ちます。