第二號支付服務指令

PSD2，全稱為第二號支付服務指令（Directive (EU) 2015/2366），是歐盟為整合境內支付市場、促進金融創新與保障消費者權益所頒布的關鍵法規。其核心在於推動「開放銀行」（Open Banking），強制要求銀行等帳戶服務機構（ASPSP）必須建立安全的應用程式介面（API），允許經消費者授權的第三方服務供應商（TPP）存取其帳戶資訊（AIS）或代為發動支付（PIS）。此外，PSD2為降低詐欺風險，強制規定了「強顧客驗證」（Strong Customer Authentication, SCA），要求電子支付必須在「知識、持有、固有」三類認證因子中至少採用兩項進行驗證。在風險管理體系中，PSD2不僅是合規性要求，更深刻影響銀行的營運風險、資訊安全風險與第三方廠商風險。其安全要求雖非法定標準，但實務上常與ISO/IEC 27001資訊安全管理標準及NIST網路安全框架（CSF）的控制措施對應，以確保API與資料交換的安全性。

企業應用PSD2框架於風險管理，主要分為三步驟。第一步是「合規差距分析」，企業需依據PSD2的監管技術標準（RTS），全面盤點現行的客戶驗證、交易監控與API安全機制，識別與法規要求的落差，並建立對應的內部控制措施。第二步是「導入強顧客驗證（SCA）」，部署符合SCA要求的多因子驗證解決方案，例如結合密碼（知識）、手機App推播確認（持有）與生物辨識（固有）。根據歐洲銀行業管理局（EBA）的報告，導入SCA後，線上盜刷詐欺率平均下降超過70%。第三步是「建構安全的開放API生態系」，開發並維護符合通用安全通訊標準的API，並建立嚴謹的第三方服務供應商（TPP）審查與監控流程，確保資料交換的安全性與合規性。例如，許多歐洲銀行採用OAuth 2.0授權框架來管理TPP的存取權限，確保其風險管理機制能通過每年一度的外部審計，維持95%以上的審計通過率。

台灣企業在導入PSD2概念時面臨三大挑戰。首先是「法規環境差異」，台灣的「開放銀行」採分階段、業者自律推動模式，與歐盟PSD2的強制性法規不同，導致企業缺乏明確的合規壓力與統一標準。其次是「技術架構限制」，許多金融機構的核心系統老舊，難以快速、低成本地開發符合現代安全標準的API，技術債務成為主要障礙。最後是「消費者信任與個資保護」，台灣用戶對於將金融數據授權給第三方公司仍有疑慮，且現行《個人資料保護法》與歐盟GDPR在用戶同意的明確性與可攜權等方面存在差距。對策上，企業應優先「主動採納國際最佳實踐」，將SCA作為內部安全強化項目，預計6個月內完成規劃。針對技術挑戰，可採用「中介層（Middleware）漸進式整合」方案，在12至18個月內逐步對接新舊系統。為建立信任，應建置透明的「用戶同意管理平台」，並強化個資保護措施，使其達到GDPR等級，此為長期持續性任務。

積穗科研股份有限公司專注台灣企業PSD2 (Second Payment Services Directive)相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact