很高興又和大家在Adyen支付學院見面。

首先和大家分享一個客戶案例。我有一位電商客戶，主要往歐洲國家做產品出口，因為歐洲PSD2政策法規的要求，上線初期就對接了3DS 1.0方案，即每一筆交易都需要做顧客識別驗證；但也因為多出身份驗證這一步驟，給他們帶來了不少訂單丟失。比如顧客驗證失敗率很高，跳轉頁面鏈接超時導致成功率下降；這位商戶希望提高轉化率成功率，減少驗證帶來的訂單丟失；商戶聽說了3DS 2.0解決方案可以解決這個痛點。

基于我的這位商戶的需求，和他們溝通中，收集整理了他們的一些問題，我邀請到了兩位外援，第一位是我們團隊公認的3DS 專家Danny，他對歐洲PDS2, SCA 這塊有非常豐富的經驗。另外一位是我們的技術負責人朱老師，也是大家的老朋友了。

實是PSD2法案下的一個要求，要求商戶在碰到歐洲線上交易時，必須使用這個多因子驗證，這里我們敲一下重點。不管3DS1.0方案還是3DS2.0方案，其實它都是符合SCA的要求的。重要的話說三遍，它們都符合SCA的要求。

PSD2的目的是為了確保在線交易的安全性，放開銀行接口，打造更豐富的支付生態。所以其實本質上對我們商戶還是有積極的促進作用的。說到EMVCO，其實是一個制定標準的全球組織，3DS驗證就是遵從EMVCO的標準，如果商戶需要自己開發驗證套件的話也需要經EMVCo的認證。

最后我們來說一下3DS，也是大家很關心的一個點，3DS全稱叫Three-Domain Secure。這個Three-Domain其實就是指發卡行(Issuer)、卡組(Scheme)以及收單行(Acquirer)。聽上去好像沒有咱們出海商戶什么事，但其實卡組已經在規劃未來讓商戶逐漸加入到整個驗證的過程中來，為咱們出海商戶，也為持卡人（即海外消費者）帶來更好的在線交易體驗。

（圖片來源：Adyen官方）

（圖片來源：Adyen官方）

3DS1.0看上去很有年代感，同時需要跳轉，用戶的落差感也比較強，3DS2.0看上去就更加時尚了，它的體驗更延伸。其實我們很多商戶花了非常大精力在前端頁面設計，包括用戶交互體驗的流程的優化上，但如果用戶在支付結賬緩解突然被跳到了這樣的一個頁面，丑丑的，我們的美工小姐姐可能都欲哭無淚了。

（圖片來源：Adyen官方）

我們再看一下3DS2.0，它的整個驗證不需要做任何跳轉，這是對我們賣家朋友的一個重大利好，要知道一次跳轉，你可能就意味著3-4秒的等待時間，或者是5%-10%的這樣一個轉化流失。另外其實在3DS2.0里面，卡組也貼心為大家帶來了像生物識別，包括像設備指紋，可以讓整個驗證流程更加順滑，為用戶呈現更完美的體驗。在3DS兼容性比較好的國家，比如說像英國，這種無跳轉驗證比例接近80%，整個授權通過率得到了非常大的提高。

（圖片來源：Adyen官方）

相信大家聽說過3DS 2.0其實還分為兩個版本，分別是3DS2.1和2.2，其實對于大部分商戶來講沒有太大區別，最主要的區別在于OOB。OOB其實代表驗證會跳出商戶APP，跨APP去追蹤，主要應用在生物識別上。其他大部分的功能，比如本地化部署，無感驗證等，3DS2.1和2.2都是一樣的。那么其他比如用戶白名單，在Authentication中加入豁免請求等，與目前我們商戶整體關系不大，如果需要我們后面有時間可以單獨解釋。

按照我們國內日常使用支付寶/微信支付的習慣，信用卡使用較少，可能大家還是不太能理解3DS驗證的整個流程? 下面用一個動圖來具體展示。

所以我們先看一下傳統的Web版的1.0的流程。首先我們先選擇卡支付，然后輸入卡號，有效期以及CVV，同時輸入持卡人姓名，點擊支付。頁面會跳出購物網站，跳轉到3DS1.0的頁面，要求消費者再去輸入用戶名及密碼，然后點擊支付，完成3DS驗證，全程耗時43秒。

（圖片來源：Adyen官方）

我們再看一下3DS2.0的表現，也是同樣在Web端，我們再次輸入卡號、有效期、CVV和持卡人姓名，然后點擊支付，收集設備指紋，上送給到發卡行，出現挑戰頁面。輸入密碼完成驗證，沒有跳出商戶網站，一氣呵成，整個驗證流程耗時23秒。

（圖片來源：Adyen官方）

接下來我們看一下移動端，第一個為大家展示的是面容識別，因為需要切換到發卡行APP執行FaceID的識別，所以這個只有在3DS2.2以上的版本才能支持。

（圖片來源：Adyen官方）

接下來我們看一下驗證碼的驗證流程，首先先選擇驗證設備，選擇手機，輸入一次性動態口令，完成驗證。

（圖片來源：Adyen官方）

最后我們看一下無感驗證流程，上送設備指紋完成付款非常快，快到客戶一點猶豫的時間沒有，等他回過神來付款就已經完成了。

確實是，這樣3DS2帶給顧客體驗，不管是從APP端還是網頁端，都更加流暢。除了讓用戶支付旅程更加流暢之外，它還可以帶來什么好處呢？

3DS2另外一個勢在必行的原因是，目前卡組還是3DS2 最大的推進者之一，從卡組的角度來說，3DS2可以幫助提升持卡人的用卡體驗，降低用卡風險，還可以通過3DS2傳遞更多信息，比如設備指紋信息甚至豁免請求來幫助發卡行進行更全面的交易審查。你說你要是卡組，你推不推。

但問題是，3DS1.0已經有20多年的歷史了，他再丑，體驗再差，用戶和商戶也都習慣了，發卡行就更不用說了。為了推行3DS2，卡組接下來會準備逐步停止對3DS1的支持，來讓發卡行逐步全部迭代到3DS2。

（圖片來源：Adyen官方）

你的意思是3DS1.0已經要有截止日期了嗎？如果商戶還沒開始對接，來得及嗎？

時間上不必太慌，大家可能聽說卡組會在今年10月停止對3DS 1.0的責任轉移的支持。但實際上10月份Visa和萬事達只是在發卡行不支持3DS1的情況下停止給予責任轉移的動作。直到明年才會正式停止3DS 1.0的支持。

（圖片來源：Adyen官方）

關于3DS的責任轉移可以再詳細給我們解釋一下嗎？

卡組作為一個3DS規則的制定者，當年為了推廣3DS1.0，規定如果商戶發起3DS驗證，但是發卡行如果沒有加入3DS或者驗證的時候掉鏈子，那么卡組這個時候就會挺身而出，去保障我們商戶的權益，給發卡行迎頭痛擊一個叫Liability Shift的責任轉移，如果消費者事后拒付，拒付的責任就會轉移去發卡行。這樣即使未來這筆交易會出現了欺詐類的支付，損失也會由發卡行來兜底。

但是為了推廣3DS2.0，在今年10月份之后，Visa和萬事達就會在3DS1.0上停止這種見義勇為的行為，但是在3DS2上還保留了這個政策，來鼓勵3DS2的推行。

（圖片來源：Adyen官方）

無論是Visa還是萬事達，都給到商戶和發卡行足夠的時間來推廣3DS2.0的對接。我們總部團隊專門監測今年PSD2實施以來各個國家的實施進展情況。今天是否也可以從實際市場表現，來說下近期宏觀3DS2.0的情況呢？

我們剛剛有介紹到，3DS 2.0相比于3DS 1.0 ，通過給發卡行提供更多的交易信息和數據交互，給用戶帶來驗證體驗上的升級，如無摩擦驗證，從而優化用戶體驗，并拿到責任轉移。我們這邊也為大家準備了一些粗略的數據供大家參考，圖表左邊是海外國家3DS2.0無感驗證的比例，右邊是各個國家無感驗證授權成功率的數據。因為涉及到平臺數據隱私，不方便透露詳細的數值。如果大家想要了解更多3DS表現，歡迎大家會后咨詢我們。

這些圖標數據可以看出3DS2驗證的支付成功率在部分國家確實非常好。

確實3DS2.0可以為出海企業和海外消費者帶來更好的驗證和服務體驗，而且受到卡組的政策傾斜，其實我們也是推薦商戶這邊去做對接3DS2.0的。但是我們可能還要先看一下3DS2.0與3DS1.0相比表現究竟如何。

一筆支付交易通常分為兩個階段，第一個階段叫做Authentication，也就是驗證，第二個階段叫做Authorization，也就是授權。

（圖片來源：Adyen官方）

因為Adyen在這邊既是驗證方案的提供商，同時也是收單行。所以其實就可以結合前面兩個階段，驗證通過率以及授權成功率，去計算出全流程的轉化率（Full funnel conversion rate)。這個就是我們用來評估不同海外國家、發卡行以及卡BIN在3DS1.0和3DS2.0的表現數據。

另外，3DS2.0 需要發卡行支持更多的信息的傳輸，才能做出更好的判斷。所以發卡行的準備程度對于3DS2的整體表現至關重要。

問題：使用3DS 2.0的過程中，發現有部分交易在Authentication階段返回了YA/YY，但在Authorization時依然被發卡行Softdecline，請問是什么原因，是否意味著3DS2在歐洲并不能被所有銀行所正確處理？

Danny：YA代表雖然商戶這邊已經準備好3DS2.0，但是發卡行那邊可能還沒有準備好。對于這樣的交易，卡組會告訴發卡行這筆交易需要給商戶責任轉移，發卡行不愿意接受，所以這個時候大概率會返回一個Soft decline。至于為什么YY的時候，他也會給到一個Soft decline，我們可能就要具體的看一下這筆交易到底是什么情況。因為其實我們在歐洲PSD2早期剛剛上線的時候，確實有發現說有一些發卡行，它的準備程度不是很高，出現了一些誤報，我們也要排查一下是不是在這個范圍里面。通常來講的話，YY代表了說交易已經通過驗證，并且也拿到了責任轉移，這種情況通常來說的話是可以通過的。

問題：做了3DS是否就不會有Chargeback情況，只可以對信用卡做嗎？

朱老師：做了3DS后在少數情況下也有一定可能性會收到Chargeback。對于做了3DS發生責任轉移的交易，如果商戶因為欺詐的原因產生Chargeback，我們系統會做Auto-defense進行抗辯，但如果是服務類的Chargeback的話，是不在3DS范圍之內的。

問題：Payments接口如果不上送3D參數，是否意味著可以繞過3D，不會觸發風控，支付結果以發卡行結果為準？

朱老師：如果不上送3DS的參數，在系統里就會認為說你沒有對接過3DS2.0，我們會幫你去做一個處理。對于那些發卡行要求做驗證的，我們依然會給你3D1.0的返回。這個前提是說你已經做過3D1.0的對接。因為如果我們直接拋給發卡行的話，這筆交易是肯定會失敗的，因為發卡會直接拒絕的。所以我們系統其實實際上是幫你做了一個智能的兜底。

Danny：從另外一個角度來回答一下這個問題，其實SCA它并不是說強制你所有交易都一定要去送3DS驗證。我們現在觀察到大部分歐洲國家，你如果是一些小金額的交易，你不去做3D的話，它還是會有一定概率可以讓你通過的，更多的還是說看發卡行目前對于這一個3DS，包括SCA這塊的一個準備程度。

問題：3DS2.0用戶無感知情況下的校檢，主要是收集哪些信息進行校檢？

朱老師:主要是指設備指紋具體包括的信息。其實這個信息在其實是公開的。其實它包含的信息有很多，包括Phone number、Mac ID等等。具體哪些信息在網上都可以查得，有一個具體的明細列表，需要的朋友可以之后問Adyen索取鏈接。

問題：在3DS2.0集成選項部分，只有集成所有SDK才支持無感3DS驗證嗎？

朱老師:針對Frictionless無感驗證，其實是根據你上送的校驗信息來決定的，并不是根據不同平臺的SDK來決定。所以說無感支付跟不同的SDK是沒有關系的。無感支付最明顯體現在驗證交互過程當中，它以什么樣的方式來呈現。

問題：會在哪些情況下會觸發3DS校驗

朱老師：這個問題可能是很多人關心的。其實對我們來說，要推出3DS 2.0這個方案呢是為了幫助商戶更好的做3DS校驗？對于商戶來說，只需要發了我們3DS 2.0的一個參數，Adyen的Authentication engine （智能驗證引擎）會自動幫你去判斷，這筆交易到底優選3DS1.0還是2.0，這樣商戶就不需要再去做額外的判斷。

Danny：對，這里補充一下，3DS其實分成兩種。

第一種場景：商戶想主動去發3DS驗證，通常是商戶覺得這筆交易可能有一定欺詐風險，想通過3DS驗證來確定消費者到底是不是真正的持卡人，這種情況下如果3DS驗證成功了，就可以拿到發卡行的責任轉移。

另外一種場景：在海外某些國家或者區域有驗證的政策要求，要求交易必須要走線上驗證，這個時候就會有剛剛咱們朱老師提到的，我們的智能驗證引擎，可以通過發卡國家的維度、收單區域的維度等，判斷這筆交易到底要不要做3D驗證，同時去觸發3DS。

問題：3DS Authentication成功是表明商戶一定拿到了Liability Shift （責任轉移）嗎？

朱老師:這個就不一定了。我們可以通過后臺接口的實時反饋，去看這筆交易到底有沒有拿到Liability Shift。絕大多數情況下3DS驗證完之后會拿到Liability Shift，但是并不能一定保證，因為真正的決定權是在發卡行。

Danny：這里也有一個小小的提醒，在我們自己的風控系統當中，其實咱們商戶如果需要，可以去增加一個規則，如果交易發了3D之后，他沒有拿到這個有責任轉移，我們也是可以幫助商戶自動去取消這筆交易的。

問題：3DS是一個全球支付未來的必須能力嗎？還是只是會在部分國家進行。如果未來各個國家都要發展3DS的話各個國家的差異化會不會很大，使用成本會不會比較多。

朱老師:這是個非常好的問題。

首先第一點，3DS是針對于銀行卡支付的，未來趨勢來說肯定是需要的。

對于您問到的不同區域差別會不會很大？因為這個東西是卡組推行的，而卡組在全球是執行的一套標準，并不會有差異化。但因為各個市場當地政府自己也會制定一些政策法規，要求就不太一樣了。

這里我提一下Adyen這邊做的一些額外工作，其實Adyen的3DS的SDK，既可以綁定我們的收單一起去做，也是一套獨立的3DS驗證解決方案。即使在不同區域，同樣都可以用這套SDK去解決3DS驗證，即便各地法規略有不同，3DS驗證流程本身在不同區域、不同國家、不同市場是一樣的。

問題：責任轉移是卡組給的還是發卡行給的？

其實卡組有個官方手冊，可以從卡組的網站上下載到。這個手冊規定了不同的驗證返回形式，會有一個叫ECI value（ECI值），在不同的ECI值下有沒有責任轉移，這個標準是由卡組這邊來制定的。所以我們也可以說這個是一個卡組規定的責任轉移，而發卡行作為卡組織的加入者，也要去遵守這個標準。但是剛才有討論到，也有個別情況是雖然卡組提供了責任轉移，但是被發卡行Decline的交易。

（編輯：江同）

以上內容僅代表作者本人觀點，不代表雨果跨境立場！如有關于作品內容、版權或其它問題請于作品發表后的30日內與雨果跨境取得聯系。