De sterkere klantenauthenticatie wordt vanaf zondag in heel Europa geleidelijk uitgerold. Wie online iets koopt of een betaling verricht, zal zich moeten identificeren aan de hand van twee van drie kenmerken: met iets dat je weet (bijvoorbeeld je pincode), met iets dat je bezit (bijvoorbeeld je smartphone) en met iets dat eigen aan je is (bijvoorbeeld je vingerafdruk).

"Boek je bijvoorbeeld een hotelkamer op een Nederlandse reissite of koop je een cadeautje op een Franse webshop, dan zal enkel een kredietkaartnummer en de CVC-code opgeven ter betaling steeds vaker niet voldoende zijn", legt de federatie van de financiële sector Febelfin uit. "Je zal de betaling altijd moeten 'tekenen'. Vandaag betekent dit dat je voortaan een kaartlezer of je smartphone bij de hand zal moeten hebben."

Al gelden er ook uitzonderingen. Zo is sterke klantenauthenticatie bijvoorbeeld niet nodig voor contactloze betalingen in fysieke winkels en voor onlinetransacties met kleine bedragen. Een andere maatregel uit PSD2 is het aanwakkeren van de concurrentie. Banken zijn voortaan verplicht om - op verzoek van klanten - derde partijen met een vergunning toegang te geven tot rekeninginformatie en hen betalingen te laten verrichten in naam van de klant. Het kan dan gaan om een andere bank waarbij een bepaalde persoon ook klant is, of om nieuwe (fintech)spelers die bijvoorbeeld een app ontwikkelen waarin iemand een overzicht heeft van al zijn of haar betaalrekeningen.