Vanaf 14 september moeten banken en betaalaanbieders in de EU hun rekeningdata op verzoek openstellen voor derde partijen die zo nieuwe toepassingen kunnen aanbieden. Ook moeten ze 'sterke klantauthenticatie' bieden voor betalingen.
De eisen zijn onderdeel van verdere invoering van de Payment Services Directive 2. Deze ging 18 januari in, maar vanaf 14 september gelden aanvullende regels. Vanaf zaterdag wordt definitief ingevoerd dat derde partijen die betaaldiensten aanbieden onder dezelfde Europese regels als bijvoorbeeld banken vallen. Aan de ene kant moeten ze daardoor aan dezelfde eisen voor het beschermen van klantdata voldoen, en aan de andere kant opent dit de weg naar toegang tot rekeningen van bankklanten.
Banken zijn verplicht rekeningdata op verzoek open stellen voor derde partijen met een vergunning. De Europese Commissie heeft het over het 'instellen van een communicatiekanaal die derde partijen in staat stelt de data te benaderen die ze nodig hebben'. Dit laatste moet het mogelijk maken dat die partijen nieuwe toepassingen kunnen ontwikkelen, bijvoorbeeld door transacties namens die klanten te verrichten of digitale huishoudboekjes met rekeningen van meerdere banken aan te bieden.
In Nederland kunnen potentiële aanbieders hier sinds februari vergunningen voor aanvragen bij de Nederlandsche Bank. Klanten moeten toestemming geven als dienstverleners toegang tot hun rekening willen. Onder andere de Rabobank, ING en ABN Amro hebben in aanloop naar de verdere invoering van de PSD2 al diensten opengesteld voor PSD2-vergunninghouders.
Onderdeel van de tweede fase van invoering is verder de toevoeging van strong customer authentication, al heeft de Europese Centrale Bank in juni al laten weten dat nationale toezichthouders flexibel moeten zijn met de handhaving, omdat veel bedrijven moeite zouden hebben de deadline te halen. In Nederland en België is strong customer authentication al in gebruik.
De regels vereisen dat banken en aanbieders van betaaldiensten bij betalingen van klanten minstens twee van drie authenticatiemethoden moeten toepassen. De Europese Commissie verdeelt de methoden onder in 'weten', 'bezitten' en 'bevatten'. Voor authenticatie moeten gebruikers dus onder andere iets wat ze weten verstrekken, zoals een wachtwoord of pincode. Daarnaast kan het gaan om het gebruik van iets wat ze bezitten, zoals een betaalkaart of smartphone. Tenslotte is een methode het gebruiken van iets wat hen eigen is, zoals een vingerafdruk. Onder de laatste methode vallen ook gezichts- en stemherkenning.
De eisen gelden niet voor betalingen lager dan dertig euro en contactloos betalen voor een bedrag van vijftig euro of minder, waarbij in het laatste geval wel authenticatie vereist is als het cumulatieve bedrag 150 euro overschrijdt. In dat laatste geval is bijvoorbeeld het gebruik van een kaart met pincode vereist.