Silne uwierzytelnienie SCA przy logowaniu się do konta w internecie oznacza potwierdzenie tożsamości klienta przez zastosowanie co najmniej dwóch elementów należących do kategorii: wiedza (coś, co wie wyłącznie użytkownik, np. hasło, PIN), posiadanie (coś, co ma tylko użytkownik, np. telefon) i cechy (coś, co charakteryzuje tylko użytkownika: odcisk palca, skan oka, twarzy).
Warto sprawdzić: Najciekawsze nowości w aplikacjach bankowych
Login i hasło nie wystarczy
Dodatkowo muszą być niezależne od siebie w tym sensie, że naruszenie jednego z nich nie osłabia wiarygodności pozostałych. Teraz podajemy login oraz hasło i o ile to drugie jest znane tylko użytkownikowi, o tyle login zazwyczaj nie jest chroniony i może być zawarty w korespondencji z bankiem, w danych z przelewu itp. Nie jest więc spełniony drugi z wymaganych co najmniej dwóch warunków SCA. Dlatego banki będą musiały dodać kolejne zabezpieczenie i będą stosowały różne sposoby.
Ponadto metody autoryzacji dla transakcji elektronicznych powinny łączyć transakcję z określoną kwotą i odbiorcą, np. przez podanie w SMS informacji o kwocie operacji i ostatnich cyfrach rachunku odbiorcy.
Także przy korzystaniu z usług oferowanych przez dostawców usług płatniczych (TPP) wymagane będzie silne uwierzytelnienie klienta. Każdorazowo w przypadku zainicjowania płatności, uzyskania informacji o rachunku i przy pierwszym dostępie do informacji oraz nie rzadziej niż co 90 dni w przypadku zgody wielokrotnej na dostęp do historii rachunku.