Tous les paiements initiés par le client devront systématiquement faire l’objet d’une demande d’authentification forte (Strong Customer Authentication, SCA), sauf exemptions prévues dans les RTS. Le SCA s’appuie sur trois éléments inhérents à l’acheteur, validés par l’ABE (Autorité Bancaire Européenne), devant être couplés pour s’assurer de son authentification : Ce qu'il connait (mot de passe), ce qu'il possède (smartphone), ce qu'il est (biométrie).