In Nederland is de zogenoemde Payment Services Directive 2 (PSD2) van kracht. Deze biedt vergunninghouders de mogelijkheid om diensten aan te bieden rond de betaalgegevens van zowel consumenten als ondernemingen. Door de nieuwe wet kunnen derde partijen toegang krijgen tot online betaalrekeningen. Hierbij speelt veiligheid een grote rol. Daarom wordt de wet per 14 september aangescherpt.
Onder PSD2 zijn twee nieuwe betaaldiensten geïntroduceerd: initiatie van (internet)betalingen (betaalinitiatiediensten) en verschaffing van verzekerde informatie over (online) betaalrekeningen (rekeninginformatiediensten). Via een vergunning krijgen organisaties toegang tot bankrekeningen, en ze kunnen er ook transacties mee verrichten. Dit alles mag alleen als de consument of het betrokken bedrijf daar toestemming voor geven. Om die veiligheid beter te borgen komt er strengere wetgeving: de Strong Customer Authentication (SCA). De SCA is een onderdeel van de al geldende PSD2-wetgeving. De SCA stelt specifiekere eisen en wordt 14 september van kracht.
SCA geldt voor alle online betaalmethoden (tool) waarbij zowel de verkopende partij als de koper van binnen Europa komen. SCA is bedoeld als bescherming tegen online fraude, die bij de verwachte groei van online aankopen ook zeker zal toenemen. SCA vereist dat er bij online creditcardbetalingen een (extra) authenticatiestap moet plaatsvinden. Waar tot voor kort het creditcardnummer en de CVC-code voldoende waren, moeten daar nu extra authenticatiemethoden worden toegepast. SCA is verplicht voor alle online transacties, maar er zijn uitzonderingen, omdat een extra stap potentiële kopers kan afschrikken. Zo geldt voor betalingen van minder dan € 30 bijvoorbeeld een uitzondering en bij een abonnement hoeft alleen de eerste betaling te voldoen aan SCA.