Une authentification forte est requise notamment :

• pour l’association de l’utilisateur à une solution d’authentification forte
• lors du 1er accès au compte de paiement
• pour les opérations de paiement électroniques
• pour les opérations sensibles telles que le changement des coordonnées, l’enregistrement de la carte dans un espace marchand…). 

L’établissement peut recourir soit à une solution d’authentification forte en interne soit à un prestataire tiers en charge de cette activité pour son compte. Le contrat avec ce prestataire doit être conforme aux exigences de l’EBA relatives au suivi des prestations de services essentielles externalisées (PSEE).