Les standards réglementaires techniques (RTS) qui doivent sortir le 14 septembre 2019, 18 mois après leur publication le 13 mars 2018, font apparaître deux obligations distinctes :
- la mise en place de trois API réglementaires : une API de consultation des opérations des comptes de paiement, une API d’initiation de paiement et une API qui permet de connaître le solde du compte pratiquement à l’instant t ;
- l’authentification forte, i.e. le cumul nécessaire de deux facteurs d’authentification sur trois. Selon Julien Maldonato (Deloitte), « le sujet est important pour les banques, car aujourd’hui, pour la consultation de compte en ligne, il faut un identifiant et un mot de passe. Demain, tous les 3 mois, il faudra une authentification forte. Les banques sont en train de faire évoluer les parcours clients pour être prêtes pour l’authentification forte, toute en gardant l’exigence de fluidité. »