Sollte eine Zahlung einmal verspätet beim Empfänger ankommen, sind die beteiligten Zahlungsdienstleister verpflichtet, diese Verspätung beim Zahlungsempfänger auszugleichen.

Beim Einloggen im Online-Banking und bei Zahlungen im Internet ist die sogenannte Zwei-Faktor-Authentifizierung oder auch Starke Kundenauthentifizierung Pflicht. Das bedeutet, dass die Authentifizierung des Kunden über zwei voneinander unabhängige Faktoren erfolgen muss, die aus Wissen (z.B. PIN), Besitz (z.B. Smartphone) oder Inhärenz (z.B. Fingerabdruck) bestehen. Die PSD2 verlangt dieses Verfahren auch bei sonstigen Handlungen, die das Risiko eines Missbrauchs bergen wie beispielsweise die Änderung eines Dauerauftrags.

Durch die Zwei-Faktor-Authentifizierung erhöht sich die Sicherheit beim Online-Banking und bei Internetzahlungen. Ein Betrüger müsste beide Faktoren kennen, um Zugang zum Konto zu bekommen. Bei der Auslösung einer Zahlung ist ein Faktor an den Zahlungsbetrag und den Empfänger gekoppelt, dieses Sicherheitselement kann also nur zur Freigabe dieser bestimmten Zahlung genutzt werden.

Die Zweite Zahlungsdiensterichtlinie (PSD2) verpflichtet Zahlungsdienstleister ab dem 14. September 2019 eine starke Kundenauthentifizierung u. a. bei im Online-Banking ausgelösten Überweisungen durchzuführen. Das iTAN-Verfahren erfüllt die vorgegebenen Voraussetzungen dafür nicht mehr und darf daher ab diesem Datum nicht mehr genutzt werden. Ein Fachartikel der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), der hier auszugsweise wiedergegeben wird, enthält nähere Informationen zu den Änderungen zum 14. September 2019 und zur Einstellung des iTAN-Verfahrens:
„Wenn es sich bei der ausgelösten elektronischen Zahlung um einen Fernzahlungsvorgang handelt, zum Beispiel die Beauftragung einer Überweisung im Online-Banking oder die Zahlung mit Kreditkarte im Internet, ist die Starke Kundenauthentifizierung mit einer sogenannten dynamischen Verknüpfung in Bezug auf Empfänger und Betrag zu erweitern. Was das heißt, lässt sich am besten an einem Beispiel erläutern. Bei der Übersendung einer TAN mittels SMS muss dem Nutzer mitgeteilt werden, für welchen Betrag und Zahlungsempfänger diese TAN gelten soll; jede Änderung der Zahlungsdaten würde die übermittelte TAN ungültig machen. Die bisher noch manchmal verwendeten iTAN-Listen erfüllen diese Anforderung nicht, denn die dort aufgedruckten TANs sind für beliebige Zahlungen verwendbar. Darüber hinaus sind die Listen leicht kopierbar. Damit besteht die Gefahr, dass Betrüger in den Besitz der TANs kommen und diese dann für Zahlungen zu ihren Gunsten verwenden.“

Aus Sicherheitsgründen sind die Zahlungsdienstleister verpflichtet, einen Online-Zugriff des Kunden auf sein Zahlungskonto spätestens 5 Minuten nach der Authentifizierung des Kunden zu beenden, wenn keine Aktivität des Kunden festzustellen ist. Damit möchte man verhindern, dass ein Fremder Zugang zum Konto bekommt, wenn beispielsweise der Kunde sich angemeldet aber nicht abgemeldet hat.

Die PSD2 stellt mehrere Anforderungen an die Anbieter von Zahlungsauslöse- und Kontoinformationsdiensten, um Ihre Privatsphäre zu schützen. Die Allgemeine Datenschutzverordnung gilt auch für diese Dienstleister.

Der Zahlungsauslösedienstleister darf dem Begünstigten nur mit Ihrer ausdrücklichen Zustimmung Informationen über Sie zur Verfügung stellen. Es ist ihm nicht gestattet, sensible Zahlungsdaten zu speichern (d. h. Daten, die zu Betrugszwecken missbraucht werden könnten; der Name des Kontoinhabers und die Kontonummer gelten nicht als sensible Zahlungsdaten). Außerdem darf er nicht mehr Informationen von Ihnen anfordern, als für die Erbringung der Dienstleistung unbedingt erforderlich ist. Dem Zahlungsauslösedienstleister ist es nicht gestattet, auf Ihre Daten zuzugreifen, sie zu verwenden oder für andere Zwecke als den spezifischen Dienst, dem Sie zugestimmt haben, zu speichern.

Der Kontoinformationsdienstleister darf mit Ihrer ausdrücklichen Zustimmung nur auf Informationen über das oder die von Ihnen angegebenen Konten zugreifen. Er darf keine sensiblen Zahlungsdaten anfordern (d. h. Daten, die zu Betrugszwecken missbraucht werden könnten; der Name des Kontoinhabers und die Kontonummer gelten nicht als sensible Zahlungsdaten). Es ist ihm nicht gestattet, für andere Zwecke als den spezifischen Dienst auf Ihre Daten zuzugreifen, sie zu verwenden oder zu speichern.