La normativa de serveis de pagament PSD2 obliga els proveïdors de serveis de pagament, com CaixaBank, a aplicar procediments que permetin comprovar la teva identitat o la validesa de l'instrument de pagament que estiguis utilitzant (p. ex., d'una targeta). Aquest procediment es coneix com a AUTENTICACIÓ.
 
Aquesta autenticació pot ser simple o reforçada. És obligatori que sigui reforçada quan:

  1. accedeixes al teu compte de pagament en línia (per exemple, quan entres a CaixaBankNow).
  2. inicies una operació de pagament electrònic (p. ex., quan compres amb la teva targeta una pizza a través d'internet).
  3. fas per un canal remot qualsevol acció que pugui comportar un risc de frau en el pagament o altres abusos (p. ex., la subscripció d'un servei a través d'internet, com ara un portal de sèries en línia).

Aquesta autenticació reforçada s'ha de basar en la utilització de dos o més elements independents entre si, de manera que la vulneració d'un no comprometi la fiabilitat dels altres i es protegeixi la confidencialitat de les teves dades. Aquests elements poden ser de tres tipus:

 

Coneixement (“una cosa que només l'usuari sap”)

Per exemple, codi secret estàtic, PIN

Possessió (“una cosa que només l'usuari té”)

Per exemple, un token, un mòbil

Inherència (“una cosa que l'usuari és”)

Per exemple, empremta, escàner de l'iris, dades biomètriques



  • Elements de coneixement (una cosa que només tu saps: una contrasenya, un PIN, coneixement basat en preguntes…)
  • Elements de possessió (una cosa que només tu tens: ha de ser una cosa que confirmi la possessió mitjançant la generació o la recepció d'un element de validació dinàmica en un dispositiu, com ara la generació d'una OTP, un token o una notificació push)
  • Elements d'inherència (una cosa que tu ets: escàner de l'empremta dactilar, reconeixement de veu, escàner de retina…).

Si s'inicien operacions de pagament electrònic (pagament amb targeta a través d'un comerç electrònic o emissió d'una transferència a través de CaixaBankNow, per exemple), també és necessari que un dels elements d'autenticació dels tres descrits sigui dinàmic: es generarà un codi per a cada import i beneficiari i no es podrà fer servir per a una operació en què aquests no siguin coincidents. A més, tindrà una validesa limitada en el temps.