The Revised Payment Services Directive (PSD2) in Europe requires that electronic payments and access to payment accounts be protected by Strong Customer Authentication (SCA). In practice, that usually means two-factor authentication: something the user knows (e.g. PIN), something they have (e.g. phone or token), or something they are (e.g. biometric). If you’re building an open banking or payment product—in the EU, UK, or in jurisdictions that follow similar rules—your flows need to work with SCA, not around it.
When is SCA required?
SCA is required when the user (1) accesses payment account information online, (2) initiates an electronic payment, or (3) carries out any action that might imply a risk of fraud. So when your app asks the bank for account data or initiates a payment, the bank will typically require SCA before releasing data or executing the payment. The user is redirected to the bank (or the bank’s embedded flow), completes SCA there, and is sent back to your app with an auth code. Your backend then exchanges that code for an access token. That’s the flow we implement when we build open banking auth for clients.
Exemptions
PSD2 prévoit des exemptions dans certains cas : transactions de faible montant (par ex. moins de 30 €), bénéficiaires de confiance, paiements récurrents, etc. Les banques et régulateurs peuvent les appliquer différemment. Si votre produit s’appuie sur une exemption, vous devez comprendre les règles locales et la politique de la banque. Même avec des exemptions, la tendance est à une SCA plus cohérente ; concevoir vos flux de consentement et de redirection avec la SCA en tête est plus sûr à long terme.
Ce que cela implique pour votre produit
Votre produit n’effectue pas la SCA lui‑même — c’est la banque qui la fait. Votre travail consiste à : (1) amener l’utilisateur vers la page d’auth de la banque avec les bons paramètres (par ex. consent ID, redirect URI), (2) recevoir le callback avec le code d’auth, et (3) échanger le code contre un token et le stocker de manière sécurisée. L’expérience utilisateur est : « Connecter ma banque » → redirection → login/OTP/biométrie côté banque → retour vers votre app. Nous construisons ce flux de redirection et d’échange de tokens pour que votre app reste conforme et que vos utilisateurs aient une expérience fluide et sûre. Nous l’avons fait pour des clients comme Meras et Infinipi et pouvons le faire pour votre produit au Pakistan ou ailleurs.
Au‑delà de l’Europe
De nombreux pays adoptent des concepts similaires : authentification forte avant de partager des données de compte ou d’initier des paiements. Le Pakistan et d’autres marchés peuvent avoir leurs propres règles ou pratiques bancaires. Lorsque nous construisons des systèmes open banking ou TPP pour vous, nous concevons des flux de type SCA et des exigences locales afin que vous soyez prêt pour la réglementation actuelle et future.
Besoin que le flux d’auth et l’intégration SCA soient construits pour votre produit ? Nous pouvons le construire pour vous.
← Retour au blog