Ügyletenként a következő háromtípusú azonosítóból legalább kettőt meg kell adnunk:
- valamilyen tudás, amivel csak az ügyfél rendelkezik (PIN-kód, belépési jelszó),
- valamilyen eszköz, amit csak az ügyfél birtokol (a csipkártya, az okostelefon, valamilyen token vagy más kütyü),
- valamilyen biológiai tulajdonság, amely csak az adott ügyfélre jellemző (ujjlenyomat, archáló, hangminta, írisz, retina, illetve továbbiak).
A gyakorlatban mindez azt jelenti, hogy amikor a bankok még egy módon meggyőződnek arról, hogy valóban az ügyfelük akar vásárolni vagy a netbankba belépni, az ügyfeleknek mindenképpen szükségük lesz egy mobiltelefonra vagy még inkább egy okos mobiltelefonra.
Azonosítás többfajta lehet, a legegyszerűbb az üzenet. Vagyis az általunk ismert jelszóval belépünk a netbankba, mobilbankba, de a fizetés jóváhagyásához rá kell nyomnunk az általunk birtokolt okostelefon képernyőjére is. Üzenet mellett ilyen második megerősítés lehet az SMS, a QR-kód vagy egy ujjlenyomatos azonosítás (utóbbi már a birtokolt eszköz és a biometrikus azonosítás elegye). Szeptember 14-től mindenesetre mindenkinek arra kell számítania, hogy az internetbanki belépéshez már nem elég a felhasználónév és egy statikus jelszó, illetve az internetes vásárlásnál is több kell a kártya adatainál (kártyaszám, név, lejárat és a hátsó oldalon lévő három számjegyű CVV/CVC-kód).
A másik mindennapi változás a kisebb összegű fizetéseket érinti. Eddig az ötezer forint alatti érintéses fizetéseknél a legtöbb kártya esetében nem kellett PIN-kód, szeptember 14. után, megint csak a biztonságunk érdekében, előfordulhat, hogy kelleni fog. Öt érintéses fizetés vagy összesen 150 euro (kb. 45-50e Ft) összegű érintéses fizetés után (a több kisebb értékű fizetés összege összeadódik) a banknak meg kell győződnie arról, hogy valóban a tulajdonos használja a kártyát, vagyis pin kódot kell kérnie.
Ez az ügyfeleknek egy kis pluszteher, de egy abszolút vállalható teher, és megakadályozza, vagy legalábbis limitálja azt, hogy egy ellopott kártyával sorozatban visszaélhessen valaki. Ha időközben volt nagyobb összegű PIN-kódos vásárlás vagy készpénzfelvétel, akkor az azonosításnak minősül, és a számlálás újraindul.
Az egyik legnagyobb nehézség, hogy a szigorítás egy uniós direktíva, így egymás mellett fog élni egy európai és egy uniós kívüli, például „ázsiai” vásárlási kultúra.
Az erős azonosítás bevezetése ugyanis csak Európában kötelező, ettől még előfordulhat, hogy egy kínai webshopban vásárolva is kapunk üzenetet a mobilunkra. A bankoknak eleinte több mérlegelésre lesz szükségük; a pénzintézetek szeptember 14-re már régóta készülnek, de az aligha reális, hogy minden webshop elkészül a dupla azonosítással.
A felkészületlen európai webshopoknál a bankok megtagadhatják a nem dupla azonosítású vásárlást, ám ez nem feltétlenül jelenti azt, hogy meg is teszik. Nem uniós boltok esetében pedig hosszabb távon is a bankok feladata lesz az ügyfél megfelelő azonosítása, amit igyekeznek majd a legbiztonságosabb módon megtenni: ahol van lehetőség, alkalmazni fogják az erős azonosítást, ahol pedig erre nincs mód, ott továbbra is elegendőek lehetnek a kártyán szereplő adatok.