Suite à une directive européenne dite DSP2, la réglementation française exige que des transactions en ligne supérieures à 30€ soient authentifiées « de manière forte » (art.L.133-44 du code monétaire et financier) nécessitant que le client soit détenteur d’un téléphone portable, d’un smartphone, d’une tablette ou d’un ordinateur.

La « manière forte » est précisée dans l’art.L.133-4 du même code, à savoir :

f) Une authentification forte du client s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories  » connaissance  » (quelque chose que seul l’utilisateur connaît),  » possession  » (quelque chose que seul l’utilisateur possède) et  » inhérence  » (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification.