Новият Закон за платежните услуги и платежните системи мина и на второ четене в парламента. Чрез текстовете, разработени от Българската народна банка, се въведрява новата - втора директива за платежните услуги в рамките на вътрешния пазар (по чието транспониране се работи от края на 2016-а). Срокът, в който трябваше да бъдат въведени директивите в страните членки на Европейския съюз, изтече на 13 януари 2018 година.

С приемането на новите текстове у нас се въвеждат редица европейски разпоредби, засягащи  доставчиците на платежни услуги (банки, платежни институции и дружества за електронни пари). Те ще бъдат задължени да ограничават и контролират рисковете, свързани със сигурността на плащанията. А в случай че е  възникнал значим операционен или свързан със сигурността инцидент, трябва незабавно да уведомяват за него Централната банка. Когато инцидентът засяга или може да засегне финансовите интереси на ползвателите на платежни услуги, доставчикът също е задължен да ги уведоми незабавно за инцидента и за всички мерки, които предприема, за да ограничи неблагоприятните последици.

Ключова промяна задължава доставчиците да установяват задълбочено идентичността на платеца при достъп до платежна сметка онлайн, при нареждане на плащане или при извършване на действие от разстояние. За целта се предвижда тройна защита на потребителите при подобни действия - използване на няколко елемента за идентификация при извършване на плащане, категоризирани като знание (нещо, което само ползвателят знае), притежание (нещо, което само ползвателят притежава) и характерна особеност (нещо, което характеризира ползвателя), които са независими, така че нарушаването на един елемент да не влияе на надеждността на останалите, а процедурата е разработена по начин, който защитава поверителността на данните за установяване на идентичността.

От тези три елемента доставчиците на платежни услуги прилагат най-често ПИН кодовете (нещо, което само ползвателят знае) и еднократни динамични кодове за потвърждаване на дадено плащане, генерирани от токен устройства или получени чрез съобщение през личния мобилен телефон или имейл (нещо, което само ползвателят притежава). Колкото до третия елемент, засягащ характерна особеност на клиента - нещо, което характеризира ползвателя, може да бъде посочена идентификацията чрез биометрични данни - като например пръстовият отпечатък или разпознаването на ириса.

Налагането на допълнителните защити се налага от тенденцията за нарастване на обема на електронната търговия, електронните плащания и появата на иновативни платежни услуги.

За неизпълнение на разпоредбите се предвиждат сериозни глоби за доставчиците на платежни услуги - до 2 млн. лева.