Damit Institute nur von Aufsichtsbehörden zugelassenen Drittdiensten den Zugriff auf das Konto gewähren, müssen sich in Zukunft alle für den Kontozugriff zugelassenen Dienstleister durch qualifizierte Zertifikate ausweisen. Diese Zertifikate müssen strengen Sicherheitsvorgaben gehorchen, die durch die europäische eIDAS-Verordnung vorgegeben werden. Zumindest in Deutschland stehen schon Anbieter für solche Zertifikate in den Startlöchern. Auf Grundlage der Registrierungsnummer des Zahlungs- bzw. Drittdienstes soll das Zertifikat gesichert darüber Auskunft geben, ob es sich bei dem Kommunikationspartner um ein kontoführendes Institut, einen Kontoinformationsdienst oder einen Zahlungsauslösedienst handelt, und welche Behörde den Dienstleister zugelassen hat. Drittdienstleister und Institute, die selbst auch entsprechende Drittdienste anbieten wollen, die den Zugriff auf Konten bei anderen Instituten voraussetzen, müssen sich daher um die Erteilung eines entsprechenden Zertifikats kümmern. Gleichzeitig müssen alle kontoführenden Institute bei der Umsetzung ihrer Schnittstelle für Drittdienstleister sicherstellen, dass sie in der Lage sind, die Zertifikate von Drittdienstleistern zu verifizieren. Denn neben der PSD 2 sind auch die Anforderungen der EU-Datenschutzgrundverordnung einzuhalten, nach denen kontoführende Institute sicherstellen müssen, dass sie Kontoinformationen nicht an unberechtigte Dritte weitergeben.
Berechtigungsnachweis durch qualifizierte PSD2 Zertifikate