I. - Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification forte du client, sous réserve du respect des exigences définies à l'article 2 et au II du présent article, lorsqu'un utilisateur de services de paiement est limité dans son accès à un ou à deux des éléments suivants en ligne sans que des données de paiement sensibles soient divulguées :
1° Le solde d'un ou de plusieurs comptes de paiement désignés ;
2° Les opérations de paiement exécutées durant les 90 derniers jours par l'intermédiaire d'un ou de plusieurs comptes de paiement désignés.
II. - Pour l'application du I, les prestataires de services de paiement ne sont pas exemptés de l'application de l'authentification forte du client lorsque l'une des conditions suivantes est remplie :
1° L'utilisateur du service de paiement accède pour la première fois en ligne aux informations visées au I ;
2° Plus de 90 jours se sont écoulés depuis la dernière fois que l'utilisateur de services de paiement a accédé en ligne aux informations visées au 2° du I, et que la procédure d'authentification forte du client a été appliquée.