Technologia HCE umożliwia tokenizację danych karty płatniczej i użycie takiej informacji do płatności w terminalu płatniczym. Rozwiązanie to od strony prawnej stanowi sposób użycia karty płatniczej. Sama płatność i relacje prawne pomiędzy jej uczestnikami, a więc wydawcą, posiadaczem, agentem rozliczeniowym, akceptantem i organizacjami kartowymi, są ukształtowane w sposób identyczny jak w przypadku „tradycyjnej" płatności kartą. Rozwiązanie to wymaga od wydawcy dostarczenia użytkownikowi aplikacji mobilnej oraz wdrożenia w niej technologii HCE do płatności kartami.
W ostatnim czasie można jednak zaobserwować stopniowe odchodzenie banków od oferowania tego typu płatności w sposób bezpośredni. Na rynku polskim z „własnych" rozwiązań HCE zrezygnowały choćby Alior Bank, Getin Bank czy ostatnio SGB. Płatności bezstykowe są natomiast umożliwiane poprzez współpracę z tzw. Big Techami, czyli najczęściej Google Pay czy Apple Pay, rzadziej z Garmin Pay, FitBit Pay czy Samsung Pay. Firmy te, umożliwiając płatność, wykorzystują także technologię HCE. Dla użytkownika końcowego zmiana w sensie technicznym nie wydaje się istotna, po dodaniu karty np. do portfela Google'a płatność następuje w analogiczny sposób.
Pod względem prawnym tradycyjny węzeł prawny karty płatniczej, czyli wydawca, posiadacz, agent rozliczeniowy i akceptant (sklep), zostaje jednak wzbogacony o kolejny podmiot. Podmiot ten nie jest wydawcą instrumentu płatniczego, nie wchodzi także w posiadanie środków przeznaczonych do wykonywania transakcji płatniczych. W rozumieniu prawa usług płatniczych jest to tzw. TSP, Technical Service Provider. Nie wchodzi on (w zakresie usług płatniczych) w bezpośrednią relację z użytkownikiem, jeśli oczywiście nie oferuje własnych instrumentów płatniczych. Za jego działania odpowiada natomiast wydawca instrumentu płatniczego.
Stąd w przypadku nieprawidłowości w korzystaniu z płatniczych rozwiązań, takich jak Google Pay czy Apple Pay, reklamacje powinny być kierowane do wydawcy zapisanej i użytej karty. W prawie Unii Europejskiej (dyrektywa PSD2) konsument poddany jest szczególnej ochronie, czyli generalnie nie ponosi ryzyka transakcji oszukańczych wyższego niż równowartość 50 euro, z wyjątkiem przypadków jego winy umyślnej czy rażącego niedbalstwa. Udział TSP po stronie wydawcy karty generuje jednak dodatkowe ryzyko już przez sam fakt włączenia kolejnego podmiotu do łańcucha wykonywania płatności. W razie nieprawidłowości po stronie tych podmiotów (także np. wycieku danych i wskutek tego wykonania transakcji nieautoryzowanych) roszczenia mogą być kierowane do wydawców instrumentów płatniczych. Podmioty te powinny zatem nadać szczególną wagę umowom zawieranym z dostawcami rozwiązań portfeli elektronicznych w zakresie dostępności usług i odpowiedzialności w przypadku ich zakłócenia. Jednocześnie dostawcy portfeli elektronicznych z reguły posiadają bezpośrednią umowę z klientami, w szczególności dotyczącą funkcjonowania aplikacji portfela elektronicznego oraz ochrony informacji. W tej relacji (bezpośrednio niedotyczącej płatności) te podmioty będą bezpośrednią stroną dla klientów, których prawa mogą zostać naruszone.
Poza tymi uregulowaniami pozostaje w dalszym ciągu tzw. stosunek podstawowy, czyli umowa klienta ze sklepem bądź usługodawcą, na podstawie której następuje dostawa towarów bądź usług oraz płatność za tę dostawę. W przypadku nieprawidłowości w zakresie dostawy towarów/usług brak podstaw do kierowania roszczeń do podmiotów organizujących zapłatę, czyli wydawcy instrumentu płatniczego oraz podmiotów, którymi się posługuje w świadczeniu swoich usług.
