Article 1

Chapitre 1 - La gestion des relations avec les utilisateurs de services de paiement (« USP »)

Circulaire CSSF 25/880 sur la gestion des relations avec les utilisateurs de services de paiement et l'évaluation TIC des PSP · CSSF 25/880

Chapitre 1. La gestion des relations avec les utilisateurs de services de paiement (« USP ») ... 5

Chapitre 2. Évaluation des TIC des PSP (« PSP ICT Assessment ») ....................................... 5

Chapitre 3. Date d’application ......................................................................................... 6

Chapitre 1. La gestion des relations avec les utilisateurs de services de paiement (« USP ») 6

1. Les PSP devraient établir et mettre en œuvre des processus permettant de renforcer la sensibilisation des USP aux risques de sécurité liés aux services de paiement, en leur fournissant de l’assistance et des lignes directrices.

2. L’assistance et les lignes directrices fournies aux USP devraient être mises à jour en fonction des nouvelles menaces et vulnérabilités, et les changements devraient être communiqués aux USP.

3. Lorsque la fonctionnalité des produits le permet, les PSP devraient permettre aux USP de désactiver les fonctionnalités de paiement spécifiques aux services de paiement fournis par le PSP à l’USP.

4. Lorsque, conformément à l’article 82, paragraphe 1, de la LSP, un PSP a convenu avec le payeur des limites de dépenses pour les opérations de paiement exécutées au moyen d’instruments spécifiques de paiement, le PSP devrait donner au payeur la possibilité d’ajuster ces limites à hauteur de la limite maximale convenue.

5. Les PSP devraient offrir aux USP la possibilité de recevoir des alertes lors de tentatives initiées et/ou ratées d’initier des opérations de paiement, de manière à leur permettre de détecter toute utilisation frauduleuse ou malveillante de leurs comptes.

6. Les PSP devraient tenir les USP informés des mises à jour des procédures de sécurité ayant une incidence sur les USP s’agissant de la prestation de services de paiement.

7. Les PSP devraient fournir aux USP l’aide nécessaire pour toute question, demande de soutien et notification d’anomalies ou tout problème de sécurité relatifs aux services de paiement. Les USP devraient être correctement informés de la manière dont ils peuvent obtenir cette aide.

Spécificité Luxembourg
loi luxembourgeoise du 10 novembre 2009 relative aux services de paiement (LSP)

Au Luxembourg, l'autorité competente est la CSSF, qui supervise les PSP agréés sous la loi du 10 novembre 2009 relative aux services de paiement (LSP). La circulaire 25/880 du 9 avril 2025 précisé que les limites de depenses du point 4 renvoient directement a l'article 82, paragraphe 1, de la LSP, et s'inscrit dans le paquet DORA pour le volet TIC. Le Chapitre 3 fixe une date d'application qu'il faut intégrer a votre planning de mise en conformité.

Pratique Luxgap : ne traitez pas le Chapitre 1 isolement, alignez-le des le depart avec l'évaluation TIC du Chapitre 2 (PSP ICT Assessment) et votre cadre DORA, car la CSSF contrôle les deux volets de manière coordonnee lors des inspections.