Chapitre 1 - La gestion des relations avec les utilisateurs de services de paiement (« USP »)
CSSF Circular 25/880 on payment service user relationships and PSP ICT assessment · CSSF 25/880
Chapitre 1. La gestion des relations avec les utilisateurs de services de paiement (« USP ») ... 5
Chapitre 2. Évaluation des TIC des PSP (« PSP ICT Assessment ») ....................................... 5
Chapitre 3. Date d’application ......................................................................................... 6
Chapitre 1. La gestion des relations avec les utilisateurs de services de paiement (« USP ») 6
1. Les PSP devraient établir et mettre en œuvre des processus permettant de renforcer la sensibilisation des USP aux risques de sécurité liés aux services de paiement, en leur fournissant de l’assistance et des lignes directrices.
2. L’assistance et les lignes directrices fournies aux USP devraient être mises à jour en fonction des nouvelles menaces et vulnérabilités, et les changements devraient être communiqués aux USP.
3. Lorsque la fonctionnalité des produits le permet, les PSP devraient permettre aux USP de désactiver les fonctionnalités de paiement spécifiques aux services de paiement fournis par le PSP à l’USP.
4. Lorsque, conformément à l’article 82, paragraphe 1, de la LSP, un PSP a convenu avec le payeur des limites de dépenses pour les opérations de paiement exécutées au moyen d’instruments spécifiques de paiement, le PSP devrait donner au payeur la possibilité d’ajuster ces limites à hauteur de la limite maximale convenue.
5. Les PSP devraient offrir aux USP la possibilité de recevoir des alertes lors de tentatives initiées et/ou ratées d’initier des opérations de paiement, de manière à leur permettre de détecter toute utilisation frauduleuse ou malveillante de leurs comptes.
6. Les PSP devraient tenir les USP informés des mises à jour des procédures de sécurité ayant une incidence sur les USP s’agissant de la prestation de services de paiement.
7. Les PSP devraient fournir aux USP l’aide nécessaire pour toute question, demande de soutien et notification d’anomalies ou tout problème de sécurité relatifs aux services de paiement. Les USP devraient être correctement informés de la manière dont ils peuvent obtenir cette aide.
In Luxembourg, article 1 of CSSF circular 25/880 directly interlocks with article 82 of the amended law of 10 November 2009 on payment services (LSP), which frames spending limits agreed with the payer. The CSSF, the supervisory authority for PSPs in Luxembourg, expects effective and traceable implementation, not just contractual: during on-site inspections, it tests the PSU journey in real conditions from the mobile app.
Luxgap practice: prepare an evidence file per obligation (1 to 7) with dated screenshots of the PSU journey, timestamped notification logs and a sample of communications sent, ready to be handed to the CSSF within 5 business days.