Chapitre 1 - La gestion des relations avec les utilisateurs de services de paiement (« USP »)
Circulaire CSSF 25/880 sur la gestion des relations avec les utilisateurs de services de paiement et l'évaluation TIC des PSP · CSSF 25/880
Chapitre 1. La gestion des relations avec les utilisateurs de services de paiement (« USP ») ... 5
Chapitre 2. Évaluation des TIC des PSP (« PSP ICT Assessment ») ....................................... 5
Chapitre 3. Date d’application ......................................................................................... 6
Chapitre 1. La gestion des relations avec les utilisateurs de services de paiement (« USP ») 6
1. Les PSP devraient établir et mettre en œuvre des processus permettant de renforcer la sensibilisation des USP aux risques de sécurité liés aux services de paiement, en leur fournissant de l’assistance et des lignes directrices.
2. L’assistance et les lignes directrices fournies aux USP devraient être mises à jour en fonction des nouvelles menaces et vulnérabilités, et les changements devraient être communiqués aux USP.
3. Lorsque la fonctionnalité des produits le permet, les PSP devraient permettre aux USP de désactiver les fonctionnalités de paiement spécifiques aux services de paiement fournis par le PSP à l’USP.
4. Lorsque, conformément à l’article 82, paragraphe 1, de la LSP, un PSP a convenu avec le payeur des limites de dépenses pour les opérations de paiement exécutées au moyen d’instruments spécifiques de paiement, le PSP devrait donner au payeur la possibilité d’ajuster ces limites à hauteur de la limite maximale convenue.
5. Les PSP devraient offrir aux USP la possibilité de recevoir des alertes lors de tentatives initiées et/ou ratées d’initier des opérations de paiement, de manière à leur permettre de détecter toute utilisation frauduleuse ou malveillante de leurs comptes.
6. Les PSP devraient tenir les USP informés des mises à jour des procédures de sécurité ayant une incidence sur les USP s’agissant de la prestation de services de paiement.
7. Les PSP devraient fournir aux USP l’aide nécessaire pour toute question, demande de soutien et notification d’anomalies ou tout problème de sécurité relatifs aux services de paiement. Les USP devraient être correctement informés de la manière dont ils peuvent obtenir cette aide.
Au Luxembourg, l'article 1 de la circulaire CSSF 25/880 s'articule directement avec l'article 82 de la loi modifiee du 10 novembre 2009 relative aux services de paiement (LSP) qui encadre les limites de depenses convenues avec le payeur. La CSSF, autorité de surveillance des PSP au Luxembourg, attend une mise en œuvre effective et tracable, pas seulement contractuelle : lors des inspections on-site, elle teste le parcours USP en conditions reelles depuis l'app mobile.
Pratique Luxgap : preparez un dossier de preuve par obligation (1 a 7) avec captures datees du parcours USP, logs de notifications horodates et echantillon de communications envoyees, prets a remettre a la CSSF en moins de 5 jours ouvres.