Mémorial
4notify Luxembourg · Journal officiel
OFFICIEL · CSSF · DSP2 · Payconiq
Mémorial Nº
MEM-LU-001
Date
2026-05-27
Statut
En vigueur
Rubrique
Banque et paiements

Authentification forte DSP2 et Payconiq : remise d'OTP aux banques luxembourgeoises par POST, Orange et Tango

La directive DSP2 impose l'authentification forte du client (SCA) pour chaque virement et chaque connexion à la banque mobile. Au Grand-Duché, la BCEE (Spuerkeess), BGL BNP Paribas, la BIL et la Banque de Luxembourg s'appuient sur Payconiq et SEPA Instant pour les paiements en temps réel. 4notify remet les codes à usage unique avec un P50 inférieur à 4 secondes sur les réseaux de POST Luxembourg, Orange Luxembourg et Tango, par connexions tier-1 directes. Le code arrive avant que la fenêtre ne se referme.

SMSPushE-mail
Préambule

Article 1er — Vu la loi du 10 novembre 2009 relative aux services de paiement transposant la directive (UE) 2015/2366 (DSP2) et le règlement délégué (UE) 2018/389 sur l'authentification forte, il est arrêté le présent Mémorial relatif à la remise des codes d'authentification forte par les réseaux mobiles luxembourgeois.

Fondement normatif
Loi du 10 novembre 2009 sur les services de paiement

Transposition de la DSP2 ; obligation d'authentification forte (SCA) pour les opérations de paiement électroniques.

Règlement délégué (UE) 2018/389 (RTS SCA)

Normes techniques de réglementation : facteurs de possession, de connaissance et d'inhérence ; éléments dynamiques.

Circulaires CSSF sur la banque électronique

Devoir des établissements surveillés d'appliquer le double facteur sur les canaux numériques.

Mise en œuvre
01

Déclaration à l'ILR + connexion tier-1

4notify maintient une connexion tier-1 directe avec POST, Orange et Tango et figure comme fournisseur reconnu pour le trafic d'authentification.

02

L'OTP est généré dans le HSM de la banque

Le code à usage unique est généré dans le module de sécurité de la banque ; 4notify ne reçoit que le condensat et le numéro de téléphone.

03

Fenêtre de 60 secondes + chaîne de secours

Le SMS est remis en moins de 60 secondes ; si l'accusé de réception (DLR) échoue, le push prend le relais, puis l'e-mail. On évite les retards des routes grises.

04

Conservation d'audit pendant dix ans

Chaque remise est signée et conservée dix ans, conformément aux exigences de la CSSF et de la réglementation anti-blanchiment.

Enveloppe de remise
json
{
  "evenement": "banque.sca.otp",
  "banque_id": "LU-XXXX",
  "transaction_id": "TX-2026-05-27-948210",
  "montant": 1450.00,
  "devise": "EUR",
  "rail": "payconiq",
  "remise": {
    "canal": "sms",
    "secours": ["push", "email"],
    "fenetre_secondes": 60,
    "modele": "sca_otp_lu_v3"
  },
  "signature_audit": "https://4notify.net/sig/banque/948210"
}
Message d'exemple
SMS

BCEE : votre code pour valider un Payconiq de 1.450 EUR vers J. Weber est 482193. Valable 5 min. Ne le communiquez à personne.

Liste de conformité
  • Déclaration de fournisseur de remise reconnu auprès de l'ILR en vigueur
  • Connexion tier-1 directe avec POST, Orange et Tango active
  • OTP avec P50 ≤ 4 secondes mesuré chaque trimestre
  • Conservation d'audit de dix ans documentée
La différence 4notify

4notify est le seul fournisseur A2P à disposer d'une connexion tier-1 directe simultanée sur POST Luxembourg, Orange et Tango, avec audit signé sur dix ans pour la remise d'authentification forte conforme à la DSP2 et aux circulaires CSSF.

Questions fréquentes
4notify remet-il directement aux banques luxembourgeoises ou via un agrégateur ?

Connexion tier-1 directe avec POST Luxembourg, Orange et Tango. Nous n'utilisons pas d'agrégation par route grise pour le trafic d'authentification.

Les notifications push comptent-elles comme deuxième facteur ?

Oui — le push lié à l'application est un facteur de possession reconnu. Mais comme l'application ne garantit pas un support durable, nous le combinons toujours avec un SMS ou un e-mail.

Publié
4notify Département des Opérations
2026-05-27 · MEM-LU-001

Commencez gratuitement

14 jours, sans carte. Assistance en français en semaine.

Autres entrées de cette édition