La durée d'interruption du service de paiement en ligne ne doit pas excéder 30 minutes par interruption.

La durée totale d'interruption de la fourniture de tous les services de paiement et des services d'intermédiation de paiement en ligne ne doit pas excéder 4 heures par an, et la durée d'interruption de service ne doit pas excéder 30 minutes par intervention.

La Banque d'État du Vietnam est en train de rédiger une circulaire modifiant et complétant un certain nombre d'articles de la circulaire n° 15/2024/TT-NHNN du 28 juin 2024 du gouverneur de la Banque d'État du Vietnam réglementant la fourniture de services de paiement non monétaires.

L’article 19 de la circulaire n° 15/2024/TT-NHNN stipule les responsabilités des prestataires de services de paiement :

1. Informer et guider les clients dans l'utilisation des services de paiement proposés ; répondre rapidement aux questions et aux plaintes des organisations et des particuliers utilisant les services de paiement, dans le cadre de leurs obligations et de leurs pouvoirs.

2. Effectuer les transactions de paiement rapidement, en toute sécurité et avec précision, conformément aux accords conclus avec les organisations et les particuliers utilisant les services de paiement ; publier les frais des services de paiement.

3. Les prestataires de services de paiement sont responsables de la correction rapide des erreurs et des anomalies dans les transactions de paiement lorsqu'ils ne respectent pas les exigences des ordres de paiement des organisations et des particuliers utilisant les services de paiement ; et sont responsables de la coordination avec les prestataires de services de paiement concernés pour recouvrer les montants transférés par erreur ou en trop lors de l'exécution des transactions de paiement conformément aux dispositions légales.

4. Les prestataires de services de paiement doivent se conformer aux dispositions légales relatives aux transactions électroniques et à la sécurité et à la gestion des risques liés aux opérations bancaires. Ils doivent mettre en place des mécanismes de gestion des risques : identifier les risques, les classifier pour chaque type de service fourni, sécuriser et garantir l’intégrité et l’exactitude des données relatives aux transactions, disposer de mesures d’évaluation, de contrôle et de prévention des risques, et se conformer à la législation en vigueur.

5. Les prestataires de services de paiement sont tenus d'informer et d'avertir leurs clients des risques liés à l'utilisation de leurs services de paiement et de respecter les termes du contrat signé avec eux ; de guider les organisations et les particuliers utilisant leurs services de paiement sur l'obligation de sécuriser leurs informations de compte, leurs autres éléments d'identification et les moyens électroniques utilisés pour le paiement, afin d'éviter toute exploitation, escroquerie ou fraude.

6. Les prestataires de services de paiement doivent mettre en œuvre des mesures pour identifier les clients ; contrôler, détecter et signaler les transactions de grande valeur, les transferts d'argent électroniques et les transactions suspectes aux agences d'État compétentes conformément à la loi sur la lutte contre le blanchiment d'argent et aux autres dispositions légales pertinentes.

7. Les prestataires de services de paiement doivent être responsables de l’indemnisation des dommages causés par leurs propres fautes, conformément aux dispositions légales.

8. Les prestataires de services de paiement sont responsables de l’application de mesures et de solutions visant à assurer la vérification et la concordance des informations de vérification du client lors des transactions de paiement.

9. Les prestataires de services de paiement doivent, sur la base des dispositions de la présente circulaire et des dispositions légales pertinentes, établir des procédures internes pour la fourniture de services de paiement non monétaires dans leurs unités et être juridiquement responsables des procédures internes de leurs unités.

10. S'acquitter des autres responsabilités prescrites dans la présente circulaire et les dispositions légales pertinentes.

La Banque d'État a indiqué que la loi de 2024 sur les établissements de crédit stipule, au paragraphe 5 de l'article 10 : « Responsabilités des établissements de crédit et des succursales de banques étrangères en matière de protection des droits des clients : “5. Annonce publique des horaires d'ouverture des agences. En cas d'interruption des transactions dans un ou plusieurs points de vente pendant les heures d'ouverture des agences ou par voie électronique, les établissements de crédit et les succursales de banques étrangères doivent afficher une information relative à cette suspension au moins 24 heures avant l'heure prévue, soit dans les points de vente, soit sur leur site internet.” »

Article 14. Sécurité des données et garantie de continuité d'exploitation : « Les établissements de crédit et les succursales de banques étrangères doivent assurer la sécurité de leur système d'information, la sécurité des données et la continuité d'exploitation conformément à la réglementation du gouverneur de la Banque d'État et aux autres dispositions légales pertinentes. »

La loi sur la sécurité des informations en réseau stipule dans l'article 3, paragraphe 1 : « 1. La sécurité des informations en réseau consiste à protéger les informations et les systèmes d'information sur le réseau contre tout accès, utilisation, divulgation, interruption, modification ou destruction non autorisés afin de garantir l'intégrité, la confidentialité et la disponibilité des informations ».

La circulaire 41/2024/TT-NHNN stipule la supervision et la mise en œuvre de la supervision des systèmes de paiement importants et des activités de prestation de services d'intermédiation de paiement comme prescrit à l'article 17, paragraphe 2 : « 2. Les prestataires de services d'intermédiation de paiement sont tenus de fournir immédiatement à l'Unité de supervision les informations relatives à tout incident entraînant une interruption de plus de 30 minutes des activités de prestation de services d'intermédiation de paiement... ».

La circulaire 50/2024/TT-NHNN stipule les exigences de sécurité relatives à la fourniture de services bancaires en ligne : l’article 16 définit les responsabilités de l’entité (établissement de crédit, succursale bancaire étrangère, prestataire de services d’intermédiation de paiement) en matière de continuité de service. L’article 17, paragraphe 2, stipule que l’entité doit informer ses clients des conditions de la convention de fourniture et d’utilisation des services bancaires en ligne, notamment : c) son engagement à assurer la continuité de service du système de banque en ligne, en précisant au minimum : la durée maximale d’interruption de service et la durée maximale d’interruption de service sur une année, sauf en cas de force majeure ou d’opérations de maintenance et de mise à jour du système notifiées par l’entité.

La circulaire 09/2020/TT-NHNN du 21 octobre 2020 relative à la sécurité des systèmes d'information dans les opérations bancaires stipule : Article 5, paragraphe 4 : Un système d'information de niveau 3 est un système d'information qui remplit l'un des critères suivants : b) Le système d'information assure les opérations internes quotidiennes de l'organisation et ne tolère aucune interruption de service supérieure à 4 heures ouvrables à compter de l'heure de l'interruption ; c) Le système d'information est destiné à des clients exigeant un fonctionnement 24 h/24 et 7 j/7 et ne tolère aucune interruption de service non planifiée au préalable. Article 49 : Principes garantissant la continuité de service : « 1. L'organisation doit mettre en œuvre les exigences minimales suivantes : a) Analyser l'impact et évaluer les risques d'interruption ou d'indisponibilité du système d'information ;… ».

Par ailleurs, la Banque d'État (Département des paiements) a récemment reçu des retours de clients et d'usagers concernant les problèmes suivants : (i) Certaines banques/applications de paiement intermédiaires ont signalé des erreurs les empêchant de se connecter ou d'effectuer des transactions, notamment pendant les périodes de forte affluence (vacances, Têt), ce qui a engendré frustration et désagréments pour les clients qui ne pouvaient pas scanner le code QR pour payer, ou en raison de la saturation du réseau, et les transactions en espèces ont été suspendues même si le compte du client avait été débité mais que le destinataire n'avait pas encore reçu l'argent ; (ii) Certaines banques n'ont pas fait d'annonce officielle, ont traité le problème lentement ou ont effectué des opérations de maintenance et des mises à jour du système sans préavis.

Selon la Banque d'État, l'ajout d'une réglementation sur la durée maximale d'interruption des services de paiement en ligne/de paiement par intermédiaire est nécessaire pour protéger les droits des clients et renforcer la responsabilité des prestataires de services, en tenant compte des exigences techniques, des capacités de mise en œuvre et des avantages pour le client, afin d'ajouter des mesures et des sanctions strictes pour traiter les infractions.

La plupart des pays imposent une durée d'indisponibilité maximale d'environ 4 heures par an. Certains pays de l'UE ont des exigences plus strictes, par exemple une durée d'indisponibilité maximale de 15 minutes par incident, l'obligation pour les banques de disposer d'un plan et d'un système de sauvegarde pour garantir la continuité du service, et l'obligation pour les organismes d'effectuer des contrôles périodiques et de rendre compte de l'état du système. Sanctions en cas de non-respect : tout dépassement de la durée d'indisponibilité maximale entraînera des amendes ou le retrait des licences d'exploitation.

Certains pays appliquent des réglementations similaires, telles que : (i) Singapour impose une durée d’indisponibilité maximale de 4 heures par an . Les banques doivent effectuer des contrôles périodiques et rendre compte de l’état de leurs systèmes. Les organisations doivent disposer d’un plan et d’un système de sauvegarde pour garantir la continuité de service. (ii) La Chine impose également une durée d’indisponibilité maximale de 4 heures par an. Les organisations doivent effectuer des contrôles périodiques et rendre compte de l’état de leurs systèmes.

Dans le projet, la Banque d'État prévoit d'ajouter les clauses 2a et 2b de l'article 19 de la circulaire n° 15/2024/TT-NHNN. comme suit:

2a. Les prestataires de services de paiement et les intermédiaires de paiement sont responsables de la mise en œuvre des mesures visant à assurer la continuité et le bon fonctionnement des services de paiement et d'intermédiation de paiement. La durée totale d'interruption de l'ensemble des services de paiement et d'intermédiation de paiement en ligne ne doit pas excéder 4 heures par an, et la durée d'interruption de service ne doit pas excéder 30 minutes, sauf en cas de force majeure ou pour des opérations de maintenance et de mise à jour du système notifiées au moins 3 jours à l'avance.

2b. Les prestataires de services de paiement et les intermédiaires de paiement sont tenus de signaler à la Banque d'État, dans un délai de 4 heures, tout incident entraînant une interruption de plus de 30 minutes dans la fourniture de leurs services de paiement ou d'intermédiation (y compris en cas de force majeure, de maintenance ou de mise à niveau du système notifiée 3 jours à l'avance), conformément à l'annexe 5 de la présente circulaire. Dans un délai de 3 jours ouvrables suivant la résolution du problème, ils doivent transmettre un rapport d'incident complet, conformément à l'annexe 5 de la présente circulaire.

Précisez les informations minimales requises pour accompagner une opération de transfert d'argent.

En outre, la Banque d'État prévoit également de compléter les alinéas 3a et 3b de l'article 19 de la circulaire n° 15/2024/TT-NHNN comme suit :

3a. Les prestataires de services de paiement sont responsables de la vérification et du contrôle des ordres de paiement légaux et valides, en veillant à ce que le numéro et le nom du compte de paiement figurant dans l'accord d'ouverture et d'utilisation du compte de paiement du client soient correctement affichés lors des transactions de paiement et soient intégralement affichés sur les documents de paiement.

3b. Lors de la réalisation de services d'autorisation de paiement, de services de transfert d'argent via ou sans compte de paiement, le prestataire de services de paiement au service du payeur est tenu de fournir au prestataire de services de paiement au service du bénéficiaire, sur demande, les informations minimales relatives à la transaction, notamment :

a) Informations sur le payeur, notamment : Nom du payeur, numéro de compte de paiement du payeur ou numéro de référence de transaction (lorsqu'il n'y a pas de compte de paiement), adresse permanente enregistrée ou numéro d'identification du payeur ;

b) Informations sur le bénéficiaire, notamment : Nom du bénéficiaire, numéro de compte de paiement du bénéficiaire ou numéro de référence de la transaction (lorsqu'il n'y a pas de compte de paiement).

La Banque d'État a justifié l'ajout du contenu de la clause 3a par les raisons suivantes : dans les faits, plusieurs banques ont abusé de l'autorisation accordée à leurs clients d'utiliser des pseudonymes et des surnoms (alias, surnoms) au lieu des numéros et noms de compte bancaire, créant ainsi des noms similaires à ceux de marques réputées afin de commettre des fraudes et d'enfreindre la loi. De plus, l'utilisation de pseudonymes et de surnoms lors des transactions de paiement peut entraîner des erreurs de virement, le numéro et le nom du compte n'étant pas toujours clairement indiqués lors des ordres de paiement.

Auparavant, les articles 8 et 11 de la circulaire n° 46/2014/TT-NHNN du 31 décembre 2014 du gouverneur de la Banque d'État, relative aux services de paiement dématérialisés, contenaient des dispositions concernant les éléments figurant sur les documents de paiement. Dans son rapport d'évaluation multilatérale 2021 sur le Vietnam, le Groupe Asie- Pacifique sur le blanchiment d'argent (APG) a jugé le Vietnam « conforme » au critère de recommandation n° 16.5. La suppression des dispositions relatives aux informations accompagnant les transferts de fonds pourrait impacter la note de conformité du Vietnam.

La réglementation claire des informations minimales accompagnant l'opération de transfert d'argent et l'obligation de fournir les informations susmentionnées répondent d'une part aux exigences de la Recommandation APG et créent également une base juridique permettant aux prestataires de services de paiement au service des bénéficiaires de demander à ces derniers de fournir des informations sur l'expéditeur afin de faciliter le processus d'examen des informations des parties participant à la transaction.

Le projet de texte ci-dessus est soumis à commentaires sur le portail d'information électronique de la Banque d'État du Vietnam.

Sagesse

Source : https://baochinhphu.vn/thoi-gian-gian-doan-cung-ung-dich-vu-thanh-toan-truc-tuyen-khong-vuot-qua-30-phut-lan-102250715171759862.htm