I. - Les prestataires de services de paiement veillent à ce que la livraison des données de sécurité personnalisées ainsi que des dispositifs et du logiciel d'authentification à l'utilisateur de services de paiement soit effectuée d'une manière sécurisée qui permette de prévenir les risques liés à leur utilisation non autorisée à la suite de leur perte, vol ou copie.
II. - Pour l'application du I, les prestataires de services de paiement appliquent au moins chacune des mesures suivantes :
1° Des mécanismes de livraison efficaces et sécurisés garantissent que les données de sécurité personnalisées ainsi que les dispositifs et le logiciel d'authentification sont livrés à l'utilisateur de services de paiement légitime ;
2° Des mécanismes permettent au prestataire de services de paiement de vérifier l'authenticité du logiciel d'authentification livré à l'utilisateur de services de paiement grâce à l'internet ;
3° Des dispositions garantissent que, lorsque la livraison des données de sécurité personnalisées a lieu en dehors des locaux du prestataire de services de paiement ou grâce à un moyen de communication à distance :
a) Aucun tiers non autorisé ne peut obtenir plus d'un élément des données de sécurité personnalisées ou des dispositifs ou du logiciel d'authentification lorsque la livraison est effectuée grâce au même moyen de communication ;
b) Les données de sécurité personnalisées ou les dispositifs ou le logiciel d'authentification doivent être activés avant de pouvoir être utilisés ;
4° Des dispositions garantissent que, si les données de sécurité personnalisées ou les dispositifs ou le logiciel d'authentification doivent être activés avant leur première utilisation, cette activation est effectuée dans un environnement sécurisé conformément aux procédures d'association visées à l'article 24.