I. - Les prestataires de services de paiement mettent en place des mécanismes de contrôle des opérations qui leur permettent de déceler les opérations de paiement non autorisées ou frauduleuses aux fins de la mise en œuvre des mesures de sécurité visées aux 1° et 2° de l'article arrêté.
Ces mécanismes sont fondés sur l'analyse d'opérations de paiement tenant compte d'éléments qui sont propres à l'utilisateur de services de paiement dans des conditions d'utilisation normale des données de sécurité personnalisées.
II. - Les prestataires de services de paiement veillent à ce que les mécanismes de contrôle des opérations tiennent au moins compte des éléments suivants :
1° Les listes d'éléments d'authentification volés ou détournés ;
2° Le montant de chaque opération de paiement ;
3° Les scénarios connus de fraude lors de la prestation de services de paiement ;
4° Les signes d'infection par un logiciel malveillant lors de sessions d'application de la procédure d'authentification ;
5° Si le dispositif d'accès ou le logiciel est fourni par le prestataire de services de paiement, un registre d'utilisation du dispositif d'accès ou du logiciel fourni à l'utilisateur de services de paiement, et l'utilisation anormale du dispositif ou du logiciel.