Circulaire CSSF 26/906 : la fin du « Far West » pour les fintech

Circulaire CSSF 26/906 : la fin du « produit d’abord » — Gouvernance d’abord

Le titre fait vendre. « Les régulateurs s’attaquent aux fintechs », lit-on régulièrement. La réalité est plus sobre, et plus intéressante. La circulaire CSSF 26/906, publiée le 20 janvier 2026 par la Commission de Surveillance du Secteur Financier, ne vise pas une catégorie marketing. Elle ne cible ni les « néobanques », ni les « super-apps », ni aucune marque. Elle pose un standard de gouvernance — et, fait notable, elle interdit désormais l’usage même de ces termes par les acteurs qui n’en détiennent pas la licence.

Son périmètre est précis : les établissements de paiement (EP) et les établissements de monnaie électronique (EME) agréés au Luxembourg. Son message l’est tout autant : la croissance sans gouvernance n’est plus tolérée. Pas parce que l’innovation dérange, mais parce que l’expansion sans contrôle crée des fragilités que le régulateur ne peut plus ignorer.

La thèse de cet article est simple : la 26/906 acte le passage d’une logique « produit d’abord » — lancer vite, corriger après — à une logique « gouvernance d’abord » — prouver la maîtrise avant d’étendre le périmètre. L’enjeu dépasse la conformité réglementaire : il s’agit d’inspectabilité, c’est-à-dire la capacité d’un établissement à démontrer, preuves à l’appui, qu’il maîtrise ses risques.

Cet article décrypte la circulaire axe par axe, en expliquant pourquoi elle existe, ce qu’elle couvre, et comment elle transforme concrètement les modèles des applications de paiement et de monnaie électronique au Luxembourg. Il interroge aussi, en conclusion, une question que tout l’écosystème se pose : ce cadre emprunté à la supervision bancaire est-il un fardeau disproportionné ou une évolution nécessaire ?

Axe 1 — Pourquoi la circulaire existe, d’où elle vient, et ce qu’elle couvre

Un constat de supervision : la croissance crée des risques

La CSSF part d’un diagnostic factuel. Le secteur des services de paiement et de monnaie électronique a connu une croissance soutenue ces dernières années. Les volumes de transactions ont augmenté de manière significative, tant en nombre qu’en valeur. Cette expansion n’est pas neutre : elle accroît mécaniquement l’exposition aux risques opérationnels, aux défaillances de gouvernance, aux lacunes de contrôle interne, et à l’érosion potentielle de la confiance.

La circulaire 26/906 constitue donc une étape de mise à niveau. Son objectif déclaré : favoriser une gestion saine et prudente des EP et EME, au moyen d’une gouvernance robuste, de processus efficaces de gestion des risques et de mécanismes de contrôle interne adaptés à la nature, la taille et la complexité des activités exercées.

Pour le non-initié, précisons. Un établissement de paiement (EP) est une entité agréée pour fournir des services de paiement — par exemple, l’exécution de virements, le traitement de paiements par carte, l’émission d’instruments de paiement. Un établissement de monnaie électronique (EME) est une entité autorisée à émettre de la monnaie électronique, c’est-à-dire une valeur monétaire stockée sous forme électronique et acceptée comme moyen de paiement.

La fin du « wording » bancaire : une ligne rouge sur la communication

La circulaire introduit une exigence inédite et très concrète pour le consommateur : l’interdiction formelle, pour les établissements qui ne détiennent pas une licence d’établissement de crédit, d’utiliser toute terminologie liée aux services bancaires. Les termes « banque », « néobanque », « compte bancaire » et toute déclinaison associée sont désormais proscrits sous toutes leurs formes — y compris dans les applications mobiles, les sites web, les communications marketing et les réseaux sociaux.

Cette interdiction répond à un constat simple : de nombreux consommateurs pensent, légitimement, qu’une application de paiement qui se présente comme une « néobanque » offre les mêmes protections et la même surveillance qu’un établissement de crédit. Or, ce n’est pas le cas. La licence EP ou EME n’est pas une licence bancaire. Les niveaux de protection, de supervision et de garantie des dépôts diffèrent radicalement. La CSSF trace désormais une ligne claire entre les deux catégories, poussant les entreprises à décrire leurs produits en termes simples et précis.

Plus largement, la circulaire impose à la direction de veiller à ce que l’ensemble des communications — commerciales, contractuelles, opérationnelles — soient claires et sans ambiguïté quant aux services réellement fournis. La transparence n’est plus une recommandation : c’est une obligation dont le respect sera contrôlé.

Les sources : droit luxembourgeois, alignement européen, consolidation

Base légale luxembourgeoise. Le socle juridique de la circulaire est la loi modifiée du 10 novembre 2009 relative aux services de paiement (dite « LSP »). Cette loi transpose la directive européenne PSD2 et le régime de la monnaie électronique. La circulaire 26/906 ne crée pas de nouvelles obligations légales. Elle précise les modalités d’application de ces exigences.

Alignement européen. La circulaire indique explicitement qu’elle prend en compte les orientations de
l’Autorité bancaire européenne (EBA), notamment celles relatives aux informations à fournir pour l’agrément des EP et EME. L’EBA a documenté des écarts persistants entre États membres sur la gouvernance et la substance locale, créant un risque d’arbitrage réglementaire. La 26/906 s’inscrit dans cet effort de convergence. L’Europe fixe le socle (PSD2, orientations EBA), le Luxembourg en assure la traduction opérationnelle.

Consolidation. La circulaire abroge, pour les EP et EME, plusieurs textes historiques dispersés (circulaires IML 95/120, IML 96/126, IML 98/143 et CSSF 04/155) et modifie les circulaires CSSF 11/510 et CSSF 11/520. La place passe d’un patchwork réglementaire hérité à un standard unifié.

Périmètre d’application : qui est visé précisément ?

La circulaire définit son périmètre avec une précision qui ne laisse guère de place à l’interprétation. Sont visés :

• Les établissements ayant leur siège au Luxembourg, y compris l’ensemble de leurs succursales, qu’elles soient établies dans l’Espace économique européen ou dans des pays tiers. L’exigence de gouvernance s’applique à l’entité consolidée, pas au seul siège.
• Les succursales luxembourgeoises d’entreprises ayant leur siège en dehors de l’Espace économique européen. Les acteurs non européens qui opèrent via une succursale au Luxembourg sont pleinement concernés.
• Les prestataires de services d’information sur les comptes (AISP), qui sont traités par analogie et sous proportionnalité comme des établissements de paiement pour les besoins du texte.

La CSSF est explicite sur les frontières du texte : la 26/906 ne prétend pas couvrir l’intégralité du cadre réglementaire applicable. Certains domaines restent traités par des textes distincts, notamment les risques TIC et informatiques, la notification d’incidents majeurs, la rémunération et l’externalisation.

Administration centrale : une présence réelle, pas une boîte aux lettres

La circulaire adopte une vision stricte de l’« administration centrale » au Luxembourg. Elle précise qu’un établissement ne peut se limiter à un siège légal : il doit également disposer de son centre de décision et de son centre administratif au Luxembourg. Les personnes et les fonctions qui gèrent et contrôlent effectivement l’activité doivent faire partie de cette substance locale.

Cette exigence risque de peser particulièrement sur les groupes dont les activités réelles se situent ailleurs. La CSSF prévoit que le Luxembourg doit être en mesure d’atteindre chaque endroit où l’établissement est établi et de produire sans délai des informations de gestion, y compris des informations financières et des rapports juridiques. La boîte aux lettres n’est plus une option.

Proportionnalité : des seuils chiffrés, pas un concept vague

La CSSF affirme que la proportionnalité s’applique — mais elle définit des critères précis qui peuvent pousser un établissement à adopter des dispositions « renforcées ». Les seuils retenus sont :

• Seuil transactionnel : des opérations de paiement et de monnaie électronique supérieures à 10 milliards d’euros.
• Seuil financier : un chiffre d’affaires ou un total de bilan supérieur à 500 millions d’euros.
• Seuil organisationnel : un effectif de plus de 50 personnes.

La CSSF identifie également des marqueurs de complexité : autorisations multiples, octroi de crédits liés aux services de paiement, taille et concentration des accords d’externalisation, structure et continuité de l’architecture IT. Les établissements doivent documenter leur évaluation de proportionnalité par écrit et faire approuver les conclusions par l’organe de surveillance au moins une fois par an.

Les cinq blocs structurants de la circulaire

Premier bloc : organes de gestion. Rôles, composition, qualifications, organisation et fonctionnement des organes dirigeants.

Deuxième bloc : contrôle interne. Fonctions de conformité, gestion des risques, audit interne — leurs responsabilités, leur organisation et l’exécution de leurs travaux.

Troisième bloc : conflits d’intérêts. Politiques formalisées, cas types documentés, décisions traçables.

Quatrième bloc : NPAP. Processus d’approbation des nouveaux produits, services, marchés ou canaux de distribution.

Cinquième bloc : safeguarding. Protection des fonds des utilisateurs comme exercice de contrôle interne permanent.

Calendrier : 30 juin 2026

Les établissements visés doivent se mettre en conformité au plus tard le 30 juin 2026. Ce délai n’est pas une suggestion. La CSSF attend des preuves concrètes de mise en œuvre, pas une déclaration d’intention.

Axe 2 — De la règle aux preuves : devenir « inspection-ready »

La circulaire ne demande pas aux établissements de « raconter » leur gouvernance. Elle leur demande de la démontrer. La CSSF attend désormais des artefacts — des traces, des documents, des processus vérifiables — et pas seulement des déclarations de principes.

Du storytelling à la traçabilité

Dans le modèle « produit d’abord », la gouvernance est souvent un exercice narratif. L’établissement rédige une politique, décrit son organisation dans un dossier, présente un organigramme. Le problème surgit lorsque le régulateur demande non pas « décrivez votre dispositif », mais « montrez-moi la dernière décision d’escalade de votre comité des risques » ou « présentez-moi le registre des incidents des six derniers mois avec les plans de remédiation ».

C’est précisément ce niveau de granularité que la 26/906 instaure. La distinction entre « avoir un dispositif » et « démontrer que le dispositif fonctionne » est la ligne de partage entre l’ancien monde et le nouveau.

Les fonctions de contrôle interne : un nouveau périmètre et de nouvelles responsabilités

La circulaire détaille avec précision les attentes relatives aux fonctions de contrôle interne — conformité, gestion des risques, audit interne. Ces fonctions ne sont plus des « lignes dans un organigramme » : elles deviennent des rouages essentiels de la gouvernance, avec des responsabilités définies, des mandats clairs et des obligations de reporting formalisées.

La fonction de conformité doit disposer d’un responsable identifié (Chief Compliance Officer), d’un programme de travail annuel, d’un accès direct au Board, et d’une capacité d’intervention sur l’ensemble des activités de l’établissement. Le CCO établit un rapport de synthèse annuel, signé de sa main, qui doit être transmis à la CSSF.

La fonction d’audit interne doit être indépendante des lignes opérationnelles, disposer d’un plan d’audit pluriannuel couvrant l’ensemble des activités, et produire un rapport de synthèse annuel signé par le Chief Internal Auditor. Ce rapport est également transmis à la CSSF.

La fonction de gestion des risques doit assurer l’identification, l’évaluation, le contrôle et le reporting des risques, avec des indicateurs clés (KRIs), des tableaux de bord et un cycle de révision documenté.

L’attestation annuelle de conformité : un engagement du Board devant le régulateur

La circulaire introduit une exigence particulièrement structurante : les établissements doivent remettre une attestation annuelle de conformité, signée par tous les membres de l’organe de direction, et la soumettre à la CSSF dans les meilleurs délais et au plus tard le dernier jour du troisième mois suivant la clôture de l’exercice.

Parallèlement, les rapports de synthèse des fonctions de conformité et d’audit interne, signés respectivement par le Chief Compliance Officer et le Chief Internal Auditor, doivent être remis selon le même calendrier. S’y ajoute une évaluation annuelle des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité.

Ce triptyque — attestation du Board, rapports des fonctions de contrôle, évaluation TIC — constitue un paquet de livrables annuels dont la CSSF dispose pour évaluer la maturité réelle de l’établissement. L’absence de ces documents, ou leur caractère superficiel, sera un signal d’alerte immédiat.

Les artefacts attendus

Gouvernance : organigramme, chartes de comités, PV signés, politique de gouvernance mise à jour.

Risques : taxonomie, évaluations par processus, matrice de contrôles, registre de risques résiduels.

Reporting : tableaux de bord KRI, rapports périodiques, alertes et escalades documentées.

Incidents : base centralisée, plans de remédiation, analyses post-mortem.

Livrables annuels CSSF : attestation de conformité signée par le Board, rapport CCO, rapport CIA, évaluation TIC/sécurité.

Axe 3 — Le time-to-market encadré : le NPAP

Le New Product Approval Process (NPAP) est sans doute le volet le plus disruptif pour les modèles à forte croissance. Son principe : aucun nouveau produit, service, marché ou canal ne peut être lancé sans analyse de risques formelle, approbation structurée et monitoring post-lancement.

Le NPAP ne vise pas à ralentir l’innovation. Il vise à l’industrialiser. Lancer un produit sans avoir évalué les risques de fraude, de non-conformité LBC/FT, de dépendance à des tiers ou de résilience opérationnelle n’est pas de l’agilité : c’est de l’improvisation.

Les composantes du NPAP

Analyse de risques produit. Chaque nouveau produit doit faire l’objet d’une évaluation structurée : fraude, LBC/FT, litiges, risques opérationnels, résilience.

Cartographie des dépendances. Identification de toutes les dépendances critiques : API, processeurs, KYC, cloud. Évaluation de la concentration, de la substituabilité, du risque de continuité.

Go/no-go formalisé. Décision formelle prise par un comité désigné. Documentée : conditions, risques acceptés, contrôles, métriques.

Monitoring post-lancement. Suivi post-déploiement : taux de fraude, réclamations, incidents. Escalade si déviation.

Exemples concrets

Scénario 1 : paiement instantané

Le NPAP impose d’analyser les risques de fraude en temps réel, d’évaluer la dépendance au schéma de paiement, de vérifier la capacité de monitoring 24/7. Le go/no-go est conditionné à la mise en place de ces contrôles.

Scénario 2 : expansion géographique

Le NPAP exige une analyse du cadre réglementaire local, une évaluation du risque de blanchiment, une due diligence sur le distributeur, et un plan de monitoring adapté.

Axe 4 — Safeguarding : la confiance comme contrôle interne permanent

Le safeguarding désigne l’obligation légale de protéger les fonds des utilisateurs. Les fonds reçus ne sont pas des dépôts bancaires : ils doivent être séparés du patrimoine de l’établissement et protégés en cas d’insolvabilité. La 26/906 en fait un exercice de contrôle interne quotidien.

Trois dimensions indissociables

Le montage : choix du mécanisme (compte ségrégué, assurance, garantie), sélection de la banque, documentation contractuelle.

L’exécution quotidienne : séparation des flux, réconciliations régulières, gestion des écarts. Chaque jour, l’établissement doit prouver la correspondance entre fonds protégés et obligations.

Les contrôles continus : gouvernance des comptes (droits d’accès, signataires), traces d’audit, scénarios d’incident, plans de remédiation.

La CSSF attend un établissement capable de produire, en quelques heures, le détail de ses réconciliations et la preuve de la séparation de ses fonds. Pour les acteurs traitant des volumes importants, la complexité du safeguarding croît de manière non linéaire. La 26/906 impose que cette complexité soit gérée par des processus formalisés.

Axe 5 — Nouveaux entrants : la maturité ERM comme avantage compétitif

La 26/906 concerne les établissements existants. Mais pour tout acteur en phase d’agrément ou de construction d’une entité régulée au Luxembourg — EP, EME ou candidat CASP — la circulaire fixe le niveau de preuve acceptable pour le régulateur.

La question n’est plus « être conforme » mais « être inspectable dès le jour 1 ». Un nouvel entrant qui coche des cases sans bâtir un cadre de gouvernance mûr s’expose à un parcours d’agrément difficile, à des observations de la CSSF dès les premiers mois, et à un risque réputationnel significatif.

L’ERM comme prérequis de crédibilité

Gouvernance structurée. Board et management avec mandats clairs, réunions documentées, ligne d’escalade définie. Fonctions de contrôle en place dès le démarrage.

Évaluations de risques. Cartographie complète, dépendances tiers, risques de concentration, scénarios d’incident.

Reporting Board. Tableaux de bord réguliers avec KRIs, seuils d’alerte, exceptions, tendances.

Remédiation disciplinée. Registre, responsables, échéances, suivi. La discipline de remédiation différencie les organisations qui gèrent leurs risques de celles qui les déclarent.

Documentation prête à l’inspection. Politiques, procédures, PV, registres, rapports : archivés, accessibles, à jour.

Un cadre ERM mature n’est pas un coût net : c’est un accélérateur. L’acteur qui démontre une gouvernance solide dès la phase d’agrément raccourcit ses délais, rassure ses partenaires bancaires et crédibilise sa proposition de valeur. La maturité ERM est, paradoxalement, la voie la plus rapide vers le marché.

Axe 6 — Trop lourd ? Trop léger ? La 26/906 face au miroir de la réglementation bancaire

La circulaire CSSF 26/906 emprunte, de manière revendiquée, ses structures à la supervision bancaire classique. Trois lignes de défense, attestation annuelle du Board, rapports signés du CCO et du CIA, évaluation TIC, proportionnalité basée sur des seuils chiffrés : l’architecture est familiale pour quiconque connaît les exigences imposées aux établissements de crédit. Cela pose une question légitime, que tout l’écosystème fintech se pose : ce cadre est-il adapté à des acteurs dont la proposition de valeur repose précisément sur l’agilité ?

Le parallèle bancaire : trois lignes de défense, DORA, SREP

Le modèle des trois lignes de défense — première ligne (opérationnelle), deuxième ligne (risques et conformité), troisième ligne (audit interne) — est un pilier de la gouvernance bancaire depuis plus de vingt ans. La 26/906 l’impose désormais, sous proportionnalité, aux EP et EME. L’idée n’est pas neuve, mais son application à des structures de 15 ou 30 personnes pose des questions pratiques réelles : comment garantir l’indépendance de la troisième ligne dans une organisation où chaque collaborateur cumule trois fonctions ?

Le rapprochement ne s’arrête pas là. L’attestation annuelle de conformité signée par l’intégralité du Board est un mécanisme directement transposé de la supervision des établissements de crédit. Les rapports CCO et CIA remis à la CSSF suivent le même format et le même calendrier que ceux exigés des banques. L’évaluation annuelle des risques TIC s’inscrit dans la lignée de DORA (Digital Operational Resilience Act), qui impose aux entités financières, y compris certaines fintechs, un cadre de résilience numérique couvrant la gestion des risques IT, les tests de pénétration, la gestion des incidents et la surveillance des prestataires tiers critiques.

Le processus SREP (Supervisory Review and Evaluation Process), quant à lui, repose précisément sur la capacité de l’établissement à démontrer la robustesse de sa gouvernance, de son contrôle interne et de sa gestion des risques. La 26/906, en instaurant un cadre d’inspection et de reporting permanent, crée de facto un « mini-SREP » pour les EP et EME.

L’argument du fardeau : une critique recevable ?

La critique la plus fréquente est celle du coût d’opportunité. Chaque heure passée à rédiger un PV de comité, à documenter une évaluation de risque ou à préparer un rapport CCO est une heure non consacrée au développement produit, à l’acquisition clients ou à l’amélioration de l’expérience utilisateur. Pour une startup de 20 personnes, l’obligation de disposer d’un Chief Compliance Officer, d’un Chief Internal Auditor et d’un responsable des risques — même sous proportionnalité — représente un investissement structurel significatif.

Cette critique est recevable, mais elle est aussi partielle. L’absence de ces fonctions n’a jamais rendu une entreprise plus agile : elle l’a rendue plus vulnérable. Les incidents de safeguarding, les défaillances de contrôle AML, les lancements de produits non maîtrisés — autant de scénarios qui, sans gouvernance, coûtent infiniment plus cher en temps, en réputation et en capital que la mise en place d’un cadre structuré.

L’équilibre trouvé par la proportionnalité

La réponse de la CSSF à cette tension est la proportionnalité, et elle n’est pas théorique. Les seuils chiffrés (10 milliards d’euros de transactions, 500 millions de bilan, 50 personnes) créent deux niveaux d’exigence. Un établissement de petite taille n’est pas soumis au même standard qu’un acteur systémique. La circulaire le dit explicitement : l’application doit être proportionnée à la nature, la taille et la complexité des activités.

La comparaison avec le secteur bancaire est d’ailleurs éclairante. Les banques sont soumises à des exigences de fonds propres (CRR/CRD), à des stress tests réguliers, à des ratios de liquidité (LCR, NSFR), à des règles de rémunération strictes, à des plans préventifs de rétablissement et de résolution (BRRD), et à un SREP annuel. La 26/906, même dans sa version « renforcée », ne s’approche pas de cette intensité. Elle se situe à mi-chemin entre l’absence de cadre (la situation antérieure pour de nombreux EP/EME) et la supervision bancaire complète.

DORA, le précédent : quand l’Europe impose la résilience à tous

Le Digital Operational Resilience Act (DORA), entré en application en janvier 2025, a déjà posé le principe d’un cadre de résilience numérique transversal, applicable aux établissements de crédit comme aux fintechs. DORA impose des obligations de gestion des risques IT, des tests de résilience, une surveillance des prestataires tiers critiques et un reporting d’incidents — autant d’exigences qui, en substance, se rapprochent de celles de la 26/906 sur la dimension technologique.

DORA a été contesté, lui aussi, comme « trop lourd » pour les petites entités. Mais le texte a été adopté, appliqué et absorbé par l’écosystème. La 26/906 s’inscrit dans cette même trajectoire : une montée en maturité progressive, où le régulateur élève le plancher sans aligner le plafond sur les exigences bancaires maximales.

Insuffisant ? Deux angles morts persistants

La question peut aussi être posée dans l’autre sens : la 26/906 va-t-elle assez loin ? Deux angles morts méritent d’être signalés.

Premier angle mort : l’externalisation. La circulaire reconnaît explicitement que l’externalisation est traitée par des textes distincts. Or, pour la plupart des fintechs, le modèle opérationnel repose massivement sur des tiers : BaaS (Banking as a Service), processeurs de paiement, KYC externalisé, cloud. La gouvernance de ces dépendances est le risque numéro un pour beaucoup d’acteurs, et il est traité hors du périmètre de la 26/906.

Second angle mort : la gestion de crise et les plans de rétablissement. Les banques sont soumises à des recovery plans détaillés (BRRD). Les EP et EME n’ont pas d’obligation comparable, alors même que certains traitent des volumes de transactions qui les rendent systémiquement importants pour leurs utilisateurs, sinon pour le système financier.

Le verdict : un cadre équilibré, en avance sur son temps

Au final, la 26/906 n’est ni excessive ni insuffisante : elle est équilibrée et lucide. Elle reconnaît que les EP et EME ne sont pas des banques, mais elle constate que certains traitent des volumes, des valeurs et des risques qui justifient un cadre de supervision structuré. Elle pose un plancher de gouvernance, pas un plafond. Elle impose des preuves, pas de la bureaucratie.

La vraie question n’est pas « est-ce trop lourd ? » mais « est-ce que l’établissement a la maturité pour absorber ces exigences sans perdre sa capacité d’exécution ? ». Et cette question, seule la direction peut y répondre — en investissant dans les bonnes compétences, les bons outils et les bons processus.

Conclusion — 2026 : l’année de la maturité démontrable

La circulaire CSSF 26/906 n’est pas un texte hostile à l’innovation. Elle est hostile à l’improvisation. En exigeant une gouvernance structurée, des preuves de contrôle, une discipline de gestion des risques et une transparence du langage commercial, la CSSF établit un standard qui protège le marché, les utilisateurs et les acteurs eux-mêmes.

Ce que change la 26/906 tient en cinq propositions. La gouvernance précède le produit. L’inspectabilité devient le critère. Le NPAP industrialise l’innovation. Le safeguarding est un contrôle vivant. Et les mots ont désormais un poids : se présenter comme une banque quand on n’en est pas une est interdit.

La date du 30 juin 2026 approche. Pour les établissements existants, c’est le moment d’évaluer les écarts et de documenter chaque étape. Pour les nouveaux entrants, le cadre ERM n’est pas un équipement optionnel, c’est le passeport vers l’agrément. Pour l’écosystème dans son ensemble, la leçon est claire : la CSSF ne demande pas aux fintechs de devenir des banques. Elle leur demande de prouver qu’elles méritent la confiance qu’on leur accorde.

Les COMEX qui intègrent la gouvernance dans leur feuille de route stratégique se positionnent comme des acteurs matures et crédibles. Ceux qui relèguent le sujet à un département conformité sous-dimensionné découvriront que le régulateur, lui, n’a pas attendu.

Le Luxembourg, avec cette circulaire, envoie un signal aux acteurs internationaux du paiement : la place est ouverte, mais elle est exigeante. L’agrément n’est pas un droit d’entrée, c’est un engagement de gouvernance.

La croissance sans gouvernance n’est plus une promesse. C’est un risque.