Gazzetta n. 27 del 1 febbraio 2002 (vai al sommario)
BANCA D'ITALIA
REGOLAMENTO 29 gennaio 2002
Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento.

IL GOVERNATORE
DELLA BANCA D'ITALIA
Visto l'art. 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, che prevede l'emanazione del regolamento per la disciplina delle modalita' di trasmissione, rettifica ed aggiornamento dei dati da inserire nell'archivio previsto dal comma 1 del medesimo articolo, nonche' le modalita' con cui la Banca d'Italia provvede al trattamento dei dati trasmessi e ne consente la consultazione;
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, che prevede che, con distinto regolamento emesso entro trenta giorni dall'adozione del regolamento ministeriale di cui al comma 2, la Banca d'Italia disciplina le modalita' e le procedure relative alle attivita' previste dal medesimo regolamento ministeriale;
Visto il decreto del Ministro della giustizia 7 novembre 2001, n. 458, adottato ai sensi dell'art. 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, recante il regolamento sul funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento;
Visto l'art. 146 del decreto legislativo 1 settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia);
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, secondo il quale la Banca d'Italia provvede altresi' a determinare i criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari finanziari vigilati e degli uffici postali;
Ritenuta l'opportunita' di provvedere, nel medesimo regolamento adottato ai sensi dell'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, alla determinazione dei criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari finanziari vigilati e degli uffici postali;
Sentito il garante per la protezione dei dati personali;
Emana
il seguente regolamento:
Art. 1.
Definizioni
Nel presente regolamento, si intende per:
a) "archivio": l'archivio degli assegni bancari e postali e delle carte di pagamento irregolari di cui all'art. 10-bis della legge 15 dicembre 1990, n. 386, composto dalla sezione centrale e dalle sezioni remote di cui all'art. 1, comma 2, del decreto ministeriale;
b) "assegni e carte bloccati": assegni e carte di pagamento dei quali l'ente trattario ovvero emittente abbia disposto, di iniziativa ovvero su richiesta, il divieto di utilizzo;
c) "decreto ministeriale": il decreto del Ministro della giustizia 7 novembre 2001, n. 458;
d) "ente responsabile": ente concessionario del servizio di gestione dell'archivio e responsabile per il trattamento dei dati, ai sensi dell'art. 10-bis, comma 2, della legge 15 dicembre 1990, n. 386;
e) "enti segnalanti privati": le banche, gli uffici postali e gli intermediari finanziari vigilati emittenti carte di pagamento;
f) "fase temporale": ciclo di funzionamento dell'archivio, secondo gli orari indicati nell'allegato "Tempi di funzionamento";
g) "giorno operativo": giorno lavorativo bancario secondo il calendario nazionale;
h) "manuale operativo": manuale comprendente, per ciascun segmento, documenti nei quali sono indicate le istruzioni tecniche per il funzionamento del segmento medesimo;
i) "preavviso di revoca": la comunicazione di cui all'art. 9-bis della legge 15 dicembre 1990, n. 386;
j) "revoca di sistema": la revoca di cui all'art. 9 della legge 15 dicembre 1990, n. 386;
k) "revoca aziendale": la revoca disposta dal trattario fuori dai casi di revoca di sistema;
l) "segmento": parte dell'archivio contenente i dati relativi alle medesime fattispecie di segnalazione;
m) "segnalazione completa": il flusso informativo reso dagli enti segnalanti alla sezione centrale dell'archivio, quando tutti i dati che lo costituiscono sono inseriti negli appositi campi in modo conforme a quanto previsto dal manuale operativo;
n) "sezione centrale": la sezione dell'archivio presso la Banca d'Italia ovvero presso l'ente responsabile;
o) "sezione remota": la sezione dell'archivio esistente presso gli enti segnalanti privati e presso i prefetti.
 
Art. 2.
Struttura dell'archivio
1. Nella sezione centrale sono contenuti tutti i segmenti individuati nell'allegato "Tempi di funzionamento"; nelle sezioni remote devono essere contenuti i segmenti necessari per l'assolvimento degli obblighi di consultazione dell'archivio.
2. I dati da iscrivere nell'archivio, ai sensi dell'art. 2 del decreto ministeriale, devono essere completi degli elementi specificati nel manuale operativo.
 
Art. 3.
Giorni di funzionamento dell'archivio
L'archivio e' funzionante in tutti i giorni operativi secondo l'orario indicato nell'allegato "Tempi di funzionamento".
 
Art. 4.
Modalita' di funzionamento dell'archivio
1. Il funzionamento dell'archivio si articola in tre fasi temporali. Nella prima fase, ciascun ente segnalante trasmette all'ente responsabile i dati di propria pertinenza. Nella seconda fase, l'ente responsabile invia il flusso di ritorno dei dati ricevuti nel corso della fase precedente agli enti segnalanti tenutari delle sezioni remote, che effettuano le operazioni di riscontro. Nella terza fase, ai sensi dell'art. 9, comma 3, del decreto ministeriale, si realizza l'iscrizione dei dati nell'archivio e, quindi, la loro simultanea consultabilita' presso la sezione centrale e presso quelle remote.
2. Per le attivita' di trasmissione e di ricezione dei dati, previste dalla prima e dalla seconda fase di cui al comma precedente, ciascun ente segnalante privato in conformita' con le disposizioni della legge 31 dicembre 1996, n. 675, puo' avvalersi di altro ente segnalante privato a cio' delegato.
3. I giorni e gli orari relativi a ciascuna delle fasi di cui al comma 1 sono indicati nell'allegato "Tempi di funzionamento".
4. Fermo restando il momento di iscrizione nell'archivio dei dati relativi alle fattispecie di assegni emessi senza provvista e senza autorizzazione, resta salva, per la Banca d'Italia ovvero per l'ente responsabile, la possibilita' di:
a) anticipare la conclusione delle fasi di cui al comma 3, allo scopo di accrescere l'efficienza dei meccanismi di funzionamento dell'archivio;
b) posticipare la conclusione delle fasi medesime, in presenza di comprovate necessita' tecnico-operative.
5. Tenuto conto di quanto previsto nell'allegato "Tempi di funzionamento", il trattario indica nel preavviso di revoca la data dell'eventuale iscrizione della segnalazione in archivio.
 
Art. 5.
Completezza delle segnalazioni
1. La segnalazione di cui alla prima fase di funzionamento dell'archivio prevista dall'art. 4, comma 1, puo' essere utilmente effettuata e ricevuta solo se completa.
2. Qualora la segnalazione sia incompleta, essa viene respinta. L'ente segnalante, dopo le opportune integrazioni e modifiche, puo' effettuare una nuova segnalazione ed e' responsabile dell'eventuale ritardo.
3. Fatto salvo il disposto dell'art. 20, qualora i dati inseriti nel campo relativo al codice fiscale del soggetto segnalato siano incongruenti, l'ente segnalante, sotto la propria responsabilita' e in conformita' con quanto previsto nel manuale operativo, puo':
a) indicare fin dall'inizio che la segnalazione deve essere comunque accettata dall'ente responsabile;
b) proporre una nuova segnalazione di contenuto uguale a quella eventualmente respinta indicando che essa deve essere comunque accettata dall'ente responsabile. Il ritardo nella iscrizione in archivio conseguente alla necessita' della suddetta nuova segnalazione e' imputabile all'ente segnalante.
4. La Banca d'Italia, ovvero l'ente responsabile, dispone la cancellazione e la rettifica dei dati dell'archivio soltanto su iniziativa dell'ente che ha originato la relativa segnalazione ovvero in attuazione di provvedimenti dell'autorita' giudiziaria o del garante per la protezione dei dati personali.
5. In caso di nuova segnalazione sostitutiva di una precedente che non consentiva l'identificazione del soggetto da revocare, i termini di efficacia della revoca di sistema decorrono dall'iscrizione della nuova segnalazione in archivio.
6. In caso di ritardata iscrizione dovuta a segnalazione tardiva, incompleta o con codice fiscale incongruo, nonche' nel caso di nuova segnalazione di cui al comma precedente, l'ente segnalante cura sotto la propria responsabilita' le necessarie comunicazioni ai soggetti interessati.
 
Art. 6.
Assegni senza provvista e senza autorizzazione
1. In caso di trasmissione telematica delle informazioni relative ad un assegno da parte dell'ente negoziatore del titolo all'ente trattario, quest'ultimo provvede ad effettuare i necessari controlli e a comunicarne l'esito all'ente negoziatore del titolo con le modalita' ed entro il termine massimo previsto dagli accordi interbancari che disciplinano le relative procedure.
2. Per gli effetti di cui all'art. 9-bis, comma 2, della legge 15 dicembre 1990, n. 386, l'assegno si intende presentato al pagamento nel giorno di scadenza del termine massimo di cui al comma precedente.
3. Ai fini del rispetto dei termini previsti per il preavviso di revoca, chi e' in possesso del titolo procede senza indugio, ove richiesto, a trasmetterlo al trattario.
 
Art. 7.
Assegni non restituiti
1. Contestualmente alla segnalazione relativa a una revoca di sistema, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal soggetto revocato, ai sensi dell'art. 9-bis della legge 15 dicembre 1990, n. 386.
2. Nello stesso giorno in cui un proprio correntista autorizzato a trarre assegni e' iscritto in archivio da altro ente, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal correntista medesimo.
3. Nello stesso giorno in cui dispone una revoca aziendale, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal soggetto revocato.
 
Art. 8.
Revoche all'utilizzo di carte di pagamento
Gli emittenti carte di pagamento che revocano dall'utilizzo di una carta di pagamento segnalano alla sezione centrale dell'archivio, per i rispettivi segmenti, i dati relativi alla carta medesima e alle generalita' del titolare nello stesso giorno in cui e' disposta la revoca.
 
Art. 9.
Assegni e carte di pagamento sottratti e smarriti
1. Gli enti segnalanti privati segnalano alla sezione centrale dell'archivio i dati relativi agli assegni e alle carte di pagamento smarriti o sottratti nello stesso giorno in cui ricevono dalla clientela la comunicazione di furto o di smarrimento; eguale segnalazione puo' essere prevista dal manuale operativo per gli assegni e le carte di pagamento bloccati per motivi diversi dalla sottrazione e dallo smarrimento.
2. Gli enti segnalanti privati comunicano alla clientela le modalita' con le quali effettuare la comunicazione di furto o di smarrimento ovvero la segnalazione di blocco.
 
Art. 10.
Sezione centrale
1. In caso di affidamento della gestione dell'archivio a un ente responsabile, questo, oltre al rispetto delle necessarie misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996, n. 675, e' tenuto ad adottare ogni ulteriore misura necessaria per la sicurezza nel trattamento dei dati e per l'affidabilita', l'efficienza e la continuita' del servizio; anche a tal fine, la Banca d'Italia individua specifici livelli di servizio coerenti con l'esigenza di garantire il corretto funzionamento dell'archivio e il regolare funzionamento del sistema dei pagamenti.
2. L'ente responsabile e la Banca d'Italia possono consultare i dati inseriti in archivio per l'espletamento delle funzioni di rispettiva competenza.
3. L'ente responsabile registra le persone fisiche che accedono, in nome e per conto dello stesso ente responsabile, degli enti segnalanti o della Banca d'Italia a risorse controllate dal sistema informatico, tenendo altresi' traccia della data e dell'oggetto dell'accesso medesimo.
 
Art. 11.
Sezioni remote
1. Gli enti segnalanti privati sono tenuti a garantire che le sezioni dell'archivio che risiedono presso di essi presentino un adeguato livello di efficienza e di sicurezza, rispondendo del rispetto delle vigenti disposizioni in materia di trattamento dei dati. Le consultazioni delle sezioni remote sono registrate secondo quanto previsto all'art. 12, comma 1.
2. Gli enti segnalanti privati, in base alla propria struttura tecnica e organizzativa, adottano processi di gestione della sicurezza del sistema informativo coerenti con l'esigenza di garantire la funzionalita' e l'efficienza dell'archivio, tenendo anche conto di quanto indicato nell'allegato "Sicurezza del sistema informativo" e di eventuali ulteriori indicazioni della Banca d'Italia.
 
Art. 12.
Modalita' di consultazione
1. Ogni consultazione effettuata dagli enti segnalanti privati e dai prefetti deve essere dagli stessi registrata in modo tale che ne risultino certi la persona fisica che la pone in essere, l'oggetto e la data e che i suddetti dati non possano essere alterati.
2. L'autorita' giudiziaria consulta direttamente i dati contenuti nella sezione centrale dell'archivio. La sezione centrale registra tali accessi in modo tale che ne risultino certi l'oggetto e la data; l'autorita' giudiziaria tiene traccia degli accessi medesimi in modo tale che ne risultino certi la persona fisica che li pone in essere, l'oggetto e la data.
 
Art. 13.
Accesso dell'interessato
Il soggetto interessato, o la persona da esso delegata, accede ai dati contenuti nell'archivio che lo riguardano tramite gli enti segnalanti privati che forniscono il servizio di consultazione o tramite le Filiali della Banca d'Italia.
 
Art. 14.
Accesso ai dati non nominativi
In presenza di un interesse connesso con l'utilizzo degli assegni e delle carte di pagamento, e' possibile accedere ai dati non nominativi contenuti nell'archivio presso gli enti segnalanti privati che offrono tale servizio e presso le Filiali della Banca d'Italia.
 
Art. 15.
Scadenza delle iscrizioni
1. Le segnalazioni contenenti dati identificativi personali restano iscritte in archivio secondo quanto previsto dall'art. 10 del decreto ministeriale.
2. I dati non nominativi inseriti in archivio a seguito di sottrazione, smarrimento, mancata restituzione ovvero blocco di un modulo di assegno restano iscritti in archivio per il periodo di dieci anni.
3. I dati non nominativi inseriti in archivio a seguito di sottrazione, smarrimento, revoca ovvero blocco di una carta di pagamento restano iscritti in archivio per il periodo di due anni.
 
Art. 16.
Determinazione delle tariffe
L'ente responsabile tariffa i servizi resi, nell'ambito della gestione dell'archivio, alle banche, agli uffici postali e agli intermediari finanziari vigilati emittenti carte di pagamento in conformita' con i criteri di cui all'art. 17.
 
Art. 17.
Criteri per la determinazione delle tariffe
1. Le tariffe applicate dall'ente responsabile sono tali da recuperare i costi complessivamente sostenuti e sono comprensive di un margine di profitto congruo.
2. La tariffazione deve preservare condizioni di uguaglianza tra gli enti segnalanti privati. A tal fine essa prevede:
a) una parte fissa, determinata in ragione della partecipazione al sistema di funzionamento dell'archivio, eventualmente maggiorata per il caso in cui l'attivita' di consultazione possa non essere associata a quella di segnalazione;
b) una parte variabile, che tiene conto del ruolo di ciascun ente nell'ambito del sistema medesimo, determinata in ragione direttamente proporzionale alla sua rilevanza operativo-dimensionale, anche in termini di flussi informativi trattati.
3. Ai fini di cui al comma 2, l'ente responsabile puo' altresi' tenere conto delle soluzioni tecnico-organizzative adottate e prevedere forme ridotte di tariffazione per gli enti segnalanti che si avvalgono di altri enti segnalanti ai sensi dell'art. 4, comma 2.
4. L'ente responsabile assicura la trasparenza delle tariffe applicate a fronte dei servizi resi.
5. Al fine di consentire la verifica del rispetto dei criteri per la determinazione delle tariffe, l'ente responsabile e' tenuto ad effettuare e a dare conto della corretta disaggregazione e imputazione dei costi sostenuti.
6. L'ente responsabile verifica annualmente la necessita' di adeguare le tariffe all'effettivo andamento dei costi, tenendo conto dell'evoluzione tecnologica e di eventuali economie di produzione. L'ente responsabile rende conto della tariffazione e dell'eventuale adeguamento periodico delle tariffe, nonche' dei fattori a tal fine presi in considerazione, in un'apposita relazione annuale alla Banca d'Italia; al ricorrere di eventi straordinari e imprevedibili, l'ente responsabile puo' adeguare le tariffe dandone preventiva comunicazione alla Banca d'Italia.
 
Art. 18.
Sorveglianza sull'attivita' dell'ente responsabile
1. La Banca d'Italia, ai sensi dell'art. 146 del Testo unico bancario, controlla che la gestione dell'archivio da parte dell'ente responsabile sia improntata a principi di affidabilita' ed efficienza e sia conforme alle norme del presente regolamento e alle disposizioni che regolano la materia.
2. L'ente responsabile definisce uno specifico "piano di qualita'" per l'erogazione del servizio, in conformita' con gli standard internazionali di riferimento e con le indicazioni fornite dalla Banca d'Italia.
3. La Banca d'Italia puo' richiedere all'ente responsabile dati e informazioni, nonche' la trasmissione, anche periodica, e l'esibizione di ogni documento ritenuto necessario. L'ente responsabile invia alla Banca d'Italia, secondo i tempi e le modalita' definiti da quest'ultima, apposite relazioni sull'attivita' svolta, nonche' le informazioni e i dati previsti dalle norme che disciplinano l'affidamento della gestione dell'archivio alla Banca d'Italia.
 
Art. 19.
Controlli sugli enti segnalanti privati
La Banca d'Italia, nell'esercizio delle funzioni di Vigilanza sulle banche, sugli intermediari finanziari e sui sistemi di pagamento previste dal Testo unico bancario, verifica il rispetto delle disposizioni del presente regolamento, delle relative disposizioni di attuazione e di ogni altra norma connessa da parte degli enti segnalanti privati.
 
Art. 20.
Acquisizione del codice fiscale
1. Entro centottanta giorni dalla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del presente regolamento, gli enti segnalanti privati richiedono il codice fiscale ai clienti non residenti che intrattengono con essi convenzioni di assegno, che siano titolari di una carta di pagamento emessa dagli stessi, ovvero che richiedono la stipula di tali convenzioni.
2. Nelle more dell'acquisizione di cui al comma 1, la segnalazione di revoca si intende completa anche in mancanza del codice fiscale.
 
Art. 21.
Disposizioni allegate
1. Le disposizioni contenute nell'allegato "Tempi di funzionamento" e nell'allegato "Sicurezza del sistema informativo" formano parte integrante del presente regolamento e, unitamente ad esso, sono pubblicate sul sito Internet della Banca d'Italia all'indirizzo www.bancaditalia.it, nonche' disponibili presso tutte le filiali della stessa Banca d'Italia.
2. In caso di difformita' tra il testo pubblicato sul sito della Banca d'Italia e quello disponibile presso le filiali della stessa, fa fede il contenuto di quest'ultimo.
3. La Banca d'Italia puo' modificare e integrare le disposizioni di cui al comma 1 per esigenze di adeguamento della struttura tecnica dell'archivio, al fine di assicurarne la funzionalita' e l'efficienza. La Banca d'Italia rende pubbliche tali modifiche e integrazioni mediante appositi avvisi pubblicati sul suo sito Internet e resi disponibili presso le proprie Filiali per un congruo periodo di tempo.
Roma, 29 gennaio 2002
Il Governatore: Fazio
 
Allegato
TEMPI DI FUNZIONAMENTO
Art. 1.
Segmenti dell'archivio
L'archivio e' composto dai seguenti segmenti:
1) CAPRI (Centrale allarme procedura impagati), nel quale sono contenuti i dati relativi alle revoche dall'autorizzazione ad emettere assegni conseguenti alla commissione degli illeciti di cui agli articoli 1 e 2 della legge 15 dicembre 1990, n. 386;
2) PASS (Procedura assegni sottratti e smarriti), nel quale sono contenuti i dati relativi ai moduli di assegni sottratti, smarriti, non restituiti e bloccati per altri motivi;
3) CARTER (Carte revocate), nel quale sono contenuti i dati nominativi relativi alle revoche dall'utilizzo delle carte di pagamento;
4) PROCAR (Procedura carte), nel quale sono contenuti i dati relativi alle carte di pagamento revocate, smarrite e sottratte;
5) ASA (Assegni sanzioni amministrative), nel quale sono contenuti i dati relativi alle sanzioni amministrative ai sensi dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386;
6) ASP (Assegni sanzioni penali), nel quale sono contenuti i dati relativi alle sanzioni penali ai sensi dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386.
Art. 2.
Segmento CAPRI
La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T1.
La divulgazione dalla sezione centrale agli enti segnalanti privati ha luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.
Gli enti segnalanti privati effettuano le operazioni di riscontro sui dati ricevuti; l'iscrizione e i conseguenti effetti si determinano alle ore 00:00 del giorno T+2.
Il segmento e' operativo nei giorni lavorativi bancari.
Art. 3.
Segmento PASS
La trasmissione dei dati dagli enti segnalanti alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 22 di ciascun giorno (giorno T2).
La divulgazione dei dati dalla sezione centrale agli enti segnalanti privati puo' avvenire dalle ore 5 del giorno T alle ore 3 del giorno T+1.
Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale secondo quanto previsto negli accordi tra enti segnalanti e comunque entro le ore 5 del giorno lavorativo T+1.
I dati sono iscritti in archivio in concomitanza con la loro divulgazione.
Il segmento e' operativo nei giorni lavorativi bancari e, facoltativamente per gli enti segnalanti, nella giornata del sabato, salvi i casi di festivita' nazionale.
Art. 4.
Segmento CARTER
La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T3.
La divulgazione dalla sezione centrale agli enti segnalanti privati puo' aver luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.
L'iscrizione ha luogo alle ore 00:00 del giorno T+2.
Il segmento e' operativo nei giorni lavorativi bancari.
Art. 5.
Segmento PROCAR
La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T4.
La divulgazione dalla sezione centrale agli enti segnalanti privati puo' aver luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.
I dati sono iscritti in archivio in concomitanza con la loro divulgazione.
Il segmento e' operativo nei giorni lavorativi bancari.
Art. 6.
Segmenti ASA e ASP
I tempi di funzionamento dei segmenti ASA e ASP verranno successivamente definiti ad integrazione del presente allegato e resi pubblici con le modalita' previste dall'art. 21, comma 3, del regolamento della Banca d'Italia.
 
Allegato
SICUREZZA DEL SISTEMA INFORMATIVO
Ogni ente segnalante privato, oltre ad assicurare il rispetto delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996, n. 675, deve definire e governare un processo per la gestione della sicurezza del sistema informativo dell'archivio (Centrale d'allarme interbancaria - CAI). Nell'ambito di tale processo l'ente segnalante privato deve intraprendere le seguenti azioni.
1) Definire le politiche per la sicurezza del sistema informativo della CAI.
2) Definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie.
3) Analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilita' e gli impatti sull'ente segnalante privato e quindi determinare il livello di rischio globale.
4) Selezionare dall'elenco riportato in calce (realizzato utilizzando le specifiche ISO/IEC 17799:2000(E)1 come riferimento) i controlli ritenuti appropriati. Tali controlli non sono esaustivi e ulteriori controlli possono essere individuati, per esempio attingendo alle gia' citate specifiche ISO/IEC 17799:2000(E).
5) Redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilita'. In questo documento si devono anche indicare le ragioni che hanno indotto all'eventuale esclusione di alcuni controlli fra quelli riportati nel richiamato elenco.
Questi passi devono essere riesaminati periodicamente con cadenza definita dall'ente segnalante privato oppure in occasione di eventi significativi individuati dallo stesso. I passi identificati dai numeri 1), 2), 3), 5) devono essere, inoltre, opportunamente documentati.
La validita' delle procedure adottate per realizzare i controlli selezionati deve essere verificata per valutarne la coerenza con le politiche aziendali di sicurezza e vagliarne l'adeguatezza tecnica. Le procedure in oggetto devono, inoltre, essere documentate in modo che risultino chiaramente le responsabilita' e i principali ruoli delle funzioni e dei soggetti coinvolti. Il sistema informativo della CAI deve essere assoggettato a procedure di auditing.
I documenti sopra definiti devono essere:
prontamente disponibili;
periodicamente rivisti, coerentemente con le politiche di sicurezza dell'ente segnalante privato e immediatamente sostituiti in caso di obsolescenza;
gestiti con una procedura di controllo delle versioni.
L'ente segnalante privato e' tenuto a conservare le evidenze relative all'applicazione dei controlli che dimostrino la conformita' con i requisiti di sicurezza della CAI (per esempio: tracce di audit, autorizzazioni all'accesso logico e/o fisico, ecc.). Tali evidenze possono essere in formato cartaceo e/o elettronico, memorizzate e gestite in modo che siano prontamente disponibili e adeguatamente protette. L'ente stesso ha la responsabilita' di definire e governare le procedure per identificare, gestire, conservare e distruggere tali evidenze che devono essere leggibili, identificabili e tracciabili rispetto alle attivita' a cui si riferiscono.

Elenco dei controlli suggeriti (i numeri identificativi corrispondono a quelli delle specifiche ISO/IEC 17799:2000(E)).
Questi controlli rappresentano un insieme minimo tratto dalle specifiche ISO/IEC 17799:2000(E). Essi non garantiscono la sicurezza della CAI, che dipende fortemente dall'ambiente tecnico e organizzativo in cui la procedura e' inserita, bensi' forniscono solo un insieme minimo di linee guida. Per questa ragione la maggior parte dei controlli previsti dalle specifiche ISO/IEC 17799:2000(E), pur essendo potenzialmente necessari per la sicurezza globale della procedura CAI, non sono espressamente menzionati in quanto non riguardano strettamente l'applicazione CAI ma l'intero ambiente elaborativo dell'ente segnalante privato2. In particolare quest'ultimo deve attivare opportuni presidi finalizzati ad assicurare:
una efficace e sicura gestione operativa dei flussi informativi fra strutture centrali e periferiche dell'ente stesso;
(1) Per informazioni su tale norma ci si puo' rivolgere all'Ente nazionale italiano di unificazione - UNI.
(2) Per esempio: politiche e organizzazione della sicurezza, classificazione di beni e risorse, sicurezza del personale, aree sicure, sicurezza degli apparati, protezioni contro software malizioso, scambio di informazioni e software, controllo degli accessi di rete, controllo degli accessi del sistema operativo, mobile computing e telelavoro, controlli crittografici, sicurezza nei processi di sviluppo e di supporto, gestione della business continuity, aderenza alla legislazione, revisione delle politiche di sicurezza e della conformita' tecnica, system audit.
una chiara definizione e separazione di ruoli e responsabilita' tra gestori delle risorse informative e utilizzatori delle stesse.
Con riferimento alle sezioni remote dell'archivio, ogni ente segnalante privato e' tenuto a verificare che ogni flusso informativo ricevuto dall'ente responsabile sia perfettamente congruente con le segnalazioni inviate dallo stesso ente segnalante. In caso di incongruenza dei dati l'ente segnalante privato e' tenuto ad attivarsi tempestivamente presso l'ente responsabile.
Per quanto riguarda la gestione delle operazioni e delle comunicazioni si dovrebbe far riferimento ai seguenti controlli:
8.1 Procedure operative e responsabilita';
8.1.1 Procedure operative documentate;
8.1.3 Procedure per la gestione degli incidenti;
8.1.4 Separazione delle responsabilita';
8.1.5 Separazione fra le funzioni di sviluppo e produzione;
8.1.6 Gestione delle strutture esterne;
8.5 Gestione della rete;
8.5.1 Controlli di sicurezza sulla rete;
8.6 Gestione e sicurezza dei supporti di memorizzazione;
8.6.1 Gestione dei supporti informatici rimovibili;
8.6.2 Eliminazione dei supporti di memorizzazione;
8.6.3 Procedure di gestione delle informazioni.
Relativamente al controllo degli accessi si dovrebbero prendere in considerazione i seguenti controlli:
9.1 Requisiti aziendali per l'accesso al sistema;
9.1.1 Politiche per il controllo degli accessi;
9.1.1.1 Politiche ed esigenze aziendali;
9.1.1.2 Regole per il controllo degli accessi;
9.2 Gestione dell'accesso degli utenti;
9.2.1 Registrazione degli utenti;
9.2.2 Gestione dei privilegi;
9.2.3 Gestione delle password d'utente;
9.2.4 Revisione dei diritti di accesso degli utenti;
9.3 Responsabilita' dell'utente;
9.3.1 Uso delle password;
9.3.2 Dispositivi dell'utente non sorvegliati;
9.5 Controllo degli accessi al sistema operativo;
9.5.4 Sistema di gestione delle password;
9.5.5 Uso dei servizi di sistema;
9.6 Controllo dell'accesso alle applicazioni;
9.6.1 Restrizione dell'accesso alle informazioni;
9.7 Monitoraggio dell'accesso e dell'uso del sistema;
9.7.1 Registrazione degli eventi;
9.7.2 Monitoraggio dell'uso del sistema;
9.7.2.1 Procedure e aree di rischio;
9.7.2.2 Fattori di rischio;
9.7.2.3 Registrazione e verifica degli eventi.
In relazione allo sviluppo e alla gestione dei sistemi si dovrebbero esaminare i seguenti controlli:
10.2 Sicurezza delle applicazioni;
10.2.1 Autenticazione dei dati in input;
10.2.2 Controllo delle elaborazioni interne;
10.2.2.1 Aree di rischio;
10.2.2.2 Controlli e verifiche;
10.5 Sicurezza dei processi di sviluppo e supporto;
10.5.1 Procedure di controllo delle modifiche.
1) Per il giorno T si intende:
nel caso di revoca di sistema conseguente a emissione di assegno senza autorizzazione, il giorno lavorativo di segnalazione della revoca all'archivio;
nel caso revoca di sistema conseguente a emissione di assegno in difetto di provvista, il sessantunesimo giorno, purche' lavorativo, successivo alla scadenza del termine di presentazione al pagamento del titolo, salvo quanto previsto dal comma 3 dell'art. 9-bis della legge 15 dicembre 1990, n. 386.
2) Per il giorno T si intende il giorno in cui gli enti segnalati privati ricevono la comunicazione di furto, di smarrimento o di blocco per altri motivi, ovvero quello in cui si riscontra che un proprio correntista autorizzato a trarre assegni e' stato iscritto in archivio da altro ente, ovvero si dispone una revoca aziendale.
3) Per giorno lavorativo T si intende il giorno in cui e' disposta la revoca dall'utilizzo di una carta di pagamento.
4) Per giorno lavorativo T si intende il giorno in cui e' disposta la revoca dall'utilizzo di una carta di pagamento.
 
Gazzetta Ufficiale Serie Generale per iPhone