Gazzetta n. 175 del 30 luglio 2007 (vai al sommario) MINISTERO DELL'ECONOMIA E DELLE FINANZE DECRETO 30 aprile 2007, n. 112 Regolamento di attuazione della legge 17 agosto 2005, n. 166, recante «Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento». IL MINISTRO DELL'ECONOMIA E DELLE FINANZE Vista la legge 17 agosto 2005, n. 166, recante l'istituzione di un sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento, di seguito denominata «legge»; Visto l'articolo 7, comma 1, della legge che prevede di darvi attuazione con apposito decreto del Ministro, entro due mesi dalla sua entrata in vigore; Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il codice in materia di protezione dei dati personali; Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 19 marzo 2007; Vista la nota del 19 giugno 2007 con la quale, ai sensi dell'articolo 17, comma 3, della legge n. 400 del 23 agosto 1988, lo schema di regolamento e' stato comunicato al Presidente del Consiglio dei Ministri; Sentito il Garante per la protezione dei dati personali; Sentite le organizzazioni sindacali maggiormente rappresentative; di concerto con i Ministri dell'interno, della giustizia, dello sviluppo economico, per le riforme e le innovazioni nella pubblica amministrazione; previo esame congiunto con la Banca d'Italia; A d o t t a il seguente regolamento: Art. 1. Definizioni 1. Ai sensi del presente regolamento si intendono per: a) Acquirer ID: codice identificativo dell'Istituto bancario che ha convenzionato l'esercente; b) Apparecchio POS: (point of sale) apparecchiatura automatica, installata presso gli esercizi commerciali, che consente il pagamento, tramite l'utilizzo di una carta, di beni acquistati o di servizi ricevuti; c) Atm: (automated teller machine) Sportello automatico abilitato al prelievo di banconote (cash dispenser) e/o all'effettuazione di altre operazioni (self service, ecc.); d) CAB (codice di avviamento bancario): numero composto da cinque cifre che identifica la filiale della banca; e) Codice ABI: numero composto da cinque cifre che identifica la banca; f) Codice PAN (primary account number): codice identificativo univoco della carta di pagamento (sia di debito che di credito); g) Codice SIA: codice identificativo della convenzione stipulata con l'esercente, assegnato dalla SIA S.p.a. (societa' fornitrice di soluzioni tecnologiche per il settore bancario e finanziario); h) GIPAF: gruppo interdisciplinare di lavoro per la prevenzione amministrativa delle frodi sulle carte di pagamento; i) PIN: (personal identification number) codice numerico di identificazione personale che abilita il titolare all'utilizzo della carta di pagamento; l) Terminal ID: codice identificativo univoco che contraddistingue l'apparecchio POS; m) UCAMP: Ufficio centrale antifrode dei mezzi di pagamento. Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico dalle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'effica cia degli atti legislativi qui trascritti. Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUCE). Note alle premesse: - L'art. 7, comma 1 della legge 17 agosto 2005, n. 166, recante: «Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento» pubblicata nella Gazzetta Ufficiale del 22 agosto 2005, n. 194, e' il seguente: «Art. 7 (Termini, modalita' e condizioni per la gestione del sistema di prevenzione). - 1. Con apposito decreto del Ministro dell'economia e delle finanze, da adottare, entro due mesi dalla data di entrata in vigore della presente legge, di concerto con i Ministri dell'interno, della giustizia, delle attivita' produttive, per l'innovazione e le tecnologie, e previo esame congiunto con la Banca d'Italia, sono precisate le competenze e l'organizzazione dell'Ufficio centrale antifrode dei mezzi di pagamento, sono stabiliti i criteri di individuazione delle societa' segnalanti e sono specificate le singole voci da comunicare a titolo di dati di cui all'art. 2 e di informazioni di cui all'art. 3.». - Il decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali» e' pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, supplemento ordinario. - Il testo del comma 3 dell'art. 17 della legge 23 agosto 1988, n. 400, recante: «Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri, pubblicata nella Gazzetta Ufficiale del 12 settembre 1988, n. 214, supplemento ordinario e' il seguente: «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.».   Art. 2. Individuazione delle societa' segnalanti 1. Entro trenta giorni dalla entrata in vigore del presente decreto, le societa' segnalanti cui all'articolo 1, comma 3, della legge, in qualita' di intermediari abilitati, sono tenute a trasmettere all'UCAMP il formulario di cui all'esemplare in allegato, che costituisce parte integrante del presente decreto. Nel formulario le societa' indicano espressamente se gli obblighi derivanti dall'applicazione del presente decreto vengono adempiuti nonche' se le facolta' dal medesimo concesse vengono esercitate: a) direttamente; b) da altra societa' segnalante appositamente delegata. 2. Le caratteristiche di conferimento dell'incarico o della delega, nel caso previsto alla lettera b) di cui al precedente comma, devono garantire l'integrita' e la riservatezza dei dati e delle informazioni. 3. Sulla base dei formulari pervenuti, l'UCAMP istituisce la lista nominativa delle societa' segnalanti le quali sono tenute, altresi', a comunicare con lo stesso mezzo le successive variazioni. Nota all'art. 2: - Il testo dell'art. 1 della citata legge n. 166 del 2005, e' il seguente: «Art. 1 (Sistema di prevenzione). - 1. E' istituito presso il Ministero dell'economia e delle finanze un sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento. 2. Con il termine "carte di pagamento" si intendono quei documenti che si identificano con le carte di credito e le carte di debito e con le altre carte definite nella normativa di attuazione. 3. Partecipano al sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento, le societa', le banche e gli intermediari finanziari che emettono carte di pagamento e gestiscono reti commerciali di accettazione di dette carte, di seguito denominati "societa' segnalanti", individuati nel decreto del Ministro dell'economia e delle finanze di cui all'art. 7. 4. Le societa' segnalanti comunicano al Ministero dell'economia e delle finanze i dati e le informazioni di cui agli articoli 2 e 3. I dati e le informazioni alimentano un apposito archivio informatizzato. 5. Titolare dell'archivio informatizzato e responsabile della sua gestione e' l'Ufficio centrale antifrode dei mezzi di pagamento del Ministero dell'economia e delle finanze che, nell'ambito del Dipartimento del tesoro, esercita funzioni di competenza statale in materia di prevenzione, sul piano amministrativo, delle frodi sui mezzi di pagamento, e che puo' designare anche ulteriori soggetti responsabili ai sensi dell'art. 29 del decreto legislativo 30 giugno 2003, n. 196. 6. Il personale di cui all'art. 9 del decreto-legge 15 aprile 2002, n. 63, convertito, con modificazioni, dalla legge 15 giugno 2002, n. 112, puo' essere assegnato all'Ufficio centrale antifrode dei mezzi di pagamento. 7. Nell'ambito del sistema di prevenzione opera, senza nuovi o maggiori oneri per il bilancio dello Stato, un gruppo di lavoro, con funzioni consultive, per la trattazione delle problematiche di settore. 8. Il sistema di prevenzione di cui alla presente legge si informa ai principi e alla disciplina previsti dall'ordinamento comunitario.».   Art. 3. Obbligo di comunicazione dei dati e delle informazioni 1. Le societa' segnalanti sono tenute a comunicare all'UCAMP i dati di cui all'articolo 6 (lettere a, b, c, d, e), di seguito denominati Dati, e le informazioni di cui all'articolo 7 (lettere a, b, c), di seguito denominate Informazioni, secondo i termini e le modalita' stabiliti dal presente decreto.   Art. 4. Alimentazione e accesso all'archivio informatizzato I. I Dati e le informazioni alimentano un archivio informatizzato appositamente istituito sotto la titolarita' e la responsabilita' dell'UCAMP ai sensi dell'articolo 1, comma 5, della legge. 2. Le societa' segnalanti immettono nell'archivio informatizzato i dati e le informazioni secondo quanto previsto nell'articolo 10. 3. Le stesse societa' consultano l'archivio informatizzato secondo quanto previsto nell'articolo 11. 4. Le istruzioni tecniche per il funzionamento dell'archivio sono contenute in un manuale operativo redatto dall'UCAMP, in accordo con il Dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri. Successivamente alla pubblicazione del presente regolamento sulla Gazzetta Ufficiale, il manuale operativo viene reso noto ai partecipanti al sistema mediante pubblicazione sul sito Internet del Ministero dell'economia e delle finanze, nell'ambito delle ordinarie risorse di bilancio, senza nuovi o maggiori oneri per il bilancio dello Stato, nonche', ai fini di una capillare diffusione, sul sito Internet dell'Associazione Bancaria Italiana. Nota all'art. 4: - Per il testo dell'art. 1, comma 5, della citata legge n. 166 del 2005 si veda la nota all'art. 2.   Art. 5. Struttura dell'archivio informatizzato 1. L'archivio informatizzato e' strutturato su quattro livelli: a) il primo livello contiene la lista nominativa di cui all'articolo 2, comma 3, la descrizione delle principali tipologie di carte di pagamento, la normativa di riferimento ed ogni altro elemento di carattere divulgativo. Il contenuto del primo livello e' pubblicato sull'apposito sito Internet del Ministero dell'economia e delle finanze; b) il secondo livello contiene l'elaborazione dei dati statistici, in forma anonima, concernenti le frodi realizzate con le carte di pagamento ed e' accessibile alle societa' segnalanti. L'accesso al secondo livello puo' essere altresi' consentito ad altri enti interessati, previa autorizzazione del titolare dell'archivio; c) il terzo livello contiene i dati ed e' accessibile alle societa' segnalanti, secondo quanto previsto nell'articolo 11; d) il quarto livello contiene le Informazioni ed e' accessibile alle societa' segnalanti, secondo quanto previsto nell'articolo 11.   Art. 6. D a t i 1. I Dati sono composti da: a) elementi identificativi della societa' segnalante e data della segnalazione; b) elementi identificativi dei punti vendita gestiti da esercenti nei cui confronti sia stata esercitata la revoca di cui all'articolo 2, lettera a), della legge: 1) codice SIA o altro codice identificativo assegnato al punto vendita; 2) insegna; 3) ragione o denominazione sociale; 4) indirizzo; 5) localita'; 6) provincia; 7) codice avviamento postale; 8) numero d'iscrizione alla Camera di Commercio; 9) partita IVA; 10) nominativo e codice fiscale del soggetto, o del rappresentante legale, che ha firmato la convenzione; 11) categoria merceologica; 12) Terminal ID degli apparecchi POS; 13) data della convenzione; 14) data della cessazione di efficacia della convenzione; 15) causale della revoca della convenzione: 15.1) motivi di sicurezza; 15.2) esercente denunciato all'autorita' giudiziaria per condotte fraudolente; 16) estremi della denuncia presentata all'Autorita' Giudiziaria; c) elementi identificativi delle transazioni di cui all'articolo 2, lettera c), della legge: 1) numero della carta; 2) data di scadenza; 3) data della transazione; 4) importo e divisa; 5) codice ABI/acquirer ID; 6) codice di autorizzazione; 7) codice PAN; 8) motivo del disconoscimento: 8.1) carta rubata; 8.2) carta smarrita; 8.3) carta contraffatta; 8.4) carta non ricevuta; 8.5) utilizzo fraudolento del codice carta emessa; 8.6) carta utilizzata con falsa identita'; 9) codice SIA o altro codice identificativo assegnato al punto vendita ove e' avvenuta l'operazione; 10) insegna; 11) Terminal ID, qualora la transazione sia stata effettuata presso un terminale POS; 12) codici identificativi dello sportello automatico, qualora la transazione sia stata effettuata su circuito nazionale Bancomat; 13) estremi della denuncia presentata all'Autorita' Giudiziaria dal legittimo titolare della carta; d) elementi identificativi dei punti vendita i cui esercenti abbiano stipulato contratti di rinnovo di cui all'articolo 2, lettera b), della legge: 1) codice SIA o altro codice identificativo della nuova convenzione assegnato al punto vendita; 2) insegna/e; 3) ragione o denominazione sociale; 4) indirizzo; 5) localita'; 6) provincia; 7) codice avviamento postale; 8) numero d'iscrizione alla Camera di Commercio; 9) partita IVA; 10) nominativo e codice fiscale del soggetto, o del rappresentante legale, che ha firmato la convenzione; 11) categoria merceologica; 12) Terminal ID degli apparecchi POS; 13) data della precedente revoca (se disposta dalla stessa societa' che segnala la nuova convenzione); e) elementi identificativi degli sportelli automatici di cui all'articolo 2, lettera d), della legge: 1) indirizzo; 2) localita'; 3) provincia; 4) codice avviamento postale; 5) codice ABI; 6) CAB Atm; 7) numero Atm; 8) fornitore e modello Atm; 9) manomissione effettuata tramite: 9.1) apposizione di pannello (frontalino); 9.2) manomissione del lettore di carte per l'accesso al locale interno ove e' dislocato l'Atm; 9.3) altro; 10) modalita' di cattura del PIN: 10.1) microtelecamera; 10.2) telecamera o macchina fotografica, a distanza; 10.3) tastiera sovrapposta; 10.4) altro. Nota all'art. 6: - Il testo dell'art. 2 della citata legge n. 166 del 2005 e' la seguente: «Art. 2 (Dati che alimentano l'archivio informatizzato). - 1. L'archivio informatizzato e' alimentato da: a) dati identificativi dei punti vendita e dei legali rappresentanti degli esercizi commerciali nei cui confronti e' stato esercitato il diritto di revoca della convenzione che regola la negoziazione delle carte di pagamento per motivi di sicurezza o per condotte fraudolente denunciate all'autorita' giudiziaria; b) dati identificativi degli eventuali contratti di rinnovo della convenzione stipulati con gli esercenti di cui alla lettera a); c) dati identificativi delle transazioni non riconosciute dai titolari delle carte di pagamento ovvero dagli stessi denunciate all'autorita' giudiziaria; d) dati identificativi relativi agli sportelli automatici fraudolentemente manomessi.».   Art. 7. Informazioni 1. Le Informazioni sono composte da: a) elementi identificativi della societa' segnalante e data della segnalazione; b) elementi identificativi dei punti vendita sottoposti a monitoraggio: 1) codice SIA o altro codice identificativo assegnato al punto vendita; 2) insegna; 3) ragione o denominazione sociale; 4) indirizzo; 5) localita'; 6) provincia; 7) codice avviamento postale; 8) numero d'iscrizione alla Camera di Commercio; 9) partita IVA; 10) nominativo e codice fiscale del soggetto, o del rappresentante legale, che ha firmato la convenzione; 11) categoria merceologica; 12) Terminal ID degli apparecchi POS; 13) motivo del monitoraggio: 13.1) raggiungimento del parametro di cui all'articolo 8, lettera a), punto 1); 13.2) raggiungimento del parametro di cui all'articolo 8, lettera a), punto 2); 13.3) raggiungimento del parametro di cui all'articolo 8, lettera a), punto 3); c) elementi identificativi delle carte di pagamento sottoposte a monitoraggio: 1) numero della carta; 2) data di scadenza; 3) data, importo e divisa delle operazioni; 4) codice PAN; 5) codice ABI/acquirer ID; 6) autorizzazioni concesse (numero autorizzazione); 7) autorizzazioni negate; 8) codice SIA o altro codice identificativo assegnato al punto vendita; 9) insegna; 10) categoria merceologica; 11) Terminal ID degli apparecchi POS; 12) motivo del monitoraggio: 12.1) raggiungimento del parametro di cui all'articolo 8, lettera b), punto 1); 12.2) raggiungimento del parametro di cui all'articolo 8, lettera b), punto 2); 12.3) raggiungimento del parametro di cui all'articolo 8, lettera b), punto 3).   Art. 8. Rischio di frode 1. Si configura il rischio di frode di cui all'articolo 3, comma 1 della legge, quando viene raggiunto uno dei seguenti parametri: a) con riferimento ai punti vendita di cui all'articolo 7, lettera b): 1) cinque o piu' richieste di autorizzazione con carte diverse, rifiutate nelle 24 ore, presso un medesimo punto vendita; 2) tre o piu' richieste di autorizzazione sulla stessa carta, effettuate nelle 24 ore, presso un medesimo punto vendita; 3) richiesta di autorizzazione, approvata o rifiutata, che superi del 150% l'importo medio delle operazioni effettuate con carte di pagamento, nei tre mesi precedenti, presso il medesimo punto di vendita; b) riguardo alle carte di pagamento sottoposte a monitoraggio di cui all'articolo 7, lettera c): 1) sette o piu' richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento; 2) una ovvero piu' richieste di autorizzazione che nelle 24 ore esauriscano l'importo totale del plafond della carta di pagamento; 3) due o piu' richieste di autorizzazione provenienti da Stati diversi, effettuate, con la stessa carta, nell'arco di sessanta minuti. Nota all'art. 8: - Il testo dell'art. 3, comma 1, della citata legge n. 166 del 2005, e' il seguente: «Art. 3 (Informazioni relative al rischio di frode che alimentano l'archivio informatizzato). - 1. Le singole societa' segnalanti comunicano altresi', previa notifica al titolare dell'archivio, le informazioni relative ai punti vendita e alle transazioni che configurano un rischio di frode. Tali informazioni sono conservate nell'archivio per il tempo necessario alle predette societa' ad accertare l'effettiva sussistenza del rischio di frode.».   Art. 9. Periodo di monitoraggio 1. La societa' segnalante notifica al titolare dell'archivio l'apertura del periodo di monitoraggio, nel momento in cui viene raggiunto uno dei parametri di cui all'articolo 8. Tale periodo non puo' superare i quindici giorni per le informazioni relative agli esercenti e le settantadue ore per le Informazioni relative alle carte di pagamento. 2. Relativamente alle Informazioni di cui all'articolo 7, lettera b), la societa' segnalante comunica all'UCAMP l'esito del monitoraggio in termini di «revoca dell'esercizio convenzionato» o di «conclusione del monitoraggio senza ulteriori provvedimenti». Sulla base di tale comunicazione, l'UCAMP riqualifica come Dato ai sensi dell'articolo 6, lettera b), le Informazioni relative alla avvenuta revoca dell'esercizio, ovvero provvede alla loro cancellazione. 3. Relativamente alle informazioni di cui all'articolo 7, lettera c), la societa' segnalante comunica all'UCAMP l'esito dell'accertamento in termini di «transazione non riconosciuta dal titolare della carta di pagamento», o di «conclusione del monitoraggio senza ulteriori provvedimenti». Sulla base di tale comunicazione, l'UCAMP riqualifica come Dato ai sensi dell'articolo 6, lettera c), le informazioni relative alla transazione non riconosciuta, ovvero provvede alla loro cancellazione. 4. In caso di mancata segnalazione circa la conclusione del monitoraggio, decorsi i termini di cui al comma 1, l'UCAMP provvede d'ufficio alla cancellazione delle informazioni.   Art. 10. Modalita' e termini di immissione dei Dati e delle Informazioni nell'archivio 1. Le societa' segnalanti assicurano l'esattezza e la completezza dei Dati e delle Informazioni che alimentano l'archivio informatizzato. 2. I Dati di cui all'articolo 6 sono immessi, per via telematica, attraverso l'utilizzo delle reti delle pubbliche amministrazioni e delle societa' segnalanti, nell'archivio informatizzato non appena disponibili e comunque non oltre il secondo giorno lavorativo successivo a quello della loro acquisizione da parte della societa' segnalante. 3. I provvedimenti dell'Autorita' Giudiziaria o del Garante per la protezione dei dati personali che dispongono la sospensione ovvero la cancellazione temporanea dei Dati immessi nell'archivio informatizzato sono eseguiti dalla societa' che ha originato la segnalazione o, d'ufficio, dall'UCAMP. In tal caso i dati immessi non sono piu' consultabili e la loro traccia viene conservata nell'archivio informatizzato al solo fine di consentire l'eventuale riattivazione della segnalazione. 4. Le Informazioni di cui all'articolo 7 sono immesse, per via telematica, nell'archivio informatizzato immediatamente dopo l'apertura del periodo di monitoraggio ovvero non appena disponibili e comunque non oltre il primo giorno lavorativo successivo a quello della loro acquisizione da parte della societa' segnalante. 5. L'UCAMP verifica la completezza dei Dati e delle informazioni immessi e, in caso di riscontro positivo, provvede alla loro convalida.   Art. 11. Consultazione dei Dati e delle Informazioni 1. La consultazione dei Dati da parte delle societa' segnalanti non richiede la preventiva autorizzazione da parte dell'UCAMP. 2. La consultazione delle Informazioni da parte delle societa' segnalanti richiede la preventiva autorizzazione da parte dell'UCAMP. Tale autorizzazione e' rilasciata di volta in volta a quelle societa' che ne fanno espressa richiesta e che risultano aver comunicato, con regolarita' e completezza, le Informazioni di cui all'articolo 7.   Art. 12. Controllo sul corretto funzionamento dell'archivio 1. L'UCAMP, nell'esercizio delle funzioni di titolare del trattamento, sovrintende al corretto funzionamento dell'archivio e all'osservanza delle disposizioni che regolano le modalita' di trasmissione dei Dati e delle Informazioni.   Art. 13. Decorrenza e permanenza dell'iscrizione dei Dati 1. I Dati di cui all'articolo 6 sono comunicati al titolare dell'archivio entro 180 giorni dall'entrata in vigore del presente regolamento e restano iscritti nell'archivio informatizzato per tre anni.   Art. 14. Gruppo di lavoro 1. Il GIPAF, di cui all'articolo 1 della legge, e' composto da esperti in materia di carte di pagamento ed e' formato da due rappresentanti, di cui un titolare ed un supplente, delle seguenti amministrazioni, istituti ed organi: Ministero dell'economia e delle finanze (UCAMP), Ministero dell'interno, Ministero della giustizia, Ministero dello sviluppo economico, Ministro per le riforme e le innovazioni nella pubblica amministrazione, Banca d'Italia. 2. Ai lavori del GIPAF partecipano altresi' esperti delle Forze di polizia, designati dall'Ufficio di coordinamento e pianificazione delle Forze di polizia del Ministero dell'interno, dell'Associazione Bancaria Italiana e delle societa' segnalanti. Possono essere inoltre invitati a partecipare ai lavori esperti di altre societa', intermediari finanziari, enti, organismi, anche internazionali, nonche' pubbliche amministrazioni. Il Consiglio nazionale dei consumatori e degli utenti puo' richiedere, in qualsiasi momento, di essere ascoltato dal GIPAF, ai sensi dell'articolo 7, comma 6, della legge. 3. Le riunioni del GIPAF sono presiedute dal direttore dell'UCAMP. 4. Il GIPAF si riunisce, di norma, quattro volte l'anno. 5. Per la partecipazione ai lavori del GIPAF non e' dovuto alcun compenso ne' rimborso spese a qualsiasi titolo spettante. Note all'art. 14: - Per il testo dell'art. 1 della citata legge n. 166 del 2005 si veda la nota all'art. 2. - Il testo dell'art. 7, comma 6, della citata legge n. 166 del 2005, e' il seguente: «6. Il Consiglio nazionale dei consumatori e degli utenti di cui alla legge 30 luglio 1998, n. 281, puo' richiedere, in qualsiasi momento, di essere ascoltato dal gruppo di lavoro di cui all'art. 1, comma 7, in ordine all'applicazione della presente legge.».   Art. 15. Scambio di dati con la Banca d'Italia 1. In attuazione di quanto previsto nell'articolo 5, comma 1, della legge, l'UCAMP consulta i dati sulle carte di pagamento rubate o smarrite mediante procedure telematiche compatibili con le caratteristiche tecniche dell'archivio di cui all'articolo 36 del decreto legislativo 30 dicembre 1999, n. 507. 2. Le richieste relative alle aggregazioni fra i dati contenuti nell'archivio informatizzato sono definite di volta in volta d'intesa tra la Banca d'Italia e l'UCAMP. Note all'art. 15: - Il testo dell'art. 5, comma 1, della citata legge n. 166 del 2005, e' il seguente: «Art. 5 (Scambio di dati con la Banca d'Italia). - 1. L'Ufficio centrale antifrode dei mezzi di pagamento puo' richiedere alla Banca d'Italia l'accesso all'archivio di cui all'art. 10-bis della legge 15 dicembre 1990, n. 386, introdotto dall'art. 36 del decreto legislativo 30 dicembre 1999, n. 507, per la consultazione dei dati sulle carte di pagamento rubate o smarrite.». - Il testo dell'art. 36 del decreto legislativo 30 dicembre 1999, n. 507, recante: «Depenalizzazione dei reati minori e riforma del sistema sanzionatorio, ai sensi dell'art. 1 della legge 25 giugno 1999, n. 205» pubblicato nella Gazzetta Ufficiale del 31 dicembre 1999, n. 306, supplemento ordinario, e' il seguente: «Art. 36 (Archivio informatico). - 1. Dopo l'art. 10 della legge 15 dicembre 1990, n. 386, e' inserito il seguente: "Art. 10-bis (Archivio degli assegni bancari e postali e delle carte di pagamento irregolari). - 1. Al fine del regolare funzionamento dei sistemi di pagamento, e' istituito presso la Banca d'Italia un archivio informatizzato degli assegni bancari e postali e delle carte di pagamento, nel quale sono inseriti i seguenti dati: a) generalita' dei traenti degli assegni bancari o postali emessi senza autorizzazione o senza provvista; b) assegni bancari e postali emessi senza autorizzazione o senza provvista, nonche' assegni non restituiti alle banche e agli uffici postali dopo la revoca dell'autorizzazione; c) sanzioni amministrative pecuniarie e accessorie applicate per l'emissione di assegni bancari e postali senza autorizzazione o senza provvista, nonche' sanzioni penali e connessi divieti applicati per l'inosservanza degli obblighi imposti a titolo di sanzione amministrativa accessoria; d) generalita' del soggetto al quale e' stata revocata l'autorizzazione all'utilizzo di carte di pagamento; e) carte di pagamento per le quali sia stata revocata l'autorizzazione all'utilizzo; f) assegni bancari e postali e carte di pagamento di cui sia stato denunciato il furto o lo smarrimento. 2. La Banca d'Italia, quale titolare del trattamento dei dati, puo' avvalersi di un ente esterno per la gestione dell'archivio, secondo quanto previsto dall'art. 8 della legge 31 dicembre 1996, n. 675. 3. Il soggetto interessato ha diritto ad accedere alle informazioni che lo riguardano contenute nell'archivio e di esercitare gli altri diritti previsti dall'art. 13 della legge 31 dicembre 1996, n. 675. 4. I prefetti, le banche, gli intermediari finanziari vigilati e gli uffici postali possono accedere alle informazioni contenute nell'archivio per le finalita' previste dalla presente legge e per quelle connesse alla verifica della corretta utilizzazione degli assegni e delle carte di pagamento. L'autorita' giudiziaria ha accesso diretto alle informazioni contenute nell'archivio, per lo svolgimento delle proprie funzioni.". 2. Con regolamento emanato, ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400, entro centocinquanta giorni dall'entrata in vigore del presente decreto legislativo, il Ministro della giustizia, sentita la Banca d'Italia ed il Garante per la protezione dei dati personali, disciplina le modalita' con cui i soggetti ivi individuati devono trasmettere i dati all'archivio previsto dal comma 1 del presente articolo e, se necessario, rettificarli o aggiornarli. Con il medesimo regolamento sono individuate le modalita' con cui la Banca d'Italia, attenendosi ai dati trasmessi, provvede al loro trattamento e ne consente la consultazione. 3. Con distinto regolamento emesso entro trenta giorni dall'adozione del regolamento ministeriale di cui al comma 2, la Banca d'Italia disciplina le modalita' e le procedure relative alle attivita' previste dal medesimo regolamento ministeriale. La Banca d'Italia provvede altresi' a determinare i criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari vigilati e degli uffici postali.».   Art. 16. Accesso ai Dati ed alle Informazioni da parte del Dipartimento della pubblica sicurezza del Ministero dell'interno e delle Forze di polizia 1. Il Dipartimento della pubblica sicurezza e le Forze di polizia di cui all'articolo 7, comma 2, della legge, accedono ai Dati ed alle Informazioni contenuti nell'archivio informatizzato, attraverso un collegamento tra il predetto archivio ed il Centro elaborazione dati del Ministero dell'interno, di cui all'articolo 8 della legge 1° aprile 1981, n. 121. Il collegamento deve rispondere a procedure telematiche compatibili con le caratteristiche tecniche del predetto Centro e dello stesso archivio e nel rispetto degli standard previsti dal Sistema pubblico di connettivita', secondo le intese fra l'UCAMP e il Dipartimento di pubblica sicurezza, e deve essere realizzato nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente. 2. Eventuali risultati di specifico interesse e gli elementi conoscitivi di cui all'articolo 3, comma 3, della legge, diversi dai Dati e dalle Informazioni di cui al comma precedente, derivanti dalla gestione dell'archivio informatizzato, utili ai fini dell'analisi dei fenomeni criminali e di cooperazione, anche internazionale, di polizia, finalizzati alla prevenzione e repressione dei reati commessi mediante carte di credito o altri mezzi di pagamento, sono comunicati dall'UCAMP al Dipartimento della pubblica sicurezza - Direzione centrale della polizia criminale, anche d'iniziativa, ovvero su richiesta del GIPAF, secondo modalita' da stabilirsi previe intese tra l'UCAMP e la predetta Direzione centrale. Note all'art. 16: - Il testo dell'art. 7, comma 2, e dell'art. 3, comma 3 della citata legge n. 166 del 2005, e' il seguente: «2. Con il medesimo decreto di cui al comma 1 sono stabilite le modalita' relative all'accesso ai dati e alle informazioni possesso dell'Ufficio centrale antifrode dei mezzi di pagamento da parte del Dipartimento della pubblica sicurezza del Ministero dell'interno per l'esercizio delle funzioni di cui agli articoli 4, 6 e 7 della legge 1° aprile 1981, n. 121, nonche' da parte degli uffici competenti delle Forze di polizia di cui all' art. 16, primo comma, della stessa legge.». «3. I risultati di specifico interesse, corredati dei necessari elementi conoscitivi, sono comunicati altresi', anche d'iniziativa, secondo le modalita' stabilite dal decreto di cui all'art. 7, agli uffici del Dipartimento della pubblica sicurezza del Ministero dell'interno competenti in materia di analisi dei fenomeni criminali e di cooperazione, anche internazionale, di polizia, finalizzata alla prevenzione e repressione dei reati commessi mediante carte di credito o altri mezzi di pagamento.». - Il testo dell'art. 8 della legge 1° aprile 1981, n. 121, recante: «Nuovo ordinamento dell'Amministrazione della pubblica sicurezza», pubblicata nella Gazzetta Ufficiale 10 aprile 1981, n. 100, supplemento ordinario, e' il seguente: «Art. 8 (Istituzione del Centro elaborazione dati). - E' istituito presso il Ministero dell'interno, nell'ambito dell'ufficio di cui alla lettera a) dell'art. 5, il Centro elaborazione dati, per la raccolta delle informazioni e dei dati di cui all'art. 6, lettera a), e all'art. 7. Il Centro provvede alla raccolta, elaborazione, classificazione e conservazione negli archivi magnetici delle informazioni e dei dati nonche' alla loro comunicazione ai soggetti autorizzati, indicati nell'art. 9, secondo i criteri e le norme tecniche fissati ai sensi del comma seguente. Con decreto del Ministro dell'interno e' costituita una commissione tecnica, presieduta dal funzionano preposto all'ufficio di cui alla lettera a) dell'art. 5, per la fissazione dei criteri e delle norme tecniche per l'espletamento da parte del Centro delle operazioni di cui al comma precedente e per il controllo tecnico sull'osservanza di tali criteri e norme da parte del personale operante presso il Centro stesso. I criteri e le norme tecniche predetti divengono esecutivi con l'approvazione del Ministro dell'interno.».   Art. 17. Competenze ed organizzazione dell'UCAMP 1. L'ufficio centrale antifrode dei mezzi di pagamento svolge i seguenti compiti: a) analisi e monitoraggio dei dati tecnici e statistici e delle informazioni concernenti la falsificazione dell'Euro, per le finalita' di cui al Regolamento (CE) n. 1338/2001 del Consiglio del 21 giugno 2001 e per le valutazioni dell'impatto economico; raccordo con le autorita' nazionali ed estere competenti in materia di falsificazione dell'Euro; b) prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento e sugli strumenti attraverso i quali viene erogato il credito al consumo; c) promozione e coordinamento di iniziative di formazione, comunitarie e nazionali; sulla falsificazione dell'Euro; formazione specialistica agli operatori per la prevenzione delle frodi sulle carte di pagamento e sugli strumenti attraverso i quali viene erogato il credito al consumo. 2. Ai soli fini organizzativi e senza ulteriori oneri e con l'utilizzo di risorse umane, finanziarie e strumentali gia' previste a legislazione vigente, l'Ufficio centrale antifrode dei mezzi di pagamento si articola nelle seguenti aree: Euro; Carte di pagamento; Credito al consumo; Formazione. 3. Alle dipendenze funzionali del direttore dell'Ufficio centrale antifrode dei mezzi di pagamento opera personale della Guardia di Finanza, a cui e' preposto un ufficiale. Nota all'art. 17: - Il regolamento (CE) n. 1338/2001 del Consiglio del 28 giugno 2001, pubblicato nella Gazzetta Ufficiale delle Comunita' europee L 181 del 4 luglio 2001 «definisce talune misure necessarie alla protezione dell'euro contro la falsificazione.».   Art. 18. Assegnazione del personale all'UCAMP 1. Il personale di cui all'articolo 1, comma 6, della legge, eventualmente assegnato all'UCAMP, e' assoggettato ad un percorso formativo della durata minima di cinque giorni. La formazione riguarda materie di carattere prevalentemente tecnico e specialistico oggetto dell'attivita' istituzionale dell'Ufficio. I corsi di formazione sono organizzati nell'ambito dell'ordinaria programmazione dei percorsi formativi dell'Amministrazione, senza oneri aggiuntivi per il bilancio dello Stato. Nota all'art. 18: - Per il testo dell'art. 1, comma 6, della citata legge n. 166 del 2005, si veda la nota all'art. 2.   Art. 19. Disposizioni transitorie e finali 1. Al fine di costituire un archivio storico, le societa' segnalanti comunicano i Dati relativi ai punti vendita di cui all'articolo 6, lettera b), riguardanti gli anni 2005, 2006 e 2007 entro 180 giorni dalla data di entrata in vigore del presente regolamento. 2. Le disposizioni riguardanti le informazioni si applicano decorsi dodici mesi dalla data di entrata in vigore del presente regolamento. 3. Ai fini dell'attuazione del secondo comma dell'articolo 1 della legge, l'UCAMP, sentito il GIPAF, provvede ad identificare eventuali ulteriori tipologie di carte di pagamento a spendibilita' generalizzata, emesse da intermediari abilitati, da assoggettare al sistema di prevenzione previsto dalla legge. 4. Al fine di consentire un piu' efficace contrasto alle frodi sulle carte di pagamento, l'UCAMP promuove, nell'ambito del GIPAF, appositi approfondimenti atti ad adottare ogni iniziativa diretta a favorire l'inserimento della riproduzione fotografica nelle carte di pagamento ovvero di altra modalita' equivalente volta a consentirne la riconducibilita' al titolare.   Art. 20. Entrata in vigore 1. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 30 aprile 2007 Il Ministro dell'economia e delle finanze Padoa Schioppa Il Ministro dell'interno Amato Il Ministro della giustizia Mastella Il Ministro dello sviluppo economico Bersani Il Ministro per le riforme e le innovazioni nella pubblica amministrazione Nicolais Visto, il Guardasigilli: Mastella Registrato alla Corte dei conti il 19 luglio 2007 Ufficio di controllo sui Ministeri economico-finanziari, registro n. 4 Economia e finanze, foglio n. 249   Allegato ----> Vedere Allegato da pag. 9 a pag. 16 della G.U. <----