Gazzetta n. 284 del 29 novembre 2021 (vai al sommario) |
BANCA D'ITALIA |
PROVVEDIMENTO 9 novembre 2021 |
Disposizioni in materia di sorveglianza sui sistemi di pagamento e sulle infrastrutture strumentali tecnologiche o di rete |
|
|
LA BANCA D'ITALIA
In attuazione dell'art. 146, comma 2, lettere a) e b), del decreto legislativo del 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia), cosi' come modificato dall'art. 35, comma 18, del decreto legislativo del 27 gennaio 2010, n. 11, nel contesto dell'art. 127 par. 2 del Trattato sul funzionamento dell'Unione europea e dell'art. 22 del Protocollo sullo statuto del Sistema europeo di banche centrali e della Banca centrale europea; In materia di sistemi di pagamento: Visto il decreto legislativo del 12 aprile 2001, n. 210 (attuazione della direttiva 98/26/CE sulla definitivita' degli ordini immessi in un sistema di pagamento o di regolamento titoli) e successive modifiche; Visto il regolamento della Banca centrale europea (BCE) n. 795/2014 del 3 luglio 2014 sui requisiti di sorveglianza per i sistemi di pagamento di importanza sistemica, modificato con i regolamenti della BCE n. 2094/2017 del 3 novembre 2017 e n. 728/2021 del 29 aprile 2021; Considerato che le definizioni di «sistema di pagamento al dettaglio» e di «sistema di pagamento all'ingrosso» adottate nel presente provvedimento sono coerenti con quelle in uso nell'Eurosistema e non escludono la possibilita' che i gestori trattino nel medesimo sistema entrambe le tipologie di pagamenti; Considerata la dichiarazione dell'Eurosistema del 4 agosto del 2005 («Erogazione di servizi di pagamento al dettaglio in euro agli enti creditizi da parte delle banche centrali»), contenente principi a cui devono attenersi le banche centrali che offrono servizi di compensazione e regolamento per i pagamenti al dettaglio in concorrenza con i sistemi privati; Considerati i principi per le infrastrutture dei mercati finanziari («Principles for financial market infrastructures») che il Committee on Payment and Settlement Systems (CPSS) della Banca dei regolamenti internazionali e l'International Organization of Securities Commissions (IOSCO) hanno pubblicato ad aprile del 2012 e che il Consiglio direttivo della BCE ha adottato nel giugno del 2013 per la sorveglianza di tutte le tipologie di infrastrutture dei mercati finanziari nell'area dell'euro ricadenti sotto la responsabilita' dell'Eurosistema; Considerata la policy di sorveglianza dell'Eurosistema (Oversight policy framework), che include i sistemi di pagamento e i relativi fornitori critici di servizi, e la cornice di sorveglianza dell'Eurosistema per i sistemi di pagamento al dettaglio (Oversight framework for retail payment systems), entrambe aggiornate e pubblicate nel 2016; Considerata la necessita' di dare attuazione alla disciplina dell'accesso dei prestatori dei servizi di pagamento ai sistemi di pagamento al dettaglio, ai sensi dell'art. 30 del decreto legislativo del 27 gennaio del 2010, n. 11 (attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE), come modificato dagli articoli 2 e 3 del decreto legislativo del 15 dicembre 2017, n. 218 (recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonche' adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta); In materia di servizi e strumenti di pagamento: Visto il decreto legislativo del 27 gennaio 2010, n. 11, in materia di servizi di pagamento, come modificato dal decreto legislativo del 15 dicembre del 2017, n. 218; Visto il decreto legislativo del 15 dicembre 2017, n. 218 (recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonche' adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta); Considerato che dal 2004 l'Eurosistema e la Commissione europea hanno promosso la realizzazione di un'area unica dei pagamenti in euro (Single Euro Payments Area, SEPA) per favorire la progressiva eliminazione delle barriere nazionali all'offerta di servizi di pagamento e la creazione - per le infrastrutture di pagamento al dettaglio europee - di un contesto piu' competitivo, caratterizzato da regole e standard comuni; In materia di continuita' operativa, sicurezza cibernetica e segnalazione di incidenti: Visti gli orientamenti in materia di segnalazione di incidenti gravi ai sensi della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (Payment Services Directive 2, PSD2) che l'Autorita' bancaria europea (ABE) ha pubblicato nel dicembre 2017; Considerata la Guidance on cyber resilience for financial market infrastructures che il Committee on Payment and Market Infrastructures (CPMI) - gia' Committee on Payment and Settlement Systems (CPSS) - della Banca dei regolamenti internazionali e l'International Organization of Securities Commissions (IOSCO) hanno pubblicato nel giugno 2016 e viste le Cyber resilience oversight expectations (CROE) for financial market infrastructures che la BCE ha pubblicato nel dicembre del 2018; In materia di infrastrutture strumentali tecnologiche o di rete: Viste le previsioni della circolare della Banca d'Italia n. 285 «Disposizioni di vigilanza per le banche» del 17 dicembre 2013 e del provvedimento della Banca d'Italia del 23 luglio 2019 «Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica» in materia di esternalizzazione di funzioni operative importanti; Considerato che nell'agosto 2017 il Consiglio direttivo della BCE ha approvato la policy dell'Eurosistema per l'identificazione e la sorveglianza dei fornitori critici di servizi per le infrastrutture dei mercati finanziari; Circa i poteri dell'autorita' di sorveglianza: Visti gli articoli 144 e 146 del testo unico delle leggi in materia bancaria e creditizia che conferiscono alla Banca d'Italia, oltre al potere normativo, poteri informativi, ispettivi, provvedimentali e sanzionatori, che possono essere esercitati nei confronti dei soggetti che emettono o gestiscono strumenti di pagamento, prestano servizi di pagamento, gestiscono sistemi di scambio, di compensazione e di regolamento o gestiscono infrastrutture strumentali tecnologiche o di rete; Considerato che si rende necessario rivedere la normativa secondaria riguardante il sistema dei pagamenti al fine di introdurre disposizioni che tengano conto dell'evoluzione della normativa di settore, nonche' dei principi di sorveglianza e delle migliori prassi condivise a livello europeo e internazionale, anche in relazione ai fornitori critici di servizi;
Emana
le disposizioni seguenti:
Art. 1
Definizioni
Nel presente provvedimento, si intendono per: (a) «sistema dei pagamenti»: l'insieme di soggetti, infrastrutture, procedure e norme che consentono il trasferimento della moneta, anche mediante strumenti di pagamento, o l'estinzione di obbligazioni pecuniarie mediante compensazione; (b) «sistema di pagamento»: accordo formale tra partecipanti, con regole comuni e procedure standardizzate per lo scambio, la compensazione e/o il regolamento di operazioni di pagamento per conto proprio o della clientela; (c) «sistema di pagamento al dettaglio»: accordo formale tra partecipanti, con regole comuni e procedure standardizzate, per lo scambio, la compensazione e/o il regolamento di operazioni di pagamento per conto della clientela, con modalita' differita o istantanea, generalmente di importo ridotto e numero elevato; (d) «sistema di pagamento all'ingrosso»: accordo formale tra partecipanti, con regole comuni e procedure standardizzate, per il regolamento di operazioni di pagamento tra partecipanti, generalmente di importo elevato e numero ridotto; (e) «infrastruttura strumentale tecnologica o di rete»: complesso di impianti e di implementazioni a supporto di uno o piu' servizi strumentali al sistema dei pagamenti, tra i quali a titolo di esempio: a. servizi di messaggistica e di rete; b. servizi e/o applicazioni di business strumentali a trattamento e scambio di flussi finanziari e informativi, compensazione e/o regolamento di operazioni di pagamento tra prestatori di servizi di pagamento e/o tra prestatori di servizi di pagamento e clienti; c. servizi di conservazione e trattamento di dati sensibili relativi ai pagamenti, incluse le credenziali di sicurezza degli utenti e i dati per l'indirizzamento dei pagamenti; d. servizi per il trattamento delle operazioni di pagamento di cui all'art. 2, comma 1, numero 28 del regolamento (UE) n. 2015/751 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta; e. servizi tecnologici di interfaccia multi-operatore per l'accesso di terze parti ai conti ai sensi del regolamento delegato (UE) n. 2018/389 della Commissione del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri; (f) «gestore»: societa' o ente che gestisce sistemi di pagamento o singole fasi di questi; se ne ha i requisiti puo' anche essere partecipante; (g) «partecipante»: societa' o ente che partecipa a un sistema di pagamento, assumendo i diritti e gli obblighi derivanti dalla disciplina contrattuale che regola la partecipazione al sistema; (h) «fornitori di infrastrutture o servizi tecnici»: soggetti che gestiscono, fornendo i relativi servizi, infrastrutture tecnologiche o di rete strumentali a un sistema di pagamento o all'erogazione di servizi di pagamento; (i) «fornitori critici di infrastrutture o servizi»: fornitori di infrastrutture o servizi tecnici considerati critici ai sensi dell'art. 20 del presente provvedimento; (j) «scambio»: attivita' attraverso la quale vengono scambiate fra i partecipanti al sistema le informazioni di pagamento, ossia i messaggi e gli ordini diretti a trasferire fondi o, comunque, ad estinguere obbligazioni tramite compensazione; il gestore puo' disciplinare direttamente l'attivita' di scambio ovvero fare riferimento a regole definite da soggetti terzi; (k) «compensazione»: la conversione, secondo le regole del sistema, in un'unica posizione - a credito o a debito - dei crediti e dei debiti di uno o piu' partecipanti nei confronti di uno o piu' partecipanti e risultanti dallo scambio delle informazioni di pagamento; (l) «regolamento»: estinzione delle posizioni a credito o a debito di due o piu' partecipanti; (m) «collegamenti»: insieme di regole operative e procedure che consentono lo scambio, la compensazione e il regolamento tra partecipanti a sistemi di pagamento diversi; (n) «prestatori di servizi di pagamento»: istituti di moneta elettronica e istituti di pagamento, nonche', quando prestano servizi di pagamento, banche, Poste Italiane S.p.a., la Banca centrale europea e le banche centrali nazionali se non agiscono in veste di autorita' monetarie, altre autorita' pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorita' pubbliche, ai sensi del decreto legislativo del 27 gennaio del 2010, n. 11 e successive modifiche; (o) «terze parti»: i prestatori di servizi di pagamento che si relazionano con i prestatori di servizi di radicamento dei conti per la prestazione dei servizi di pagamento di accesso dispositivo o informativo ai conti di pagamento previsti dalla direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio; (p) «funzione di compliance»: funzione aziendale responsabile della verifica di conformita' dell'attivita' aziendale alle norme applicabili; (q) «affidabilita'»: proprieta' dei sistemi di pagamento e delle infrastrutture tecnologiche o di rete che assicurano il contenimento dei rischi che possono comprometterne o influenzarne negativamente il corretto e continuo funzionamento, ripercuotendosi cosi' sulla fiducia del pubblico negli strumenti di pagamento; (r) «efficienza»: proprieta' dei sistemi di pagamento e delle infrastrutture tecnologiche o di rete che offrono servizi rapidi, economici e pratici per gli utilizzatori, nonche' vantaggiosi per i mercati finanziari e per l'economia; (s) «resilienza cibernetica»: capacita' di un sistema di pagamento o di un'infrastruttura tecnologica o di rete di continuare a svolgere la propria attivita' anticipando e adattandosi a minacce cibernetiche e altri cambiamenti rilevanti nell'ecosistema in cui opera, nonche' resistendo a incidenti informatici, contenendone gli effetti e recuperando tempestivamente la propria operativita'; (t) «malfunzionamento»: l'arresto dell'operativita' del sistema, gli errori procedurali, il peggioramento dei tempi di elaborazione delle operazioni di pagamento, la perdita di riservatezza e l'alterazione non autorizzata dei dati trattati. Per quanto non definito espressamente, si rinvia alle definizioni normative. |
| Art. 2
Finalita' e ambito applicativo
Le presenti disposizioni sono volte a favorire l'affidabilita' e l'efficienza del sistema dei pagamenti italiano. Esse si applicano ai gestori di sistemi di pagamento e ai fornitori di infrastrutture o servizi tecnici che abbiano sede legale e/o operativa in Italia. Il presente provvedimento non si applica ai sistemi di pagamento classificati a rilevanza sistemica in base all'art. 1 del regolamento della BCE n. 795/2014 e successive modifiche, ai quali si applicano le previsioni di detto regolamento. |
| Art. 3
Obbligo di notifica di inizio e fine operativita'
I gestori di sistemi di pagamento stabiliti sul territorio italiano notificano alla Banca d'Italia l'inizio e la fine dell'operativita' dei propri sistemi. La notifica di inizio operativita' contiene le informazioni di cui alla guida operativa pubblicata sul sito della Banca d'Italia. |
| Art. 4
Assetto organizzativo
I gestori di sistemi di pagamento definiscono il modello organizzativo della propria impresa e del sistema di pagamento da loro gestito sulla base del grado di complessita' operativa del sistema. Essi devono assicurare: i) la chiara e univoca definizione delle competenze di ciascuna struttura interna, al fine di garantire il coordinamento delle funzioni e ridurre i casi di sovrapposizione di ruoli e di conflitti di attribuzione; ii) l'esatta individuazione delle responsabilita' decisionali per i principali atti gestionali, attraverso idonee evidenze documentali; iii) la definizione di meccanismi atti a verificare e misurare le prestazioni delle strutture operative. Laddove istituiscano comitati con funzioni consultive per rispondere alle esigenze dei partecipanti, i gestori definiscono in maniera chiara e comunicano a questi ultimi le relative regole di funzionamento. In particolare, gli interessi di tutte le categorie di utilizzatori coinvolte sono rappresentati in seno a detti comitati e le relative regole di funzionamento specificano le modalita' per il superamento del dissenso all'interno del comitato. Qualora le funzioni di scambio, di compensazione e/o regolamento siano svolte, in tutto o in parte, da gestori diversi, detti gestori assicurano il coordinamento delle loro attivita'. |
| Art. 5
Efficacia dei controlli
I gestori individuano e valutano in un apposito documento i rischi d'impresa, legali, operativi e tutti gli altri rischi, inclusi quelli cibernetici, che possono compromettere l'affidabilita' del sistema e adottano un'architettura dei controlli adeguata a gestirli. In particolare: i) assicurano la conformita' dei servizi offerti alle normative vigenti, nonche' alle strategie, ai regolamenti e alle procedure interne; ii) definiscono le caratteristiche e la tempistica della reportistica della funzione di controllo agli organi decisionali; iii) verificano - almeno annualmente - la complessiva funzionalita' del sistema dei controlli interni; iv) definiscono su base annua un piano dei controlli sui rischi connessi con l'attivita' svolta e un ordine di priorita' degli interventi, in modo da favorire una gestione integrata dei rischi, l'individuazione specifica delle linee di responsabilita' e la disponibilita' delle risorse destinate a sostenere la resilienza cibernetica; v) si dotano di un sistema di gestione integrata dei rischi e di una strategia di resilienza cibernetica con connesse procedure di implementazione; vi) si dotano di tre linee di difesa (operativa, di gestione dei rischi e di audit) tra loro indipendenti. In caso di malfunzionamenti del sistema di pagamento i gestori: i) ne assicurano la tempestiva individuazione; ii) li classificano secondo i criteri, gli schemi di reportistica degli incidenti e la tempistica di cui alla citata guida operativa; iii) ne analizzano e rimuovono le cause; iv) adottano misure idonee di prevenzione; v) ne trasmettono una relazione alla Banca d'Italia secondo le modalita' e le tempistiche indicate nella citata guida operativa. |
| Art. 6
Esternalizzazione
I gestori valutano i profili di efficienza e di rischio connessi con l'esternalizzazione di funzioni rilevanti per l'offerta del servizio. Qualora decidano di esternalizzare funzioni rilevanti, i gestori ne assicurano il controllo e ne mantengono la responsabilita'. Nel decidere il ricorso all'esternalizzazione, i gestori valutano i costi e i benefici di tale scelta e stabiliscono i criteri da seguire per l'individuazione del fornitore avendo, tra l'altro, riguardo a: i) le politiche e procedure utilizzate dal fornitore per garantire la disponibilita', riservatezza, l'integrita' e il non ripudio dei dati; ii) l'adozione di metodi robusti per pianificare l'intero ciclo di vita delle tecnologie utilizzate e per selezionare gli standard tecnologici; iii) le procedure utilizzate per rilevare e recuperare informazioni in relazione a malfunzionamenti e incidenti operativi e di sicurezza informatica, nonche' reagire a tali eventi; iv) adeguati piani di ripresa e di disaster recovery verificati a cadenza appropriata; v) gli assetti organizzativi adottati per l'identificazione e la gestione dei rischi e le relative linee di responsabilita'. Inoltre, i gestori assicurano che il contratto di esternalizzazione definisca: i) i diritti, gli obblighi e le responsabilita' delle parti coinvolte, anche nei confronti dei partecipanti al sistema; ii) la disciplina dei livelli di servizio e le penali in caso di mancato rispetto; iii) le caratteristiche dei flussi informativi che il fornitore e' tenuto periodicamente a trasmettere al gestore; iv) le modalita' di accesso del gestore e della Banca d'Italia alle informazioni disponibili presso il fornitore; v) le misure alternative per minimizzare l'impatto in caso di fallimento del fornitore e quelle previste per la sua sostituzione o per la successiva reinternalizzazione delle attivita'. I gestori verificano l'adempimento del contratto di esternalizzazione e monitorano l'attivita' del fornitore in modo da assicurare la costante qualita' dei servizi esternalizzati. |
| Art. 7
Accesso
I gestori fissano requisiti di accesso ai propri sistemi obiettivi, non discriminatori e proporzionati, nonche' improntati alla piu' ampia apertura, fatte salve le limitazioni dovute alla necessita' di proteggere il sistema dagli specifici rischi cui e' esposto. In caso di diniego dell'accesso, il gestore ne comunica per iscritto le ragioni al richiedente. |
| Art. 8
Trasparenza
I gestori di sistemi di pagamento assicurano adeguata pubblicita' su: i) architettura e regole di funzionamento del sistema; ii) meccanismi di Governo del sistema; iii) criteri di accesso al sistema; iv) diritti e obblighi dei partecipanti; v) fattispecie, regole e procedure di sospensione ed esclusione dei partecipanti dal sistema; vi) politica tariffaria per i servizi offerti. |
| Art. 9
Rischio d'impresa
I gestori mantengono un profilo economico-finanziario tale da assicurare la continuita' nell'offerta del servizio, inclusa la copertura di eventuali perdite e l'ordinata chiusura del sistema, nonche' la sostenibilita' economica degli investimenti necessari per la manutenzione e lo sviluppo del sistema. Nello sviluppo del sistema i gestori tengono conto delle caratteristiche e della situazione del mercato, delle esigenze dei partecipanti e delle opportunita' offerte dall'innovazione tecnologica. |
| Art. 10
Rischio legale
I gestori assicurano che le regole, le procedure e i contratti relativi all'operativita' del sistema siano chiari, conformi alla legge applicabile e validi in tutte le giurisdizioni interessate. I gestori: i) definiscono le regole di funzionamento del sistema in maniera chiara e trasparente, con particolare riferimento alle condizioni di offerta del servizio (ivi incluso il piano tariffario e i livelli minimi di servizio); ii) descrivono nelle regole di funzionamento del sistema: diritti, obblighi e rischi propri, dei partecipanti e di eventuali altri soggetti che contribuiscono al funzionamento del sistema; iii) predispongono idonei meccanismi per la tracciabilita' di ciascun ordine nelle diverse fasi del ciclo di trattamento. Le regole di funzionamento del sistema definiscono e disciplinano le ipotesi di inadempimento di un partecipante, prevedono meccanismi idonei a ridurre eventuali conseguenze negative sul sistema e sugli altri partecipanti, definiscono le procedure da attivare automaticamente o discrezionalmente, le strutture responsabili, le modalita' di comunicazione ai partecipanti e le attivita' da porre in essere da parte di questi ultimi. In relazione alla complessita' dei servizi offerti, i gestori valutano l'istituzione di una funzione di compliance. |
| Art. 11
Rischi operativi
I gestori adottano un sistema di gestione del rischio operativo atto a prevenire: i) l'arresto dell'operativita'; ii) gli errori procedurali; iii) una riduzione della funzionalita' elaborativa; iv) la perdita di riservatezza e l'alterazione non autorizzata dei dati. A tal fine, i gestori sono tenuti a individuare una politica di gestione del rischio operativo che stabilisca obiettivi in termini di: a) disponibilita' (tempo in cui il servizio e' attivo, esclusi i fermi tecnici); b) affidabilita' (numero massimo di interruzioni in un determinato periodo); c) tempo di ripristino (tempo massimo entro cui il servizio deve essere ripristinato dopo l'anomalia); d) punto di ripristino (istante di consolidamento dei dati fino al quale e' garantita l'integrita' degli stessi). I gestori individuano inoltre le operazioni critiche e le attivita' sottostanti e adottano misure adeguate a proteggerle da attacchi cyber, a individuare tali attacchi, a rispondervi e a ripristinare l'operativita'. Tali misure sono testate regolarmente. I gestori stabiliscono altresi' meccanismi di governo tali da consentire l'identificazione e la valutazione dei rischi operativi, inclusi quelli cibernetici, l'implementazione di strategie di risposta a incidenti specifici e l'innalzamento del livello di consapevolezza dei partecipanti circa i rischi connessi con l'attivita'; i gestori devono valutare il sistema di gestione dei rischi con cadenza annuale attraverso esercizi di autovalutazione. Il sistema di gestione del rischio operativo prevede anche misure tecnico-organizzative per la riduzione della probabilita' del verificarsi di un malfunzionamento e per il contenimento degli effetti del suo impatto, inclusa l'adozione di un piano di continuita' operativa e di disaster recovery adeguati al profilo di rischio del sistema e alla tipologia e complessita' dei servizi offerti. La Banca d'Italia valuta l'adeguatezza delle misure di continuita' operativa adottate dai gestori di sistemi avendo come riferimento i criteri in allegato al presente provvedimento. |
| Art. 12
Rischi di credito e di liquidita'
In relazione alle caratteristiche dei sistemi e dei servizi offerti, i gestori si dotano di presidi e misure adeguati e proporzionati per mitigare i rischi di credito e di liquidita'. |
| Art. 13
Obblighi informativi
Secondo le indicazioni di volta in volta fornite dalla Banca d'Italia in relazione ai servizi offerti, i gestori di sistemi di pagamento al dettaglio e all'ingrosso trasmettono alla Banca d'Italia le seguenti informazioni, in occasione dell'inizio dell'operativita' e successivamente nei termini prescritti dall'art. 14: a) statuto, atto costitutivo e regolamenti interni attinenti alle materie di cui al titolo II Capo I del presente provvedimento; b) organigramma, funzionigramma ed eventuali comitati di gestione che trattano questioni relative alle attivita' di scambio, compensazione e/o regolamento; c) documentazione relativa al bilancio di esercizio; d) piano strategico e operativo, per gli aspetti concernenti i servizi di scambio, compensazione e/o regolamento svolti; e) delibera istitutiva dei comitati di cui all'art. 4, comma 2, se previsti; f) resoconto delle verifiche di cui all'art. 5, comma 1, punto iii); g) piano annuale dei controlli previsto dall'art. 5, comma 1, punto iv); h) reportistica sugli incidenti di cui all'art. 5, comma 2 e dati statistici sull'operativita' secondo le specifiche di cui alla citata guida operativa; i) strategia di resilienza cibernetica con connesse procedure di implementazione di cui all'art. 5 comma 1; j) contratto di esternalizzazione di cui all'art. 6; k) regole di funzionamento del sistema; l) requisiti tecnici-operativi per l'immissione delle informazioni di pagamento nel sistema; m) criteri di accesso ed esclusione; n) contrattualistica relativa ai partecipanti; o) piano tariffario; p) livelli minimi di servizio (Service Level Agreement); q) elenco dei partecipanti e dei soggetti raggiungibili; r) documentazione relativa alla gestione dei rischi operativi di cui all'art. 11; s) studi di fattibilita' dei nuovi progetti per lo sviluppo dell'attivita', ivi compresi i collegamenti; t) contrattualistica relativa a eventuali sistemi collegati. |
| Art. 14
Modalita' di comunicazione
La documentazione deve essere trasmessa all'indirizzo di posta elettronica certificata smp@pec.bancaditalia.it. Dopo il primo invio, i gestori aggiornano i documenti ogni qual volta intervengano modifiche rilevanti e, comunque, con cadenza annuale secondo le modalita' di cui alla guida per gli operatori, disponibile sul sito della Banca d'Italia. L'obbligo si intende assolto qualora i documenti e le informazioni siano gia' trasmessi alla Banca d'Italia nell'adempimento di obblighi informativi previsti dal testo unico delle leggi in materia bancaria e creditizia e dal testo unico della finanza (decreto legislativo del 24 febbraio 1998, n. 58). |
| Art. 15
Collegamenti
I gestori di sistemi di pagamento al dettaglio possono stabilire collegamenti con altri sistemi per ampliare la gamma e la capillarita' dei servizi offerti. In tal caso, i gestori concordano con i sistemi collegati meccanismi formalizzati per lo scambio di informazioni rilevanti e per l'assunzione di decisioni su aspetti d'interesse comune. I gestori analizzano i diversi profili di rischio che derivano dal collegamento e valutano l'adozione di misure volte a mitigare tali rischi. |
| Art. 16
Requisiti ulteriori
In aggiunta ai requisiti di cui ai precedenti Capi I e II, i gestori di sistemi di pagamento all'ingrosso: a) accettano in garanzia esclusivamente attivita' con basso rischio di credito, di liquidita' e di mercato, stabilendo scarti di garanzia e misure idonee a evitare il rischio di concentrazione; b) stabiliscono regole e procedure per consentire il regolamento non oltre la fine della giornata operativa e, ove praticabile, in moneta di banca centrale, utilizzando in caso contrario attivita' con rischio di liquidita' basso o nullo; c) in caso di pagamento contro pagamento, eliminano il rischio di capitale assicurando che il regolamento di un'obbligazione abbia corso se e solo se ha corso il regolamento dell'altra obbligazione; d) in caso di partecipazione a piu' livelli, adottano regole, procedure e accordi contrattuali che consentano di identificare, monitorare e gestire i rischi rilevanti che ne derivino; e) utilizzano o consentono l'uso di norme e procedure di comunicazione accettate a livello internazionale al fine di agevolare pagamenti, compensazioni, regolamenti e registrazioni efficienti. |
| Art. 17
Regime giuridico
Ai fini del presente provvedimento, ai sistemi di pagamento al dettaglio gestiti direttamente dalla Banca d'Italia, in regime di servizio pubblico e senza fine di lucro, non si applicano, l'art. 5 (efficacia dei controlli) comma 1 e l'art. 7 (accesso), nonche' l'art. 13 (obblighi informativi), l'art. 14 (modalita' di comunicazione) e l'art. 23 (provvedimenti in caso di violazione). Gli articoli 3 (obbligo di notifica di inizio e fine operativita'), 4 (assetto organizzativo), 9 (rischio d'impresa) e 12 (rischi di credito e di liquidita') si applicano in quanto compatibili. Gli obblighi informativi facenti capo alla Banca d'Italia come gestore sono assolti attraverso l'attivazione di canali informativi interni. I documenti e le informazioni da fornire sono i seguenti: a) reportistica sugli incidenti di cui all'art. 5 comma 2 e dati statistici sull'operativita' secondo le specifiche di cui alla citata guida operativa; b) strategia di resilienza cibernetica con connesse procedure di implementazione di cui all'art. 5 comma 1; c) contratti di esternalizzazione di cui all'art. 6; d) regole di funzionamento del sistema; e) requisiti tecnici-operativi per l'immissione delle informazioni di pagamento nel sistema; f) contrattualistica relativa ai partecipanti; g) piano tariffario; h) livelli minimi di servizio (Service Level Agreement); i) elenco dei partecipanti e dei soggetti raggiungibili; j) documentazione relativa alla gestione dei rischi operativi di cui all'art. 11; k) eventuali progetti di manutenzione, sviluppo e ampliamento dell'offerta dei servizi; l) contrattualistica relativa a eventuali sistemi collegati. |
| Art. 18
Recupero dei costi
Ai sistemi di pagamento al dettaglio gestiti dalla Banca d'Italia si applica il principio del recupero dei costi. |
| Art. 19
Obbligo di notifica di inizio e fine operativita'
I fornitori di infrastrutture o servizi tecnici stabiliti sul territorio italiano notificano alla Banca d'Italia l'inizio e la fine della propria operativita' a supporto del sistema dei pagamenti, nonche' modifiche significative alla stessa, qualora offrano - in via continuativa e su base contrattuale - servizi standardizzati o infrastrutture tecnologiche o di rete a uno o piu' prestatori di servizi di pagamento e/o gestori di sistemi di pagamento. Rientrano tra i servizi di cui sopra, a titolo di esempio: a. servizi di messaggistica e di rete; b. servizi e/o applicazioni di business strumentali a trattamento e scambio di flussi finanziari e informativi, compensazione e/o regolamento di operazioni di pagamento tra prestatori di servizi di pagamento e/o tra prestatori di servizi di pagamento e clienti; c. servizi di conservazione e trattamento di dati sensibili relativi ai pagamenti, incluse le credenziali di sicurezza degli utenti e i dati per l'indirizzamento dei pagamenti; d. servizi per il trattamento delle operazioni di pagamento di cui all'art. 2, comma 1, numero 28 del regolamento (UE) n. 2015/751 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta; e. servizi tecnologici di interfaccia multi-operatore per l'accesso di terze parti ai conti ai sensi del Regolamento delegato (UE) n. 2018/389 della Commissione del 27 novembre 2017 che integra la Direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri. Sono esclusi dall'obbligo di cui al comma 1 i fornitori di infrastrutture o servizi non specificamente funzionali all'erogazione di servizi o funzionalita' di pagamento, tra i quali: fornitori di energia, luce, gas, acqua; fornitori di infrastrutture o servizi offerti infragruppo. La notifica di inizio operativita' e' effettuata secondo le modalita' e contiene le informazioni di cui alla citata guida operativa. La Banca d'Italia si riserva la facolta' di richiedere dati, notizie, atti e documenti aggiuntivi qualora necessari ai fini di cui all'art. 20. E' fatta salva altresi' la facolta' della Banca d'Italia di richiedere informazioni relative a infrastrutture o servizi ulteriori rispetto alle categorie di cui al comma 1, ai sensi dell'art. 146 del testo unico delle leggi in materia bancaria e creditizia. |
| Art. 20
Individuazione dei fornitori critici di infrastrutture o servizi
Sulla base delle notifiche ricevute ai sensi dell'art. 19 e piu' in generale delle informazioni altrimenti acquisite, la Banca d'Italia individua nominativamente i fornitori di cui all'art. 19 considerati critici per l'ordinato funzionamento del sistema dei pagamenti italiano, dandone comunicazione secondo le modalita' di cui alla citata guida operativa. A tal fine, la Banca considera prioritariamente i seguenti criteri: i) erogazione di infrastruttura o servizi tecnici essenziali per la confidenzialita', l'integrita' e la disponibilita' dei dati processati per una quota significativa del mercato italiano; ii) importanza dei sistemi di pagamento serviti per il mercato italiano; e/o iii) assenza di fornitori alternativi per l'utenza servita. |
| Art. 21
Requisiti applicabili
Ai fornitori critici di infrastrutture o servizi si applicano, in quanto compatibili, l'art. 4 (assetto organizzativo), l'art. 5 (efficacia dei controlli), l'art. 6 (esternalizzazione), l'art. 9 (rischio d'impresa), l'art. 10 (rischio legale), l'art. 11 (rischi operativi). |
| Art. 22
Obblighi informativi
Secondo le indicazioni di volta in volta fornite dalla Banca d'Italia in relazione alle infrastrutture o ai servizi offerti, i fornitori critici di infrastrutture o servizi trasmettono informazioni relative a: a) statuto, atto costitutivo e regolamenti interni attinenti alle materie di cui al titolo III del presente provvedimento; b) organigramma e funzionigramma; c) la documentazione relativa al bilancio di esercizio; d) piano strategico e operativo, per gli aspetti concernenti le infrastrutture o i servizi offerti; e) piano annuale dei controlli previsto dall'art. 5 comma 1, punto iv); f) reportistica sugli incidenti di cui all'art. 5 comma 2 e dati statistici sull'operativita' secondo le specifiche di cui alla citata guida operativa; g) strategia di resilienza cibernetica con connesse procedure di implementazione di cui all'art. 5 comma 1; h) regole di funzionamento delle infrastrutture o dei servizi offerti; i) documentazione relativa alla gestione dei rischi operativi di cui all'art. 11; j) eventuali report di auditor esterni relativi a certificazione ottenute. |
| Art. 23
Provvedimenti in caso di violazione
Fermo restando il disposto dell'art. 144 del testo unico delle leggi in materia bancaria e creditizia, per la violazione delle norme contenute nel titolo II e III del presente provvedimento la Banca d'Italia puo' adottare nei confronti dei gestori di sistemi di pagamento e dei fornitori di infrastrutture o servizi tecnici, ove la situazione lo richieda, provvedimenti specifici volti a far cessare le infrazioni accertate o a rimuoverne le cause, ivi inclusi il divieto di effettuare determinate operazioni e la restrizione delle attivita' dei soggetti sottoposti a sorveglianza nonche', nei casi piu' gravi, la sospensione dell'attivita', come previsto dall'art. 146, comma 2, lettera d) del medesimo testo unico. |
| Art. 24
Notifiche di operativita'
Entro tre mesi dall'entrata in vigore del presente provvedimento, i fornitori di infrastrutture o servizi tecnici stabiliti sul territorio italiano e operativi alla data di entrata in vigore del presente provvedimento notificano la propria operativita' alla Banca d'Italia. La notifica contiene le informazioni previste dalla citata guida operativa per la notifica di inizio operativita' di cui all'art. 19 del presente provvedimento. |
| Art. 25
Abrogazione
Dalla data di entrata in vigore del presente provvedimento sono abrogati il provvedimento del Governatore della Banca d'Italia del 24 febbraio 2004 e il provvedimento del Direttorio della Banca d'Italia del 18 settembre 2012, emanati ai sensi dell'art. 146 del testo unico delle leggi in materia bancaria e creditizia. |
| Art. 26
Entrata in vigore
Il presente provvedimento sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana ed entra in vigore il quindicesimo giorno successivo a quello di pubblicazione.
Roma, 19 novembre 2021
Il Governatore: Visco |
|
|
|