Parte di provvedimento in formato grafico
SEZIONE I
Disposizioni di carattere generale
1. Premessa
Il presente Provvedimento, emanato ai sensi dell'art. 31 del
decreto legislativo n. 11/2010 (di seguito "Decreto") - di
recepimento della direttiva 2007/64/CE relativa ai servizi di
pagamento nel mercato interno (Payment Services Directive - PSD) -
reca misure attuative delle norme del Titolo II del Decreto medesimo,
relativo ai diritti e gli obblighi delle parti di un'operazione di
pagamento, entrate in vigore il 1° marzo 2010. Le disposizioni
contenute nel presente Provvedimento forniscono quindi indicazioni a
contenuto vincolante a cui prestatori e utilizzatori di servizi di
pagamento devono attenersi nell'applicazione delle norme contenute
nel richiamato Titolo II.
Il documento e' articolato in sette Sezioni riguardanti l'ambito di
applicazione della disciplina, le spese, l'autorizzazione e
l'esecuzione delle operazioni nonche' la responsabilita' delle parti
di un'operazione di pagamento, oltre a disposizioni transitorie
finali.
Le disposizioni si rivolgono sia ai prestatori di servizi di
pagamento, cosi' come definiti dall'articolo 1, lett. g), del
Decreto, sia agli utilizzatori di servizi di pagamento: il
conseguimento delle finalita' di regolare funzionamento del sistema
dei pagamenti, di sicurezza ed efficienza dei servizi, di tutela
degli utilizzatori alle quali e' indirizzata la normativa dipende
infatti dal comportamento diligente di entrambe le parti di un
contratto per la prestazione dei servizi in questione.
La rilevanza per la Funzione di Sorveglianza sul sistema dei
pagamenti delle disposizioni del Titolo II del Decreto - confermata
dal richiamo operato dall'art. 31 dello stesso Decreto all'art. 146
del Testo Unico Bancario - si basa sull'importanza dell'affidabilita'
e dell'efficienza dei servizi offerti agli utilizzatori finali per il
regolare funzionamento del sistema dei pagamenti nel suo complesso.
Tali obiettivi non dipendono, tuttavia, solo dai corretti
comportamenti dei prestatori e degli utilizzatori - cosi' come
disciplinati dalle norme dettate dal Decreto in materia di diritti e
obblighi delle parti - ma anche dal corretto funzionamento delle
piattaforme tecniche, delle procedure e delle regole interne al
sistema dei pagamenti su cui la Sorveglianza esplica la sua azione di
controllo.
Per quanto precede, ai sensi di quanto previsto dall'art. 146 del
Testo Unico Bancario, le norme del Titolo II del Decreto e le
relative disposizioni di attuazione costituiscono un vincolo anche
per i gestori di circuiti di pagamento nonche' per i fornitori di
servizi di supporto alla prestazione di servizi di pagamento che,
nell'esercizio di tali attivita', debbono mettere i prestatori di
servizi di pagamento in condizione di osservare le vigenti
disposizioni dettate in materia.
2. Definizioni
Ai fini del presente Provvedimento si definiscono1 :
--------------
1 In questa sede vengono mutuate le definizioni di cui
all'art. 1 del Decreto corredate, ove del caso, di riferimenti
esplicativi.
a) "addebito diretto": un servizio di pagamento per l'addebito
del conto di pagamento di un pagatore in base al quale un'operazione
di pagamento e' disposta dal beneficiario in conformita' al consenso
dato dal pagatore al beneficiario, al prestatore di servizi di
pagamento del beneficiario o al prestatore di servizi di pagamento
del pagatore medesimo;
b) "area unica dei pagamenti in euro (SEPA)": l'insieme dei Paesi
aderenti al processo di integrazione dei servizi di pagamento in euro
secondo regole e standard definiti in appositi documenti;
c) "ATM" (Automated teller machine): apparecchiatura automatica
per l'effettuazione da parte della clientela di operazioni quali
prelievo di contante, versamento di contante o assegni, richiesta di
informazioni sul conto, bonifici, pagamento di utenze, ricariche
telefoniche, ecc.;
d) "autenticazione": una procedura che consente al prestatore di
servizi di pagamento di verificare il legittimo utilizzo di uno
specifico strumento di pagamento, inclusi i relativi dispositivi
personalizzati di sicurezza;
e) "beneficiario": il soggetto previsto quale destinatario finale
dei fondi oggetto dell'operazione di pagamento;
f) "circuito di pagamento": insieme di regole, procedure e
infrastrutture che consentono l'accettazione e l'utilizzo di uno
strumento di pagamento;
g) "consumatore": nei contratti di servizi di pagamento
contemplati dal Decreto, la persona fisica di cui all'articolo 3,
comma 1, lettera a), del Decreto legislativo 6 settembre 2005, n.
206, e successive modificazioni;
h) "conto di pagamento": un conto intrattenuto presso un
prestatore di servizi di pagamento da uno o piu' utilizzatori di
servizi di pagamento per l'esecuzione di operazioni di pagamento.
Rientra nella nozione di conto di pagamento il conto corrente
bancario o postale nei limiti in cui venga utilizzato per operazioni
di pagamento, nonche' il conto sul quale vengono addebitate e
accreditate le operazioni di pagamento eseguite a valere su una carta
di debito o di credito;
i) "contratto quadro": il contratto che disciplina la futura
esecuzione di operazioni di pagamento singole e ricorrenti e che puo'
dettare gli obblighi e le condizioni che le parti devono rispettare
per l'apertura e la gestione di un conto di pagamento;
j) "data valuta": la data di riferimento usata da un prestatore
di servizi di pagamento per il calcolo degli interessi applicati ai
fondi addebitati o accreditati su un conto di pagamento;
k) "Decreto": il Decreto legislativo 27 gennaio 2010, n. 11;
l) "Eurosistema": il sistema di banche centrali dell'area
dell'euro responsabile dell'attuazione della politica monetaria
unica. Esso comprende la Banca Centrale Europea (BCE) e le banche
centrali nazionali (BCN) dei Paesi dell'Unione europea che hanno
adottato l'euro quale valuta nazionale;
m) "fondi": banconote e monete, moneta scritturale e moneta
elettronica
cosi' come definita dall'articolo 1, comma 2, lettera h-ter), del
Decreto legislativo 1° settembre 1993, n. 385;
n) "gestore di un circuito di pagamento": il soggetto che
definisce le regole di funzionamento e di partecipazione a un
circuito di pagamento e che e' responsabile del suo funzionamento;
o) "giornata operativa": il giorno in cui il prestatore di
servizi di pagamento del pagatore o del beneficiario coinvolto
nell'esecuzione di un'operazione di pagamento e' operativo, in base a
quanto e' necessario per l'esecuzione dell'operazione stessa;
p) "identificativo unico": la combinazione di lettere, numeri o
simboli che il prestatore di servizi di pagamento indica
all'utilizzatore di servizi di pagamento e che l'utilizzatore deve
fornire al proprio prestatore di servizi di pagamento per
identificare con chiarezza l'altro utilizzatore del servizio di
pagamento e/o il suo conto di pagamento per l'esecuzione di
un'operazione di pagamento. Ove non vi sia un conto di pagamento, 1'
identificativo unico identifica solo l'utilizzatore del servizio di
pagamento;
q) "micro-impresa": l'impresa che, al momento della conclusione
del contratto per la prestazione di servizi di pagamento, e'
un'impresa che possiede i requisiti previsti dalla raccomandazione
della Commissione europea 2003/361/CE del 6 maggio 20032 , vigente
alla data di entrata in vigore del presente Decreto, ovvero i
requisiti individuati con Decreto del Ministro dell'economia e delle
finanze attuativo delle misure adottate dalla Commissione europea ai
sensi dell'articolo 84, lettera b), della direttiva 2007/64/CE;
--------------
2 Pubblicata sulla Gazzetta ufficiale dell'Unione europea L
124/39 del 20.05.2003.
r) "moneta elettronica": valore monetario cosi' come definito
dall'art. 1, comma 2, lett. h-ter, del TUB;
s) "operazione di pagamento": l'attivita', posta in essere dal
pagatore o dal beneficiario, di versare, trasferire o prelevare
fondi, indipendentemente da eventuali obblighi sottostanti tra
pagatore e beneficiario;
t) "ordine di pagamento": qualsiasi istruzione data da un
pagatore o da un beneficiario al proprio prestatore di servizi di
pagamento con la quale viene chiesta l'esecuzione di un'operazione di
pagamento;
u) "overlay services": servizi che consentono l'esecuzione di
pagamenti in ambiente internet attraverso l'interposizione - tra
prestatore di servizi di pagamento e utilizzatore - di un soggetto
attraverso l'utilizzo dei codici di autenticazione dell'utilizzatore;
v) "pagatore": il soggetto titolare di un conto di pagamento a
valere sul quale viene impartito un ordine di pagamento ovvero, in
mancanza di un conto di pagamento, il soggetto che impartisce un
ordine di pagamento;
w) "prestatore di servizi di pagamento": uno dei seguenti
organismi che presta servizi di pagamento sul territorio della
Repubblica in quanto ivi insediato o in regime di libera prestazione
di servizi: istituti di moneta elettronica e istituti di pagamento
nonche', quando prestano servizi di pagamento, banche, uffici
postali, la Banca Centrale Europea e le banche centrali nazionali se
non agiscono in veste di autorita' monetarie, altre autorita'
pubbliche, le pubbliche amministrazioni statali, regionali e locali
se non agiscono in veste di autorita' pubbliche;
x) "rimessa di denaro": servizio di pagamento dove, senza
l'apertura di conti di pagamento a nome del pagatore o del
beneficiario, il prestatore di servizi di pagamento riceve i fondi
dal pagatore con l'unico scopo di trasferire un ammontare
corrispondente al beneficiario o a un altro prestatore di servizi di
pagamento che agisce per conto del beneficiario. Tali fondi possono
essere ricevuti per conto del beneficiario e messi a sua
disposizione;
y) "servizi di infrastruttura": servizi tecnici, inclusi quelli
di rete, di supporto alla prestazione di servizi di pagamento;
z) "servizi di pagamento": le seguenti attivita':
1) servizi che permettono di depositare il contante su un conto
di pagamento nonche' tutte le operazioni richieste per la gestione di
un conto di pagamento;
2) servizi che permettono prelievi in contante da un conto di
pagamento nonche' tutte le operazioni richieste per la gestione di un
conto di pagamento;
3) esecuzione di ordini di pagamento, incluso il trasferimento
di fondi, su un conto di pagamento presso il prestatore di servizi di
pagamento dell'utilizzatore o presso un altro prestatore di servizi
di pagamento:
- esecuzione di addebiti diretti, inclusi addebiti diretti
una tantum;
- esecuzione di operazioni di pagamento mediante carte di
pagamento o dispositivi analoghi;
- esecuzione di bonifici, inclusi ordini permanenti;
4) esecuzione di operazioni di pagamento quando i fondi
rientrano in una linea di credito accordata ad un utilizzatore di
servizi di pagamento:
- esecuzione di addebiti diretti, inclusi addebiti diretti
una tantum;
- esecuzione di operazioni di pagamento mediante carte di
pagamento o dispositivi analoghi;
- esecuzione di bonifici, inclusi ordini permanenti;
5) emissione e/o acquisizione di strumenti di pagamento;
6) rimessa di denaro;
7) esecuzione di operazioni di pagamento ove il consenso del
pagatore ad eseguire l'operazione di pagamento sia dato mediante un
dispositivo di telecomunicazione, digitale o informatico e il
pagamento sia effettuato all'operatore del sistema o della rete di
telecomunicazioni o digitale o informatica che agisce esclusivamente
come intermediario tra l'utilizzatore di servizi di pagamento e il
fornitore di beni e servizi;
aa)"sistema di pagamento" o "sistema di scambio, di compensazione
e di regolamento": un sistema di trasferimento di fondi con
meccanismi di funzionamento formali e standardizzati e regole comuni
per il trattamento, la compensazione e/o il regolamento di operazioni
di pagamento;
bb) "strumento di pagamento": qualsiasi dispositivo
personalizzato e/o insieme di procedure concordate tra l'utilizzatore
e il prestatore di servizi di pagamento e di cui l'utilizzatore di
servizi di pagamento si avvale per impartire un ordine di pagamento;
cc) "TUB": il decreto legislativo 1° settembre 1993, n. 385 e
successive modificazioni;
dd) "utilizzatore di servizi di pagamento" o "utilizzatore": il
soggetto che utilizza un servizio di pagamento in veste di pagatore o
beneficiario o di entrambi.
3. Comunicazioni e informazioni agli utilizzatori di servizi di
pagamento
Sia nella fase genetica sia in quella dell'esecuzione di
un'operazione di pagamento puo' emergere l'esigenza per il prestatore
di servizi di pagamento di comunicare in modo tempestivo ed efficace
con la propria clientela, al fine di assicurare il regolare
svolgimento dell'attivita' di pagamento. I casi in cui cio'
costituisce un obbligo sono individuati dal Decreto e dalle presenti
disposizioni.
L'individuazione del mezzo di comunicazione o della modalita' di
informazione piu' adatti allo scopo specifico della comunicazione o
informazione e alle esigenze di tutela degli interessi
dell'utilizzatore di servizi di pagamento nel caso concreto e'
rimessa alla valutazione del singolo prestatore di servizi di
pagamento nel rispetto della vigente normativa di trasparenza.
SEZIONE II
Ambito di applicazione
Le disposizioni del Titolo II del Decreto si applicano a tutti i
prestatori di servizi di pagamento per l'attivita' svolta nel
territorio della Repubblica in quanto ivi insediati o in regime di
libera prestazione di servizi, a condizione che sia il prestatore di
servizi di pagamento del pagatore sia quello del beneficiario siano
insediati nello Spazio Economico Europeo e che la valuta in cui e'
denominato il pagamento sia quella ufficiale di uno Stato Membro o di
uno Stato appartenente allo Spazio Economico Europeo. L'articolo 23
del Decreto, relativo all'applicazione della data valuta e alla
disponibilita' delle somme trasferite, si applica anche al caso in
cui solo il prestatore di servizi di pagamento del pagatore o solo
quello del beneficiario sia insediato nello Spazio Economico Europeo.
I servizi di pagamento ai quali si riferiscono le presenti
disposizioni sono quelli elencati dall'art. 1, lettera b), del
Decreto, nonche' l'emissione e l'utilizzo di moneta elettronica e i
servizi di pagamento ad iniziativa del beneficiario eseguiti da un
pagatore anche in assenza di un conto (servizi di incasso).
Rientrano altresi' nell'ambito di applicazione del Decreto le
operazioni in euro o nella valuta ufficiale di uno Stato Membro o di
uno Stato appartenente allo Spazio Economico Europeo a valere su un
conto del pagatore denominato in una diversa divisa. Resta ferma, in
tal caso, l'applicazione dell'art. 15, comma 2, del Decreto per la
determinazione del momento di ricezione dell'ordine di pagamento e di
messa a disposizione dei fondi oggetto del trasferimento da parte del
pagatore al rispettivo prestatore di servizi di pagamento; tale
momento coincide con quello di completamento dell'operazione di
conversione valutaria.
Non rientrano nell'ambito di applicazione le attivita' elencate
nell'art. 2, comma 2, del Decreto.
Nei paragrafi che seguono vengono fornite indicazioni sul contenuto
di alcuni servizi di pagamento tenendo anche conto di indicazioni
fornite dal "Comitato dei pagamenti" costituito presso la Commissione
europea ai sensi dell'art. 85 della PSD.
1. Fonti normative:
Artt. 1, 2 e 4 del Decreto; articolo 114-octies, comma 1, lettere
a) e b) del TUB.
2. Ambito di applicazione oggettivo
2.1 Servizi di pagamento:
- Servizi di pagamento - Ai fini della presente disciplina si
definiscono servizi di pagamento i servizi individuati dal combinato
disposto:
- dell'art. 1 del Decreto, che alla lettera b) fornisce un elenco
dettagliato delle attivita';
- dell'art. 2 del Decreto, che al primo comma individua la valuta
nella quale devono essere espressi i pagamenti e al 2° comma indica
le attivita' che non costituiscono servizi di pagamento ai sensi del
Decreto medesimo.
Con riferimento ai servizi disciplinati dal Decreto si forniscono i
seguenti chiarimenti:
- Deposito di contante su un conto di pagamento:
consiste nel versamento di contante su un conto e comprende il
servizio di "cassa continua", ossia di deposito di contante su un
conto di pagamento eseguito presso uno sportello automatico. Ai fini
del rispetto dei tempi di disponibilita' delle somme versate di cui
all'articolo 22 del Decreto, per tale ultimo servizio il versamento
si intende effettuato dal cliente nel momento in cui il contante
versato viene ritirato presso lo sportello automatico e le attivita'
di controllo e contazione sono espletate dal prestatore di servizi di
pagamento. Il prestatore di servizi di pagamento e' tenuto ad
informare l'utilizzatore sui tempi di esecuzione del servizio di
cassa continua. Le attivita' di verifica e contazione devono essere
completate entro la giornata operativa successiva al ritiro del
contante.
- Carte di pagamento:
nell'ambito della definizione di servizi di pagamento prevista dal
Decreto, il riferimento alle carte di pagamento deve intendersi
operato alle carte di credito -che consentono l'effettuazione di
transazioni e/o prelievi con regolamento successivo - e alle carte di
debito, che consentono transazioni e/o prelievi con contestuale
impegno dei fondi disponibili sul conto di pagamento.
Non e' inclusa nella definizione di servizi di pagamento contenuta
nel Decreto la moneta elettronica. Caratteristiche specifiche degli
strumenti di moneta elettronica sono le seguenti:
1. consentono utilizzi esclusivamente nei limiti delle somme
trasformate in moneta elettronica;
2. possono essere emessi in forma anonima con i limiti e le
caratteristiche previsti dalla legislazione vigente.
L'emissione di moneta elettronica e i servizi ad essa connessi sono
comunque assoggettati alle disposizioni di cui agli articoli 3 e ss.
del Titolo II del Decreto e di quelle del presente provvedimento.
- Acquisizione di strumenti di pagamento
Viene annoverata tra i servizi di pagamento l'attivita' di
"acquisizione" di strumenti di pagamento (art. 1, comma 1, lett. b)
n. 5) che consiste nella stipula di apposito contratto per il
convenzionamento di soggetti (ad esempio, esercizi commerciali) con
lo scopo di abilitarli all'accettazione di uno strumento di pagamento
secondo le regole del circuito di riferimento accompagnata dalla
gestione dei relativi flussi finanziari (c.d. acquiring). La mera
gestione di terminali non costituisce servizio di acquiring;
tuttavia, data la loro importanza per l'accettazione di uno strumento
di pagamento, ai sensi dell'articolo 146, comma 2 del TUB, i soggetti
che forniscono e gestiscono i terminali assicurano che i propri
servizi consentano ai prestatori di servizi di pagamento la piena
conformita' alle disposizioni del Decreto e del presente
Provvedimento.
- Rimesse di denaro
Il servizio di rimessa di denaro si configura come un incasso e
trasferimento di fondi senza utilizzo di conti di pagamento. Rientra
nella fattispecie l'ipotesi del coinvolgimento di un unico prestatore
di servizi di pagamento che, eventualmente attraverso la propria rete
di agenti, incassa il denaro dal pagatore e lo detiene per conto del
beneficiario. I servizi di rimessa vengono usualmente iniziati e
conclusi con denaro contante (c.d. "cash in/cash out"). Resta ferma
la possibilita' per l'ordinante di fornire la provvista per la
successiva esecuzione del servizio di rimessa attingendo i fondi da
un conto di pagamento. Parimenti, in alternativa al ritiro dei fondi
in contante, il beneficiario puo' chiederne l'accredito su un conto
di pagamento successivamente alla conclusione dell'operazione di
rimessa.
- Pagamenti eseguiti tramite operatore di telecomunicazione,
digitale o informatico
Costituiscono servizi di pagamento ai sensi dell'art. 1, comma 1,
lett. b), n. 7) i pagamenti effettuati mediante dispositivi di
telecomunicazione, digitali o informatici, nel caso in cui ricorrano
tutte le seguenti condizioni:
a) il consenso all'esecuzione dell'operazione di pagamento sia dato
mediante un dispositivo di telecomunicazione, digitale o informatico;
b) il pagamento sia effettuato all'operatore del sistema o della
rete di telecomunicazione o digitale o informatica al quale e'
riconducibile la gestione del dispositivo di cui alla lett. a);
c) l'operatore agisca esclusivamente come intermediario tra
l'utilizzatore di servizi di pagamento e il fornitore di beni e
servizi.
A titolo esemplificativo, rientrano nell'ambito di cui al citato n.
7) i servizi di pagamento via telefono cellulare (mobile payment)
gestiti da operatore di telecomunicazione per l'acquisto di beni o
servizi, anche di natura fisica, presso punti di accettazione
convenzionati.
La compresenza delle condizioni descritte caratterizza i servizi di
pagamento sub n. 7 rispetto agli altri servizi di pagamento di cui
all'art. 1, comma 1, lett. b), nn. 3 e 4, per l'esecuzione dei quali
il ricorso a dispositivi di telecomunicazione, digitali o informatici
rappresenta solo una delle possibili modalita' di colloquio tra
l'utilizzatore e il prestatore di servizi di pagamento (ad es.
esecuzione di ordini di pagamento attraverso internet banking)3 .
--------------
3 Sui servizi di pagamento gestiti dagli operatori di
telecomunicazione, digitali o informatici v. anche infra par. 2.2.10.
2.1.1 Operazioni di pagamento
I servizi di pagamento sono strumentali all'esecuzione di
operazioni di pagamento. Queste ultime rappresentano trasferimenti di
fondi disposti su iniziativa del pagatore o del beneficiario. Ne
consegue che, ove non esplicitamente compreso nell'ambito di
applicazione negativo del decreto ai sensi dell'articolo 2, comma 2,
qualsiasi trasferimento di fondi e' riconducibile alla definizione di
operazione di pagamento.
2.1.2 Operazioni di pagamento complesse
Vi sono operazioni di pagamento che risultano dal collegamento tra
piu' servizi di pagamento o tra servizi di pagamento e altre
operazioni ad essi contigue. In tali ipotesi si e' in presenza di
operazioni di pagamento complesse. Ai fini dell'applicazione delle
disposizioni del Decreto e del presente provvedimento, ciascun
segmento che compone l'operazione di pagamento complessa deve essere
considerato separatamente.
A titolo esemplificativo:
1. nel caso in cui si paghi il saldo mensile di una carta di
credito con addebito diretto su un conto di pagamento, si ha una
combinazione tra due servizi di pagamento: l'emissione (e la gestione
degli utilizzi) di una carta di credito e un trasferimento di fondi
tramite addebito diretto su conto di pagamento. In questo caso vi
sono due rapporti contrattuali tra l'utilizzatore e: i) l'emittente
la carta di credito; ii) il prestatore di servizi di pagamento che
gestisce il conto su cui viene eseguito l'addebito diretto
(l'emittente e quest'ultimo prestatore possono coincidere). Il
disconoscimento di operazioni effettuate con la carta di credito
andra' quindi sottoposto all'emittente della carta medesima e non al
prestatore di servizi di pagamento che gestisce il conto di addebito;
l'opposizione all'operazione di addebito sul conto, nel rispetto dei
requisiti fissati dal Decreto agli artt. 13 e 14 e dalla Sezione IV
del presente Provvedimento, andra' eccepita al prestatore di servizi
di pagamento che gestisce il conto medesimo;
2. altra ipotesi di operazione complessa e' quella che si realizza
nel caso di pagamento di bollette o di altre fatture commerciali
effettuato presso un soggetto incaricato della riscossione dal
creditore/beneficiario. La prima fase di questa operazione e'
rappresentata dalla consegna dei fondi da parte del pagatore al
soggetto incaricato: ove con detta consegna il pagatore venga
liberato dall'obbligazione sottostante nei confronti del creditore,
si e' in presenza di un "pagamento" con effetto solutorio (e non
quindi di un "ordine di pagamento") a cui non si applicano i presidi
di cui al Titolo II del Decreto. La seconda fase dell'operazione e'
rappresentata dal trasferimento della somma dal soggetto incaricato
al creditore/beneficiario: detto trasferimento puo' costituire un
servizio di pagamento ai sensi del Decreto e richiedere, quindi,
l'intervento di un prestatore abilitato. Nel caso descritto si ha
quindi una combinazione tra servizi di pagamento (il trasferimento di
fondi disposto dall'incaricato alla riscossione al creditore) e
operazioni contigue (pagamento liberatorio da parte del debitore al
soggetto incaricato della riscossione).
2.2 Attivita' che non costituiscono servizi di pagamento ai sensi
del Decreto.
L'art. 2, comma 2, fornisce un dettagliato elenco di attivita'
escluse dall'ambito di applicazione del Decreto. L'individuazione in
concreto di tali attivita' deve essere effettuata, ove del caso,
tenendo conto delle disposizioni che seguono.
2.2.1 Servizi che non sono prestati agli utilizzatori.
In via generale, le norme del Decreto non si applicano ai servizi
di pagamento che non prevedono un rapporto diretto tra prestatore di
servizi di pagamento e utilizzatore finale. Sono pertanto esclusi:
- i pagamenti tra prestatori di servizi di pagamento o tra questi e
i loro agenti;
- i pagamenti effettuati all'interno di un sistema di pagamento o
di regolamento titoli tra partecipanti al sistema di pagamento o di
regolamento titoli e controparti centrali, agenti di regolamento,
stanze di compensazione o banche centrali;
- i servizi offerti da prestatori di servizi di pagamento ad altri
prestatori senza intrattenere un rapporto contrattuale con la
clientela di questi ultimi (ad esempio, mera gestione di sportelli
ATM senza rapporto con gli utilizzatori che prelevano o versano
contante);
- i servizi di infrastruttura, che sono esclusi dall'ambito di
applicazione del Decreto a condizione che i relativi fornitori non
entrino mai in possesso dei fondi che vengono trasferiti, ma si
limitino a prestare servizi di supporto all'esecuzione
dell'operazione di pagamento. Resta fermo l'obbligo per il prestatore
di servizi di pagamento di accertarsi, nella scelta del fornitore,
che i servizi di infrastruttura consentano il rispetto degli obblighi
previsti dal Decreto e dal presente Provvedimento; a tal fine, la
ripartizione di responsabilita' tra il prestatore di servizi di
infrastruttura e il prestatore di servizi di pagamento e' chiaramente
disciplinata dal contratto stipulato da tali soggetti.
2.2.2 Cash-Pooling
Non costituisce servizio di pagamento ai sensi del Decreto la
gestione della liquidita' relativa a rapporti reciproci tra imprese
commerciali e/o finanziarie appartenenti al medesimo gruppo (cd.
cash-pooling) da parte di un soggetto che si interpone nei rapporti
infragruppo per la mera ottimizzazione della gestione delle relative
disponibilita' finanziarie. L'esenzione presuppone che la suddetta
gestione sia limitata all'interno del gruppo e non investa
l'esecuzione di trasferimenti di fondi per conto di societa' del
medesimo gruppo da e verso soggetti allo stesso esterni.
2.2.3 Trasporto di contante
Il trasporto di contante, compresi la raccolta, il trattamento e la
consegna, non costituisce servizio di pagamento. L'esenzione a favore
della societa' di trasporto opera anche quando una fase dello stesso
trasporto di contante e' effettuata attraverso un'operazione di
trasferimento di fondi per realizzare il quale la societa' che offre
il servizio si avvale, in veste di utilizzatore, di un prestatore di
servizi di pagamento. La suddetta operazione di trasferimento di
fondi costituisce un servizio di pagamento a cui si applica la
disciplina del Decreto e del presente Provvedimento.
2.2.4 Modulistica contrattuale
La mera distribuzione di modulistica contrattuale relativa alla
prestazione di servizi di pagamento non e' attivita' riservata ai
sensi del Decreto. Restano comunque fermi tutti gli obblighi previsti
in materia di offerta fuori sede di prodotti bancari e finanziari.
2.2.5 "Cash-back"
Non costituisce attivita' di prestazione di servizi di pagamento ai
sensi del Decreto il c.d. "cash-back" che consiste nell'attivita' con
cui il venditore di un bene o di un servizio - ricevuto
dall'utilizzatore un pagamento eseguito con una carta di pagamento o
con moneta elettronica per un importo superiore al prezzo dovuto -
restituisce all'utilizzatore medesimo una somma in contanti
corrispondente alla differenza tra quanto pagato e quanto dovuto.
2.2.6 Strumenti a spendibilita' limitata
Ai sensi dell'art. 2, comma 2, lett. m), sono esclusi dall'ambito
di applicazione del Decreto i servizio4 basati su strumenti di
pagamento che possono essere utilizzati esclusivamente:
--------------
4 Rientra fra tali servizi l'attivita' di "acquisizione" di
strumenti di pagamento di cui all'art. 1, comma 1, lett. b) n. 5 del
Decreto.
a) per l'acquisto di beni o servizi presso l'emittente5 ;
--------------
5 E' equiparato all'emittente il soggetto interamente
controllato dall'emittente o interamente controllante l'emittente
stesso o una sua consorella.
b) sulla base di un accordo commerciale con l'emittente: b.1) per
l'acquisto di beni o servizi all'interno di una rete limitata di
esercenti; b.2) per l'acquisto di una gamma limitata di beni o
servizi.
Con riferimento alla ipotesi di cui alla lettera a), rientrano
nella fattispecie gli strumenti di pagamento spendibili presso
singoli emittenti all'interno dei propri punti vendita. Piu' imprese
appartenenti ad un medesimo gruppo socictario, anche se utilizzano
marchi diversi, sono riconducibili alla nozione di "singolo
emittente" purche' l'appartenenza al medesimo gruppo societario sia
resa nota al pubblico. In particolare, la carta spendibile presso i
punti vendita dovra' elencare i marchi riconducibili al medesimo
gruppo societario.
Relativamente alle ipotesi di cui alla lett. b), la direttiva e il
Decreto non predeterminano in via generale il concetto di
"limitatezza" della rete di accettazione ovvero della gamma di beni e
servizi acquistabili. Alla luce delle indicazioni della Commissione
Europea - nonche' di elementi interpretativi ricavabili dalla
direttiva 2009/110/CE sugli Istituti di moneta elettronica,
contenente analoga esenzione (v. in particolare il considerando n. 5)
- si formulano le seguenti indicazioni.
L'esclusione opera in forza della spendibilita' limitata dello
strumento di pagamento presso determinati esercenti o con riferimento
a determinati beni o servizi e non della sua utilizzabilita' in
un'area geograficamente limitata. In presenza di uno dei presupposti
richiamati dalla norma, l'esclusione deve intendersi operante anche
nel caso in cui l'emissione, sulla base di un accordo commerciale,
sia stata affidata a soggetti terzi rispetto ai fornitori dei beni o
dei servizi6 .
--------------
6 Con riferimento alle carte di pagamento, tale esclusione
determina la non applicabilita' delle disposizioni concernenti il
funzionamento dell'Archivio informatizzato degli assegni e delle
carte di pagamento irregolari (c.d. "Centrale d'Allarme
Interbancaria" - CAI) istituito presso la Banca d'Italia ai sensi
della Legge 205/99.
Rientrano nella fattispecie sub lettera b.1) - e sono pertanto da
considerare oggetto dell'esenzione - gli strumenti di pagamento
spendibili presso catene di esercizi commerciali (ad esempio "carte
fedelta'" o similari), indipendentemente dall'estensione della catena
stessa e dalla natura giuridica del rapporto tra i singoli punti
vendita e la -casa madre", purche': (i) si tratti di entita' legate
da accordi di natura commerciale che prevedano l'utilizzo di un
medesimo marchio che renda pienamente riconoscibile dal pubblico
l'esistenza di una relazione giuridicamente rilevante tra la "casa
madre" e i punti di accettazione degli strumenti di pagamento emessi;
e (ii) il suddetto marchio sia utilizzato dai punti vendita e sia
presente sulla carta spendibile presso gli stessi. Rientrano nella
fattispecie le carte spendibili presso esercizi commerciali in
franchising nonche' le carte spendibili presso gli esercizi di un
medesimo centro commerciale. A meno che non ricorra l'esenzione di
cui alla lettera b.2), i casi in cui due o piu' catene commerciali si
accordino per accettare reciprocamente le carte di ciascuna catena
non rientrano nell'esenzione. Nei casi dubbi, resta ferma la
possibilita' di una valutazione caso per caso7 .
--------------
7 A titolo esemplificativo, mentre rientrano nella fattispecie
sub lettera a) le c.d. "carte carburante", emesse da una determinata
compagnia petrolifera per l'acquisto del carburante e di prodotti o
servizi simili o connessi (cambio olio, gomme etc.) presso la propria
rete distributiva, possono essere invece ricondotte alla fattispecie
sub lettera b.1) le carte della specie che consentono anche acquisti
di altro tipo di beni e servizi presso esercizi comunque collegati
alla societa' petrolifera stessa, per via dell'utilizzo dello stesso
marchio o perche' operanti all'interno delle stazioni di servizio
della compagnia medesima.
L'esenzione di cui alla lettera b.2) ricorre quando l'ambito di
spendibilita' sia effettivamente circoscritto a una predeterminata
lista di beni o servizi funzionalmente collegati (e' il caso, ad
esempio, delle c.d. carte "trasporti", "parcheggio", "cinema",
"musei", dei buoni pasto, ecc.). Atteso che i criteri di esenzione
sono alternativi e non cumulativi, l'esenzione ricorre, in presenza
di queste caratteristiche, anche quando la spendita dello strumento
puo' essere effettuata presso soggetti diversi, non appartenenti alla
medesima catena commerciale.
La valutazione della sussistenza dei presupposti per l'esenzione
deve essere nuovamente effettuata ogni qualvolta le caratteristiche
di spendibilita' dello strumento vengono modificate.
Quale criterio generale per la corretta individuazione del
perimetro della deroga va inoltre considerato che non possono
beneficiare di esenzione -rientrando pertanto nell'ambito di
applicazione della normativa - gli strumenti spendibili presso una
lista di esercenti convenzionati (si pensi al caso del
convenzionamento di una pluralita' di commercianti promosso
dall'emittente e potenzialmente aperto alla libera adesione di chi
abbia interesse), poiche' in tal caso l'estensione soggettiva della
rete di accettazione non e' determinabile ex ante ed e' quindi
potenzialmente illimitata: rientrano in questa tipologia, ad esempio,
strumenti come le "carte regalo" che possono essere spese presso piu'
punti vendita di svariata natura, oppure le c.d. "city card",
genericamente aperte all'utilizzo presso piu' esercizi all'interno di
una stessa citta'.
Il formato e la funzione degli strumenti a spendibilita' limitata
sono spesso uguali o molto simili a quelli degli strumenti di
pagamento a spendibilita' generalizzata; solo per gli utilizzatori di
questi ultimi, tuttavia, operano le tutele e i diritti previsti dal
decreto. E' quindi necessario che lo strumento a spendibilita'
limitata rechi la dicitura "strumento privativo" o altra dicitura
idonea a indicarne univocamente la funzione di strumento a
spendibilita' limitata.
L'esclusione dall'ambito di applicazione del Decreto e delle
presenti disposizioni non opera con riguardo alle operazioni di
pagamento con le quali vengono regolati i flussi finanziari connessi
con la gestione e il funzionamento degli strumenti a spendibilita'
limitata. A titolo esemplificativo, rientrano nell'ambito di
applicazione in parola l'addebito diretto con il quale viene pagato
il saldo di una carta di credito a spendibilita' limitata ovvero il
bonifico con il quale viene caricata una carta prepagata a
spendibilita' limitata.
Resta ferma l'applicazione della disciplina in materia di
trasparenza e, ove applicabile, di credito al consumo qualora
all'emissione di strumenti a spendibilita' limitata sia connessa
l'erogazione di finanziamenti.
2.2.7 Operazioni con finalita' di investimento
L'articolo 2 del Decreto alla lett. i) esclude dall'ambito di
applicazione le operazioni che perseguono finalita' di investimento
invece che di pagamento. Tra queste si richiamano a titolo
esemplificativo:
• i rimborsi relativi a quote o azioni di OICR;
• i conferimenti e i rimborsi anche parziali effettuati nell'ambito
del servizio di gestione di portafogli;
• le operazioni di pagamento connesse alla "sottoscrizione" o allo
switch di quote o azioni di OICR;
• le operazioni collegate all'amministrazione di fondi pensione;
• le operazioni connesse alla gestione di prodotti assicurativi,
quando perseguano finalita' di investimento.
2.2.8 Operazioni di cambio valuta
Le operazioni di cambio valuta si distinguono dalle operazioni di
pagamento in cui l'ordine di pagamento e' espresso in una valuta
diversa da quella dei fondi messi a disposizione del beneficiario.
Esse si contraddistinguono per la finalita' prevalente di cambiare la
valuta in cui e' espressa una determinata somma di denaro e per
l'assenza di una finalita' di pagamento. Per tali ragioni sono
escluse dall'ambito di applicazione del Decreto e delle presenti
disposizioni:
1. le operazioni di cambio di valuta contante contro contante
nell'ambito delle quali i fondi non sono detenuti su un conto di
pagamento;
2. i contratti di compravendita a termine di divisa estera, il cui
oggetto e' la consegna reciproca tra le parti delle divise e non il
pagamento di differenziali;
3. i contratti di acquisto e vendita di valuta, estranei a
transazioni commerciali e regolati per differenza, anche mediante
operazioni di rinnovo automatico (c.d. "roll-over").
2.2.9 Pagamenti eseguiti tramite operatore di telecomunicazione,
digitale o informatico
I servizi di pagamento gestiti dagli operatori di
telecomunicazione, digitali o informatici sono esclusi dall'ambito di
applicazione del Decreto al ricorrere di tutte le condizioni di cui
all'art. 2, comma 2, lett. n), del Decreto8 . In particolare, e'
necessario che:
--------------
8 Sulla ratio di tale esclusione e dei suoi presupposti cfr.
considerando nn. 6 delle direttive 2007/64/CE e 2009/110/CE.
a) le operazioni di pagamento siano riferibili all'acquisto di beni
o servizi digitali;
b) l'operatore di telecomunicazione, digitale o informatico non
agisca quale mero intermediario del pagamento tra l'utilizzatore e il
fornitore di beni e servizi ma apporti a questi ultimi un valore
aggiunto (es. funzioni di accesso, ricerca o distribuzione) in
assenza del quale non sarebbe possibile usufruire del bene con le
medesime modalita';
c) la consegna o l'utilizzo dei beni e servizi in questione siano
effettuati tramite il dispositivo di telecomunicazione, digitale o
informatico gestito dall'operatore9 .
--------------
9 Un esempio di esenzione e' rappresentato dai pagamenti
effettuati all'operatore della rete di telecomunicazioni per
l'acquisto di contenuti multimediali che possono essere scaricati sul
telefono cellulare o su altro dispositivo dell'acquirente (es.
smartphone, decoder, tablet PC) nell'ambito dei servizi di
trasmissione dati offerti dall'operatore medesimo.
Con riferimento al requisito di cui alla lett. a), il bene o il
servizio e' qualificabile come digitale se esso non e' in alcun modo
utilizzabile per l'ottenimento di beni o servizi nel mondo fisico: a
titolo esemplificativo, non rientra nella fattispecie in esame un
titolo di legittimazione elettronico abilitativo all'ottenimento di
diversi beni o servizi (es. di trasporto).
Con riferimento al requisito di cui alla lett. b), il valore
aggiunto apportato dall'operatore di telecomunicazione, digitale o
informatico deve assumere un ruolo essenziale, tale che senza di esso
non sarebbe stato possibile fruire del bene o del servizio ovvero lo
sarebbe stato con modalita' affatto diverse (es. fornitura di codici
di accesso con memorizzazione dell'autorizzazione accordata per i
successivi utilizzi)10 .
--------------
10 Il ruolo essenziale dell'operatore puo' essere comprovato
dalla circostanza che esso assume una responsabilita' diretta nei
confronti della clientela per la corretta consegna o fruizione del
bene o servizio digitale.
Con riferimento al requisito di cui alla lett. c), l'esenzione
opera se la fruizione o la consegna del bene o servizio digitale
avviene su un dispositivo oppure tramite un servizio di trasmissione
dati riconducibile allo stesso operatore; tale condizione non esclude
tuttavia la possibilita' che il contenuto digitale, successivamente
alla consegna (es. in caso di download), venga fruito su altri
dispositivi.
Resta ferma, anche nei casi di deroga, la competenza della Banca
d'Italia per l'esercizio della funzione di cui all'art. 146 del TUB.
3. Ambito di applicazione soggettivo
3.1 Prestatori di servizi di pagamento
Il Titolo II del Decreto contiene le norme che disciplinano le
modalita' con cui deve essere esercitata la prestazione di servizi di
pagamento (cc.dd. conduct-of-business rules).
Esse si applicano a tutte le categorie di prestatori di servizi di
pagamento elencate nel Decreto quando offrono servizi di pagamento in
Italia:
- banche, istituti di moneta elettronica, istituti di pagamento,
Poste Italiane S.p.A.;
- Banca Centrale Europea e banche centrali nazionali qualora non
agiscano in veste di autorita' monetarie e prestino servizi di
pagamento in Italia;
- qualsiasi altra amministrazione statale, regionale e locale che
offra servizi di pagamento non agendo in veste di autorita' pubblica.
3.2 Utilizzatori di servizi di pagamento
Il Titolo II del Decreto distingue tre categorie di utilizzatori di
servizi di pagamento: i consumatori, le micro-imprese e gli
utilizzatori che non sono consumatori. Mentre le prime due categorie
sono individuate dal diritto comunitario, l'ultima deve essere
costruita per differenza rispetto alle prime due e comprende, ad
esempio, le imprese, le amministrazioni e gli enti pubblici, i
professionisti. Ove i professionisti presentino caratteristiche di
fatturato e numero di dipendenti analoghi alle micro-imprese, essi
possono chiedere di essere equiparati a queste ultime.
L'individuazione delle caratteristiche delle tre diverse categorie
e' particolarmente rilevante ai fini dell'applicazione di alcune
disposizioni del Titolo II che possono essere derogate per accordo
tra le parti quando l'utilizzatore dei servizi di pagamento non e' un
consumatore.
Si tratta, in particolare, delle norme che riconoscono diritti
all'utilizzatore e responsabilita' in capo al prestatore di servizi
di pagamento.
Le norme derogabili, anche solo in parte, sono:
1. il principio di gratuita' dell'esercizio dei diritti
riconosciuti dal Titolo II del Decreto e, quando applicabili, di
proporzionalita' delle spese rispetto ai costi sostenuti dal
prestatore di servizi di pagamento (articolo 3, comma 1);
2. la revocabilita' del consenso (articolo 5, comma 4);
3. l'onere della prova di autenticazione ed esecuzione in capo al
prestatore di servizi di pagamento (articolo 10);
4. le responsabilita' del prestatore di servizi di pagamento per
utilizzi non autorizzati di strumenti di pagamento (articolo 12);
5. il diritto dell'utilizzatore ad ottenere il rimborso di alcuni
tipi di operazioni (articoli 13 e 14);
6. l'irrevocabilita' degli ordini di pagamento (articolo 17);
7. la responsabilita' del prestatore di servizi di pagamento per la
mancata o inesatta esecuzione di un'operazione di pagamento (articolo
25). La responsabilita' opera pienamente e a prescindere dalla deroga
pattizia nel caso di dolo o colpa grave del prestatore di servizi di
pagamento.
Le micro-imprese sono equiparate ai consumatori e godono delle
forme di tutela piu' intense previste dal Decreto; tuttavia, al fine
di non escludere per tale categoria di utilizzatori la possibilita'
di utilizzare servizi di pagamento particolarmente efficienti e
efficaci (quali ad esempio i servizi di addebito RID veloci), e'
ammessa comunque, come per le imprese di piu' grande dimensione, la
possibilita' di rinunciare ai diritti di cui agli articoli 13, 14 e
17, comma 3, del Decreto (rimborsi e irrevocabilita').
Tenuto conto dello specifico regime applicabile alle diverse
categorie di utilizzatori di servizi di pagamento - con particolare
riguardo a quanto previsto dall'art. 2, comma 4, lettere b) e c) del
Decreto - i prestatori di servizi di pagamento, nell'ambito delle
procedure previste dalla Sezione XI, paragrafo 2 del provvedimento
della Banca d'Italia del 29 luglio 2009 e successive modificazioni11
, sono tenuti ad adottare le soluzioni organizzative e tecnico
procedurali adeguate a gestire le operazioni relative alle diverse
categorie di utilizzatori in conformita' con le disposizioni del
Decreto e del presente Provvedimento.
--------------
11 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it).
4. Micropagamenti
Per gli strumenti di pagamento dedicati ai micropagamenti e'
previsto un regime particolare. Tali strumenti sono individuati in
quelli che impongono un limite di importo alla singola spesa di 30
euro o che hanno un importo spendibile non superiore ai 150 euro
(strumenti usa e getta) o che non possono in nessun momento essere
avvalorati per un importo superiore ai 150 euro (strumenti
ricaricabili).
Il Decreto consente alle parti ampie deroghe alla disciplina in
materia di tutela dell'utilizzatore, al fine di renderla
proporzionata alle esigenze di protezione effettivamente sussistenti
contemperandole con quelle di maggiore economicita' e agevole
funzionamento proprie degli strumenti in questione.
Il legislatore riconosce innanzitutto la possibilita' che detti
strumenti non prevedano il blocco dell'utilizzo, in quanto trattasi
di una funzionalita' che presuppone la possibilita' di comunicazione
tra prestatore e utilizzatore di servizi di pagamento e si presenta
quindi onerosa rispetto ai micropagamenti.
Il Decreto prevede inoltre una attenuazione delle responsabilita'
del prestatore per l'esecuzione di operazioni non autorizzate quando
lo strumento e' utilizzabile in forma anonima (rientrando in tale
categoria gli strumenti che non prevedono l'identificazione del
relativo titolare, segnatamente la moneta elettronica entro le soglie
previste dal D.lgs. n. 231 del 2007) o non consente di dimostrare
l'intervenuta autorizzazione da parte del titolare (ad esempio, non
essendo previsto l'utilizzo di un PIN).
Il regime in deroga autorizza inoltre il prestatore di servizi di
pagamento a non informare il cliente del rifiuto di eseguire il
pagamento quando il rifiuto e' evidente dal contesto in cui viene
effettuato il pagamento (ad esempio nel caso di mancata esecuzione di
un pagamento con carta su un terminale di accettazione) v prevede
infine l'irrevocabilita' dell'ordine di pagamento una volta che
questo sia stato trasmesso al beneficiario o dopo che questo sia
stato autorizzato ad avviare l'esecuzione del pagamento.
SEZIONE III
Spese
La direttiva sui servizi di pagamento e il relativo Decreto di
recepimento fissano alcuni principi di fondo che incidono sui modelli
di pricing dei servizi di pagamento favorendo quelli piu' efficienti
ed affidabili.
Tali principi sono: la gratuita' delle misure correttive e
preventive di errori e inesattezze nell'esecuzione di operazioni di
pagamento, la ripartizione delle spese tra le due parti (pagatore e
beneficiario) del pagamento, il divieto di detrarre spese
dall'importo trasferito, il divieto per il beneficiario di applicare
un sovrapprezzo per l'utilizzo di un determinato strumento di
pagamento (cd. surcharge) fatte salve le deroghe che la Banca
d'Italia potra' stabilire con proprio regolamento, l'eliminazione di
forme di tariffe implicite (ad esempio, la data valuta) che rendono
opaco il mercato. Il Decreto mira cosi' a rendere piu' trasparente e
concorrenziale il mercato, agevolando l'utilizzatore non solo nella
scelta del prestatore di servizi di pagamento che pratica le migliori
condizioni di offerta ma anche in quella dello strumento o del
servizio di pagamento che meglio risponde alle sue esigenze.
Il Decreto consente altresi' l'utilizzo della leva tariffaria per
disincentivare l'utilizzo degli strumenti di pagamento meno
efficienti e affidabili. Da un lato impone il divieto del surcharge,
dall'altro rimette alla Banca d'Italia l'individuazione di casi in
cui sia possibile derogare al divieto. Tale facolta' non trova
attuazione con il presente Provvedimento: il suo esercizio potra'
essere disposto anche in connessione con la definizione di indicatori
tesi a misurare il costo relativo di utilizzo di diversi strumenti di
pagamento.
1. Fonti normative
Artt. 3, 18 e 23 del Decreto
2. Principi generali
2.1. Gratuita' delle misure correttive e preventive
I prestatori di servizi di pagamento sono tenuti ad effettuare
gratuitamente gli interventi volti a correggere o prevenire errori e
inesattezze nell'esecuzione di operazioni di pagamento. Sono previste
eccezioni tassative nei casi di:
• giustificato rifiuto ad eseguire un ordine di pagamento (v. Sez.
V, par. 4,
del presente Provvedimento), ove cio' sia stato concordato dalle
parti;
• revoca dell'ordine di pagamento su accordo delle parti (v. Sez.
V, par. 3, del presente Provvedimento), una volta decorsi i termini
di irrevocabilita';
• recupero dei fondi trasferiti a seguito dell'utilizzo di un
codice identificativo inesatto da parte del cliente (v. Sez. VI, par.
2.1, del presente Provvedimento).
In tali ipotesi le spese applicate devono essere comunque convenute
nel contratto ed essere adeguate e proporzionate rispetto ai costi
effettivamente sostenuti dal prestatore di servizi di pagamento.
2.2 Regola tariffaria
Il Decreto prevede che, quando l'operazione di pagamento non
richiede una conversione valutaria, il pagatore e il beneficiario
remunerino ciascuno il proprio prestatore di servizi di pagamento per
il servizio prestato (c.d. "regola share"). Tale regola non incide
sulle eventuali ripartizioni di spese tra i prestatori di servizi di
pagamento coinvolti nell'esecuzione di un'operazione di pagamento,
ivi comprese eventuali tariffe multilaterali.
2.3 Divieto di decurtazione delle spese
Il Decreto vieta di decurtare spese dagli importi trasferiti, che
devono corrispondere a quelli indicati nei singoli ordini di
pagamento. Tuttavia, il beneficiario puo' concordare con il proprio
prestatore di servizi che le spese dovute a quest'ultimo vengano
detratte dall'importo trasferito; a condizione che il beneficiario
venga informato esattamente dell'importo decurtato e della relativa
modalita' di addebito nelle informazioni allo stesso dovute dal
proprio prestatore di servizi di pagamento.
Il divieto di decurtazione degli importi trasferiti si riferisce al
pagamento di spese sostenute dal prestatore di servizi di pagamento;
esso non trova quindi applicazione nel caso di decurtazioni applicate
in osservanza di vincoli normativi (ad esempio, disposizioni
fiscali).
Quando un prestatore di servizi di pagamento che interviene
nell'esecuzione di un'operazione di pagamento senza avere rapporti
ne' con il pagatore ne' con il beneficiario trattiene delle spese
dall'importo oggetto di trasferimento, spetta al prestatore di
servizi che si avvale di detto prestatore garantire che il
beneficiario riceva per intero l'importo trasferito.
2.4 Divieto di surcharge
Il divieto di surcharge opera nei confronti del beneficiario di
un'operazione di pagamento.
I prestatori che offrono il servizio di acquisizione di strumenti
di pagamento sono tenuti a richiamare nel contratto di
convenzionamento l'attenzione dei propri clienti sul divieto in
questione anche attraverso una clausola che preveda la possibilita'
di risoluzione del contratto medesimo in caso di violazioni.
3. Data valuta e tempi di disponibilita' dei fondi
Secondo l'articolo 23 del Decreto, e' vietata la possibilita' di
applicare:
- al pagatore una data valuta antecedente a quella in cui i fondi
vengono addebitati sul suo conto;
- al beneficiario una data valuta successiva a quella in cui i
fondi vengono accreditati sul conto di quest'ultimo.
In aggiunta ai predetti divieti, i fondi trasferiti devono essere
resi disponibili al beneficiario da parte del suo prestatore di
servizi di pagamento non appena la somma trasferita sia stata
accreditata al prestatore medesimo.
Qualora le informazioni relative al beneficiario siano trasmesse
separatamente rispetto al trasferimento dei fondi, l'obbligo di
rendere immediatamente disponibili i fondi trasferiti al beneficiario
decorre dalla ricezione delle informazioni relative a quest'ultimo.
Le regole sulla valuta non trovano applicazione nei casi previsti
dall'art. 23, comma 4, del Decreto, cosi' come specificato, nella
Sezione V, paragrafo 5.5 del presente Provvedimento.
SEZIONE IV
Autorizzazione di operazioni di pagamento
La fase genetica di un'operazione di pagamento e' quella piu'
delicata per la sua corretta esecuzione: per tale motivo il
legislatore ripartisce nel dettaglio gli obblighi del prestatore di
servizi di pagamento e dell'utilizzatore nel processo di
autorizzazione all'esecuzione di un'operazione di pagamento. Proprio
per evitare operazioni fraudolente viene richiesta l'adozione di
specifici accorgimenti, oltre che ai prestatori, anche agli
utilizzatori di servizi di pagamento, in particolare per quel che
riguarda la gestione dei codici di accesso all'utilizzo di strumenti
o di conti di pagamento. Al fine di preservare la fiducia del
pubblico negli strumenti di pagamento piu' efficienti (come ad
esempio le carte di pagamento e gli addebiti diretti), al ricorrere
di determinate condizioni sono riconosciute forme di tutela
rafforzate ai loro utilizzatori.
1. Fonti normative
Artt. 7, 8, 9, 10, 11, 12, 13 e 14 del Decreto.
2. Obblighi e responsabilita' dell'utilizzatore di servizi di
pagamento in relazione alle modalita' di utilizzo dei servizi e degli
strumenti di pagamento
L'utilizzo di strumenti di pagamento comporta alcune
responsabilita' e obblighi di condotta diligente volti a favorire
l'efficiente funzionamento del relativo circuito di riferimento; tali
obblighi e responsabilita' sono stabiliti dalla disciplina contenuta
nel Decreto nonche' nelle clausole contrattuali che disciplinano le
modalita' di utilizzo del servizio o dello strumento di pagamento.
2.1 Riservatezza dei dispositivi di sicurezza
Quando uno strumento prevede l'utilizzo di dispositivi
personalizzati di sicurezza (es. PIN e password) e' fatto obbligo
all'utilizzatore di mettere in atto gli accorgimenti idonei al fine
di preservarne la riservatezza onde evitare gli utilizzi non
autorizzati degli strumenti di pagamento in questione.
Tale esigenza rileva in modo specifico nel caso in cui il pagamento
sia effettuato a distanza, ad esempio per mezzo di un dispositivo
telefonico o di un sito internet12 . E' necessario che
l'utilizzatore ottenga l'autorizzazione del proprio prestatore di
servizi di pagamento prima di fornire a terzi i codici per l'utilizzo
del servizio o dello strumento di pagamento: in tal modo e' possibile
per il prestatore individuare le richieste dei codici di sicurezza
provenienti da soggetti che simulino la legittimita' della richiesta
medesima, come nel caso del phishing. In aggiunta, cio' consente di
limitare i rischi connessi con l'eventuale utilizzo di piattaforme
per i pagamenti su internet (in particolare quelli a valere su un
conto, quali i bonifici) che non sono autorizzate dal prestatore di
servizi di pagamento di cui l'utilizzatore si avvale (cc.dd. overlay
services)13 . Qualora il contratto tra utilizzatore e prestatore di
servizi di pagamento faccia divieto al primo di comunicare a terzi i
codici di sicurezza, la violazione di tale divieto integra una
condotta negligente da parte dell'utilizzatore, non consentendogli di
avvalersi dell'esenzione di responsabilita' di cui al successivo
paragrafo.
--------------
12 Rientrano in questa casistica: 1) i pagamenti gestiti su
siti web per operazioni di ecommerce; 2) gli ordini di pagamento
effettuati attraverso la rete internet (internet banking).
13 Gli overlay services, infatti, qualora svincolati da
accordi con il prestatore di servizi di pagamento, risultano
particolarmente esposti al rischio di frode.
Nell'ambito delle procedure organizzative previste dalla Sezione XI
del provvedimento della Banca d'Italia del 29 luglio 2009 e
successive modificazioni14 , i prestatori di servizi di pagamento
prevedono che nelle occasioni di interlocuzione con la clientela
vengano richiamati i seguenti aspetti:
--------------
14 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it).
- le clausole contrattuali che disciplinano l'utilizzo dei servizi
e degli strumenti di pagamento che prevedono il ricorso a codici di
sicurezza (ad esempio, servizi di pagamento compresi nell'home
banking);
- l'esigenza di rispettare i termini contrattuali volti a dare
particolari garanzie di utilizzo sicuro;
- l'obbligo di assumere un comportamento diligente nell'utilizzo di
tali servizi e strumenti.
2.2 Responsabilita' dell'utilizzatore
Il rispetto degli obblighi di condotta diligente da parte
dell'utilizzatore esime quest'ultimo da responsabilita' per utilizzi
non autorizzati dei servizi e degli strumenti di pagamento. Il
mancato adempimento di tali obblighi puo' invece comportare la sua
responsabilita' per gli utilizzi non autorizzati. La violazione degli
obblighi posti in capo all'utilizzatore dalla legge o dal contratto
in essere con il suo prestatore di servizi di pagamento integra una
condotta negligente.
Al fine di favorire la diffusione dei servizi e degli strumenti di
piu' elevata qualita' sotto il profilo della sicurezza, la Banca
d'Italia, ai sensi dell'art. 12, comma 5, del Decreto, dispone la
riduzione delle responsabilita' dell'utilizzatore che scelga detti
prodotti di pagamento. Rientrano nella fattispecie in esame gli
strumenti di pagamento aventi le caratteristiche di sicurezza
individuate nel documento "Tipologie di strumenti di piu' elevata
qualita' sotto il profilo della sicurezza" allegato al presente
Provvedimento. Per questi strumenti - fatti salvi i casi in cui
l'utilizzatore abbia agito con dolo o colpa grave ovvero non abbia
adottato le misure idonee a garantire la sicurezza dei dispositivi
personalizzati che consentono l'utilizzo dello strumento di pagamento
- l'utilizzatore non risponde neppure della franchigia di cui
all'art. 12, comma 3, del Decreto.
2.3 Prova di autenticazione ed esecuzione dell'operazione di
pagamento.
L'art. 10 del Decreto pone in capo al prestatore di servizi di
pagamento l'onere di provare l'utilizzo autorizzato dello strumento
di pagamento da parte dell'utilizzatore quando quest'ultimo neghi di
aver autorizzato l'operazione.
In caso di utilizzo di uno strumento di pagamento registrato, il
prestatore di servizi di pagamento ha comunque l'onere di verificare
che non sussistano elementi tali da non consentire di ritenere certa
l'autorizzazione dell'utilizzatore: e' questo il caso, ad esempio, di
una carta di pagamento utilizzata su terminali fisici a breve
distanza temporale in luoghi geograficamente distanti.
3. Obblighi del prestatore di servizi di pagamento in relazione
alla prestazione di servizi e all'emissione di strumenti di pagamento
Il Decreto (cfr. art. 8) prevede a carico dei prestatori di servizi
di pagamento:
- obblighi di riservatezza dei dispositivi personalizzati relativi
a uno strumento di pagamento;
- l'obbligo di consentire all'utilizzatore di bloccare
tempestivamente lo strumento in caso di furto o smarrimento. Tale
misura e' volta ad evitare che lo strumento sottratto o smarrito
venga utilizzato indebitamente. Una volta che tale evento venga
comunicato tempestivamente dall'utilizzatore al proprio prestatore di
servizi di pagamento, quest'ultimo fornisce al cliente una conferma
dell'avvenuto blocco, comunicando il codice che identifica il blocco
e l'orario in cui e' intervenuto il blocco medesimo;
- il divieto di inviare all'utilizzatore strumenti di pagamento non
richiesti, gia' attivi o attivabili anche in mancanza di una
esplicita richiesta dell'utilizzatore medesimo. Tale misura e' tesa a
eliminare prassi che espongono gli utilizzatori al rischio di accessi
non autorizzati al proprio conto o di incorrere in spese per servizi
non richiesti (ad esempio, per l'invio dell'estratto conto mensile
relativo a una carta di credito mai richiesta ne' attivata). A tal
fine e' necessario che la richiesta dell'utilizzatore di acquisire un
nuovo strumento di pagamento sia inequivocabile e precedente l'invio
dello strumento di pagamento, anche quando questo non sia ancora
stato attivato (cfr. la Sezione V, paragrafo 2.3 del provvedimento
della Banca d'Italia del 29 luglio 2009 e successive modificazioni15
).
--------------
15 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it).
I prestatori di servizi di pagamento pongono altresi' la massima
attenzione nella scelta del mezzo di spedizione di uno strumento di
pagamento e/o dei relativi codici di sicurezza, in considerazione del
rischio di accesso non autorizzato a detti strumenti e codici; per
questo motivo, il legislatore pone interamente a carico del
prestatore di servizi di pagamento detto rischio.
Con specifico riferimento ai servizi di pagamento fruibili in
ambiente internet, al fine di prevenire utilizzi fraudolenti, e'
necessario che i prestatori di servizi di pagamento aderiscano a
piattaforme tecniche che consentano ai propri clienti di effettuare
pagamenti in rete in condizioni di elevata sicurezza.
3.1 Sicurezza
Avuto riguardo agli obiettivi di regolare funzionamento del sistema
dei pagamenti nonche' di tutela della fiducia degli utilizzatori nel
ricorso ai servizi compresi nell'ambito di applicazione del Decreto,
i prestatori di servizi di pagamento assicurano che le soluzioni
tecniche adottate per l'esercizio dell'attivita' siano presidiate
gestendo i rischi associati alle tecnologie utilizzate, tra i quali:
- malfunzionamenti nei sistemi e nei processi informatizzati
interni;
- difetti delle procedure software e dei sistemi operativi;
- guasti dei componenti hardware;
- limitata capacita dei sistemi di elaborazione e trasmissione;
- vulnerabilita' delle reti di telecomunicazione;
- debolezza del sistema dei controlli e delle misure di sicurezza;
- sabotaggi;
- attacchi da parte di soggetti esterni;
- tentativi di frode.
In conformita' con la normativa di Vigilanza emanata in materia di
controlli interni16 , i prestatori di servizi di pagamento:
--------------
16 Cfr. in particolare: Circ. 229 del 21 aprile 1999
Istruzioni di vigilanza per le banche, Titoli IV, Capitolo 11; Circ.
263 del 27 dicembre 2006 Nuove disposizioni di vigilanza prudenziale
per le banche, Titoli I, Capitolo 1, Parte Quarta; Disposizioni di
vigilanza in materia di conformita' (compliance) del 9 luglio 2007;
Disposizioni in materia di organizzazione e governo societario delle
banche del 4 marzo 2008.
- devono essere in grado - nell'ambito del processo di gestione dei
rischi - di identificare, valutare, misurare, monitorare e mitigare
le minacce di natura tecnologica. In particolare, e' necessario
individuare un insieme di misure di sicurezza e di controlli
appropriati, in grado di assicurare gli obiettivi di
confidenzialita', integrita', disponibilita' dei sistemi informativi
e dei dati ad essi associati; deve inoltre essere prevista
l'esecuzione di fasi di verifica teorica e pratica della
vulnerabilita' dei presidi di sicurezza con relativa revisione
periodica del processo stesso17 .
--------------
17 Cc.dd. "vulnerability assessment" e "penetration test".
- definiscono: i) un adeguato insieme di presidi di sicurezza
logica e fisica per i sistemi informativi; ii) un efficace processo
di controllo interno; iii) un appropriato piano di continuita'
operativa; iv) una gestione dei rapporti contrattuali con i fornitori
esterni coerente con i vincoli posti a carico dei prestatori di
servizi di pagamento.
Nell'osservanza delle disposizioni di cui al presente paragrafo i
prestatori di servizi di pagamento si attengono ai requisiti di
sicurezza definiti nell'ambito dell'Eurosistema con riferimento agli
strumenti di pagamento offerti alla clientela finale.
4. Rettifica di operazioni di pagamento non autorizzate o eseguite
in modo inesatto
Quando viene a conoscenza del fatto che un'operazione di pagamento
e' stata eseguita in difetto di autorizzazione o in modo inesatto,
l'utilizzatore deve comunicarlo senza indugio al proprio prestatore
con le modalita' e secondo i termini concordati con quest'ultimo;
l'utilizzatore avra' quindi diritto ad ottenere la rettifica e, nei
casi specificati nei paragrafi seguenti, il rimborso dell'operazione.
Ferma restando l'esigenza di tempestivita' della comunicazione di
cui al precedente paragrafo, l'utilizzatore puo' chiedere la
rettifica dell'operazione entro il termine di 13 mesi dalla data
dell'addebito, nel caso del pagatore, o di accredito, nel caso del
beneficiario. La richiesta puo' avvenire in un momento successivo
alla scadenza dei 13 mesi solo se il prestatore di servizi di
pagamento ha omesso di fornire o mettere a disposizione l'informativa
successiva all'esecuzione dell'operazione di cui al paragrafo 6 della
Sezione VI del provvedimento della Banca d'Italia del 29 luglio 2009
e successive modificazioni18 : in tal caso, l'utilizzatore non e'
stato posto dal suo prestatore di servizi di pagamento in condizione
di comunicare tempestivamente che l'operazione di pagamento era stata
eseguita senza autorizzazione o in modo inesatto. E' onere del
prestatore di servizi di pagamento dimostrare di aver fornito o messo
a disposizione la suddetta informativa.
--------------
18 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it).
Alle operazioni di rettifica si applica la data valuta secondo
quanto previsto nella Sezione V, paragrafo 5.5. del presente
Provvedimento.
5. Rimborsi
Il rimborso integrale costituisce la forma di tutela piu' efficace
nel caso di un'operazione di pagamento non autorizzata: a differenza
delle operazioni di pagamento non eseguite correttamente, infatti, in
questo caso manca il presupposto fondamentale della volonta' del
pagatore di effettuare il pagamento (cfr. infra, paragrafo 5.1).
5.1 Rimborsi in caso di operazioni di pagamento non autorizzate
Quando un'operazione di pagamento viene eseguita in assenza
dell'autorizzazione del pagatore, questi ha diritto ad ottenere
immediatamente dal proprio prestatore di servizi di pagamento il
rimborso dell'importo trasferito; nel caso in cui l'operazione sia
stata eseguita a valere su un conto, il pagatore ha diritto di
ottenere il ripristino del proprio conto nella condizione in cui si
sarebbe trovato se l'operazione non avesse avuto luogo attraverso
un'operazione di rettifica (cfr. Sez. V, par. 5.5 delle presenti
disposizioni). Nel caso di operazioni di pagamento non autorizzate
connesse con l'utilizzo di una carta di credito, il prestatore di
servizi di pagamento rifonde al cliente l'importo disconosciuto e
ripristina ove possibile la linea di credito concessa per un importo
corrispondente a quello dell'operazione non autorizzata.
Al dovere di rimborso immediato da parte del prestatore di servizi
di pagamento fa riscontro la possibilita' di interrompere tale
rimborso in caso di fondato sospetto di comportamento fraudolento da
parte del soggetto richiedente il rimborso medesimo. Il sospetto di
frode deve emergere con immediatezza e la sua fondatezza potra'
derivare dalla valutazione motivata delle circostanze del caso da
parte del prestatore di servizi di pagamento. Per tale ragione,
sebbene l'immediatezza del rimborso non ne implichi la contestualita'
rispetto alla richiesta del cliente, la sua corresponsione non puo'
attendere lo svolgimento di un'istruttoria da parte del prestatore di
servizi di pagamento. L'esito dell'immediata valutazione del sospetto
di frode dovra' essere comunicato subito dal prestatore di servizi di
pagamento al proprio cliente e dovra' essere conservato in modo da
consentirne la verifica anche a distanza di tempo.
Nel caso di strumenti di pagamento di cui sia consentito l'utilizzo
in forma anonima, i prestatori di servizi di pagamento valutano con
particolare attenzione il rischio di frode prima di procedere al
rimborso dell'operazione a favore del titolare legittimato; in caso
di accoglimento della richiesta, devono registrare le generalita' di
quest'ultimo al fine di poterne tenere conto nel caso di successive
richieste riconducibili al medesimo soggetto.
Il prestatore di servizi di pagamento puo' dimostrare anche in un
momento successivo all'erogazione che l'operazione era stata
autorizzata e che quindi il rimborso non era dovuto: in tal caso
avra' il diritto di chiedere ed ottenere indietro i fondi
originariamente trasferiti, ripristinando la situazione come se
l'operazione di rimborso non avesse avuto luogo. A tale ultimo scopo
sara' possibile derogare alle disposizioni di cui all'articolo 23 del
Decreto in materia di data valuta.
5.2 Rimborsi nel caso di operazioni di pagamento autorizzate
eseguite su iniziativa del beneficiario o per il suo tramite
Le operazioni di pagamento autorizzate eseguite su iniziativa del
beneficiario del pagamento o per il suo tramite richiedono per il
pagatore forme rafforzate di tutela nelle ipotesi in cui il
trasferimento, pur se autorizzato, non corrisponda alle sue
ragionevoli aspettative. Le operazioni in questione sono costituite
dagli addebiti diretti e da quelle effettuate con carta di pagamento.
Il diritto al rimborso e' riconosciuto al ricorrere di entrambe le
seguenti condizioni:
1. l'indeterminatezza dell'importo da trasferire al momento in cui
il pagatore ha autorizzato il pagamento19 ;
--------------
19 Puo' trattarsi, ad esempio, di un addebito preautorizzato
per il pagamento della bolletta telefonica o dell'addebito sul
proprio conto dell'importo speso con la carta di credito.
2. l'importo trasferito sia superiore a quello che il pagatore,
date le circostanze e/o il precedente modello di spesa, avrebbe
potuto ragionevolmente attendersi: al riguardo, e' necessario che vi
sia una differenza considerevole tra importo atteso e importo
effettivamente addebitato e/o che quest'ultimo non risulti in linea
con le abitudini di pagamento dell'utilizzatore.
La condizione di cui al numero 2) ha carattere soggettivo e non
puo' che essere valutata caso per caso; e' tuttavia possibile che i
prestatori di servizi di pagamento definiscano, tramite le procedure
organizzative di cui alla Sezione XI del provvedimento della Banca
d'Italia del 29 luglio 2009 e successive modificazioni20 , criteri
oggettivi al ricorrere dei quali la differenza tra importo atteso e
importo addebitato possa essere ritenuta considerevole.
--------------
20 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it).
La circostanza che l'importo effettivamente addebitato non sia in
linea con le abitudini di pagamento dell'utilizzatore deve essere
valutata anche alla stregua di ogni ulteriore circostanza di fatto in
cui si inscrive il pagamento di cui si chiede il rimborso: ad
esempio, nel caso del pagamento di una rata di mutuo a tasso
variabile, dove l'ammontare degli interessi e' determinabile dal
cliente sulla base di quanto previsto nel contratto di mutuo,
l'aumento del tasso di interesse applicato non puo' essere opposto
dal cliente per l'ottenimento del rimborso. Nell'esempio citato
restano fermi i diritti di rettifica e rimborso nel caso di errore
nel calcolo della rata del mutuo.
Il rimborso viene corrisposto entro 10 giornate operative dalla
ricezione della richiesta che deve essere trasmessa entro otto
settimane dall'addebito stesso; in caso di rifiuto ad effettuare il
rimborso, il prestatore di servizi di pagamento, nei medesimi tempi
sopra citati, deve fornire al pagatore una giustificazione del
diniego e contestualmente comunicargli che, ove non accetti la
giustificazione fornita, ha il diritto di presentare un ricorso
all'Arbitro Bancario Finanziario secondo quanto previsto
dall'articolo 128-bis del TUB ovvero, se del caso, attivare altre
forme di soluzione stragiudiziale delle controversie. Il prestatore
di servizi di pagamento comunica all'utilizzatore anche le modalita'
per l'esercizio dei diritti sopra descritti.
Nel caso in cui la risposta del prestatore di servizi di pagamento
alla richiesta di rimborso sia stata negativa, l'utilizzatore puo'
adire l'arbitro Bancario Finanziario senza bisogno di presentare il
preventivo reclamo al prestatore medesimo. Per tale ragione, il
rifiuto della richiesta di rimborso deve essere motivato e contenere
l'indicazione della possibilita' di ricorrere all'Arbitro Bancario
Finanziario.
Resta ferma la possibilita' di rivolgersi in qualunque momento
all'Autorita' Giudiziaria e di presentare un esposto alla Banca
d'Italia.
I prestatori di servizi di pagamento debbono dotarsi di procedure
interne e di strutture organizzative idonee ad assicurare
l'espletamento degli obblighi sopra descritti.
5.2.1 Rimborso di addebiti diretti
Per incentivare la fiducia del pubblico nell'addebito diretto, e'
previsto che per questo strumento di pagamento le parti del contratto
possano convenire di riconoscere il diritto di rimborso del pagatore
anche a prescindere dal ricorrere di entrambe le condizioni di cui ai
punti 1 e 2 del paragrafo precedente: in tal caso il prestatore di
servizi di pagamento non potra' rifiutare il rimborso al pagatore.
Fermo restando quanto precede, e al fine di garantire
l'affidabilita' dei circuiti di pagamento, i prestatori di servizi di
pagamento sono tenuti a monitorare le richieste di rimborso (in
particolare, la loro frequenza e il loro importo) al fine di
individuare eventuali anomalie nell'utilizzo degli addebiti diretti
nonche' di adottare le contromisure ritenute piu' appropriate21 .
--------------
21 In tale contesto si inserisce, ad esempio, la possibilita'
di contattare il cliente al fine di accertare se sussistano eventuali
anomalie connesse con le richieste di rimborso.
Il diritto al rimborso puo' invece essere escluso a condizione che
l'autorizzazione al pagamento sia stata data direttamente dal
pagatore al proprio prestatore di servizi di pagamento22 e, ove
possibile, le informazioni sulla futura operazione di pagamento siano
state fornite o messe a disposizione del pagatore almeno quattro
settimane prima dell'esecuzione.
--------------
22 Ad esempio, il pagatore ha contattato l'emittente della
carta di credito prima di effettuare un acquisto di elevato
ammontare; l'autorizzazione ad addebitare il proprio conto alla
ricezione della disposizione di incasso da parte del fornitore di
luce o gas e' stata data direttamente dal debitore al proprio
prestatore di servizi di pagamento.
5.2.2 Deroga per i non consumatori e le micro-imprese
Al fine di assicurare che servizi di addebito connotati dalla
tempestiva definitivita' del completamento dell'operazione (es. RID
veloci) siano utilizzabili in specifici ambiti economici
(tipicamente, le forniture commerciali), il Decreto prevede che, ove
l'utilizzatore del servizio di pagamento non sia un consumatore, le
parti possano convenire di escludere il diritto di rimborso
dell'utilizzatore o quantomeno di concordare tempi ristretti per
effettuare le comunicazioni relative alla richiesta di rimborso.
SEZIONE V
Esecuzione di un'operazione di pagamento
Perche' l'esecuzione di un'operazione di pagamento possa
considerarsi correttamente eseguita due sono gli elementi sui quali
e' necessaria la massima certezza: il momento in cui viene avviata
l'esecuzione dell'ordine di pagamento dal prestatore di servizi di
pagamento e il tempo necessario affinche' l'operazione sia completata
con l'accredito dei fondi, o la loro messa a disposizione, a favore
del beneficiario.
1. Fonti normative:
Artt. 15, 16, 17, 20, 21, 22 e 23 del Decreto
2. Ricezione degli ordini di pagamento
Il momento della ricezione di un ordine di pagamento e' quello in
cui esso viene ricevuto dal prestatore di servizi di pagamento del
pagatore o direttamente dal proprio cliente o dal beneficiario o dal
prestatore di servizi di pagamento del beneficiario. A partire da
questo momento:
• si calcolano i tempi massimi entro i quali l'operazione di
pagamento deve essere eseguita;
• l'ordine di pagamento diventa irrevocabile;
• a seconda che sia o meno conforme al contratto, si realizza per
il prestatore di servizi di pagamento del pagatore l'obbligo di
eseguire l'ordine di pagamento o la possibilita' di rifiutarne
l'esecuzione comunicandolo al proprio cliente.
Nel caso degli addebiti diretti, la data di ricezione dell'ordine
di pagamento e' quella concordata tra il pagatore e il beneficiario
quale data di scadenza del pagamento stesso.
Per agevolare il fluido funzionamento dei circuiti di pagamento e'
prevista la possibilita' che il prestatore di servizi di pagamento
fissi un termine oltre il quale gli ordini si intendono ricevuti la
giornata operativa successiva. Tale possibilita' non deve tuttavia
tradursi in un danno per l'utilizzatore di servizi di pagamento che
non puo' vedersi ridotto in modo significativo il lasso di tempo
utile per dare un ordine di pagamento al proprio prestatore di
servizi: per tale motivo, qualora venga fissato un termine per la
ricezione degli ordini di pagamento, questo deve essere il piu'
possibile coincidente con la fine effettiva della giornata operativa.
Detto termine puo' essere differenziato in relazione al canale
utilizzato dal cliente per l'invio dell'ordine di pagamento.
Il prestatore di servizi di pagamento:
- comunica il termine di ricezione degli ordini di pagamento
all'utilizzatore in conformita' con quanto previsto dalla Sezione VI,
paragrafo 4.1.1, e 4.2.1 del provvedimento della Banca d'Italia del
29 luglio 2009 e successive modificazioni23 ;
--------------
23 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it.)
- verifica che tale termine sia coerente con l'esigenza di
garantire nel concreto la fluidita' e la correttezza
dell'effettuazione delle operazioni di pagamento; in caso di
incoerenza, provvede tempestivamente a spostarlo il piu' possibile in
avanti.
L'effetto di differimento al giorno successivo degli ordini
trasmessi dal cliente oltre il termine si produce anche nei confronti
dell'ordinante stesso. I prestatori di servizi di pagamento
riconoscono pertanto al cliente ordinante la disponibilita' delle
somme relative a un ordine di pagamento ricevuto dopo il termine
della giornata operativa fino al momento di ricezione dell'ordine
medesimo nella giomata operativa successiva.
Non e' consentito individuare analogo termine per i pagamenti
ricevuti dal prestatore di servizi di pagamento del beneficiario. Ove
tali pagamenti siano ricevuti in tempi oggettivamente incompatibili
con l'immediata messa a disposizione dei fondi del beneficiario, la
disponibilita' e' riconosciuta nel giorno operativo immediatamente
successivo alla ricezione con data valuta del giorno precedente.
La gestione della ricezione e dell'esecuzione di un ordine di
pagamento deve essere svolta in conformita' con i vincoli derivanti
dalla normativa dettata in materia di contrasto all'utilizzo dei
circuiti e servizi di pagamento per finalita' illecite e agli
obblighi dettati in materia di tracciabilita' dei flussi finanziari24
.
--------------
24 Oltre alle disposizioni di contrasto al riciclaggio dei
proventi di attivita' illecite e al finanziamento del terrorismo, si
fa riferimento alla disciplina sulla tracciabilita' dei flussi
finanziari di cui all'art. 3 della legge 13 agosto 2010, n. 136, come
modificata dal decreto legge 12 novembre 2010, n. 187 convertito in
legge, con modificazioni, dalla legge 17 dicembre 2010, n. 217, e
successivi provvedimenti attuativi. Con riferimento a quest'ultima
disciplina, i prestatori di servizi di pagamento ne possono essere
destinatari diretti.
3. Irrevocabilita' di un ordine di pagamento
L'utilizzatore non puo' revocare un ordine di pagamento una volta
che questo sia stato ricevuto dal suo prestatore di servizi di
pagamento.
Quando l'operazione di pagamento e' disposta su iniziativa del
beneficiario o per il suo tramite, il pagatore, in ossequio al
principio di affidamento, non puo' revocare l'ordine dopo che questo
e' stato trasmesso al beneficiario medesimo o dopo avergli dato il
consenso ad eseguire l'operazione di pagamento. Nel caso di addebiti
diretti, per i quali vi e' una preventiva autorizzazione all'addebito
del proprio conto da parte del pagatore, quest'ultimo puo' revocare
l'ordine non oltre la fine della giornata operativa precedente il
giorno concordato per l'addebito dei fondi.
Nel caso di pagamenti a esecuzione differita, la revoca non puo'
intervenire oltre la fine della giornata operativa che precede il
giorno previsto per l'esecuzione.
Decorsi i termini sopra richiamati, un ordine di pagamento puo'
essere revocato solo se sussiste l'accordo tra l'utilizzatore e il
suo prestatore di servizi di pagamento.
4. Rifiuto di un ordine di pagamento
Il prestatore di servizi di pagamento ha l'obbligo di eseguire un
ordine di pagamento quando questo risulti conforme alle condizioni
previste nel contratto. In caso di rifiuto, per tutelare
l'affidamento del cliente che confida nell'esecuzione dell'ordine di
pagamento impartito secondo i tempi previsti, il prestatore di
servizi di pagamento deve informare immediatamente, e comunque non
oltre il termine per l'esecuzione dell'operazione di pagamento, il
pagatore del rifiuto di eseguire l'ordine seguendo le modalita' di
comunicazione concordate nel contratto e fornendo le motivazioni del
rifiuto, salvo che tale comunicazione sia contraria alla legge (tale
contrarieta' ricorre, ad esempio, nel caso in cui il nominativo del
pagatore corrisponda a uno di quelli elencati nelle liste diffuse per
il contrasto al finanziamento del terrorismo). Considerata l'esigenza
di effettuare con la massima rapidita' tale comunicazione, i
prestatori di servizi di pagamento debbono adottare modalita' di
comunicazione atte ad assicurare il piu' possibile l'immediatezza
dell'informazione del cliente (es. telefoniche o a mezzo posta
elettronica).
Ove il rifiuto sia imputabile a un errore materiale del pagatore,
il prestatore di servizi di pagamento e' tenuto a comunicare anche le
procedure finalizzate alla correzione dello stesso.
5. Tempi di esecuzione
Il tempo di esecuzione e' il tempo necessario affinche' l'ordine di
pagamento venga eseguito attraverso l'accredito dei fondi sul conto
del beneficiario o la loro messa a disposizione a favore di
quest'ultimo.
5.1 Pagamenti a valere su un conto
Il prestatore di servizi di pagamento del pagatore esegue l'ordine
di pagamento con l'accredito dei fondi sul conto del prestatore di
servizi di pagamento del beneficiario entro la fine della giornata
operativa successiva alla ricezione dell'ordine di pagamento; fino al
1° gennaio 2012 detto lasso temporale e' dilazionabile, d'accordo tra
il prestatore e l'utilizzatore del servizio di pagamento, fino a un
massimo di tre giorni.
Nel caso in cui l'operazione sia ad iniziativa del pagatore, il
termine decorre da quando l'ordine di pagamento e' ricevuto dal
prestatore di servizi di pagamento di quest'ultimo. Nel caso delle
operazioni ad iniziativa del beneficiario o per il suo tramite, il
termine decorre dal momento della ricezione, da parte del prestatore
di servizi del pagatore, della disposizione di pagamento trasmessa
dal prestatore di servizi del beneficiario. La trasmissione della
disposizione di pagamento ha luogo nel momento concordato tra il
beneficiario e il proprio prestatore di servizi (facendo riferimento,
ad esempio, alla data di addebito indicata sulla fattura di un'utenza
domestica).
5.1.1 Conversioni valutarie
Fatto salvo quanto previsto dall'articolo 126-octies, comma 1, del
Decreto, qualora un'operazione di pagamento sia eseguita in una
valuta diversa da quella in cui e' denominato il conto del
beneficiario il prestatore di servizi di pagamento del beneficiario:
1) avvia immediatamente l'operazione di conversione valutaria;
2) riconosce la disponibilita' dei fondi al beneficiario nella
valuta in cui e' denominato il conto non appena l'operazione di
conversione valutaria e' stata completata. Resta ferma la
possibilita' del beneficiario di chiedere al proprio prestatore di
servizi di pagamento di non accreditare la somma ricevuta sul proprio
conto rendendola disponibile nella valuta in cui era originariamente
espresso il pagamento.
In caso di ordini di pagamento da eseguire in una valuta diversa da
quella in cui e' denominato il conto del pagatore - o, in mancanza di
un conto, da quella versata per l'esecuzione dell'operazione - il
prestatore di servizi di pagamento del pagatore informa quest'ultimo
del tasso di cambio applicato.
5.1.2 Pagamenti interni
Il caso dei c.d. "pagamenti interni" ricorre quando i conti
coinvolti nell'operazione di pagamento sono tenuti presso lo stesso
prestatore di servizi di pagamento. In tal caso, ove i conti siano
detenuti presso la stessa filiale o presso diverse filiali del
medesimo prestatore di servizi di pagamento, le operazioni devono
essere eseguite immediatamente ai sensi dell'art. 23 del Decreto, a
meno che per il relativo regolamento non venga utilizzato un sistema
esterno al prestatore medesimo. In tal caso il momento dell'accredito
dei fondi sul conto della filiale presso cui e' detenuto il conto del
beneficiario, fermo restando il rispetto dei tempi di cui all'art. 20
del Decreto, sara' quello del regolamento del sistema esterno
attraverso il quale viene effettuato il regolamento dell'operazione.
5.2 Pagamenti in assenza di conto
Se il beneficiario non ha un conto di pagamento, i fondi trasferiti
sono messi a sua disposizione dal prestatore di servizi di pagamento
di cui egli si avvale entro i tempi di cui all'articolo 23, comma 2,
del Decreto, che decorrono dall'accredito dei fondi medesimi sul
conto del prestatore di servizi in questione. Le somme dovranno
essere contabilizzate in conti o sottoconti transitori riconducibili
al beneficiario che verranno estinti nel momento in cui esse saranno
ritirate in contanti o il beneficiario ne richiedera' l'accredito su
un altro conto.
5.3 Versamenti
Nel caso di versamenti di contante su un conto nella stessa valuta
in cui e' denominato il conto medesimo, i fondi sono immediatamente
disponibili per il titolare del conto e la data valuta sara' quella
del giorno in cui viene effettuato il versamento. Se l'utilizzatore
non e' un consumatore, l'importo e' reso disponibile e la valuta
datata al piu' tardi la giornata operativa successiva al versamento
dei fondi.
Quando il versamento di contante e' effettuato in una valuta
diversa da quella in cui e' denominato il conto, i fondi sono
immediatamente disponibili per l'utilizzo (ad esempio, per
l'esecuzione di un nuovo ordine di pagamento espresso nella valuta
medesima che non deve quindi essere convertita) ma vengono
accreditati sul conto immediatamente dopo che sia stata effettuata
l'operazione di conversione valutaria; la data valuta e' quella
dell'accredito in conto che non puo' superare la seconda giornata
operativa successiva a quella in cui viene effettuato il versamento
(cfr. presente Sezione, par. 5.1.1). L'utilizzatore viene
preventivamente informato dei tempi necessari per effettuare detta
operazione di conversione valutaria. Qualora il titolare del conto
non sia un consumatore, la disponibilita' dei fondi potra' essere al
piu' tardi quella della giornata operativa successiva a quella in cui
il versamento ha avuto luogo e la data valuta applicata potra' essere
quella della terza giornata operativa successiva a quella del
versamento.
5.4 Data valuta e disponibilita' dei fondi
Cfr. Sezione III, par. 3, del presente Provvedimento.
5.4.1 Pagamenti in giornate non operative
Nel caso di operazioni di pagamento effettuate in una giornata che
non e' operativa per il prestatore di servizi di pagamento del
pagatore o, nel caso di prelievo effettuato in una giornata che non
e' operativa per il prestatore di servizi di pagamento presso cui e'
detenuto il conto di pagamento dal quale i fondi vengono prelevati,
la data in cui l'importo viene addebitato sul medesimo conto e'
necessariamente successiva a quella in cui i fondi sono resi
disponibili all'utilizzatore. In tali casi, la data valuta
dell'operazione di pagamento e' quella del giorno in cui viene
disposto l'ordine di pagamento o effettuato il prelievo. Per il
rispetto dei tempi di esecuzione di cui all'articolo 20 del Decreto,
l'ordine di pagamento si intende ricevuto il giorno in cui il
pagatore dispone effettivamente dei fondi, quindi, il giorno in cui
viene disposto l'ordine di pagamento o effettuato il prelievo.
5.5 Rettifiche
La rettifica e' un'operazione con la quale viene corretta
un'operazione di pagamento eseguita in modo inesatto, anche a causa
di un mero errore materiale, di ritardi nella contabilizzazione o di
un difetto di autorizzazione all'esecuzione (e' questo, ad esempio,
il caso di storni, rimborsi, ecc.; cfr. anche Sezione IV, par. 4). La
rettifica riporta il conto nello stato in cui si sarebbe trovato se
l'operazione errata non avesse avuto luogo: la data valuta applicata
verra' quindi retrodatata al giorno in cui i fondi sono stati
originariamente addebitati sul conto del pagatore e, se del caso, la
data valuta di addebito al beneficiario verra' retrodatata al giorno
in cui i fondi sono stati accreditati sul conto del beneficiario.
Il prestatore di servizi di pagamento puo' scegliere di effettuare
la rettifica con un'operazione di pagamento che integra quella
precedentemente eseguita in modo inesatto, oppure annullare
l'operazione di pagamento eseguita in modo inesatto con una ad essa
uguale e contraria ed effettuare una nuova operazione conforme
all'ordine di pagamento o alle istruzioni impartite dal proprio
cliente.
I prestatori di servizi di pagamento provvedono a effettuare
rettifiche in relazione a esigenze effettive connesse con operazioni
non autorizzate o eseguite in modo inesatto; non e' ammesso il
ricorso a rettifiche aventi l'effetto sostanziale di eludere le
regole poste a presidio della regolare esecuzione delle operazioni di
pagamento (in particolare, di quelle relative alla valuta e ai tempi
di esecuzione delle operazioni medesime).
SEZIONE VI
Responsabilita'
Come nella fase di autorizzazione di un pagamento, la normativa
opera un attento bilanciamento di obblighi tra prestatori e
utilizzatori di servizi di pagamento anche nella fase di esecuzione
dell'operazione di pagamento: all'estensione della responsabilita'
dei prestatori di servizi di pagamento a copertura dell'intero ciclo
di trasferimento monetario fa riscontro l'esenzione totale di
responsabilita' per gli stessi nel caso in cui l'utilizzatore abbia
fornito un identificativo unico inesatto. I rimedi individuati dal
Decreto per i casi di operazioni di pagamento non eseguite o eseguite
in modo inesatto lasciano impregiudicata l'applicazione di quelli
risarcitori previsti dal codice civile.
1. Fonti normative:
Artt. 24, 25, 27, 28 del Decreto
2. Identificativo unico
L'identificativo unico e' un codice che identifica l'utilizzatore
di servizi di pagamento o il suo conto oppure entrambi. Esso viene
indicato a ciascun utilizzatore dal prestatore di servizi di
pagamento e assolve alla funzione di indirizzamento dei pagamenti,
consentendone l'esecuzione interamente automatizzata (c.d. straight
through processing). L'utilizzatore che impartisce un ordine di
pagamento deve quindi fornire al proprio prestatore di servizi
l'identificativo unico della controparte del pagamento e deve
prestare particolare attenzione a che il codice fornito sia esatto.
Secondo quanto previsto nella Sezione VI paragrafo 4.1.1 del
provvedimento della Banca d'Italia del 29 luglio 2009 e successive
modificazioni25 , i prestatori di servizi di pagamento debbono
adottare accorgimenti idonei a richiamare l'attenzione degli
utilizzatori sulle conseguenze derivanti dall'utilizzo di un codice
identificativo inesatto.
--------------
25 "Disposizioni in materia di trasparenza delle operazioni e
dei servizi bancari e finanziari. Correttezza delle relazioni tra
intermediari e clienti" disponibili sul sito internet della Banca
d'Italia (www.bancaditalia.it).
2.1 Identificativi unici inesatti
L'esecuzione dell'ordine in conformita' con l'identificativo unico
fornito dall'utilizzatore fa scattare la presunzione di esecuzione
corretta dell'ordine medesimo da parte del prestatore di servizi di
pagamento ed esclude la sua responsabilita' in caso di mancata o
inesatta esecuzione dell'operazione di pagamento. La presunzione di
corretta esecuzione e l'esclusione della responsabilita' operano
anche qualora l'utilizzatore abbia fornito al proprio prestatore di
servizi di pagamento informazioni aggiuntive rispetto
all'identificativo unico: quest'ultimo assume quindi importanza
prioritaria, condizionando il buon fine delle operazioni di pagamento
e la possibilita' per l'utilizzatore di far valere le responsabilita'
del prestatore di servizi di cui si avvale.
Nel caso in cui l'utilizzatore abbia fornito un codice
identificativo inesatto, i prestatori di servizi di pagamento si
adoperano per il recupero dei fondi oggetto dell'operazione di
pagamento sulla base degli obblighi di diligenza professionale che
loro competono. All'utilizzatore potranno essere applicate spese per
il recupero dei fondi, secondo i principi elencati nella Sezione III
del presente Provvedimento.
Sulla base dei citati obblighi di diligenza professionale, i
prestatori di servizi di pagamento - limitatamente ai casi in cui,
anche senza porre necessariamente in essere verifiche specifiche,
siano comunque consapevoli dell'inesattezza dell'identificativo unico
fornito dal proprio cliente - devono adoperarsi affinche'
l'operazione di pagamento venga eseguita correttamente: il prestatore
che esegua l'operazione di pagamento malgrado sia consapevole
dell'inesattezza dell'identificativo unico pone infatti in essere una
condotta volutamente pregiudizievole degli interessi del proprio
cliente. Pertanto, al fine di favorire la corretta esecuzione
dell'operazione di pagamento, il prestatore di servizi di pagamento
consapevole dell'inesattezza dell'identificativo unico utilizzato dal
proprio cliente lo contattera' prima di avviare l'esecuzione
dell'operazione di pagamento. Il prestatore di servizi del
beneficiario consapevole contattera' invece il prestatore di servizi
dell'ordinante prima di decidere se respingere il pagamento - nel
caso di codice identificativo inesistente presso di se' - ovvero di
eseguirlo sulla base del solo codice identificativo unico in caso di
discordanza tra questo e i riferimenti indicati nell'ordine di
pagamento. L'adozione di tali accorgimenti - ove fondata su
presupposti oggettivi e giustificabili - esime il prestatore di
servizi di pagamento da responsabilita' per il mancato rispetto dei
tempi di esecuzione dell'operazione di pagamento.
2.2 Assenza di identificativo unico
Qualora l'utilizzatore ometta di fornire al prestatore di servizi
di pagamento di cui si avvale l'identificativo unico della
controparte del pagamento l'ordine di pagamento deve essere rifiutato
dal prestatore di servizi medesimo, a meno che quest'ultimo non sia
gia' in possesso dell'identificativo unico della controparte in
quanto fornito in precedenza dall'utilizzatore che impartisce
l'ordine di pagamento. In quest'ultimo caso, ove decida di eseguire
l'ordine di pagamento ricevuto, il prestatore di servizi di pagamento
comunichera' al proprio cliente l'integrazione dell'ordine di
pagamento incompleto prima di avviare la relativa esecuzione.
3. Responsabilita' per mancata o inesatta esecuzione
3.1 Principi generali
Il Decreto disciplina la responsabilita' dei prestatori di servizi
di pagamento in caso di mancata o inesatta esecuzione di
un'operazione di pagamento. Tale disciplina fa salva l'applicabilita'
delle disposizioni che esimono i prestatori di servizi di pagamento
da responsabilita' (quale l'utilizzo di identificativi unici
inesatti, il caso fortuito e la forza maggiore) e non pregiudica le
modalita' e i tempi con cui l'utilizzatore deve far valere le proprie
ragioni per l'esecuzione non autorizzata o inesatta di un'operazione
di pagamento (articolo 9 del Decreto).
La disciplina contenuta nell'articolo 25 del Decreto si concentra
infatti sul modo in cui un'operazione di pagamento viene eseguita e
sul caso in cui essa non venga eseguita affatto, prescindendo dagli
elementi che hanno dato luogo all'inesattezza o al difetto di
esecuzione quali la volonta' del pagatore, errori dell'utilizzatore,
eventi accidentali o inevitabili.
Un'operazione di pagamento e' eseguita in modo inesatto quando
l'esecuzione non e' conforme a quanto chiesto dall'utilizzatore al
proprio prestatore di servizi di pagamento nell'ordine di pagamento o
in istruzioni allo stesso impartite. Il rispetto delle istruzioni
impartite dal cliente attiene all'importo trasferito, ai tempi di
esecuzione e di disponibilita', alle date valuta applicate. Si ha
mancata esecuzione di un'operazione di pagamento quando i fondi
oggetto dell'ordine di pagamento non vengono trasferiti da parte del
prestatore di servizi di pagamento del pagatore, rimanendo nella
disponibilita' del pagatore o del prestatore stesso. Qualora i fondi
vengano addebitati al pagatore, escano dalla disponibilita' del
prestatore di servizi del pagatore ma non vengano accreditati, in
tutto o in parte, al prestatore del beneficiario l'esecuzione sara'
invece considerata inesatta.
Il principio generale al quale e' informata la ripartizione di
responsabilita' per la corretta esecuzione delle operazioni di
pagamento e' che ciascun prestatore di servizi di pagamento e'
interamente responsabile nei confronti del proprio cliente. Fatto
salvo il riparto di responsabilita' nelle diverse fasi in cui si
articola l'esecuzione di un'operazione di pagamento, ciascun
prestatore di servizi risponde quindi nei confronti del proprio
cliente di tutte le spese o interessi che siano stati a lui imputati
a seguito della mancata o inesatta esecuzione dell'operazione di
pagamento.
In caso di inesatta o mancata esecuzione di un'operazione di
pagamento, ferme restando le rispettive responsabilita' dei
prestatori di servizi di pagamento coinvolti, l'obbligo di diligenza
professionale che ricade in capo ai prestatori di servizi di
pagamento impone comunque a questi ultimi di adoperarsi senza indugio
- quando i clienti ne facciano richiesta - per individuare lo stato
in cui si trovano i fondi oggetto dell'ordine di pagamento e di
comunicarlo tempestivamente ai clienti medesimi.
3.2 Responsabilita' del prestatore di servizi di pagamento del
pagatore
Il prestatore di servizi di pagamento del pagatore risponde nei
confronti del proprio cliente della corretta esecuzione dell'ordine
di pagamento. La responsabilita' comporta l'obbligo di rimborso
immediato dell'importo non andato a buon fine, oppure, ove l'ordine
di pagamento sia stato impartito a valere su un conto, l'obbligo di
ripristinare la situazione del conto come se l'operazione eseguita in
modo inesatto non avesse avuto luogo. Il rimborso non e' dovuto nel
caso in cui la somma da trasferire non sia mai stata addebitata al
pagatore.
In ossequio al principio di conservazione degli atti giuridici, il
pagatore puo' scegliere di non ottenere il rimborso o il ripristino
del conto (ad esempio nel caso di esecuzione avvenuta oltre i tempi
massimi previsti nell'articolo 20 del Decreto o nel caso di
trasferimento di un importo diverso da quello indicato nell'ordine di
pagamento); puo' comunque ottenere la rettifica dell'operazione
inesatta secondo quanto previsto dall'articolo 9 del Decreto.
Il prestatore di servizi di pagamento del pagatore puo' comunque
dimostrare al proprio cliente e, ove necessario, al prestatore di
servizi di pagamento del beneficiario che i fondi trasferiti sono
stati accreditati sul conto di quest'ultimo prestatore secondo i
prescritti limiti temporali; in tal caso, l'ordine di pagamento deve
intendersi eseguito correttamente da parte del prestatore del
pagatore e il prestatore di servizi di pagamento del beneficiario
risponde nei confronti del beneficiario della corretta esecuzione
dell'operazione di pagamento, mettendo immediatamente i fondi
ricevuti a disposizione del proprio cliente o accreditandoli sul suo
conto.
3.3 Responsabilita' del prestatore di servizi di pagamento del
beneficiario
Quando un'operazione di pagamento e' disposta su iniziativa del
beneficiario o per il suo tramite, il prestatore di servizi di
pagamento del beneficiario deve:
• rispettare i tempi concordati con il beneficiario per l'inoltro
della disposizione di incasso al prestatore di servizi del pagatore;
• trasmettere in modo corretto la disposizione di incasso di cui al
punto precedente;
• applicare la data valuta dell'accredito dei fondi sul conto del
beneficiario secondo quanto prescritto dall'articolo 23 del decreto;
• mettere immediatamente a disposizione del beneficiario i fondi
ricevuti.
3.4 Diritto di regresso
Se la responsabilita' di un prestatore di servizi di pagamento ai
sensi dei paragrafi precedenti e' in realta' ascrivibile ad un altro
prestatore di servizi di pagamento o a qualunque altro soggetto
intervenuto nell'esecuzione dell'operazione di pagamento, questo
sara' tenuto a risarcire il prestatore di servizi di pagamento
responsabile delle perdite subite o degli importi versati.
L'esercizio del diritto di regresso lascia impregiudicati eventuali
ulteriori risarcimenti derivanti da accordi in essere tra prestatori
di servizi di pagamento o dalla disciplina ad essi applicabile.
SEZIONE VII
Disposizioni transitorie e finali
1. Istituti di pagamento
Gli Istituti di pagamento redigono la relazione sulla struttura
organizzativa e il documento descrittivo dei servizi di pagamento
prestati e delle relative caratteristiche di cui alla Sezione III,
Capitolo VI, delle Disposizioni di Vigilanza della Banca d'Italia per
gli istituti di pagamento tenendo conto degli obblighi previsti dal
presente Provvedimento.
2. Istituti di moneta elettronica
Gli Istituti di moneta elettronica redigono la relazione sulla
struttura organizzativa di cui alla Sezione III, Capitolo VIII, delle
Istruzioni di Vigilanza per gli Istituti di moneta elettronica (Imel)
tenendo conto degli obblighi previsti dal presente Provvedimento.
3. Banche e Poste Italiane S.p.A.
Le banche e Poste Italiane S.p.A. tengono conto degli obblighi
previsti dal presente Provvedimento nella definizione della propria
struttura organizzativa e di controlli interni.
ALLEGATO TECNICO
Tipologie di strumenti di piu' elevata qualita' sotto il profilo
della sicurezza
1. Premessa
I prestatori di servizi di pagamento (PSP) sono sottoposti
all'obbligo generale di assicurare per tutti gli strumenti di
pagamento offerti alla clientela adeguati presidi
tecnico-organizzativi di sicurezza al fine di garantire il regolare
funzionamento, in ogni momento, degli stessi nonche' la fiducia del
pubblico nel loro utilizzo. La conformita' a tale obbligo e' definita
nella Sezione IV del Provvedimento della Banca d'Italia (d'ora in
avanti "Provvedimento") emanato ai sensi dell'art. 31 del D.lgs 27
gennaio 2010, n. 1126 (d'ora in avanti "Decreto").
--------------
26 Vedi Provvedimento Banca d'Italia cit., Sez. IV - § 3
"Obblighi del prestatore di servizi di pagamento in relazione alla
prestazione di servizi e all'emissione di strumenti di pagamento"
Le presenti disposizioni - emanate ai sensi dell'articolo 12, comma
5, del Decreto - individuano gli strumenti di pagamento retail di
piu' elevata qualita' sotto il profilo della sicurezza, per i quali
la Banca d'Italia riconosce l'esclusione della responsabilita'
patrimoniale dell'utilizzatore, fatta eccezione per i casi di dolo,
colpa grave ovvero mancata adozione di misure idonee a garantire la
sicurezza dei dispositivi necessari per l'esecuzione dei pagamenti27
.
--------------
27 Questo implica, per l'utilizzatore, l'esonero dalla
responsabilita' di perdite fino a 150 euro derivanti dall'utilizzo
indebito dello strumento di pagamento conseguente al suo furto o
smarrimento.
Obiettivo delle presenti disposizioni e' la promozione di strumenti
di pagamento sicuri che aumentino la fiducia del pubblico nei
pagamenti elettronici e, quindi, ne favoriscano la diffusione; in
considerazione di tale obiettivo, esse trovano applicazione
esclusivamente nei casi di utilizzo degli strumenti "a maggior
sicurezza" da parte di "consumatori", con esclusione, quindi, delle
altre categorie di utilizzatori previste dal Decreto.
Gli strumenti qualificati come "a maggior sicurezza" non vanno
intesi come mezzi intrinsecamente sicuri, cioe' privi di rischio, ma
come strumenti che presentano un livello di rischio connesso con
frodi o disconoscimenti inferiore rispetto agli altri strumenti di
pagamento alla luce dell'evoluzione tecnologica.
L'adesione ai requisiti delle presenti disposizioni avviene su base
volontaria per singolo strumento di pagamento su richiesta del PSP.
La Banca d'Italia assicura la generale conoscibilita' di tali
strumenti.
Nei paragrafi successivi si definiscono i requisiti
tecnico-organizzativi che qualificano i presidi di sicurezza
"rafforzati" degli strumenti "a maggior sicurezza" nonche' la
procedura per il riconoscimento di tali requisiti.
2. Requisiti degli strumenti "a maggior sicurezza"
Sono strumenti di piu' elevata qualita' quelli dotati di maggiori
presidi di sicurezza specificamente orientati a:
• prevenire i furti di identita';
• minimizzare il rischio di frodi.
Gli strumenti di pagamento possono essere qualificati a "maggior
sicurezza" in presenza di un rapporto di valutazione, (cfr. § 3), che
attesti la presenza presso il PSP del processo di gestione e
mitigazione dei rischi relativi alla sicurezza secondo quanto
previsto alla sezione IV, par. 3.1. del Provvedimento.
Il processo di gestione e mitigazione dei rischi, per gli strumenti
di cui al presente allegato, deve includere obbligatoriamente
specifici presidi per la mitigazione del rischio di sottrazione delle
credenziali di autenticazione dai dispositivi dell'utente (es: smart
card, token, PC, lap-top, telefono cellulare), dai canali di
comunicazione (es: attacchi man-in-the-middle) e dai dispositivi del
PSP (server, data storage, etc.). In particolare, tra i presidi
specifici devono essere previsti almeno quelli relativi a quanto di
seguito indicato:
a) Autenticazione multifattore 28 . L'autenticazione dell'utente
deve avvenire utilizzando due o piu' fattori di autenticazione; tali
fattori devono essere tra loro indipendenti in maniera che la
compromissione dell'uno non comprometta anche l'altro. Nel caso di
One-Time-Password di tipo timebased, il tempo di validita' della
singola password non deve superare i 100 secondi ed in ogni caso deve
impedire attacchi di tipo "forza bruta".
--------------
28 Le metodologie di autenticazione forte degli utenti si
basano su una pluralita' di "fattori", tra i quali: i) qualcosa che
l'utente conosce (es: password/PIN); ii) qualcosa che l'utente
possiede (es. smart card, token, OTP, SIM cellulare, Firma Digitale);
iii) qualcosa che l'utente e' (es: caratteristiche biometriche).
Fattori di diverso tipo possono essere combinati insieme per ottenere
soluzioni di autenticazione "multifattore" in grado di elevare il
livello complessivo di sicurezza.
b) Autenticazione del dispositivo del PSP: lo strumento di
pagamento deve essere in grado di autenticare in maniera sicura il
dispositivo di pagamento del PSP con il quale interagisce, al fine di
minimizzare il rischio che l'utilizzatore consegni inconsapevolmente
le proprie credenziali e i propri dati a dispositivi malevoli (es:
autenticazione POS/ATM verso la carta, autenticazione Web server
della banca verso il PC dell'utente, personalizzazione della pagina
Web29 ).
c) Autorizzazione on-line delle transazioni: le transazioni di
importo superiore a 500 euro devono essere autorizzate on-line
tramite il server centrale che gestisce lo strumento di pagamento.
--------------
29 In fase di registrazione, il PSP mette a disposizione
funzioni per la personalizzazione della pagina Web dove
l'utilizzatore inserisce le proprie credenziali; tale
personalizzazione puo' avvenire attraverso un'immagine e/o una frase
che l'utente registra ed e' in grado di vedere ogni volta che esegue
il login verso il sito valido, agendo come segreto condiviso (shared
secret) tra l'utente ed il server. Se il segreto condiviso non e'
presente oppure non e' presentato in maniera corretta, l'utente
finale sara' immediatamente in grado di notarlo, evitando di
incorrere in attacchi di tipo phishing.
d) Crittografia end-to-end: la trasmissione delle credenziali di
autenticazione dell'utilizzatore nonche' dei suoi dati personali, dal
dispositivo del cliente fino al punto di verifica del PSP, deve
essere effettuata su canali con cifratura end-to-end30 . Qualora la
tecnologia del PSP richieda che tali dati siano rimessi in chiaro su
dispositivi intermedi, cio' deve avvenire all'interno di dispositivi
sicuri (es: tamper-resistant module, HSM), oppure nell'ambito di
sottoreti chiuse non pubbliche sicure (es: reti aziendali protette).
Le funzioni di cifratura utilizzate devono basarsi su algoritmi
pubblicamente disponibili e di comprovata robustezza.
--------------
30 Sono esclusi dalla seguente previsione i servizi di banca
telefonica, basati su interazione vocale con l'operatore oppure
attraverso servizi di risponditori automatici (IVR).
e) Autorizzazione singola transazione: nel caso lo strumento
consenta di effettuare piu' transazioni dispositive nell'ambito della
stessa sessione (es: Internet Banking), ogni transazione deve essere
autorizzata singolarmente.
f) Canale out-of-band: lo strumento di pagamento deve mettere a
disposizione dell'utilizzatore31 un canale di comunicazione
differente da quello usualmente utilizzato per le transazioni,
attraverso cui l'utilizzatore viene tempestivamente informato delle
transazioni effettuate (es: SMS, email, pagine web riservate, etc.).
--------------
31 Per utilizzatore si intende in questo caso il titolare
dello strumento di pagamento.
g) Aggiornamento del software: per gli aggiornamenti dello
strumento di pagamento effettuati da remoto, il PSP implementa metodi
di download sicuri32 delle nuove versioni software, ovvero dei
relativi parametri di configurazione, dai propri server ai
dispositivi dell'utente33 .
--------------
32 Tali metodi dovrebbero assicurare la autenticita',
riservatezza e integrita' dei frammenti software (e/o dei relativi
dati di configurazione) trasmessi via rete.
33 Si precisa che il download sicuro e' richiesto unicamente
per le componenti software strettamente funzionali all'operazione di
pagamento.
h) Controlli in sede di gestione dello strumento di pagamento:
nella fase di attivazione di uno strumento di pagamento, il PSP mette
a disposizione del cliente un processo di verifica delle identita'
che prevede adeguati controlli volti a minimizzare il rischio di
acquisizione di false generalita'. Per la gestione dello strumento di
pagamento (es: cambio PIN/password, variazione indirizzo, modifica
limiti di spesa, etc.), sono disponibili processi con sistemi di
autenticazione affidabili, diversi da quelli in essere per le
transazioni dispositive. Il PSP garantisce che non sia possibile
ottenere le credenziali di autenticazione dell'utilizzatore
sufficienti ad effettuare una transazione dalla intercettazione delle
comunicazioni periodiche tra PSP e utilizzatore (es: estratti conto
via posta, e-mail o SMS).
i) Controlli per il contrasto di attacchi complessi: il titolare
delle funzionalita' di pagamento (il PSP o il circuito a cui
aderisce) implementa efficaci controlli in grado di intercettare
attacchi complessi, inclusi quelli che si basano sulla interposizione
dell'attaccante tra il dispositivo di pagamento e il PSP (es:
Man-In-The-Middle)34 .
--------------
34 Nel tipico scenario di attacco man-in-the-middle,
l'attaccante durante una transazione dispositiva effettuata
dall'utente modifica il numero del conto del destinatario ovvero
l'ammontare dell'operazione prima che essa si perfezioni. In maniera
similare, nel caso di una carta di pagamento, l'attaccante si
intromette nel collegamento tra POS e Issuer per carpire le
credenziali della carta ed utilizzarle su un altro terminale POS a
proprio vantaggio.
In aggiunta a quanto precede, il titolare delle funzionalita' di
pagamento (il PSP o il circuito a cui aderisce) implementa efficaci
controlli di sicurezza in grado di rilevare tempestivamente
transazioni sospette o attivita' inusuali potenzialmente
riconducibili a furto di identita' o frode. In particolare, i
suddetti controlli devono riscontrare orario e canale utilizzato
dall'utente nell'effettuare la transazione nonche' essere in grado di
rilevare almeno le seguenti situazioni:
- ripetute transazioni di trasferimento fondi eseguite entro un
ristretto periodo di tempo35 verso lo stesso beneficiario e per
importi prossimi ai massimali consentiti;
--------------
35 Ci si riferisce a transazioni di movimento fondi, non
direttamente riconducibili a sottostanti acquisti di beni o servizi,
che sono generalmente piu' appetibili in caso di frode.
- cambio di indirizzo richiesto dell'utente, a cui fa seguito a
stretto giro la richiesta di ri-emissione di PIN/password da
consegnare attraverso il servizio postale;
- innalzamento dei massimali richiesti dall'utente, a cui fa
seguito una improvvisa movimentazione di fondi verso controparti
inusuali.
In tali casi il PSP riscontra prontamente con l'utilizzatore
l'autenticita' di tali transazioni ovvero dispone il blocco
cautelativo.
3. Assessment indipendente
Gli organi aziendali assicurano, nell'ambito delle rispettive
competenze, la conformita' ai requisiti necessari perche' lo
strumento di pagamento possa essere qualificato a maggiore sicurezza,
mediante una specifica validazione (assessment). Per lo svolgimento
dell'assessment i PSP possono avvalersi anche di una terza parte
indipendente e qualificata. I risultati dell'assessment devono essere
altresi' portati a conoscenza e approvati dagli organi aziendali
competenti. L'assessment deve prevedere, oltre a valutazioni di tipo
organizzativo, specifiche verifiche tecniche volte ad accertare la
robustezza dei presidi di sicurezza implementati, con particolare
riferimento agli aspetti indicati nel § 2. L'assessor deve possedere
adeguata expertise nel comparto della sicurezza delle informazioni36
ed assicurare imparzialita' nello svolgimento del compito affidato.
--------------
36 A titolo esemplificativo, l'Assessor potrebbe essere un
soggetto accreditato secondo standard internazionali ovvero una
Autorita' Finanziaria
La valutazione deve riguardare l'intero ciclo di vita dello
strumento di pagamento (emissione, transazione, compensazione e
regolamento, risoluzione delle controversie, monitoraggio). Nel caso
di strumenti che funzionino nell'ambito di un circuito, la
valutazione deve riguardare tutti i canali di accettazione dello
strumento di pagamento, anche se non ricadenti sotto il diretto
controllo del PSP (es. POS fisici, internet, canale telefonico).
Il rapporto di valutazione deve: i) attestare l'esistenza di un
efficace processo di risk management; ii) dare conto della
adeguatezza dei presidi di sicurezza implementati; iii) documentare
il numero e la tipologia delle frodi nonche' delle violazioni di
sicurezza subite nel periodo di riferimento precedente alla
valutazione. Al riguardo si precisa che, per gli strumenti di nuova
costituzione o con tempo di vita inferiore all'anno, la suddetta
documentazione statistica sulle frodi e violazioni di sicurezza non
e' richiesta; per gli strumenti gia' operativi, il periodo di
riferimento per la statistica non deve essere inferiore all'anno; in
caso di rinnovo della valutazione, il periodo di riferimento da
considerare e' quello intercorso dall'ultima valutazione effettuata.
Inoltre, il rapporto di valutazione deve attestare il supporto del
Vertice Aziendale al richiesto processo di risk management per il
quale ha definito una adeguata struttura organizzativa. Tale processo
deve prevedere presidi di sicurezza adeguati rispetto ai rischi da
fronteggiare e includere tutti quelli elencati al paragrafo 2. Esso
deve contenere quanto segue:
- data e fasi: deve essere indicato il periodo di riferimento
dell'assessment e si deve dare conto delle fasi di progettazione,
implementazione, testing, messa in produzione, revisione periodica
dello strumento di pagamento;
- contesto: deve essere descritto il perimetro della valutazione
effettuata, indicando quali componenti (sistemi, reti, apparati,
dispositivi, strutture organizzative) sono state oggetto della
valutazione. Tale perimetro deve interessare tutte le componenti
tecnologiche e organizzative afferenti al servizio di pagamento;
- metodologia: deve essere indicato l'approccio seguito nel
percorso di valutazione (analisi documentale, interviste, test di
laboratorio, ispezioni). I risultati della valutazione devono essere
riproducibili e comparabili. Il rapporto deve fornire riferimenti
specifici sulle aree a maggior rischio (es: vulnerability assessment
e penetration test per i servizi via Internet, test sulla resistenza
alla effrazione per i POS, verifica delle caratteristiche di qualita'
dei token). Essi possono essere documentati facendo riferimento anche
a rapporti di valutazione o certificazioni emessi da altri soggetti
specializzati sulle tematiche in esame;
- risultati: devono essere chiaramente esposti i risultati della
valutazione, evidenziando gli eventuali aspetti potenzialmente
critici per il servizio di pagamento offerto dal PSP; va anche
quantificato il rischio residuo tenendo in considerazione le
principali modalita' con cui sono effettuati gli attacchi e le
relative frequenze nonche' l'effetto mitigante delle contromisure
poste in essere;
- raccomandazioni: devono essere riportate eventuali
raccomandazioni del valutatore volte a sanare criticita' riscontrate
o aree con livelli di sicurezza sub-ottimali.
Il rapporto di valutazione deve essere: i) rinnovato con frequenza
almeno biennale; ii) aggiornato in presenza di significative
modifiche tecnico-organizzative del servizio di pagamento.
4. Procedura di adesione.
La qualifica di strumento a "maggior sicurezza" e' riconosciuta
dalla Banca d'Italia, su richiesta dei vertici aziendali del PSP, a
seguito di una valutazione per la quale e' necessario:
1. fornire la descrizione del prodotto, con evidenza delle
caratteristiche di cui al § 2 (Requisiti degli strumenti a maggior
sicurezza);
2. presentare l'assessment di cui al § 3 (Assessment indipendente);
3. fornire riferimenti sul soggetto che ha eseguito l'assessment;
4. predispone uno schema di pagina web descrittiva del prodotto e
dei risultati dell'assessment, che costituira' il riferimento al
quale la Banca d'Italia fara' rinvio per assicurare la generale
conoscibilita' degli strumenti di piu' elevata qualita' sotto il
profilo della sicurezza, mediante loro inclusione in una lista
pubblica.
In caso di significative modifiche tecnico-organizzative del
servizio di pagamento e comunque ogni due anni il PSP deve chiedere
il rinnovo della qualifica degli strumenti a "maggior sicurezza" ai
fini del mantenimento degli stessi nella suddetta lista pubblica.
L'acquisizione e la gestione del rapporto di valutazione da parte
della Banca d'Italia verra' effettuato con modalita' tali da
preservare la riservatezza delle informazioni in esso contenute.
5. Strumenti di pagamento di "basso valore".
Gli strumenti di pagamento di basso valore, che consentono
operazioni di pagamento non superiori a 30 euro ovvero hanno un
limite massimo di avvaloramento che in nessun momento supera i 150
euro, sono soggetti ai sensi dell'art. 4 del Decreto a un regime di
responsabilita' particolare.
Detti strumenti, su richiesta del PSP emittente, possono essere
assimilati a quelli "a maggior sicurezza" ai fini dell'applicazione
del regime di responsabilita' ridotta per l'utilizzatore di cui
all'art. 12, comma 5, del Decreto. In tal caso sono inseriti nella
suddetta lista pubblica ai fini di assicurarne la generale
conoscibilita'.
La richiesta del PSP deve essere inoltrata alla Banca d'Italia
unitamente a una scheda descrittiva del prodotto, nella quale sono
precisati le condizioni e i limiti di operativita' dello stesso.
Per gli strumenti di pagamento di "basso valore" non sono
obbligatori i requisiti di cui al § 2.