Parte di provvedimento in formato grafico SEZIONE I Disposizioni di carattere generale 1. Premessa Il presente Provvedimento, emanato ai sensi dell'art. 31 del decreto legislativo n. 11/2010 (di seguito "Decreto") - di recepimento della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno (Payment Services Directive - PSD) - reca misure attuative delle norme del Titolo II del Decreto medesimo, relativo ai diritti e gli obblighi delle parti di un'operazione di pagamento, entrate in vigore il 1° marzo 2010. Le disposizioni contenute nel presente Provvedimento forniscono quindi indicazioni a contenuto vincolante a cui prestatori e utilizzatori di servizi di pagamento devono attenersi nell'applicazione delle norme contenute nel richiamato Titolo II. Il documento e' articolato in sette Sezioni riguardanti l'ambito di applicazione della disciplina, le spese, l'autorizzazione e l'esecuzione delle operazioni nonche' la responsabilita' delle parti di un'operazione di pagamento, oltre a disposizioni transitorie finali. Le disposizioni si rivolgono sia ai prestatori di servizi di pagamento, cosi' come definiti dall'articolo 1, lett. g), del Decreto, sia agli utilizzatori di servizi di pagamento: il conseguimento delle finalita' di regolare funzionamento del sistema dei pagamenti, di sicurezza ed efficienza dei servizi, di tutela degli utilizzatori alle quali e' indirizzata la normativa dipende infatti dal comportamento diligente di entrambe le parti di un contratto per la prestazione dei servizi in questione. La rilevanza per la Funzione di Sorveglianza sul sistema dei pagamenti delle disposizioni del Titolo II del Decreto - confermata dal richiamo operato dall'art. 31 dello stesso Decreto all'art. 146 del Testo Unico Bancario - si basa sull'importanza dell'affidabilita' e dell'efficienza dei servizi offerti agli utilizzatori finali per il regolare funzionamento del sistema dei pagamenti nel suo complesso. Tali obiettivi non dipendono, tuttavia, solo dai corretti comportamenti dei prestatori e degli utilizzatori - cosi' come disciplinati dalle norme dettate dal Decreto in materia di diritti e obblighi delle parti - ma anche dal corretto funzionamento delle piattaforme tecniche, delle procedure e delle regole interne al sistema dei pagamenti su cui la Sorveglianza esplica la sua azione di controllo. Per quanto precede, ai sensi di quanto previsto dall'art. 146 del Testo Unico Bancario, le norme del Titolo II del Decreto e le relative disposizioni di attuazione costituiscono un vincolo anche per i gestori di circuiti di pagamento nonche' per i fornitori di servizi di supporto alla prestazione di servizi di pagamento che, nell'esercizio di tali attivita', debbono mettere i prestatori di servizi di pagamento in condizione di osservare le vigenti disposizioni dettate in materia. 2. Definizioni Ai fini del presente Provvedimento si definiscono1 : --------------1 In questa sede vengono mutuate le definizioni di cui all'art. 1 del Decreto corredate, ove del caso, di riferimenti esplicativi. a) "addebito diretto": un servizio di pagamento per l'addebito del conto di pagamento di un pagatore in base al quale un'operazione di pagamento e' disposta dal beneficiario in conformita' al consenso dato dal pagatore al beneficiario, al prestatore di servizi di pagamento del beneficiario o al prestatore di servizi di pagamento del pagatore medesimo; b) "area unica dei pagamenti in euro (SEPA)": l'insieme dei Paesi aderenti al processo di integrazione dei servizi di pagamento in euro secondo regole e standard definiti in appositi documenti; c) "ATM" (Automated teller machine): apparecchiatura automatica per l'effettuazione da parte della clientela di operazioni quali prelievo di contante, versamento di contante o assegni, richiesta di informazioni sul conto, bonifici, pagamento di utenze, ricariche telefoniche, ecc.; d) "autenticazione": una procedura che consente al prestatore di servizi di pagamento di verificare il legittimo utilizzo di uno specifico strumento di pagamento, inclusi i relativi dispositivi personalizzati di sicurezza; e) "beneficiario": il soggetto previsto quale destinatario finale dei fondi oggetto dell'operazione di pagamento; f) "circuito di pagamento": insieme di regole, procedure e infrastrutture che consentono l'accettazione e l'utilizzo di uno strumento di pagamento; g) "consumatore": nei contratti di servizi di pagamento contemplati dal Decreto, la persona fisica di cui all'articolo 3, comma 1, lettera a), del Decreto legislativo 6 settembre 2005, n. 206, e successive modificazioni; h) "conto di pagamento": un conto intrattenuto presso un prestatore di servizi di pagamento da uno o piu' utilizzatori di servizi di pagamento per l'esecuzione di operazioni di pagamento. Rientra nella nozione di conto di pagamento il conto corrente bancario o postale nei limiti in cui venga utilizzato per operazioni di pagamento, nonche' il conto sul quale vengono addebitate e accreditate le operazioni di pagamento eseguite a valere su una carta di debito o di credito; i) "contratto quadro": il contratto che disciplina la futura esecuzione di operazioni di pagamento singole e ricorrenti e che puo' dettare gli obblighi e le condizioni che le parti devono rispettare per l'apertura e la gestione di un conto di pagamento; j) "data valuta": la data di riferimento usata da un prestatore di servizi di pagamento per il calcolo degli interessi applicati ai fondi addebitati o accreditati su un conto di pagamento; k) "Decreto": il Decreto legislativo 27 gennaio 2010, n. 11; l) "Eurosistema": il sistema di banche centrali dell'area dell'euro responsabile dell'attuazione della politica monetaria unica. Esso comprende la Banca Centrale Europea (BCE) e le banche centrali nazionali (BCN) dei Paesi dell'Unione europea che hanno adottato l'euro quale valuta nazionale; m) "fondi": banconote e monete, moneta scritturale e moneta elettronica cosi' come definita dall'articolo 1, comma 2, lettera h-ter), del Decreto legislativo 1° settembre 1993, n. 385; n) "gestore di un circuito di pagamento": il soggetto che definisce le regole di funzionamento e di partecipazione a un circuito di pagamento e che e' responsabile del suo funzionamento; o) "giornata operativa": il giorno in cui il prestatore di servizi di pagamento del pagatore o del beneficiario coinvolto nell'esecuzione di un'operazione di pagamento e' operativo, in base a quanto e' necessario per l'esecuzione dell'operazione stessa; p) "identificativo unico": la combinazione di lettere, numeri o simboli che il prestatore di servizi di pagamento indica all'utilizzatore di servizi di pagamento e che l'utilizzatore deve fornire al proprio prestatore di servizi di pagamento per identificare con chiarezza l'altro utilizzatore del servizio di pagamento e/o il suo conto di pagamento per l'esecuzione di un'operazione di pagamento. Ove non vi sia un conto di pagamento, 1' identificativo unico identifica solo l'utilizzatore del servizio di pagamento; q) "micro-impresa": l'impresa che, al momento della conclusione del contratto per la prestazione di servizi di pagamento, e' un'impresa che possiede i requisiti previsti dalla raccomandazione della Commissione europea 2003/361/CE del 6 maggio 20032 , vigente alla data di entrata in vigore del presente Decreto, ovvero i requisiti individuati con Decreto del Ministro dell'economia e delle finanze attuativo delle misure adottate dalla Commissione europea ai sensi dell'articolo 84, lettera b), della direttiva 2007/64/CE; --------------2 Pubblicata sulla Gazzetta ufficiale dell'Unione europea L 124/39 del 20.05.2003. r) "moneta elettronica": valore monetario cosi' come definito dall'art. 1, comma 2, lett. h-ter, del TUB; s) "operazione di pagamento": l'attivita', posta in essere dal pagatore o dal beneficiario, di versare, trasferire o prelevare fondi, indipendentemente da eventuali obblighi sottostanti tra pagatore e beneficiario; t) "ordine di pagamento": qualsiasi istruzione data da un pagatore o da un beneficiario al proprio prestatore di servizi di pagamento con la quale viene chiesta l'esecuzione di un'operazione di pagamento; u) "overlay services": servizi che consentono l'esecuzione di pagamenti in ambiente internet attraverso l'interposizione - tra prestatore di servizi di pagamento e utilizzatore - di un soggetto attraverso l'utilizzo dei codici di autenticazione dell'utilizzatore; v) "pagatore": il soggetto titolare di un conto di pagamento a valere sul quale viene impartito un ordine di pagamento ovvero, in mancanza di un conto di pagamento, il soggetto che impartisce un ordine di pagamento; w) "prestatore di servizi di pagamento": uno dei seguenti organismi che presta servizi di pagamento sul territorio della Repubblica in quanto ivi insediato o in regime di libera prestazione di servizi: istituti di moneta elettronica e istituti di pagamento nonche', quando prestano servizi di pagamento, banche, uffici postali, la Banca Centrale Europea e le banche centrali nazionali se non agiscono in veste di autorita' monetarie, altre autorita' pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorita' pubbliche; x) "rimessa di denaro": servizio di pagamento dove, senza l'apertura di conti di pagamento a nome del pagatore o del beneficiario, il prestatore di servizi di pagamento riceve i fondi dal pagatore con l'unico scopo di trasferire un ammontare corrispondente al beneficiario o a un altro prestatore di servizi di pagamento che agisce per conto del beneficiario. Tali fondi possono essere ricevuti per conto del beneficiario e messi a sua disposizione; y) "servizi di infrastruttura": servizi tecnici, inclusi quelli di rete, di supporto alla prestazione di servizi di pagamento; z) "servizi di pagamento": le seguenti attivita': 1) servizi che permettono di depositare il contante su un conto di pagamento nonche' tutte le operazioni richieste per la gestione di un conto di pagamento; 2) servizi che permettono prelievi in contante da un conto di pagamento nonche' tutte le operazioni richieste per la gestione di un conto di pagamento; 3) esecuzione di ordini di pagamento, incluso il trasferimento di fondi, su un conto di pagamento presso il prestatore di servizi di pagamento dell'utilizzatore o presso un altro prestatore di servizi di pagamento: - esecuzione di addebiti diretti, inclusi addebiti diretti una tantum; - esecuzione di operazioni di pagamento mediante carte di pagamento o dispositivi analoghi; - esecuzione di bonifici, inclusi ordini permanenti; 4) esecuzione di operazioni di pagamento quando i fondi rientrano in una linea di credito accordata ad un utilizzatore di servizi di pagamento: - esecuzione di addebiti diretti, inclusi addebiti diretti una tantum; - esecuzione di operazioni di pagamento mediante carte di pagamento o dispositivi analoghi; - esecuzione di bonifici, inclusi ordini permanenti; 5) emissione e/o acquisizione di strumenti di pagamento; 6) rimessa di denaro; 7) esecuzione di operazioni di pagamento ove il consenso del pagatore ad eseguire l'operazione di pagamento sia dato mediante un dispositivo di telecomunicazione, digitale o informatico e il pagamento sia effettuato all'operatore del sistema o della rete di telecomunicazioni o digitale o informatica che agisce esclusivamente come intermediario tra l'utilizzatore di servizi di pagamento e il fornitore di beni e servizi; aa)"sistema di pagamento" o "sistema di scambio, di compensazione e di regolamento": un sistema di trasferimento di fondi con meccanismi di funzionamento formali e standardizzati e regole comuni per il trattamento, la compensazione e/o il regolamento di operazioni di pagamento; bb) "strumento di pagamento": qualsiasi dispositivo personalizzato e/o insieme di procedure concordate tra l'utilizzatore e il prestatore di servizi di pagamento e di cui l'utilizzatore di servizi di pagamento si avvale per impartire un ordine di pagamento; cc) "TUB": il decreto legislativo 1° settembre 1993, n. 385 e successive modificazioni; dd) "utilizzatore di servizi di pagamento" o "utilizzatore": il soggetto che utilizza un servizio di pagamento in veste di pagatore o beneficiario o di entrambi. 3. Comunicazioni e informazioni agli utilizzatori di servizi di pagamento Sia nella fase genetica sia in quella dell'esecuzione di un'operazione di pagamento puo' emergere l'esigenza per il prestatore di servizi di pagamento di comunicare in modo tempestivo ed efficace con la propria clientela, al fine di assicurare il regolare svolgimento dell'attivita' di pagamento. I casi in cui cio' costituisce un obbligo sono individuati dal Decreto e dalle presenti disposizioni. L'individuazione del mezzo di comunicazione o della modalita' di informazione piu' adatti allo scopo specifico della comunicazione o informazione e alle esigenze di tutela degli interessi dell'utilizzatore di servizi di pagamento nel caso concreto e' rimessa alla valutazione del singolo prestatore di servizi di pagamento nel rispetto della vigente normativa di trasparenza. SEZIONE II Ambito di applicazione Le disposizioni del Titolo II del Decreto si applicano a tutti i prestatori di servizi di pagamento per l'attivita' svolta nel territorio della Repubblica in quanto ivi insediati o in regime di libera prestazione di servizi, a condizione che sia il prestatore di servizi di pagamento del pagatore sia quello del beneficiario siano insediati nello Spazio Economico Europeo e che la valuta in cui e' denominato il pagamento sia quella ufficiale di uno Stato Membro o di uno Stato appartenente allo Spazio Economico Europeo. L'articolo 23 del Decreto, relativo all'applicazione della data valuta e alla disponibilita' delle somme trasferite, si applica anche al caso in cui solo il prestatore di servizi di pagamento del pagatore o solo quello del beneficiario sia insediato nello Spazio Economico Europeo. I servizi di pagamento ai quali si riferiscono le presenti disposizioni sono quelli elencati dall'art. 1, lettera b), del Decreto, nonche' l'emissione e l'utilizzo di moneta elettronica e i servizi di pagamento ad iniziativa del beneficiario eseguiti da un pagatore anche in assenza di un conto (servizi di incasso). Rientrano altresi' nell'ambito di applicazione del Decreto le operazioni in euro o nella valuta ufficiale di uno Stato Membro o di uno Stato appartenente allo Spazio Economico Europeo a valere su un conto del pagatore denominato in una diversa divisa. Resta ferma, in tal caso, l'applicazione dell'art. 15, comma 2, del Decreto per la determinazione del momento di ricezione dell'ordine di pagamento e di messa a disposizione dei fondi oggetto del trasferimento da parte del pagatore al rispettivo prestatore di servizi di pagamento; tale momento coincide con quello di completamento dell'operazione di conversione valutaria. Non rientrano nell'ambito di applicazione le attivita' elencate nell'art. 2, comma 2, del Decreto. Nei paragrafi che seguono vengono fornite indicazioni sul contenuto di alcuni servizi di pagamento tenendo anche conto di indicazioni fornite dal "Comitato dei pagamenti" costituito presso la Commissione europea ai sensi dell'art. 85 della PSD. 1. Fonti normative: Artt. 1, 2 e 4 del Decreto; articolo 114-octies, comma 1, lettere a) e b) del TUB. 2. Ambito di applicazione oggettivo 2.1 Servizi di pagamento: - Servizi di pagamento - Ai fini della presente disciplina si definiscono servizi di pagamento i servizi individuati dal combinato disposto: - dell'art. 1 del Decreto, che alla lettera b) fornisce un elenco dettagliato delle attivita'; - dell'art. 2 del Decreto, che al primo comma individua la valuta nella quale devono essere espressi i pagamenti e al 2° comma indica le attivita' che non costituiscono servizi di pagamento ai sensi del Decreto medesimo. Con riferimento ai servizi disciplinati dal Decreto si forniscono i seguenti chiarimenti: - Deposito di contante su un conto di pagamento: consiste nel versamento di contante su un conto e comprende il servizio di "cassa continua", ossia di deposito di contante su un conto di pagamento eseguito presso uno sportello automatico. Ai fini del rispetto dei tempi di disponibilita' delle somme versate di cui all'articolo 22 del Decreto, per tale ultimo servizio il versamento si intende effettuato dal cliente nel momento in cui il contante versato viene ritirato presso lo sportello automatico e le attivita' di controllo e contazione sono espletate dal prestatore di servizi di pagamento. Il prestatore di servizi di pagamento e' tenuto ad informare l'utilizzatore sui tempi di esecuzione del servizio di cassa continua. Le attivita' di verifica e contazione devono essere completate entro la giornata operativa successiva al ritiro del contante. - Carte di pagamento: nell'ambito della definizione di servizi di pagamento prevista dal Decreto, il riferimento alle carte di pagamento deve intendersi operato alle carte di credito -che consentono l'effettuazione di transazioni e/o prelievi con regolamento successivo - e alle carte di debito, che consentono transazioni e/o prelievi con contestuale impegno dei fondi disponibili sul conto di pagamento. Non e' inclusa nella definizione di servizi di pagamento contenuta nel Decreto la moneta elettronica. Caratteristiche specifiche degli strumenti di moneta elettronica sono le seguenti: 1. consentono utilizzi esclusivamente nei limiti delle somme trasformate in moneta elettronica; 2. possono essere emessi in forma anonima con i limiti e le caratteristiche previsti dalla legislazione vigente. L'emissione di moneta elettronica e i servizi ad essa connessi sono comunque assoggettati alle disposizioni di cui agli articoli 3 e ss. del Titolo II del Decreto e di quelle del presente provvedimento. - Acquisizione di strumenti di pagamento Viene annoverata tra i servizi di pagamento l'attivita' di "acquisizione" di strumenti di pagamento (art. 1, comma 1, lett. b) n. 5) che consiste nella stipula di apposito contratto per il convenzionamento di soggetti (ad esempio, esercizi commerciali) con lo scopo di abilitarli all'accettazione di uno strumento di pagamento secondo le regole del circuito di riferimento accompagnata dalla gestione dei relativi flussi finanziari (c.d. acquiring). La mera gestione di terminali non costituisce servizio di acquiring; tuttavia, data la loro importanza per l'accettazione di uno strumento di pagamento, ai sensi dell'articolo 146, comma 2 del TUB, i soggetti che forniscono e gestiscono i terminali assicurano che i propri servizi consentano ai prestatori di servizi di pagamento la piena conformita' alle disposizioni del Decreto e del presente Provvedimento. - Rimesse di denaro Il servizio di rimessa di denaro si configura come un incasso e trasferimento di fondi senza utilizzo di conti di pagamento. Rientra nella fattispecie l'ipotesi del coinvolgimento di un unico prestatore di servizi di pagamento che, eventualmente attraverso la propria rete di agenti, incassa il denaro dal pagatore e lo detiene per conto del beneficiario. I servizi di rimessa vengono usualmente iniziati e conclusi con denaro contante (c.d. "cash in/cash out"). Resta ferma la possibilita' per l'ordinante di fornire la provvista per la successiva esecuzione del servizio di rimessa attingendo i fondi da un conto di pagamento. Parimenti, in alternativa al ritiro dei fondi in contante, il beneficiario puo' chiederne l'accredito su un conto di pagamento successivamente alla conclusione dell'operazione di rimessa. - Pagamenti eseguiti tramite operatore di telecomunicazione, digitale o informatico Costituiscono servizi di pagamento ai sensi dell'art. 1, comma 1, lett. b), n. 7) i pagamenti effettuati mediante dispositivi di telecomunicazione, digitali o informatici, nel caso in cui ricorrano tutte le seguenti condizioni: a) il consenso all'esecuzione dell'operazione di pagamento sia dato mediante un dispositivo di telecomunicazione, digitale o informatico; b) il pagamento sia effettuato all'operatore del sistema o della rete di telecomunicazione o digitale o informatica al quale e' riconducibile la gestione del dispositivo di cui alla lett. a); c) l'operatore agisca esclusivamente come intermediario tra l'utilizzatore di servizi di pagamento e il fornitore di beni e servizi. A titolo esemplificativo, rientrano nell'ambito di cui al citato n. 7) i servizi di pagamento via telefono cellulare (mobile payment) gestiti da operatore di telecomunicazione per l'acquisto di beni o servizi, anche di natura fisica, presso punti di accettazione convenzionati. La compresenza delle condizioni descritte caratterizza i servizi di pagamento sub n. 7 rispetto agli altri servizi di pagamento di cui all'art. 1, comma 1, lett. b), nn. 3 e 4, per l'esecuzione dei quali il ricorso a dispositivi di telecomunicazione, digitali o informatici rappresenta solo una delle possibili modalita' di colloquio tra l'utilizzatore e il prestatore di servizi di pagamento (ad es. esecuzione di ordini di pagamento attraverso internet banking)3 . --------------3 Sui servizi di pagamento gestiti dagli operatori di telecomunicazione, digitali o informatici v. anche infra par. 2.2.10. 2.1.1 Operazioni di pagamento I servizi di pagamento sono strumentali all'esecuzione di operazioni di pagamento. Queste ultime rappresentano trasferimenti di fondi disposti su iniziativa del pagatore o del beneficiario. Ne consegue che, ove non esplicitamente compreso nell'ambito di applicazione negativo del decreto ai sensi dell'articolo 2, comma 2, qualsiasi trasferimento di fondi e' riconducibile alla definizione di operazione di pagamento. 2.1.2 Operazioni di pagamento complesse Vi sono operazioni di pagamento che risultano dal collegamento tra piu' servizi di pagamento o tra servizi di pagamento e altre operazioni ad essi contigue. In tali ipotesi si e' in presenza di operazioni di pagamento complesse. Ai fini dell'applicazione delle disposizioni del Decreto e del presente provvedimento, ciascun segmento che compone l'operazione di pagamento complessa deve essere considerato separatamente. A titolo esemplificativo: 1. nel caso in cui si paghi il saldo mensile di una carta di credito con addebito diretto su un conto di pagamento, si ha una combinazione tra due servizi di pagamento: l'emissione (e la gestione degli utilizzi) di una carta di credito e un trasferimento di fondi tramite addebito diretto su conto di pagamento. In questo caso vi sono due rapporti contrattuali tra l'utilizzatore e: i) l'emittente la carta di credito; ii) il prestatore di servizi di pagamento che gestisce il conto su cui viene eseguito l'addebito diretto (l'emittente e quest'ultimo prestatore possono coincidere). Il disconoscimento di operazioni effettuate con la carta di credito andra' quindi sottoposto all'emittente della carta medesima e non al prestatore di servizi di pagamento che gestisce il conto di addebito; l'opposizione all'operazione di addebito sul conto, nel rispetto dei requisiti fissati dal Decreto agli artt. 13 e 14 e dalla Sezione IV del presente Provvedimento, andra' eccepita al prestatore di servizi di pagamento che gestisce il conto medesimo; 2. altra ipotesi di operazione complessa e' quella che si realizza nel caso di pagamento di bollette o di altre fatture commerciali effettuato presso un soggetto incaricato della riscossione dal creditore/beneficiario. La prima fase di questa operazione e' rappresentata dalla consegna dei fondi da parte del pagatore al soggetto incaricato: ove con detta consegna il pagatore venga liberato dall'obbligazione sottostante nei confronti del creditore, si e' in presenza di un "pagamento" con effetto solutorio (e non quindi di un "ordine di pagamento") a cui non si applicano i presidi di cui al Titolo II del Decreto. La seconda fase dell'operazione e' rappresentata dal trasferimento della somma dal soggetto incaricato al creditore/beneficiario: detto trasferimento puo' costituire un servizio di pagamento ai sensi del Decreto e richiedere, quindi, l'intervento di un prestatore abilitato. Nel caso descritto si ha quindi una combinazione tra servizi di pagamento (il trasferimento di fondi disposto dall'incaricato alla riscossione al creditore) e operazioni contigue (pagamento liberatorio da parte del debitore al soggetto incaricato della riscossione). 2.2 Attivita' che non costituiscono servizi di pagamento ai sensi del Decreto. L'art. 2, comma 2, fornisce un dettagliato elenco di attivita' escluse dall'ambito di applicazione del Decreto. L'individuazione in concreto di tali attivita' deve essere effettuata, ove del caso, tenendo conto delle disposizioni che seguono. 2.2.1 Servizi che non sono prestati agli utilizzatori. In via generale, le norme del Decreto non si applicano ai servizi di pagamento che non prevedono un rapporto diretto tra prestatore di servizi di pagamento e utilizzatore finale. Sono pertanto esclusi: - i pagamenti tra prestatori di servizi di pagamento o tra questi e i loro agenti; - i pagamenti effettuati all'interno di un sistema di pagamento o di regolamento titoli tra partecipanti al sistema di pagamento o di regolamento titoli e controparti centrali, agenti di regolamento, stanze di compensazione o banche centrali; - i servizi offerti da prestatori di servizi di pagamento ad altri prestatori senza intrattenere un rapporto contrattuale con la clientela di questi ultimi (ad esempio, mera gestione di sportelli ATM senza rapporto con gli utilizzatori che prelevano o versano contante); - i servizi di infrastruttura, che sono esclusi dall'ambito di applicazione del Decreto a condizione che i relativi fornitori non entrino mai in possesso dei fondi che vengono trasferiti, ma si limitino a prestare servizi di supporto all'esecuzione dell'operazione di pagamento. Resta fermo l'obbligo per il prestatore di servizi di pagamento di accertarsi, nella scelta del fornitore, che i servizi di infrastruttura consentano il rispetto degli obblighi previsti dal Decreto e dal presente Provvedimento; a tal fine, la ripartizione di responsabilita' tra il prestatore di servizi di infrastruttura e il prestatore di servizi di pagamento e' chiaramente disciplinata dal contratto stipulato da tali soggetti. 2.2.2 Cash-Pooling Non costituisce servizio di pagamento ai sensi del Decreto la gestione della liquidita' relativa a rapporti reciproci tra imprese commerciali e/o finanziarie appartenenti al medesimo gruppo (cd. cash-pooling) da parte di un soggetto che si interpone nei rapporti infragruppo per la mera ottimizzazione della gestione delle relative disponibilita' finanziarie. L'esenzione presuppone che la suddetta gestione sia limitata all'interno del gruppo e non investa l'esecuzione di trasferimenti di fondi per conto di societa' del medesimo gruppo da e verso soggetti allo stesso esterni. 2.2.3 Trasporto di contante Il trasporto di contante, compresi la raccolta, il trattamento e la consegna, non costituisce servizio di pagamento. L'esenzione a favore della societa' di trasporto opera anche quando una fase dello stesso trasporto di contante e' effettuata attraverso un'operazione di trasferimento di fondi per realizzare il quale la societa' che offre il servizio si avvale, in veste di utilizzatore, di un prestatore di servizi di pagamento. La suddetta operazione di trasferimento di fondi costituisce un servizio di pagamento a cui si applica la disciplina del Decreto e del presente Provvedimento. 2.2.4 Modulistica contrattuale La mera distribuzione di modulistica contrattuale relativa alla prestazione di servizi di pagamento non e' attivita' riservata ai sensi del Decreto. Restano comunque fermi tutti gli obblighi previsti in materia di offerta fuori sede di prodotti bancari e finanziari. 2.2.5 "Cash-back" Non costituisce attivita' di prestazione di servizi di pagamento ai sensi del Decreto il c.d. "cash-back" che consiste nell'attivita' con cui il venditore di un bene o di un servizio - ricevuto dall'utilizzatore un pagamento eseguito con una carta di pagamento o con moneta elettronica per un importo superiore al prezzo dovuto - restituisce all'utilizzatore medesimo una somma in contanti corrispondente alla differenza tra quanto pagato e quanto dovuto. 2.2.6 Strumenti a spendibilita' limitata Ai sensi dell'art. 2, comma 2, lett. m), sono esclusi dall'ambito di applicazione del Decreto i servizio4 basati su strumenti di pagamento che possono essere utilizzati esclusivamente: --------------4 Rientra fra tali servizi l'attivita' di "acquisizione" di strumenti di pagamento di cui all'art. 1, comma 1, lett. b) n. 5 del Decreto. a) per l'acquisto di beni o servizi presso l'emittente5 ; --------------5 E' equiparato all'emittente il soggetto interamente controllato dall'emittente o interamente controllante l'emittente stesso o una sua consorella. b) sulla base di un accordo commerciale con l'emittente: b.1) per l'acquisto di beni o servizi all'interno di una rete limitata di esercenti; b.2) per l'acquisto di una gamma limitata di beni o servizi. Con riferimento alla ipotesi di cui alla lettera a), rientrano nella fattispecie gli strumenti di pagamento spendibili presso singoli emittenti all'interno dei propri punti vendita. Piu' imprese appartenenti ad un medesimo gruppo socictario, anche se utilizzano marchi diversi, sono riconducibili alla nozione di "singolo emittente" purche' l'appartenenza al medesimo gruppo societario sia resa nota al pubblico. In particolare, la carta spendibile presso i punti vendita dovra' elencare i marchi riconducibili al medesimo gruppo societario. Relativamente alle ipotesi di cui alla lett. b), la direttiva e il Decreto non predeterminano in via generale il concetto di "limitatezza" della rete di accettazione ovvero della gamma di beni e servizi acquistabili. Alla luce delle indicazioni della Commissione Europea - nonche' di elementi interpretativi ricavabili dalla direttiva 2009/110/CE sugli Istituti di moneta elettronica, contenente analoga esenzione (v. in particolare il considerando n. 5) - si formulano le seguenti indicazioni. L'esclusione opera in forza della spendibilita' limitata dello strumento di pagamento presso determinati esercenti o con riferimento a determinati beni o servizi e non della sua utilizzabilita' in un'area geograficamente limitata. In presenza di uno dei presupposti richiamati dalla norma, l'esclusione deve intendersi operante anche nel caso in cui l'emissione, sulla base di un accordo commerciale, sia stata affidata a soggetti terzi rispetto ai fornitori dei beni o dei servizi6 . --------------6 Con riferimento alle carte di pagamento, tale esclusione determina la non applicabilita' delle disposizioni concernenti il funzionamento dell'Archivio informatizzato degli assegni e delle carte di pagamento irregolari (c.d. "Centrale d'Allarme Interbancaria" - CAI) istituito presso la Banca d'Italia ai sensi della Legge 205/99. Rientrano nella fattispecie sub lettera b.1) - e sono pertanto da considerare oggetto dell'esenzione - gli strumenti di pagamento spendibili presso catene di esercizi commerciali (ad esempio "carte fedelta'" o similari), indipendentemente dall'estensione della catena stessa e dalla natura giuridica del rapporto tra i singoli punti vendita e la -casa madre", purche': (i) si tratti di entita' legate da accordi di natura commerciale che prevedano l'utilizzo di un medesimo marchio che renda pienamente riconoscibile dal pubblico l'esistenza di una relazione giuridicamente rilevante tra la "casa madre" e i punti di accettazione degli strumenti di pagamento emessi; e (ii) il suddetto marchio sia utilizzato dai punti vendita e sia presente sulla carta spendibile presso gli stessi. Rientrano nella fattispecie le carte spendibili presso esercizi commerciali in franchising nonche' le carte spendibili presso gli esercizi di un medesimo centro commerciale. A meno che non ricorra l'esenzione di cui alla lettera b.2), i casi in cui due o piu' catene commerciali si accordino per accettare reciprocamente le carte di ciascuna catena non rientrano nell'esenzione. Nei casi dubbi, resta ferma la possibilita' di una valutazione caso per caso7 . --------------7 A titolo esemplificativo, mentre rientrano nella fattispecie sub lettera a) le c.d. "carte carburante", emesse da una determinata compagnia petrolifera per l'acquisto del carburante e di prodotti o servizi simili o connessi (cambio olio, gomme etc.) presso la propria rete distributiva, possono essere invece ricondotte alla fattispecie sub lettera b.1) le carte della specie che consentono anche acquisti di altro tipo di beni e servizi presso esercizi comunque collegati alla societa' petrolifera stessa, per via dell'utilizzo dello stesso marchio o perche' operanti all'interno delle stazioni di servizio della compagnia medesima. L'esenzione di cui alla lettera b.2) ricorre quando l'ambito di spendibilita' sia effettivamente circoscritto a una predeterminata lista di beni o servizi funzionalmente collegati (e' il caso, ad esempio, delle c.d. carte "trasporti", "parcheggio", "cinema", "musei", dei buoni pasto, ecc.). Atteso che i criteri di esenzione sono alternativi e non cumulativi, l'esenzione ricorre, in presenza di queste caratteristiche, anche quando la spendita dello strumento puo' essere effettuata presso soggetti diversi, non appartenenti alla medesima catena commerciale. La valutazione della sussistenza dei presupposti per l'esenzione deve essere nuovamente effettuata ogni qualvolta le caratteristiche di spendibilita' dello strumento vengono modificate. Quale criterio generale per la corretta individuazione del perimetro della deroga va inoltre considerato che non possono beneficiare di esenzione -rientrando pertanto nell'ambito di applicazione della normativa - gli strumenti spendibili presso una lista di esercenti convenzionati (si pensi al caso del convenzionamento di una pluralita' di commercianti promosso dall'emittente e potenzialmente aperto alla libera adesione di chi abbia interesse), poiche' in tal caso l'estensione soggettiva della rete di accettazione non e' determinabile ex ante ed e' quindi potenzialmente illimitata: rientrano in questa tipologia, ad esempio, strumenti come le "carte regalo" che possono essere spese presso piu' punti vendita di svariata natura, oppure le c.d. "city card", genericamente aperte all'utilizzo presso piu' esercizi all'interno di una stessa citta'. Il formato e la funzione degli strumenti a spendibilita' limitata sono spesso uguali o molto simili a quelli degli strumenti di pagamento a spendibilita' generalizzata; solo per gli utilizzatori di questi ultimi, tuttavia, operano le tutele e i diritti previsti dal decreto. E' quindi necessario che lo strumento a spendibilita' limitata rechi la dicitura "strumento privativo" o altra dicitura idonea a indicarne univocamente la funzione di strumento a spendibilita' limitata. L'esclusione dall'ambito di applicazione del Decreto e delle presenti disposizioni non opera con riguardo alle operazioni di pagamento con le quali vengono regolati i flussi finanziari connessi con la gestione e il funzionamento degli strumenti a spendibilita' limitata. A titolo esemplificativo, rientrano nell'ambito di applicazione in parola l'addebito diretto con il quale viene pagato il saldo di una carta di credito a spendibilita' limitata ovvero il bonifico con il quale viene caricata una carta prepagata a spendibilita' limitata. Resta ferma l'applicazione della disciplina in materia di trasparenza e, ove applicabile, di credito al consumo qualora all'emissione di strumenti a spendibilita' limitata sia connessa l'erogazione di finanziamenti. 2.2.7 Operazioni con finalita' di investimento L'articolo 2 del Decreto alla lett. i) esclude dall'ambito di applicazione le operazioni che perseguono finalita' di investimento invece che di pagamento. Tra queste si richiamano a titolo esemplificativo: • i rimborsi relativi a quote o azioni di OICR; • i conferimenti e i rimborsi anche parziali effettuati nell'ambito del servizio di gestione di portafogli; • le operazioni di pagamento connesse alla "sottoscrizione" o allo switch di quote o azioni di OICR; • le operazioni collegate all'amministrazione di fondi pensione; • le operazioni connesse alla gestione di prodotti assicurativi, quando perseguano finalita' di investimento. 2.2.8 Operazioni di cambio valuta Le operazioni di cambio valuta si distinguono dalle operazioni di pagamento in cui l'ordine di pagamento e' espresso in una valuta diversa da quella dei fondi messi a disposizione del beneficiario. Esse si contraddistinguono per la finalita' prevalente di cambiare la valuta in cui e' espressa una determinata somma di denaro e per l'assenza di una finalita' di pagamento. Per tali ragioni sono escluse dall'ambito di applicazione del Decreto e delle presenti disposizioni: 1. le operazioni di cambio di valuta contante contro contante nell'ambito delle quali i fondi non sono detenuti su un conto di pagamento; 2. i contratti di compravendita a termine di divisa estera, il cui oggetto e' la consegna reciproca tra le parti delle divise e non il pagamento di differenziali; 3. i contratti di acquisto e vendita di valuta, estranei a transazioni commerciali e regolati per differenza, anche mediante operazioni di rinnovo automatico (c.d. "roll-over"). 2.2.9 Pagamenti eseguiti tramite operatore di telecomunicazione, digitale o informatico I servizi di pagamento gestiti dagli operatori di telecomunicazione, digitali o informatici sono esclusi dall'ambito di applicazione del Decreto al ricorrere di tutte le condizioni di cui all'art. 2, comma 2, lett. n), del Decreto8 . In particolare, e' necessario che: --------------8 Sulla ratio di tale esclusione e dei suoi presupposti cfr. considerando nn. 6 delle direttive 2007/64/CE e 2009/110/CE. a) le operazioni di pagamento siano riferibili all'acquisto di beni o servizi digitali; b) l'operatore di telecomunicazione, digitale o informatico non agisca quale mero intermediario del pagamento tra l'utilizzatore e il fornitore di beni e servizi ma apporti a questi ultimi un valore aggiunto (es. funzioni di accesso, ricerca o distribuzione) in assenza del quale non sarebbe possibile usufruire del bene con le medesime modalita'; c) la consegna o l'utilizzo dei beni e servizi in questione siano effettuati tramite il dispositivo di telecomunicazione, digitale o informatico gestito dall'operatore9 . --------------9 Un esempio di esenzione e' rappresentato dai pagamenti effettuati all'operatore della rete di telecomunicazioni per l'acquisto di contenuti multimediali che possono essere scaricati sul telefono cellulare o su altro dispositivo dell'acquirente (es. smartphone, decoder, tablet PC) nell'ambito dei servizi di trasmissione dati offerti dall'operatore medesimo. Con riferimento al requisito di cui alla lett. a), il bene o il servizio e' qualificabile come digitale se esso non e' in alcun modo utilizzabile per l'ottenimento di beni o servizi nel mondo fisico: a titolo esemplificativo, non rientra nella fattispecie in esame un titolo di legittimazione elettronico abilitativo all'ottenimento di diversi beni o servizi (es. di trasporto). Con riferimento al requisito di cui alla lett. b), il valore aggiunto apportato dall'operatore di telecomunicazione, digitale o informatico deve assumere un ruolo essenziale, tale che senza di esso non sarebbe stato possibile fruire del bene o del servizio ovvero lo sarebbe stato con modalita' affatto diverse (es. fornitura di codici di accesso con memorizzazione dell'autorizzazione accordata per i successivi utilizzi)10 . --------------10 Il ruolo essenziale dell'operatore puo' essere comprovato dalla circostanza che esso assume una responsabilita' diretta nei confronti della clientela per la corretta consegna o fruizione del bene o servizio digitale. Con riferimento al requisito di cui alla lett. c), l'esenzione opera se la fruizione o la consegna del bene o servizio digitale avviene su un dispositivo oppure tramite un servizio di trasmissione dati riconducibile allo stesso operatore; tale condizione non esclude tuttavia la possibilita' che il contenuto digitale, successivamente alla consegna (es. in caso di download), venga fruito su altri dispositivi. Resta ferma, anche nei casi di deroga, la competenza della Banca d'Italia per l'esercizio della funzione di cui all'art. 146 del TUB. 3. Ambito di applicazione soggettivo 3.1 Prestatori di servizi di pagamento Il Titolo II del Decreto contiene le norme che disciplinano le modalita' con cui deve essere esercitata la prestazione di servizi di pagamento (cc.dd. conduct-of-business rules). Esse si applicano a tutte le categorie di prestatori di servizi di pagamento elencate nel Decreto quando offrono servizi di pagamento in Italia: - banche, istituti di moneta elettronica, istituti di pagamento, Poste Italiane S.p.A.; - Banca Centrale Europea e banche centrali nazionali qualora non agiscano in veste di autorita' monetarie e prestino servizi di pagamento in Italia; - qualsiasi altra amministrazione statale, regionale e locale che offra servizi di pagamento non agendo in veste di autorita' pubblica. 3.2 Utilizzatori di servizi di pagamento Il Titolo II del Decreto distingue tre categorie di utilizzatori di servizi di pagamento: i consumatori, le micro-imprese e gli utilizzatori che non sono consumatori. Mentre le prime due categorie sono individuate dal diritto comunitario, l'ultima deve essere costruita per differenza rispetto alle prime due e comprende, ad esempio, le imprese, le amministrazioni e gli enti pubblici, i professionisti. Ove i professionisti presentino caratteristiche di fatturato e numero di dipendenti analoghi alle micro-imprese, essi possono chiedere di essere equiparati a queste ultime. L'individuazione delle caratteristiche delle tre diverse categorie e' particolarmente rilevante ai fini dell'applicazione di alcune disposizioni del Titolo II che possono essere derogate per accordo tra le parti quando l'utilizzatore dei servizi di pagamento non e' un consumatore. Si tratta, in particolare, delle norme che riconoscono diritti all'utilizzatore e responsabilita' in capo al prestatore di servizi di pagamento. Le norme derogabili, anche solo in parte, sono: 1. il principio di gratuita' dell'esercizio dei diritti riconosciuti dal Titolo II del Decreto e, quando applicabili, di proporzionalita' delle spese rispetto ai costi sostenuti dal prestatore di servizi di pagamento (articolo 3, comma 1); 2. la revocabilita' del consenso (articolo 5, comma 4); 3. l'onere della prova di autenticazione ed esecuzione in capo al prestatore di servizi di pagamento (articolo 10); 4. le responsabilita' del prestatore di servizi di pagamento per utilizzi non autorizzati di strumenti di pagamento (articolo 12); 5. il diritto dell'utilizzatore ad ottenere il rimborso di alcuni tipi di operazioni (articoli 13 e 14); 6. l'irrevocabilita' degli ordini di pagamento (articolo 17); 7. la responsabilita' del prestatore di servizi di pagamento per la mancata o inesatta esecuzione di un'operazione di pagamento (articolo 25). La responsabilita' opera pienamente e a prescindere dalla deroga pattizia nel caso di dolo o colpa grave del prestatore di servizi di pagamento. Le micro-imprese sono equiparate ai consumatori e godono delle forme di tutela piu' intense previste dal Decreto; tuttavia, al fine di non escludere per tale categoria di utilizzatori la possibilita' di utilizzare servizi di pagamento particolarmente efficienti e efficaci (quali ad esempio i servizi di addebito RID veloci), e' ammessa comunque, come per le imprese di piu' grande dimensione, la possibilita' di rinunciare ai diritti di cui agli articoli 13, 14 e 17, comma 3, del Decreto (rimborsi e irrevocabilita'). Tenuto conto dello specifico regime applicabile alle diverse categorie di utilizzatori di servizi di pagamento - con particolare riguardo a quanto previsto dall'art. 2, comma 4, lettere b) e c) del Decreto - i prestatori di servizi di pagamento, nell'ambito delle procedure previste dalla Sezione XI, paragrafo 2 del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni11 , sono tenuti ad adottare le soluzioni organizzative e tecnico procedurali adeguate a gestire le operazioni relative alle diverse categorie di utilizzatori in conformita' con le disposizioni del Decreto e del presente Provvedimento. --------------11 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it). 4. Micropagamenti Per gli strumenti di pagamento dedicati ai micropagamenti e' previsto un regime particolare. Tali strumenti sono individuati in quelli che impongono un limite di importo alla singola spesa di 30 euro o che hanno un importo spendibile non superiore ai 150 euro (strumenti usa e getta) o che non possono in nessun momento essere avvalorati per un importo superiore ai 150 euro (strumenti ricaricabili). Il Decreto consente alle parti ampie deroghe alla disciplina in materia di tutela dell'utilizzatore, al fine di renderla proporzionata alle esigenze di protezione effettivamente sussistenti contemperandole con quelle di maggiore economicita' e agevole funzionamento proprie degli strumenti in questione. Il legislatore riconosce innanzitutto la possibilita' che detti strumenti non prevedano il blocco dell'utilizzo, in quanto trattasi di una funzionalita' che presuppone la possibilita' di comunicazione tra prestatore e utilizzatore di servizi di pagamento e si presenta quindi onerosa rispetto ai micropagamenti. Il Decreto prevede inoltre una attenuazione delle responsabilita' del prestatore per l'esecuzione di operazioni non autorizzate quando lo strumento e' utilizzabile in forma anonima (rientrando in tale categoria gli strumenti che non prevedono l'identificazione del relativo titolare, segnatamente la moneta elettronica entro le soglie previste dal D.lgs. n. 231 del 2007) o non consente di dimostrare l'intervenuta autorizzazione da parte del titolare (ad esempio, non essendo previsto l'utilizzo di un PIN). Il regime in deroga autorizza inoltre il prestatore di servizi di pagamento a non informare il cliente del rifiuto di eseguire il pagamento quando il rifiuto e' evidente dal contesto in cui viene effettuato il pagamento (ad esempio nel caso di mancata esecuzione di un pagamento con carta su un terminale di accettazione) v prevede infine l'irrevocabilita' dell'ordine di pagamento una volta che questo sia stato trasmesso al beneficiario o dopo che questo sia stato autorizzato ad avviare l'esecuzione del pagamento. SEZIONE III Spese La direttiva sui servizi di pagamento e il relativo Decreto di recepimento fissano alcuni principi di fondo che incidono sui modelli di pricing dei servizi di pagamento favorendo quelli piu' efficienti ed affidabili. Tali principi sono: la gratuita' delle misure correttive e preventive di errori e inesattezze nell'esecuzione di operazioni di pagamento, la ripartizione delle spese tra le due parti (pagatore e beneficiario) del pagamento, il divieto di detrarre spese dall'importo trasferito, il divieto per il beneficiario di applicare un sovrapprezzo per l'utilizzo di un determinato strumento di pagamento (cd. surcharge) fatte salve le deroghe che la Banca d'Italia potra' stabilire con proprio regolamento, l'eliminazione di forme di tariffe implicite (ad esempio, la data valuta) che rendono opaco il mercato. Il Decreto mira cosi' a rendere piu' trasparente e concorrenziale il mercato, agevolando l'utilizzatore non solo nella scelta del prestatore di servizi di pagamento che pratica le migliori condizioni di offerta ma anche in quella dello strumento o del servizio di pagamento che meglio risponde alle sue esigenze. Il Decreto consente altresi' l'utilizzo della leva tariffaria per disincentivare l'utilizzo degli strumenti di pagamento meno efficienti e affidabili. Da un lato impone il divieto del surcharge, dall'altro rimette alla Banca d'Italia l'individuazione di casi in cui sia possibile derogare al divieto. Tale facolta' non trova attuazione con il presente Provvedimento: il suo esercizio potra' essere disposto anche in connessione con la definizione di indicatori tesi a misurare il costo relativo di utilizzo di diversi strumenti di pagamento. 1. Fonti normative Artt. 3, 18 e 23 del Decreto 2. Principi generali 2.1. Gratuita' delle misure correttive e preventive I prestatori di servizi di pagamento sono tenuti ad effettuare gratuitamente gli interventi volti a correggere o prevenire errori e inesattezze nell'esecuzione di operazioni di pagamento. Sono previste eccezioni tassative nei casi di: • giustificato rifiuto ad eseguire un ordine di pagamento (v. Sez. V, par. 4, del presente Provvedimento), ove cio' sia stato concordato dalle parti; • revoca dell'ordine di pagamento su accordo delle parti (v. Sez. V, par. 3, del presente Provvedimento), una volta decorsi i termini di irrevocabilita'; • recupero dei fondi trasferiti a seguito dell'utilizzo di un codice identificativo inesatto da parte del cliente (v. Sez. VI, par. 2.1, del presente Provvedimento). In tali ipotesi le spese applicate devono essere comunque convenute nel contratto ed essere adeguate e proporzionate rispetto ai costi effettivamente sostenuti dal prestatore di servizi di pagamento. 2.2 Regola tariffaria Il Decreto prevede che, quando l'operazione di pagamento non richiede una conversione valutaria, il pagatore e il beneficiario remunerino ciascuno il proprio prestatore di servizi di pagamento per il servizio prestato (c.d. "regola share"). Tale regola non incide sulle eventuali ripartizioni di spese tra i prestatori di servizi di pagamento coinvolti nell'esecuzione di un'operazione di pagamento, ivi comprese eventuali tariffe multilaterali. 2.3 Divieto di decurtazione delle spese Il Decreto vieta di decurtare spese dagli importi trasferiti, che devono corrispondere a quelli indicati nei singoli ordini di pagamento. Tuttavia, il beneficiario puo' concordare con il proprio prestatore di servizi che le spese dovute a quest'ultimo vengano detratte dall'importo trasferito; a condizione che il beneficiario venga informato esattamente dell'importo decurtato e della relativa modalita' di addebito nelle informazioni allo stesso dovute dal proprio prestatore di servizi di pagamento. Il divieto di decurtazione degli importi trasferiti si riferisce al pagamento di spese sostenute dal prestatore di servizi di pagamento; esso non trova quindi applicazione nel caso di decurtazioni applicate in osservanza di vincoli normativi (ad esempio, disposizioni fiscali). Quando un prestatore di servizi di pagamento che interviene nell'esecuzione di un'operazione di pagamento senza avere rapporti ne' con il pagatore ne' con il beneficiario trattiene delle spese dall'importo oggetto di trasferimento, spetta al prestatore di servizi che si avvale di detto prestatore garantire che il beneficiario riceva per intero l'importo trasferito. 2.4 Divieto di surcharge Il divieto di surcharge opera nei confronti del beneficiario di un'operazione di pagamento. I prestatori che offrono il servizio di acquisizione di strumenti di pagamento sono tenuti a richiamare nel contratto di convenzionamento l'attenzione dei propri clienti sul divieto in questione anche attraverso una clausola che preveda la possibilita' di risoluzione del contratto medesimo in caso di violazioni. 3. Data valuta e tempi di disponibilita' dei fondi Secondo l'articolo 23 del Decreto, e' vietata la possibilita' di applicare: - al pagatore una data valuta antecedente a quella in cui i fondi vengono addebitati sul suo conto; - al beneficiario una data valuta successiva a quella in cui i fondi vengono accreditati sul conto di quest'ultimo. In aggiunta ai predetti divieti, i fondi trasferiti devono essere resi disponibili al beneficiario da parte del suo prestatore di servizi di pagamento non appena la somma trasferita sia stata accreditata al prestatore medesimo. Qualora le informazioni relative al beneficiario siano trasmesse separatamente rispetto al trasferimento dei fondi, l'obbligo di rendere immediatamente disponibili i fondi trasferiti al beneficiario decorre dalla ricezione delle informazioni relative a quest'ultimo. Le regole sulla valuta non trovano applicazione nei casi previsti dall'art. 23, comma 4, del Decreto, cosi' come specificato, nella Sezione V, paragrafo 5.5 del presente Provvedimento. SEZIONE IV Autorizzazione di operazioni di pagamento La fase genetica di un'operazione di pagamento e' quella piu' delicata per la sua corretta esecuzione: per tale motivo il legislatore ripartisce nel dettaglio gli obblighi del prestatore di servizi di pagamento e dell'utilizzatore nel processo di autorizzazione all'esecuzione di un'operazione di pagamento. Proprio per evitare operazioni fraudolente viene richiesta l'adozione di specifici accorgimenti, oltre che ai prestatori, anche agli utilizzatori di servizi di pagamento, in particolare per quel che riguarda la gestione dei codici di accesso all'utilizzo di strumenti o di conti di pagamento. Al fine di preservare la fiducia del pubblico negli strumenti di pagamento piu' efficienti (come ad esempio le carte di pagamento e gli addebiti diretti), al ricorrere di determinate condizioni sono riconosciute forme di tutela rafforzate ai loro utilizzatori. 1. Fonti normative Artt. 7, 8, 9, 10, 11, 12, 13 e 14 del Decreto. 2. Obblighi e responsabilita' dell'utilizzatore di servizi di pagamento in relazione alle modalita' di utilizzo dei servizi e degli strumenti di pagamento L'utilizzo di strumenti di pagamento comporta alcune responsabilita' e obblighi di condotta diligente volti a favorire l'efficiente funzionamento del relativo circuito di riferimento; tali obblighi e responsabilita' sono stabiliti dalla disciplina contenuta nel Decreto nonche' nelle clausole contrattuali che disciplinano le modalita' di utilizzo del servizio o dello strumento di pagamento. 2.1 Riservatezza dei dispositivi di sicurezza Quando uno strumento prevede l'utilizzo di dispositivi personalizzati di sicurezza (es. PIN e password) e' fatto obbligo all'utilizzatore di mettere in atto gli accorgimenti idonei al fine di preservarne la riservatezza onde evitare gli utilizzi non autorizzati degli strumenti di pagamento in questione. Tale esigenza rileva in modo specifico nel caso in cui il pagamento sia effettuato a distanza, ad esempio per mezzo di un dispositivo telefonico o di un sito internet12 . E' necessario che l'utilizzatore ottenga l'autorizzazione del proprio prestatore di servizi di pagamento prima di fornire a terzi i codici per l'utilizzo del servizio o dello strumento di pagamento: in tal modo e' possibile per il prestatore individuare le richieste dei codici di sicurezza provenienti da soggetti che simulino la legittimita' della richiesta medesima, come nel caso del phishing. In aggiunta, cio' consente di limitare i rischi connessi con l'eventuale utilizzo di piattaforme per i pagamenti su internet (in particolare quelli a valere su un conto, quali i bonifici) che non sono autorizzate dal prestatore di servizi di pagamento di cui l'utilizzatore si avvale (cc.dd. overlay services)13 . Qualora il contratto tra utilizzatore e prestatore di servizi di pagamento faccia divieto al primo di comunicare a terzi i codici di sicurezza, la violazione di tale divieto integra una condotta negligente da parte dell'utilizzatore, non consentendogli di avvalersi dell'esenzione di responsabilita' di cui al successivo paragrafo. --------------12 Rientrano in questa casistica: 1) i pagamenti gestiti su siti web per operazioni di ecommerce; 2) gli ordini di pagamento effettuati attraverso la rete internet (internet banking).13 Gli overlay services, infatti, qualora svincolati da accordi con il prestatore di servizi di pagamento, risultano particolarmente esposti al rischio di frode. Nell'ambito delle procedure organizzative previste dalla Sezione XI del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni14 , i prestatori di servizi di pagamento prevedono che nelle occasioni di interlocuzione con la clientela vengano richiamati i seguenti aspetti: --------------14 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it). - le clausole contrattuali che disciplinano l'utilizzo dei servizi e degli strumenti di pagamento che prevedono il ricorso a codici di sicurezza (ad esempio, servizi di pagamento compresi nell'home banking); - l'esigenza di rispettare i termini contrattuali volti a dare particolari garanzie di utilizzo sicuro; - l'obbligo di assumere un comportamento diligente nell'utilizzo di tali servizi e strumenti. 2.2 Responsabilita' dell'utilizzatore Il rispetto degli obblighi di condotta diligente da parte dell'utilizzatore esime quest'ultimo da responsabilita' per utilizzi non autorizzati dei servizi e degli strumenti di pagamento. Il mancato adempimento di tali obblighi puo' invece comportare la sua responsabilita' per gli utilizzi non autorizzati. La violazione degli obblighi posti in capo all'utilizzatore dalla legge o dal contratto in essere con il suo prestatore di servizi di pagamento integra una condotta negligente. Al fine di favorire la diffusione dei servizi e degli strumenti di piu' elevata qualita' sotto il profilo della sicurezza, la Banca d'Italia, ai sensi dell'art. 12, comma 5, del Decreto, dispone la riduzione delle responsabilita' dell'utilizzatore che scelga detti prodotti di pagamento. Rientrano nella fattispecie in esame gli strumenti di pagamento aventi le caratteristiche di sicurezza individuate nel documento "Tipologie di strumenti di piu' elevata qualita' sotto il profilo della sicurezza" allegato al presente Provvedimento. Per questi strumenti - fatti salvi i casi in cui l'utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento - l'utilizzatore non risponde neppure della franchigia di cui all'art. 12, comma 3, del Decreto. 2.3 Prova di autenticazione ed esecuzione dell'operazione di pagamento. L'art. 10 del Decreto pone in capo al prestatore di servizi di pagamento l'onere di provare l'utilizzo autorizzato dello strumento di pagamento da parte dell'utilizzatore quando quest'ultimo neghi di aver autorizzato l'operazione. In caso di utilizzo di uno strumento di pagamento registrato, il prestatore di servizi di pagamento ha comunque l'onere di verificare che non sussistano elementi tali da non consentire di ritenere certa l'autorizzazione dell'utilizzatore: e' questo il caso, ad esempio, di una carta di pagamento utilizzata su terminali fisici a breve distanza temporale in luoghi geograficamente distanti. 3. Obblighi del prestatore di servizi di pagamento in relazione alla prestazione di servizi e all'emissione di strumenti di pagamento Il Decreto (cfr. art. 8) prevede a carico dei prestatori di servizi di pagamento: - obblighi di riservatezza dei dispositivi personalizzati relativi a uno strumento di pagamento; - l'obbligo di consentire all'utilizzatore di bloccare tempestivamente lo strumento in caso di furto o smarrimento. Tale misura e' volta ad evitare che lo strumento sottratto o smarrito venga utilizzato indebitamente. Una volta che tale evento venga comunicato tempestivamente dall'utilizzatore al proprio prestatore di servizi di pagamento, quest'ultimo fornisce al cliente una conferma dell'avvenuto blocco, comunicando il codice che identifica il blocco e l'orario in cui e' intervenuto il blocco medesimo; - il divieto di inviare all'utilizzatore strumenti di pagamento non richiesti, gia' attivi o attivabili anche in mancanza di una esplicita richiesta dell'utilizzatore medesimo. Tale misura e' tesa a eliminare prassi che espongono gli utilizzatori al rischio di accessi non autorizzati al proprio conto o di incorrere in spese per servizi non richiesti (ad esempio, per l'invio dell'estratto conto mensile relativo a una carta di credito mai richiesta ne' attivata). A tal fine e' necessario che la richiesta dell'utilizzatore di acquisire un nuovo strumento di pagamento sia inequivocabile e precedente l'invio dello strumento di pagamento, anche quando questo non sia ancora stato attivato (cfr. la Sezione V, paragrafo 2.3 del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni15 ). --------------15 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it). I prestatori di servizi di pagamento pongono altresi' la massima attenzione nella scelta del mezzo di spedizione di uno strumento di pagamento e/o dei relativi codici di sicurezza, in considerazione del rischio di accesso non autorizzato a detti strumenti e codici; per questo motivo, il legislatore pone interamente a carico del prestatore di servizi di pagamento detto rischio. Con specifico riferimento ai servizi di pagamento fruibili in ambiente internet, al fine di prevenire utilizzi fraudolenti, e' necessario che i prestatori di servizi di pagamento aderiscano a piattaforme tecniche che consentano ai propri clienti di effettuare pagamenti in rete in condizioni di elevata sicurezza. 3.1 Sicurezza Avuto riguardo agli obiettivi di regolare funzionamento del sistema dei pagamenti nonche' di tutela della fiducia degli utilizzatori nel ricorso ai servizi compresi nell'ambito di applicazione del Decreto, i prestatori di servizi di pagamento assicurano che le soluzioni tecniche adottate per l'esercizio dell'attivita' siano presidiate gestendo i rischi associati alle tecnologie utilizzate, tra i quali: - malfunzionamenti nei sistemi e nei processi informatizzati interni; - difetti delle procedure software e dei sistemi operativi; - guasti dei componenti hardware; - limitata capacita dei sistemi di elaborazione e trasmissione; - vulnerabilita' delle reti di telecomunicazione; - debolezza del sistema dei controlli e delle misure di sicurezza; - sabotaggi; - attacchi da parte di soggetti esterni; - tentativi di frode. In conformita' con la normativa di Vigilanza emanata in materia di controlli interni16 , i prestatori di servizi di pagamento: --------------16 Cfr. in particolare: Circ. 229 del 21 aprile 1999 Istruzioni di vigilanza per le banche, Titoli IV, Capitolo 11; Circ. 263 del 27 dicembre 2006 Nuove disposizioni di vigilanza prudenziale per le banche, Titoli I, Capitolo 1, Parte Quarta; Disposizioni di vigilanza in materia di conformita' (compliance) del 9 luglio 2007; Disposizioni in materia di organizzazione e governo societario delle banche del 4 marzo 2008. - devono essere in grado - nell'ambito del processo di gestione dei rischi - di identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica. In particolare, e' necessario individuare un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialita', integrita', disponibilita' dei sistemi informativi e dei dati ad essi associati; deve inoltre essere prevista l'esecuzione di fasi di verifica teorica e pratica della vulnerabilita' dei presidi di sicurezza con relativa revisione periodica del processo stesso17 . -------------- 17 Cc.dd. "vulnerability assessment" e "penetration test". - definiscono: i) un adeguato insieme di presidi di sicurezza logica e fisica per i sistemi informativi; ii) un efficace processo di controllo interno; iii) un appropriato piano di continuita' operativa; iv) una gestione dei rapporti contrattuali con i fornitori esterni coerente con i vincoli posti a carico dei prestatori di servizi di pagamento. Nell'osservanza delle disposizioni di cui al presente paragrafo i prestatori di servizi di pagamento si attengono ai requisiti di sicurezza definiti nell'ambito dell'Eurosistema con riferimento agli strumenti di pagamento offerti alla clientela finale. 4. Rettifica di operazioni di pagamento non autorizzate o eseguite in modo inesatto Quando viene a conoscenza del fatto che un'operazione di pagamento e' stata eseguita in difetto di autorizzazione o in modo inesatto, l'utilizzatore deve comunicarlo senza indugio al proprio prestatore con le modalita' e secondo i termini concordati con quest'ultimo; l'utilizzatore avra' quindi diritto ad ottenere la rettifica e, nei casi specificati nei paragrafi seguenti, il rimborso dell'operazione. Ferma restando l'esigenza di tempestivita' della comunicazione di cui al precedente paragrafo, l'utilizzatore puo' chiedere la rettifica dell'operazione entro il termine di 13 mesi dalla data dell'addebito, nel caso del pagatore, o di accredito, nel caso del beneficiario. La richiesta puo' avvenire in un momento successivo alla scadenza dei 13 mesi solo se il prestatore di servizi di pagamento ha omesso di fornire o mettere a disposizione l'informativa successiva all'esecuzione dell'operazione di cui al paragrafo 6 della Sezione VI del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni18 : in tal caso, l'utilizzatore non e' stato posto dal suo prestatore di servizi di pagamento in condizione di comunicare tempestivamente che l'operazione di pagamento era stata eseguita senza autorizzazione o in modo inesatto. E' onere del prestatore di servizi di pagamento dimostrare di aver fornito o messo a disposizione la suddetta informativa. --------------18 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it). Alle operazioni di rettifica si applica la data valuta secondo quanto previsto nella Sezione V, paragrafo 5.5. del presente Provvedimento. 5. Rimborsi Il rimborso integrale costituisce la forma di tutela piu' efficace nel caso di un'operazione di pagamento non autorizzata: a differenza delle operazioni di pagamento non eseguite correttamente, infatti, in questo caso manca il presupposto fondamentale della volonta' del pagatore di effettuare il pagamento (cfr. infra, paragrafo 5.1). 5.1 Rimborsi in caso di operazioni di pagamento non autorizzate Quando un'operazione di pagamento viene eseguita in assenza dell'autorizzazione del pagatore, questi ha diritto ad ottenere immediatamente dal proprio prestatore di servizi di pagamento il rimborso dell'importo trasferito; nel caso in cui l'operazione sia stata eseguita a valere su un conto, il pagatore ha diritto di ottenere il ripristino del proprio conto nella condizione in cui si sarebbe trovato se l'operazione non avesse avuto luogo attraverso un'operazione di rettifica (cfr. Sez. V, par. 5.5 delle presenti disposizioni). Nel caso di operazioni di pagamento non autorizzate connesse con l'utilizzo di una carta di credito, il prestatore di servizi di pagamento rifonde al cliente l'importo disconosciuto e ripristina ove possibile la linea di credito concessa per un importo corrispondente a quello dell'operazione non autorizzata. Al dovere di rimborso immediato da parte del prestatore di servizi di pagamento fa riscontro la possibilita' di interrompere tale rimborso in caso di fondato sospetto di comportamento fraudolento da parte del soggetto richiedente il rimborso medesimo. Il sospetto di frode deve emergere con immediatezza e la sua fondatezza potra' derivare dalla valutazione motivata delle circostanze del caso da parte del prestatore di servizi di pagamento. Per tale ragione, sebbene l'immediatezza del rimborso non ne implichi la contestualita' rispetto alla richiesta del cliente, la sua corresponsione non puo' attendere lo svolgimento di un'istruttoria da parte del prestatore di servizi di pagamento. L'esito dell'immediata valutazione del sospetto di frode dovra' essere comunicato subito dal prestatore di servizi di pagamento al proprio cliente e dovra' essere conservato in modo da consentirne la verifica anche a distanza di tempo. Nel caso di strumenti di pagamento di cui sia consentito l'utilizzo in forma anonima, i prestatori di servizi di pagamento valutano con particolare attenzione il rischio di frode prima di procedere al rimborso dell'operazione a favore del titolare legittimato; in caso di accoglimento della richiesta, devono registrare le generalita' di quest'ultimo al fine di poterne tenere conto nel caso di successive richieste riconducibili al medesimo soggetto. Il prestatore di servizi di pagamento puo' dimostrare anche in un momento successivo all'erogazione che l'operazione era stata autorizzata e che quindi il rimborso non era dovuto: in tal caso avra' il diritto di chiedere ed ottenere indietro i fondi originariamente trasferiti, ripristinando la situazione come se l'operazione di rimborso non avesse avuto luogo. A tale ultimo scopo sara' possibile derogare alle disposizioni di cui all'articolo 23 del Decreto in materia di data valuta. 5.2 Rimborsi nel caso di operazioni di pagamento autorizzate eseguite su iniziativa del beneficiario o per il suo tramite Le operazioni di pagamento autorizzate eseguite su iniziativa del beneficiario del pagamento o per il suo tramite richiedono per il pagatore forme rafforzate di tutela nelle ipotesi in cui il trasferimento, pur se autorizzato, non corrisponda alle sue ragionevoli aspettative. Le operazioni in questione sono costituite dagli addebiti diretti e da quelle effettuate con carta di pagamento. Il diritto al rimborso e' riconosciuto al ricorrere di entrambe le seguenti condizioni: 1. l'indeterminatezza dell'importo da trasferire al momento in cui il pagatore ha autorizzato il pagamento19 ; --------------19 Puo' trattarsi, ad esempio, di un addebito preautorizzato per il pagamento della bolletta telefonica o dell'addebito sul proprio conto dell'importo speso con la carta di credito. 2. l'importo trasferito sia superiore a quello che il pagatore, date le circostanze e/o il precedente modello di spesa, avrebbe potuto ragionevolmente attendersi: al riguardo, e' necessario che vi sia una differenza considerevole tra importo atteso e importo effettivamente addebitato e/o che quest'ultimo non risulti in linea con le abitudini di pagamento dell'utilizzatore. La condizione di cui al numero 2) ha carattere soggettivo e non puo' che essere valutata caso per caso; e' tuttavia possibile che i prestatori di servizi di pagamento definiscano, tramite le procedure organizzative di cui alla Sezione XI del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni20 , criteri oggettivi al ricorrere dei quali la differenza tra importo atteso e importo addebitato possa essere ritenuta considerevole. --------------20 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it). La circostanza che l'importo effettivamente addebitato non sia in linea con le abitudini di pagamento dell'utilizzatore deve essere valutata anche alla stregua di ogni ulteriore circostanza di fatto in cui si inscrive il pagamento di cui si chiede il rimborso: ad esempio, nel caso del pagamento di una rata di mutuo a tasso variabile, dove l'ammontare degli interessi e' determinabile dal cliente sulla base di quanto previsto nel contratto di mutuo, l'aumento del tasso di interesse applicato non puo' essere opposto dal cliente per l'ottenimento del rimborso. Nell'esempio citato restano fermi i diritti di rettifica e rimborso nel caso di errore nel calcolo della rata del mutuo. Il rimborso viene corrisposto entro 10 giornate operative dalla ricezione della richiesta che deve essere trasmessa entro otto settimane dall'addebito stesso; in caso di rifiuto ad effettuare il rimborso, il prestatore di servizi di pagamento, nei medesimi tempi sopra citati, deve fornire al pagatore una giustificazione del diniego e contestualmente comunicargli che, ove non accetti la giustificazione fornita, ha il diritto di presentare un ricorso all'Arbitro Bancario Finanziario secondo quanto previsto dall'articolo 128-bis del TUB ovvero, se del caso, attivare altre forme di soluzione stragiudiziale delle controversie. Il prestatore di servizi di pagamento comunica all'utilizzatore anche le modalita' per l'esercizio dei diritti sopra descritti. Nel caso in cui la risposta del prestatore di servizi di pagamento alla richiesta di rimborso sia stata negativa, l'utilizzatore puo' adire l'arbitro Bancario Finanziario senza bisogno di presentare il preventivo reclamo al prestatore medesimo. Per tale ragione, il rifiuto della richiesta di rimborso deve essere motivato e contenere l'indicazione della possibilita' di ricorrere all'Arbitro Bancario Finanziario. Resta ferma la possibilita' di rivolgersi in qualunque momento all'Autorita' Giudiziaria e di presentare un esposto alla Banca d'Italia. I prestatori di servizi di pagamento debbono dotarsi di procedure interne e di strutture organizzative idonee ad assicurare l'espletamento degli obblighi sopra descritti. 5.2.1 Rimborso di addebiti diretti Per incentivare la fiducia del pubblico nell'addebito diretto, e' previsto che per questo strumento di pagamento le parti del contratto possano convenire di riconoscere il diritto di rimborso del pagatore anche a prescindere dal ricorrere di entrambe le condizioni di cui ai punti 1 e 2 del paragrafo precedente: in tal caso il prestatore di servizi di pagamento non potra' rifiutare il rimborso al pagatore. Fermo restando quanto precede, e al fine di garantire l'affidabilita' dei circuiti di pagamento, i prestatori di servizi di pagamento sono tenuti a monitorare le richieste di rimborso (in particolare, la loro frequenza e il loro importo) al fine di individuare eventuali anomalie nell'utilizzo degli addebiti diretti nonche' di adottare le contromisure ritenute piu' appropriate21 . --------------21 In tale contesto si inserisce, ad esempio, la possibilita' di contattare il cliente al fine di accertare se sussistano eventuali anomalie connesse con le richieste di rimborso. Il diritto al rimborso puo' invece essere escluso a condizione che l'autorizzazione al pagamento sia stata data direttamente dal pagatore al proprio prestatore di servizi di pagamento22 e, ove possibile, le informazioni sulla futura operazione di pagamento siano state fornite o messe a disposizione del pagatore almeno quattro settimane prima dell'esecuzione. --------------22 Ad esempio, il pagatore ha contattato l'emittente della carta di credito prima di effettuare un acquisto di elevato ammontare; l'autorizzazione ad addebitare il proprio conto alla ricezione della disposizione di incasso da parte del fornitore di luce o gas e' stata data direttamente dal debitore al proprio prestatore di servizi di pagamento. 5.2.2 Deroga per i non consumatori e le micro-imprese Al fine di assicurare che servizi di addebito connotati dalla tempestiva definitivita' del completamento dell'operazione (es. RID veloci) siano utilizzabili in specifici ambiti economici (tipicamente, le forniture commerciali), il Decreto prevede che, ove l'utilizzatore del servizio di pagamento non sia un consumatore, le parti possano convenire di escludere il diritto di rimborso dell'utilizzatore o quantomeno di concordare tempi ristretti per effettuare le comunicazioni relative alla richiesta di rimborso. SEZIONE V Esecuzione di un'operazione di pagamento Perche' l'esecuzione di un'operazione di pagamento possa considerarsi correttamente eseguita due sono gli elementi sui quali e' necessaria la massima certezza: il momento in cui viene avviata l'esecuzione dell'ordine di pagamento dal prestatore di servizi di pagamento e il tempo necessario affinche' l'operazione sia completata con l'accredito dei fondi, o la loro messa a disposizione, a favore del beneficiario. 1. Fonti normative: Artt. 15, 16, 17, 20, 21, 22 e 23 del Decreto 2. Ricezione degli ordini di pagamento Il momento della ricezione di un ordine di pagamento e' quello in cui esso viene ricevuto dal prestatore di servizi di pagamento del pagatore o direttamente dal proprio cliente o dal beneficiario o dal prestatore di servizi di pagamento del beneficiario. A partire da questo momento: • si calcolano i tempi massimi entro i quali l'operazione di pagamento deve essere eseguita; • l'ordine di pagamento diventa irrevocabile; • a seconda che sia o meno conforme al contratto, si realizza per il prestatore di servizi di pagamento del pagatore l'obbligo di eseguire l'ordine di pagamento o la possibilita' di rifiutarne l'esecuzione comunicandolo al proprio cliente. Nel caso degli addebiti diretti, la data di ricezione dell'ordine di pagamento e' quella concordata tra il pagatore e il beneficiario quale data di scadenza del pagamento stesso. Per agevolare il fluido funzionamento dei circuiti di pagamento e' prevista la possibilita' che il prestatore di servizi di pagamento fissi un termine oltre il quale gli ordini si intendono ricevuti la giornata operativa successiva. Tale possibilita' non deve tuttavia tradursi in un danno per l'utilizzatore di servizi di pagamento che non puo' vedersi ridotto in modo significativo il lasso di tempo utile per dare un ordine di pagamento al proprio prestatore di servizi: per tale motivo, qualora venga fissato un termine per la ricezione degli ordini di pagamento, questo deve essere il piu' possibile coincidente con la fine effettiva della giornata operativa. Detto termine puo' essere differenziato in relazione al canale utilizzato dal cliente per l'invio dell'ordine di pagamento. Il prestatore di servizi di pagamento: - comunica il termine di ricezione degli ordini di pagamento all'utilizzatore in conformita' con quanto previsto dalla Sezione VI, paragrafo 4.1.1, e 4.2.1 del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni23 ; --------------23 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it.) - verifica che tale termine sia coerente con l'esigenza di garantire nel concreto la fluidita' e la correttezza dell'effettuazione delle operazioni di pagamento; in caso di incoerenza, provvede tempestivamente a spostarlo il piu' possibile in avanti. L'effetto di differimento al giorno successivo degli ordini trasmessi dal cliente oltre il termine si produce anche nei confronti dell'ordinante stesso. I prestatori di servizi di pagamento riconoscono pertanto al cliente ordinante la disponibilita' delle somme relative a un ordine di pagamento ricevuto dopo il termine della giornata operativa fino al momento di ricezione dell'ordine medesimo nella giomata operativa successiva. Non e' consentito individuare analogo termine per i pagamenti ricevuti dal prestatore di servizi di pagamento del beneficiario. Ove tali pagamenti siano ricevuti in tempi oggettivamente incompatibili con l'immediata messa a disposizione dei fondi del beneficiario, la disponibilita' e' riconosciuta nel giorno operativo immediatamente successivo alla ricezione con data valuta del giorno precedente. La gestione della ricezione e dell'esecuzione di un ordine di pagamento deve essere svolta in conformita' con i vincoli derivanti dalla normativa dettata in materia di contrasto all'utilizzo dei circuiti e servizi di pagamento per finalita' illecite e agli obblighi dettati in materia di tracciabilita' dei flussi finanziari24 . --------------24 Oltre alle disposizioni di contrasto al riciclaggio dei proventi di attivita' illecite e al finanziamento del terrorismo, si fa riferimento alla disciplina sulla tracciabilita' dei flussi finanziari di cui all'art. 3 della legge 13 agosto 2010, n. 136, come modificata dal decreto legge 12 novembre 2010, n. 187 convertito in legge, con modificazioni, dalla legge 17 dicembre 2010, n. 217, e successivi provvedimenti attuativi. Con riferimento a quest'ultima disciplina, i prestatori di servizi di pagamento ne possono essere destinatari diretti. 3. Irrevocabilita' di un ordine di pagamento L'utilizzatore non puo' revocare un ordine di pagamento una volta che questo sia stato ricevuto dal suo prestatore di servizi di pagamento. Quando l'operazione di pagamento e' disposta su iniziativa del beneficiario o per il suo tramite, il pagatore, in ossequio al principio di affidamento, non puo' revocare l'ordine dopo che questo e' stato trasmesso al beneficiario medesimo o dopo avergli dato il consenso ad eseguire l'operazione di pagamento. Nel caso di addebiti diretti, per i quali vi e' una preventiva autorizzazione all'addebito del proprio conto da parte del pagatore, quest'ultimo puo' revocare l'ordine non oltre la fine della giornata operativa precedente il giorno concordato per l'addebito dei fondi. Nel caso di pagamenti a esecuzione differita, la revoca non puo' intervenire oltre la fine della giornata operativa che precede il giorno previsto per l'esecuzione. Decorsi i termini sopra richiamati, un ordine di pagamento puo' essere revocato solo se sussiste l'accordo tra l'utilizzatore e il suo prestatore di servizi di pagamento. 4. Rifiuto di un ordine di pagamento Il prestatore di servizi di pagamento ha l'obbligo di eseguire un ordine di pagamento quando questo risulti conforme alle condizioni previste nel contratto. In caso di rifiuto, per tutelare l'affidamento del cliente che confida nell'esecuzione dell'ordine di pagamento impartito secondo i tempi previsti, il prestatore di servizi di pagamento deve informare immediatamente, e comunque non oltre il termine per l'esecuzione dell'operazione di pagamento, il pagatore del rifiuto di eseguire l'ordine seguendo le modalita' di comunicazione concordate nel contratto e fornendo le motivazioni del rifiuto, salvo che tale comunicazione sia contraria alla legge (tale contrarieta' ricorre, ad esempio, nel caso in cui il nominativo del pagatore corrisponda a uno di quelli elencati nelle liste diffuse per il contrasto al finanziamento del terrorismo). Considerata l'esigenza di effettuare con la massima rapidita' tale comunicazione, i prestatori di servizi di pagamento debbono adottare modalita' di comunicazione atte ad assicurare il piu' possibile l'immediatezza dell'informazione del cliente (es. telefoniche o a mezzo posta elettronica). Ove il rifiuto sia imputabile a un errore materiale del pagatore, il prestatore di servizi di pagamento e' tenuto a comunicare anche le procedure finalizzate alla correzione dello stesso. 5. Tempi di esecuzione Il tempo di esecuzione e' il tempo necessario affinche' l'ordine di pagamento venga eseguito attraverso l'accredito dei fondi sul conto del beneficiario o la loro messa a disposizione a favore di quest'ultimo. 5.1 Pagamenti a valere su un conto Il prestatore di servizi di pagamento del pagatore esegue l'ordine di pagamento con l'accredito dei fondi sul conto del prestatore di servizi di pagamento del beneficiario entro la fine della giornata operativa successiva alla ricezione dell'ordine di pagamento; fino al 1° gennaio 2012 detto lasso temporale e' dilazionabile, d'accordo tra il prestatore e l'utilizzatore del servizio di pagamento, fino a un massimo di tre giorni. Nel caso in cui l'operazione sia ad iniziativa del pagatore, il termine decorre da quando l'ordine di pagamento e' ricevuto dal prestatore di servizi di pagamento di quest'ultimo. Nel caso delle operazioni ad iniziativa del beneficiario o per il suo tramite, il termine decorre dal momento della ricezione, da parte del prestatore di servizi del pagatore, della disposizione di pagamento trasmessa dal prestatore di servizi del beneficiario. La trasmissione della disposizione di pagamento ha luogo nel momento concordato tra il beneficiario e il proprio prestatore di servizi (facendo riferimento, ad esempio, alla data di addebito indicata sulla fattura di un'utenza domestica). 5.1.1 Conversioni valutarie Fatto salvo quanto previsto dall'articolo 126-octies, comma 1, del Decreto, qualora un'operazione di pagamento sia eseguita in una valuta diversa da quella in cui e' denominato il conto del beneficiario il prestatore di servizi di pagamento del beneficiario: 1) avvia immediatamente l'operazione di conversione valutaria; 2) riconosce la disponibilita' dei fondi al beneficiario nella valuta in cui e' denominato il conto non appena l'operazione di conversione valutaria e' stata completata. Resta ferma la possibilita' del beneficiario di chiedere al proprio prestatore di servizi di pagamento di non accreditare la somma ricevuta sul proprio conto rendendola disponibile nella valuta in cui era originariamente espresso il pagamento. In caso di ordini di pagamento da eseguire in una valuta diversa da quella in cui e' denominato il conto del pagatore - o, in mancanza di un conto, da quella versata per l'esecuzione dell'operazione - il prestatore di servizi di pagamento del pagatore informa quest'ultimo del tasso di cambio applicato. 5.1.2 Pagamenti interni Il caso dei c.d. "pagamenti interni" ricorre quando i conti coinvolti nell'operazione di pagamento sono tenuti presso lo stesso prestatore di servizi di pagamento. In tal caso, ove i conti siano detenuti presso la stessa filiale o presso diverse filiali del medesimo prestatore di servizi di pagamento, le operazioni devono essere eseguite immediatamente ai sensi dell'art. 23 del Decreto, a meno che per il relativo regolamento non venga utilizzato un sistema esterno al prestatore medesimo. In tal caso il momento dell'accredito dei fondi sul conto della filiale presso cui e' detenuto il conto del beneficiario, fermo restando il rispetto dei tempi di cui all'art. 20 del Decreto, sara' quello del regolamento del sistema esterno attraverso il quale viene effettuato il regolamento dell'operazione. 5.2 Pagamenti in assenza di conto Se il beneficiario non ha un conto di pagamento, i fondi trasferiti sono messi a sua disposizione dal prestatore di servizi di pagamento di cui egli si avvale entro i tempi di cui all'articolo 23, comma 2, del Decreto, che decorrono dall'accredito dei fondi medesimi sul conto del prestatore di servizi in questione. Le somme dovranno essere contabilizzate in conti o sottoconti transitori riconducibili al beneficiario che verranno estinti nel momento in cui esse saranno ritirate in contanti o il beneficiario ne richiedera' l'accredito su un altro conto. 5.3 Versamenti Nel caso di versamenti di contante su un conto nella stessa valuta in cui e' denominato il conto medesimo, i fondi sono immediatamente disponibili per il titolare del conto e la data valuta sara' quella del giorno in cui viene effettuato il versamento. Se l'utilizzatore non e' un consumatore, l'importo e' reso disponibile e la valuta datata al piu' tardi la giornata operativa successiva al versamento dei fondi. Quando il versamento di contante e' effettuato in una valuta diversa da quella in cui e' denominato il conto, i fondi sono immediatamente disponibili per l'utilizzo (ad esempio, per l'esecuzione di un nuovo ordine di pagamento espresso nella valuta medesima che non deve quindi essere convertita) ma vengono accreditati sul conto immediatamente dopo che sia stata effettuata l'operazione di conversione valutaria; la data valuta e' quella dell'accredito in conto che non puo' superare la seconda giornata operativa successiva a quella in cui viene effettuato il versamento (cfr. presente Sezione, par. 5.1.1). L'utilizzatore viene preventivamente informato dei tempi necessari per effettuare detta operazione di conversione valutaria. Qualora il titolare del conto non sia un consumatore, la disponibilita' dei fondi potra' essere al piu' tardi quella della giornata operativa successiva a quella in cui il versamento ha avuto luogo e la data valuta applicata potra' essere quella della terza giornata operativa successiva a quella del versamento. 5.4 Data valuta e disponibilita' dei fondi Cfr. Sezione III, par. 3, del presente Provvedimento. 5.4.1 Pagamenti in giornate non operative Nel caso di operazioni di pagamento effettuate in una giornata che non e' operativa per il prestatore di servizi di pagamento del pagatore o, nel caso di prelievo effettuato in una giornata che non e' operativa per il prestatore di servizi di pagamento presso cui e' detenuto il conto di pagamento dal quale i fondi vengono prelevati, la data in cui l'importo viene addebitato sul medesimo conto e' necessariamente successiva a quella in cui i fondi sono resi disponibili all'utilizzatore. In tali casi, la data valuta dell'operazione di pagamento e' quella del giorno in cui viene disposto l'ordine di pagamento o effettuato il prelievo. Per il rispetto dei tempi di esecuzione di cui all'articolo 20 del Decreto, l'ordine di pagamento si intende ricevuto il giorno in cui il pagatore dispone effettivamente dei fondi, quindi, il giorno in cui viene disposto l'ordine di pagamento o effettuato il prelievo. 5.5 Rettifiche La rettifica e' un'operazione con la quale viene corretta un'operazione di pagamento eseguita in modo inesatto, anche a causa di un mero errore materiale, di ritardi nella contabilizzazione o di un difetto di autorizzazione all'esecuzione (e' questo, ad esempio, il caso di storni, rimborsi, ecc.; cfr. anche Sezione IV, par. 4). La rettifica riporta il conto nello stato in cui si sarebbe trovato se l'operazione errata non avesse avuto luogo: la data valuta applicata verra' quindi retrodatata al giorno in cui i fondi sono stati originariamente addebitati sul conto del pagatore e, se del caso, la data valuta di addebito al beneficiario verra' retrodatata al giorno in cui i fondi sono stati accreditati sul conto del beneficiario. Il prestatore di servizi di pagamento puo' scegliere di effettuare la rettifica con un'operazione di pagamento che integra quella precedentemente eseguita in modo inesatto, oppure annullare l'operazione di pagamento eseguita in modo inesatto con una ad essa uguale e contraria ed effettuare una nuova operazione conforme all'ordine di pagamento o alle istruzioni impartite dal proprio cliente. I prestatori di servizi di pagamento provvedono a effettuare rettifiche in relazione a esigenze effettive connesse con operazioni non autorizzate o eseguite in modo inesatto; non e' ammesso il ricorso a rettifiche aventi l'effetto sostanziale di eludere le regole poste a presidio della regolare esecuzione delle operazioni di pagamento (in particolare, di quelle relative alla valuta e ai tempi di esecuzione delle operazioni medesime). SEZIONE VI Responsabilita' Come nella fase di autorizzazione di un pagamento, la normativa opera un attento bilanciamento di obblighi tra prestatori e utilizzatori di servizi di pagamento anche nella fase di esecuzione dell'operazione di pagamento: all'estensione della responsabilita' dei prestatori di servizi di pagamento a copertura dell'intero ciclo di trasferimento monetario fa riscontro l'esenzione totale di responsabilita' per gli stessi nel caso in cui l'utilizzatore abbia fornito un identificativo unico inesatto. I rimedi individuati dal Decreto per i casi di operazioni di pagamento non eseguite o eseguite in modo inesatto lasciano impregiudicata l'applicazione di quelli risarcitori previsti dal codice civile. 1. Fonti normative: Artt. 24, 25, 27, 28 del Decreto 2. Identificativo unico L'identificativo unico e' un codice che identifica l'utilizzatore di servizi di pagamento o il suo conto oppure entrambi. Esso viene indicato a ciascun utilizzatore dal prestatore di servizi di pagamento e assolve alla funzione di indirizzamento dei pagamenti, consentendone l'esecuzione interamente automatizzata (c.d. straight through processing). L'utilizzatore che impartisce un ordine di pagamento deve quindi fornire al proprio prestatore di servizi l'identificativo unico della controparte del pagamento e deve prestare particolare attenzione a che il codice fornito sia esatto. Secondo quanto previsto nella Sezione VI paragrafo 4.1.1 del provvedimento della Banca d'Italia del 29 luglio 2009 e successive modificazioni25 , i prestatori di servizi di pagamento debbono adottare accorgimenti idonei a richiamare l'attenzione degli utilizzatori sulle conseguenze derivanti dall'utilizzo di un codice identificativo inesatto. --------------25 "Disposizioni in materia di trasparenza delle operazioni e dei servizi bancari e finanziari. Correttezza delle relazioni tra intermediari e clienti" disponibili sul sito internet della Banca d'Italia (www.bancaditalia.it). 2.1 Identificativi unici inesatti L'esecuzione dell'ordine in conformita' con l'identificativo unico fornito dall'utilizzatore fa scattare la presunzione di esecuzione corretta dell'ordine medesimo da parte del prestatore di servizi di pagamento ed esclude la sua responsabilita' in caso di mancata o inesatta esecuzione dell'operazione di pagamento. La presunzione di corretta esecuzione e l'esclusione della responsabilita' operano anche qualora l'utilizzatore abbia fornito al proprio prestatore di servizi di pagamento informazioni aggiuntive rispetto all'identificativo unico: quest'ultimo assume quindi importanza prioritaria, condizionando il buon fine delle operazioni di pagamento e la possibilita' per l'utilizzatore di far valere le responsabilita' del prestatore di servizi di cui si avvale. Nel caso in cui l'utilizzatore abbia fornito un codice identificativo inesatto, i prestatori di servizi di pagamento si adoperano per il recupero dei fondi oggetto dell'operazione di pagamento sulla base degli obblighi di diligenza professionale che loro competono. All'utilizzatore potranno essere applicate spese per il recupero dei fondi, secondo i principi elencati nella Sezione III del presente Provvedimento. Sulla base dei citati obblighi di diligenza professionale, i prestatori di servizi di pagamento - limitatamente ai casi in cui, anche senza porre necessariamente in essere verifiche specifiche, siano comunque consapevoli dell'inesattezza dell'identificativo unico fornito dal proprio cliente - devono adoperarsi affinche' l'operazione di pagamento venga eseguita correttamente: il prestatore che esegua l'operazione di pagamento malgrado sia consapevole dell'inesattezza dell'identificativo unico pone infatti in essere una condotta volutamente pregiudizievole degli interessi del proprio cliente. Pertanto, al fine di favorire la corretta esecuzione dell'operazione di pagamento, il prestatore di servizi di pagamento consapevole dell'inesattezza dell'identificativo unico utilizzato dal proprio cliente lo contattera' prima di avviare l'esecuzione dell'operazione di pagamento. Il prestatore di servizi del beneficiario consapevole contattera' invece il prestatore di servizi dell'ordinante prima di decidere se respingere il pagamento - nel caso di codice identificativo inesistente presso di se' - ovvero di eseguirlo sulla base del solo codice identificativo unico in caso di discordanza tra questo e i riferimenti indicati nell'ordine di pagamento. L'adozione di tali accorgimenti - ove fondata su presupposti oggettivi e giustificabili - esime il prestatore di servizi di pagamento da responsabilita' per il mancato rispetto dei tempi di esecuzione dell'operazione di pagamento. 2.2 Assenza di identificativo unico Qualora l'utilizzatore ometta di fornire al prestatore di servizi di pagamento di cui si avvale l'identificativo unico della controparte del pagamento l'ordine di pagamento deve essere rifiutato dal prestatore di servizi medesimo, a meno che quest'ultimo non sia gia' in possesso dell'identificativo unico della controparte in quanto fornito in precedenza dall'utilizzatore che impartisce l'ordine di pagamento. In quest'ultimo caso, ove decida di eseguire l'ordine di pagamento ricevuto, il prestatore di servizi di pagamento comunichera' al proprio cliente l'integrazione dell'ordine di pagamento incompleto prima di avviare la relativa esecuzione. 3. Responsabilita' per mancata o inesatta esecuzione 3.1 Principi generali Il Decreto disciplina la responsabilita' dei prestatori di servizi di pagamento in caso di mancata o inesatta esecuzione di un'operazione di pagamento. Tale disciplina fa salva l'applicabilita' delle disposizioni che esimono i prestatori di servizi di pagamento da responsabilita' (quale l'utilizzo di identificativi unici inesatti, il caso fortuito e la forza maggiore) e non pregiudica le modalita' e i tempi con cui l'utilizzatore deve far valere le proprie ragioni per l'esecuzione non autorizzata o inesatta di un'operazione di pagamento (articolo 9 del Decreto). La disciplina contenuta nell'articolo 25 del Decreto si concentra infatti sul modo in cui un'operazione di pagamento viene eseguita e sul caso in cui essa non venga eseguita affatto, prescindendo dagli elementi che hanno dato luogo all'inesattezza o al difetto di esecuzione quali la volonta' del pagatore, errori dell'utilizzatore, eventi accidentali o inevitabili. Un'operazione di pagamento e' eseguita in modo inesatto quando l'esecuzione non e' conforme a quanto chiesto dall'utilizzatore al proprio prestatore di servizi di pagamento nell'ordine di pagamento o in istruzioni allo stesso impartite. Il rispetto delle istruzioni impartite dal cliente attiene all'importo trasferito, ai tempi di esecuzione e di disponibilita', alle date valuta applicate. Si ha mancata esecuzione di un'operazione di pagamento quando i fondi oggetto dell'ordine di pagamento non vengono trasferiti da parte del prestatore di servizi di pagamento del pagatore, rimanendo nella disponibilita' del pagatore o del prestatore stesso. Qualora i fondi vengano addebitati al pagatore, escano dalla disponibilita' del prestatore di servizi del pagatore ma non vengano accreditati, in tutto o in parte, al prestatore del beneficiario l'esecuzione sara' invece considerata inesatta. Il principio generale al quale e' informata la ripartizione di responsabilita' per la corretta esecuzione delle operazioni di pagamento e' che ciascun prestatore di servizi di pagamento e' interamente responsabile nei confronti del proprio cliente. Fatto salvo il riparto di responsabilita' nelle diverse fasi in cui si articola l'esecuzione di un'operazione di pagamento, ciascun prestatore di servizi risponde quindi nei confronti del proprio cliente di tutte le spese o interessi che siano stati a lui imputati a seguito della mancata o inesatta esecuzione dell'operazione di pagamento. In caso di inesatta o mancata esecuzione di un'operazione di pagamento, ferme restando le rispettive responsabilita' dei prestatori di servizi di pagamento coinvolti, l'obbligo di diligenza professionale che ricade in capo ai prestatori di servizi di pagamento impone comunque a questi ultimi di adoperarsi senza indugio - quando i clienti ne facciano richiesta - per individuare lo stato in cui si trovano i fondi oggetto dell'ordine di pagamento e di comunicarlo tempestivamente ai clienti medesimi. 3.2 Responsabilita' del prestatore di servizi di pagamento del pagatore Il prestatore di servizi di pagamento del pagatore risponde nei confronti del proprio cliente della corretta esecuzione dell'ordine di pagamento. La responsabilita' comporta l'obbligo di rimborso immediato dell'importo non andato a buon fine, oppure, ove l'ordine di pagamento sia stato impartito a valere su un conto, l'obbligo di ripristinare la situazione del conto come se l'operazione eseguita in modo inesatto non avesse avuto luogo. Il rimborso non e' dovuto nel caso in cui la somma da trasferire non sia mai stata addebitata al pagatore. In ossequio al principio di conservazione degli atti giuridici, il pagatore puo' scegliere di non ottenere il rimborso o il ripristino del conto (ad esempio nel caso di esecuzione avvenuta oltre i tempi massimi previsti nell'articolo 20 del Decreto o nel caso di trasferimento di un importo diverso da quello indicato nell'ordine di pagamento); puo' comunque ottenere la rettifica dell'operazione inesatta secondo quanto previsto dall'articolo 9 del Decreto. Il prestatore di servizi di pagamento del pagatore puo' comunque dimostrare al proprio cliente e, ove necessario, al prestatore di servizi di pagamento del beneficiario che i fondi trasferiti sono stati accreditati sul conto di quest'ultimo prestatore secondo i prescritti limiti temporali; in tal caso, l'ordine di pagamento deve intendersi eseguito correttamente da parte del prestatore del pagatore e il prestatore di servizi di pagamento del beneficiario risponde nei confronti del beneficiario della corretta esecuzione dell'operazione di pagamento, mettendo immediatamente i fondi ricevuti a disposizione del proprio cliente o accreditandoli sul suo conto. 3.3 Responsabilita' del prestatore di servizi di pagamento del beneficiario Quando un'operazione di pagamento e' disposta su iniziativa del beneficiario o per il suo tramite, il prestatore di servizi di pagamento del beneficiario deve: • rispettare i tempi concordati con il beneficiario per l'inoltro della disposizione di incasso al prestatore di servizi del pagatore; • trasmettere in modo corretto la disposizione di incasso di cui al punto precedente; • applicare la data valuta dell'accredito dei fondi sul conto del beneficiario secondo quanto prescritto dall'articolo 23 del decreto; • mettere immediatamente a disposizione del beneficiario i fondi ricevuti. 3.4 Diritto di regresso Se la responsabilita' di un prestatore di servizi di pagamento ai sensi dei paragrafi precedenti e' in realta' ascrivibile ad un altro prestatore di servizi di pagamento o a qualunque altro soggetto intervenuto nell'esecuzione dell'operazione di pagamento, questo sara' tenuto a risarcire il prestatore di servizi di pagamento responsabile delle perdite subite o degli importi versati. L'esercizio del diritto di regresso lascia impregiudicati eventuali ulteriori risarcimenti derivanti da accordi in essere tra prestatori di servizi di pagamento o dalla disciplina ad essi applicabile. SEZIONE VII Disposizioni transitorie e finali 1. Istituti di pagamento Gli Istituti di pagamento redigono la relazione sulla struttura organizzativa e il documento descrittivo dei servizi di pagamento prestati e delle relative caratteristiche di cui alla Sezione III, Capitolo VI, delle Disposizioni di Vigilanza della Banca d'Italia per gli istituti di pagamento tenendo conto degli obblighi previsti dal presente Provvedimento. 2. Istituti di moneta elettronica Gli Istituti di moneta elettronica redigono la relazione sulla struttura organizzativa di cui alla Sezione III, Capitolo VIII, delle Istruzioni di Vigilanza per gli Istituti di moneta elettronica (Imel) tenendo conto degli obblighi previsti dal presente Provvedimento. 3. Banche e Poste Italiane S.p.A. Le banche e Poste Italiane S.p.A. tengono conto degli obblighi previsti dal presente Provvedimento nella definizione della propria struttura organizzativa e di controlli interni. ALLEGATO TECNICO Tipologie di strumenti di piu' elevata qualita' sotto il profilo della sicurezza 1. Premessa I prestatori di servizi di pagamento (PSP) sono sottoposti all'obbligo generale di assicurare per tutti gli strumenti di pagamento offerti alla clientela adeguati presidi tecnico-organizzativi di sicurezza al fine di garantire il regolare funzionamento, in ogni momento, degli stessi nonche' la fiducia del pubblico nel loro utilizzo. La conformita' a tale obbligo e' definita nella Sezione IV del Provvedimento della Banca d'Italia (d'ora in avanti "Provvedimento") emanato ai sensi dell'art. 31 del D.lgs 27 gennaio 2010, n. 1126 (d'ora in avanti "Decreto"). --------------26 Vedi Provvedimento Banca d'Italia cit., Sez. IV - § 3 "Obblighi del prestatore di servizi di pagamento in relazione alla prestazione di servizi e all'emissione di strumenti di pagamento" Le presenti disposizioni - emanate ai sensi dell'articolo 12, comma 5, del Decreto - individuano gli strumenti di pagamento retail di piu' elevata qualita' sotto il profilo della sicurezza, per i quali la Banca d'Italia riconosce l'esclusione della responsabilita' patrimoniale dell'utilizzatore, fatta eccezione per i casi di dolo, colpa grave ovvero mancata adozione di misure idonee a garantire la sicurezza dei dispositivi necessari per l'esecuzione dei pagamenti27 . --------------27 Questo implica, per l'utilizzatore, l'esonero dalla responsabilita' di perdite fino a 150 euro derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento. Obiettivo delle presenti disposizioni e' la promozione di strumenti di pagamento sicuri che aumentino la fiducia del pubblico nei pagamenti elettronici e, quindi, ne favoriscano la diffusione; in considerazione di tale obiettivo, esse trovano applicazione esclusivamente nei casi di utilizzo degli strumenti "a maggior sicurezza" da parte di "consumatori", con esclusione, quindi, delle altre categorie di utilizzatori previste dal Decreto. Gli strumenti qualificati come "a maggior sicurezza" non vanno intesi come mezzi intrinsecamente sicuri, cioe' privi di rischio, ma come strumenti che presentano un livello di rischio connesso con frodi o disconoscimenti inferiore rispetto agli altri strumenti di pagamento alla luce dell'evoluzione tecnologica. L'adesione ai requisiti delle presenti disposizioni avviene su base volontaria per singolo strumento di pagamento su richiesta del PSP. La Banca d'Italia assicura la generale conoscibilita' di tali strumenti. Nei paragrafi successivi si definiscono i requisiti tecnico-organizzativi che qualificano i presidi di sicurezza "rafforzati" degli strumenti "a maggior sicurezza" nonche' la procedura per il riconoscimento di tali requisiti. 2. Requisiti degli strumenti "a maggior sicurezza" Sono strumenti di piu' elevata qualita' quelli dotati di maggiori presidi di sicurezza specificamente orientati a: • prevenire i furti di identita'; • minimizzare il rischio di frodi. Gli strumenti di pagamento possono essere qualificati a "maggior sicurezza" in presenza di un rapporto di valutazione, (cfr. § 3), che attesti la presenza presso il PSP del processo di gestione e mitigazione dei rischi relativi alla sicurezza secondo quanto previsto alla sezione IV, par. 3.1. del Provvedimento. Il processo di gestione e mitigazione dei rischi, per gli strumenti di cui al presente allegato, deve includere obbligatoriamente specifici presidi per la mitigazione del rischio di sottrazione delle credenziali di autenticazione dai dispositivi dell'utente (es: smart card, token, PC, lap-top, telefono cellulare), dai canali di comunicazione (es: attacchi man-in-the-middle) e dai dispositivi del PSP (server, data storage, etc.). In particolare, tra i presidi specifici devono essere previsti almeno quelli relativi a quanto di seguito indicato: a) Autenticazione multifattore28 . L'autenticazione dell'utente deve avvenire utilizzando due o piu' fattori di autenticazione; tali fattori devono essere tra loro indipendenti in maniera che la compromissione dell'uno non comprometta anche l'altro. Nel caso di One-Time-Password di tipo timebased, il tempo di validita' della singola password non deve superare i 100 secondi ed in ogni caso deve impedire attacchi di tipo "forza bruta". --------------28 Le metodologie di autenticazione forte degli utenti si basano su una pluralita' di "fattori", tra i quali: i) qualcosa che l'utente conosce (es: password/PIN); ii) qualcosa che l'utente possiede (es. smart card, token, OTP, SIM cellulare, Firma Digitale); iii) qualcosa che l'utente e' (es: caratteristiche biometriche). Fattori di diverso tipo possono essere combinati insieme per ottenere soluzioni di autenticazione "multifattore" in grado di elevare il livello complessivo di sicurezza. b) Autenticazione del dispositivo del PSP: lo strumento di pagamento deve essere in grado di autenticare in maniera sicura il dispositivo di pagamento del PSP con il quale interagisce, al fine di minimizzare il rischio che l'utilizzatore consegni inconsapevolmente le proprie credenziali e i propri dati a dispositivi malevoli (es: autenticazione POS/ATM verso la carta, autenticazione Web server della banca verso il PC dell'utente, personalizzazione della pagina Web29 ). c) Autorizzazione on-line delle transazioni: le transazioni di importo superiore a 500 euro devono essere autorizzate on-line tramite il server centrale che gestisce lo strumento di pagamento. --------------29 In fase di registrazione, il PSP mette a disposizione funzioni per la personalizzazione della pagina Web dove l'utilizzatore inserisce le proprie credenziali; tale personalizzazione puo' avvenire attraverso un'immagine e/o una frase che l'utente registra ed e' in grado di vedere ogni volta che esegue il login verso il sito valido, agendo come segreto condiviso (shared secret) tra l'utente ed il server. Se il segreto condiviso non e' presente oppure non e' presentato in maniera corretta, l'utente finale sara' immediatamente in grado di notarlo, evitando di incorrere in attacchi di tipo phishing. d) Crittografia end-to-end: la trasmissione delle credenziali di autenticazione dell'utilizzatore nonche' dei suoi dati personali, dal dispositivo del cliente fino al punto di verifica del PSP, deve essere effettuata su canali con cifratura end-to-end30 . Qualora la tecnologia del PSP richieda che tali dati siano rimessi in chiaro su dispositivi intermedi, cio' deve avvenire all'interno di dispositivi sicuri (es: tamper-resistant module, HSM), oppure nell'ambito di sottoreti chiuse non pubbliche sicure (es: reti aziendali protette). Le funzioni di cifratura utilizzate devono basarsi su algoritmi pubblicamente disponibili e di comprovata robustezza. --------------30 Sono esclusi dalla seguente previsione i servizi di banca telefonica, basati su interazione vocale con l'operatore oppure attraverso servizi di risponditori automatici (IVR). e) Autorizzazione singola transazione: nel caso lo strumento consenta di effettuare piu' transazioni dispositive nell'ambito della stessa sessione (es: Internet Banking), ogni transazione deve essere autorizzata singolarmente. f) Canale out-of-band: lo strumento di pagamento deve mettere a disposizione dell'utilizzatore31 un canale di comunicazione differente da quello usualmente utilizzato per le transazioni, attraverso cui l'utilizzatore viene tempestivamente informato delle transazioni effettuate (es: SMS, email, pagine web riservate, etc.). --------------31 Per utilizzatore si intende in questo caso il titolare dello strumento di pagamento. g) Aggiornamento del software: per gli aggiornamenti dello strumento di pagamento effettuati da remoto, il PSP implementa metodi di download sicuri32 delle nuove versioni software, ovvero dei relativi parametri di configurazione, dai propri server ai dispositivi dell'utente33 . --------------32 Tali metodi dovrebbero assicurare la autenticita', riservatezza e integrita' dei frammenti software (e/o dei relativi dati di configurazione) trasmessi via rete.33 Si precisa che il download sicuro e' richiesto unicamente per le componenti software strettamente funzionali all'operazione di pagamento. h) Controlli in sede di gestione dello strumento di pagamento: nella fase di attivazione di uno strumento di pagamento, il PSP mette a disposizione del cliente un processo di verifica delle identita' che prevede adeguati controlli volti a minimizzare il rischio di acquisizione di false generalita'. Per la gestione dello strumento di pagamento (es: cambio PIN/password, variazione indirizzo, modifica limiti di spesa, etc.), sono disponibili processi con sistemi di autenticazione affidabili, diversi da quelli in essere per le transazioni dispositive. Il PSP garantisce che non sia possibile ottenere le credenziali di autenticazione dell'utilizzatore sufficienti ad effettuare una transazione dalla intercettazione delle comunicazioni periodiche tra PSP e utilizzatore (es: estratti conto via posta, e-mail o SMS). i) Controlli per il contrasto di attacchi complessi: il titolare delle funzionalita' di pagamento (il PSP o il circuito a cui aderisce) implementa efficaci controlli in grado di intercettare attacchi complessi, inclusi quelli che si basano sulla interposizione dell'attaccante tra il dispositivo di pagamento e il PSP (es: Man-In-The-Middle)34 . --------------34 Nel tipico scenario di attacco man-in-the-middle, l'attaccante durante una transazione dispositiva effettuata dall'utente modifica il numero del conto del destinatario ovvero l'ammontare dell'operazione prima che essa si perfezioni. In maniera similare, nel caso di una carta di pagamento, l'attaccante si intromette nel collegamento tra POS e Issuer per carpire le credenziali della carta ed utilizzarle su un altro terminale POS a proprio vantaggio. In aggiunta a quanto precede, il titolare delle funzionalita' di pagamento (il PSP o il circuito a cui aderisce) implementa efficaci controlli di sicurezza in grado di rilevare tempestivamente transazioni sospette o attivita' inusuali potenzialmente riconducibili a furto di identita' o frode. In particolare, i suddetti controlli devono riscontrare orario e canale utilizzato dall'utente nell'effettuare la transazione nonche' essere in grado di rilevare almeno le seguenti situazioni: - ripetute transazioni di trasferimento fondi eseguite entro un ristretto periodo di tempo35 verso lo stesso beneficiario e per importi prossimi ai massimali consentiti; --------------35 Ci si riferisce a transazioni di movimento fondi, non direttamente riconducibili a sottostanti acquisti di beni o servizi, che sono generalmente piu' appetibili in caso di frode. - cambio di indirizzo richiesto dell'utente, a cui fa seguito a stretto giro la richiesta di ri-emissione di PIN/password da consegnare attraverso il servizio postale; - innalzamento dei massimali richiesti dall'utente, a cui fa seguito una improvvisa movimentazione di fondi verso controparti inusuali. In tali casi il PSP riscontra prontamente con l'utilizzatore l'autenticita' di tali transazioni ovvero dispone il blocco cautelativo. 3. Assessment indipendente Gli organi aziendali assicurano, nell'ambito delle rispettive competenze, la conformita' ai requisiti necessari perche' lo strumento di pagamento possa essere qualificato a maggiore sicurezza, mediante una specifica validazione (assessment). Per lo svolgimento dell'assessment i PSP possono avvalersi anche di una terza parte indipendente e qualificata. I risultati dell'assessment devono essere altresi' portati a conoscenza e approvati dagli organi aziendali competenti. L'assessment deve prevedere, oltre a valutazioni di tipo organizzativo, specifiche verifiche tecniche volte ad accertare la robustezza dei presidi di sicurezza implementati, con particolare riferimento agli aspetti indicati nel § 2. L'assessor deve possedere adeguata expertise nel comparto della sicurezza delle informazioni36 ed assicurare imparzialita' nello svolgimento del compito affidato. --------------36 A titolo esemplificativo, l'Assessor potrebbe essere un soggetto accreditato secondo standard internazionali ovvero una Autorita' Finanziaria La valutazione deve riguardare l'intero ciclo di vita dello strumento di pagamento (emissione, transazione, compensazione e regolamento, risoluzione delle controversie, monitoraggio). Nel caso di strumenti che funzionino nell'ambito di un circuito, la valutazione deve riguardare tutti i canali di accettazione dello strumento di pagamento, anche se non ricadenti sotto il diretto controllo del PSP (es. POS fisici, internet, canale telefonico). Il rapporto di valutazione deve: i) attestare l'esistenza di un efficace processo di risk management; ii) dare conto della adeguatezza dei presidi di sicurezza implementati; iii) documentare il numero e la tipologia delle frodi nonche' delle violazioni di sicurezza subite nel periodo di riferimento precedente alla valutazione. Al riguardo si precisa che, per gli strumenti di nuova costituzione o con tempo di vita inferiore all'anno, la suddetta documentazione statistica sulle frodi e violazioni di sicurezza non e' richiesta; per gli strumenti gia' operativi, il periodo di riferimento per la statistica non deve essere inferiore all'anno; in caso di rinnovo della valutazione, il periodo di riferimento da considerare e' quello intercorso dall'ultima valutazione effettuata. Inoltre, il rapporto di valutazione deve attestare il supporto del Vertice Aziendale al richiesto processo di risk management per il quale ha definito una adeguata struttura organizzativa. Tale processo deve prevedere presidi di sicurezza adeguati rispetto ai rischi da fronteggiare e includere tutti quelli elencati al paragrafo 2. Esso deve contenere quanto segue: - data e fasi: deve essere indicato il periodo di riferimento dell'assessment e si deve dare conto delle fasi di progettazione, implementazione, testing, messa in produzione, revisione periodica dello strumento di pagamento; - contesto: deve essere descritto il perimetro della valutazione effettuata, indicando quali componenti (sistemi, reti, apparati, dispositivi, strutture organizzative) sono state oggetto della valutazione. Tale perimetro deve interessare tutte le componenti tecnologiche e organizzative afferenti al servizio di pagamento; - metodologia: deve essere indicato l'approccio seguito nel percorso di valutazione (analisi documentale, interviste, test di laboratorio, ispezioni). I risultati della valutazione devono essere riproducibili e comparabili. Il rapporto deve fornire riferimenti specifici sulle aree a maggior rischio (es: vulnerability assessment e penetration test per i servizi via Internet, test sulla resistenza alla effrazione per i POS, verifica delle caratteristiche di qualita' dei token). Essi possono essere documentati facendo riferimento anche a rapporti di valutazione o certificazioni emessi da altri soggetti specializzati sulle tematiche in esame; - risultati: devono essere chiaramente esposti i risultati della valutazione, evidenziando gli eventuali aspetti potenzialmente critici per il servizio di pagamento offerto dal PSP; va anche quantificato il rischio residuo tenendo in considerazione le principali modalita' con cui sono effettuati gli attacchi e le relative frequenze nonche' l'effetto mitigante delle contromisure poste in essere; - raccomandazioni: devono essere riportate eventuali raccomandazioni del valutatore volte a sanare criticita' riscontrate o aree con livelli di sicurezza sub-ottimali. Il rapporto di valutazione deve essere: i) rinnovato con frequenza almeno biennale; ii) aggiornato in presenza di significative modifiche tecnico-organizzative del servizio di pagamento. 4. Procedura di adesione. La qualifica di strumento a "maggior sicurezza" e' riconosciuta dalla Banca d'Italia, su richiesta dei vertici aziendali del PSP, a seguito di una valutazione per la quale e' necessario: 1. fornire la descrizione del prodotto, con evidenza delle caratteristiche di cui al § 2 (Requisiti degli strumenti a maggior sicurezza); 2. presentare l'assessment di cui al § 3 (Assessment indipendente); 3. fornire riferimenti sul soggetto che ha eseguito l'assessment; 4. predispone uno schema di pagina web descrittiva del prodotto e dei risultati dell'assessment, che costituira' il riferimento al quale la Banca d'Italia fara' rinvio per assicurare la generale conoscibilita' degli strumenti di piu' elevata qualita' sotto il profilo della sicurezza, mediante loro inclusione in una lista pubblica. In caso di significative modifiche tecnico-organizzative del servizio di pagamento e comunque ogni due anni il PSP deve chiedere il rinnovo della qualifica degli strumenti a "maggior sicurezza" ai fini del mantenimento degli stessi nella suddetta lista pubblica. L'acquisizione e la gestione del rapporto di valutazione da parte della Banca d'Italia verra' effettuato con modalita' tali da preservare la riservatezza delle informazioni in esso contenute. 5. Strumenti di pagamento di "basso valore". Gli strumenti di pagamento di basso valore, che consentono operazioni di pagamento non superiori a 30 euro ovvero hanno un limite massimo di avvaloramento che in nessun momento supera i 150 euro, sono soggetti ai sensi dell'art. 4 del Decreto a un regime di responsabilita' particolare. Detti strumenti, su richiesta del PSP emittente, possono essere assimilati a quelli "a maggior sicurezza" ai fini dell'applicazione del regime di responsabilita' ridotta per l'utilizzatore di cui all'art. 12, comma 5, del Decreto. In tal caso sono inseriti nella suddetta lista pubblica ai fini di assicurarne la generale conoscibilita'. La richiesta del PSP deve essere inoltrata alla Banca d'Italia unitamente a una scheda descrittiva del prodotto, nella quale sono precisati le condizioni e i limiti di operativita' dello stesso. Per gli strumenti di pagamento di "basso valore" non sono obbligatori i requisiti di cui al § 2.