Allegato
CAPITOLO I
DISPOSIZIONI GENERALI
Sezione I
Fonti normative
Gli istituti di pagamento sono regolati:
dalla direttiva 2015/2366/UE, del 25 novembre 2015, relativa ai
servizi di pagamento nel mercato interno;
dal Titolo V-ter del decreto legislativo 1° settembre 1993, n.
385, recante il testo unico delle leggi in materia bancaria e
creditizia (di seguito, TUB) e successive modifiche.
Gli istituti di moneta elettronica sono regolati:
dalla direttiva comunitaria 2009/110/CE, del 16 settembre 2009,
concernente l'avvio, l'esercizio e la vigilanza prudenziale
dell'attivita' degli istituti di moneta elettronica e successive
modifiche;
dal Titolo V-bis del TUB.
La materia e' inoltre direttamente regolata dai seguenti
regolamenti della Commissione europea recanti le norme tecniche di
regolamentazione in materia di:
cooperazione tra le autorita' competenti dello stato d'origine
e dello stato ospitante per la vigilanza sugli istituti di pagamento
su base transfrontaliera ai sensi dell'art. 29, paragrafo 6, della
direttiva 2015/2366/UE (PSD2);
requisiti tecnici per lo sviluppo, la gestione e la
manutenzione del registro elettronico centrale e accesso alle
informazioni ivi contenute, ai sensi dell'art. 15, paragrafo 4, della
direttiva 2015/2366/UE (PSD2);
dettagli e struttura delle informazioni che le autorita'
competenti inseriscono nei registri pubblici e notificano all'EBA ai
sensi dell'art. 15, paragrafo 5, della direttiva 2015/2366/UE (PSD2);
punti di contatto centrale ai sensi dell'art. 29, paragrafo 5,
della direttiva 2015/2366/UE (PSD2);
cooperazione e scambio di informazioni tra autorita' competenti
in relazione all'esercizio del diritto di stabilimento e della libera
prestazione dei servizi degli istituti di pagamento ai sensi
dell'art. 28, paragrafo 5, della direttiva 2015/2366/UE (PSD2);
autenticazione forte del cliente e standard aperti di
comunicazione comuni e sicuri ai sensi dell'art. 98 della direttiva
2015/2366/UE (PSD2);
Rilevano inoltre i seguenti provvedimenti:
regolamento (UE) in materia di requisiti di capitale per le
banche e le imprese di investimento n. 575/2013;
decreto legislativo 21 novembre 2007, n. 231, che detta
disposizioni in materia di prevenzione dell'uso del sistema
finanziario a scopo di riciclaggio dei proventi di attivita'
criminose e di finanziamento al terrorismo e successive modifiche,
nonche' le relative disposizioni di attuazione;
decreto legislativo 27 gennaio 2010, n. 11, che detta
disposizioni di attuazione della direttiva 2007/64/CE relativa ai
servizi di pagamento nel mercato interno e successive, nonche' le
relative disposizioni di attuazione;
decreto legislativo 13 agosto 2010, n. 141, che detta
disposizioni di attuazione della direttiva 2008/48/CE, relativa ai
contratti di credito ai consumatori, nonche' modifiche del titolo V,
VI, e VI-bis del TUB in merito alla disciplina dei soggetti operanti
nel settore finanziario, degli agenti in attivita' finanziaria e dei
mediatori creditizi, e successive modifiche;
decreto-legge 6 dicembre 2011, n. 201, convertito con
modificazioni dalla legge 22 dicembre 2011, n. 214, che detta
disposizioni in materia di divieto di assumere o esercitare cariche
tra imprese o gruppi di imprese concorrenti operanti nei mercati del
credito, assicurativo e finanziario (c.d. divieto di interlocking);
decreto legislativo 16 aprile 2012, n. 45, che detta
disposizioni di attuazione della direttiva 2009/110/CE, concernente
l'avvio, l'esercizio e la vigilanza prudenziale dell'attivita' degli
istituti di moneta elettronica, che modifica le direttive 2005/60/CE
e 2006/48/CE e che abroga la direttiva 2000/46/CE;
decreto del Ministro del tesoro, del bilancio e della
programmazione economica n. 144/1998, recante norme per la
determinazione dei requisiti di onorabilita' dei partecipanti al
capitale sociale, applicabile agli istituti di pagamento e agli
istituti di moneta elettronica in base agli articoli 114-novies,
comma 1, lettera e) e 114-undecies del TUB, per quanto riguarda gli
istituti di pagamento, e 114-quinquies, comma 1, lettera e) e
114-quinquies 3 del TUB per quanto riguarda gli istituti di moneta
elettronica;
decreto del Ministro del tesoro, del bilancio e della
programmazione economica n. 161/1998, recante norme per
l'individuazione dei requisiti di onorabilita' e professionalita'
degli esponenti aziendali delle banche e delle cause di sospensione,
applicabile agli istituti di pagamento e agli istituti di moneta
elettronica in base agli articoli 114-novies, comma 1, lettera e) e
114-undecies del TUB, per quanto riguarda gli istituti di pagamento,
e 114-quinquies, comma 1, lettera e) e 114-quinquies 3 del TUB per
quanto riguarda gli istituti di moneta elettronica;
orientamenti sui criteri per stabilire l'importo monetario
minimo dell'assicurazione per la responsabilita' civile professionale
o analoga garanzia a norma dell'art. 5, paragrafo 4, della direttiva
2015/2366/UE (EBA/GL/2017/08), emanati dall'EBA il 12 settembre 2017;
orientamenti sulle informazioni che devono essere fornite per
ottenere l'autorizzazione degli istituti di pagamento e degli
istituti di moneta elettronica, nonche' per la registrazione dei
prestatori di servizi di informazione sui conti ai sensi dell'art. 5,
paragrafo 5, della direttiva 2015/2366/UE (EBA/GL/2017/09), emanati
dall'EBA l'8 novembre 2017;
orientamenti aggiornati in materia di segnalazione dei gravi
incidenti ai sensi della PSD2 (EBA/GL/2021/03), emanati dall'EBA il
10 giugno 2021;
orientamenti sulla gestione dei rischi relativi alle tecnologie
dell'informazione (Information and communication technology, ICT) e
di sicurezza (EBA/GL/2019/04), emanati dall'EBA il 28 novembre 2019;
orientamenti sulle condizioni per beneficiare dell'esenzione
dal meccanismo di emergenza a norma dell'art. 33, paragrafo 6, del
regolamento (UE) 389/2018 (norme tecniche di regolamentazione per
l'autenticazione forte del cliente e gli standard aperti di
comunicazione comuni e sicuri) (EBA/GL/2018/07), emanati dall'EBA il
4 dicembre 2018;
provvedimento della Banca d'Italia del 21 luglio 2021,
regolamento recante l'individuazione dei termini e delle unita'
organizzative responsabili dei procedimenti amministrativi e delle
fasi procedimentali di competenza della Banca d'Italia e della Unita'
di informazione finanziaria per l'Italia, ai sensi degli articoli 2 e
4 della legge 7 agosto 1990, n. 241, e successive modificazioni;
provvedimento della Banca d'Italia del 29 luglio 2009, in
materia di trasparenza delle operazioni e dei servizi finanziari, e
successive modifiche;
provvedimento della Banca d'Italia del 18 dicembre 2012 recante
le «Disposizioni di vigilanza in materia di sanzioni e procedura
sanzionatori amministrativa» e successive modifiche.
Si tiene conto anche delle seguenti Opinion emanate dall'ABE:
l'Opinion on the implementation of the RTS on SCA and CSC, del
13 giugno 2018;
l'Opinion on the use of eIDAS certificates under the RTS on SCA
and CSC, del 10 dicembre 2018;
l'Opinion on the elements of strong customer authentication
under PSD2, del 21 giugno 2019;
l'Opinion on obstacles to the provision of third-party provider
services under the Payment Services Directive (EBA/OP/2020/10), del 4
giugno 2020.
Sezione II
Definizioni
Ai fini della presente disciplina si intende per:
«EBA»: European banking authority - Autorita' bancaria europea,
istituita con il regolamento (UE) n. 1093/2010 del Parlamento europeo
e del Consiglio, del 24 novembre 2010;
«agente»: il soggetto di cui all'art. 128-quater del TUB;
«clienti/clientela»: una persona fisica o giuridica che si
avvale di un servizio di pagamento in qualita' di pagatore o di
beneficiario o di entrambi ovvero la persona fisica o giuridica che
detiene la moneta elettronica;
«conto di pagamento»: un conto detenuto a nome di uno o piu'
clienti che e' utilizzato esclusivamente per l'esecuzione delle
operazioni di pagamento;
«controllo»: le fattispecie previste dall'art. 23 del TUB;
«CRR»: il regolamento (UE) n. 575/2013;
«dati sensibili relativi ai pagamenti»: dati di cui all'art. 1,
comma 2, lettera q-quater) del decreto legislativo n. 11/2010;
«depositari abilitati»: le banche centrali, le banche italiane,
le banche dell'Unione europea e le banche di Stati terzi;
«esponenti aziendali»: i soggetti che svolgono funzioni di
amministrazione, direzione e controllo, comunque siano denominate le
cariche;
«gruppo di appartenenza dell'istituto di pagamento o
dell'istituto di moneta elettronica»: l'insieme delle societa'
italiane o estere che, ai sensi dell'art. 2359 del codice civile:
1. controllano l'istituto di pagamento o l'istituto di moneta
elettronica;
2. sono controllati dall'istituto di pagamento o
dall'istituto di moneta elettronica;
3. sono controllati dallo stesso soggetto che controlla
l'istituto di pagamento o l'istituto di moneta elettronica;
«incidente operativo o di sicurezza»: ogni evento, o serie di
eventi collegati, non pianificati dagli istituti che ha, o
probabilmente avra', un impatto negativo sull'integrita', la
disponibilita', la riservatezza, e/o l'autenticita' dei servizi;
«istituti di moneta elettronica»: gli istituti di cui all'art.
1, comma 2, lettera h-bis), del TUB;
«istituti di moneta elettronica dell'Unione europea»: gli
istituti di cui all'art. 1, comma 2, lettera h-ter), del TUB; gli
istituti di cui all'art. 1, comma 2, lettera h-bis.1) del TUB;
«istituti di pagamento»: gli istituti di cui all'art. 1, comma
2, lettera h-sexies), del TUB;
«istituti di pagamento dell'Unione europea»: gli istituti di
cui all'art. 1, comma 2, lettera h-septies), del TUB;
«istituto o istituti»: l'istituto di moneta elettronica e
l'istituto di pagamento italiano;
«istituto dell'Unione europea»: l'istituto di moneta
elettronica e l'istituto di pagamento aventi sede legale e
amministrazione centrale in uno stesso Stato dell'Unione europea
diverso dall'Italia;
«organo con funzione di supervisione strategica»: l'organo
aziendale a cui - ai sensi del codice civile o per disposizione
statutaria - sono attribuite funzioni di indirizzo della gestione
dell'impresa, mediante, tra l'altro, esame e delibera in ordine ai
piani industriali o finanziari ovvero alle operazioni strategiche;
«organo con funzione di gestione»: l'organo aziendale o i
componenti di esso a cui - ai sensi del codice civile o per
disposizione statutaria - spettano o sono delegati compiti di
gestione corrente, intesa come attuazione degli indirizzi deliberati
nell'esercizio della funzione di supervisione strategica. Il
direttore generale rappresenta il vertice della struttura interna e
come tale partecipa alla funzione di gestione;
«organo con funzione di controllo»: il collegio sindacale, il
consiglio di sorveglianza o il comitato per il controllo sulla
gestione;
«organi aziendali»: il complesso degli organi con funzioni di
supervisione strategica, di gestione e di controllo. La funzione di
supervisione strategica e quella di gestione attengono,
unitariamente, alla gestione dell'impresa e possono quindi essere
incardinate nello stesso organo aziendale. Nei sistemi dualistico e
monistico, in conformita' delle previsioni legislative, l'organo con
funzione di controllo puo' svolgere anche quella di supervisione
strategica;
«partecipazione» ai sensi dell'art. 1, comma 2, lettera
h-quater, del TUB, le azioni, le quote e gli altri strumenti
finanziari che attribuiscono diritti amministrativi o comunque i
diritti previsti dall'art. 2351, ultimo comma, del codice civile;
«partecipazione indiretta»: le partecipazioni acquisite o
comunque possedute per il tramite di societa' controllate, di
societa' fiduciarie o per interposta persona;
«partecipazione qualificata»: la partecipazione non inferiore
al 10 per cento del capitale sociale o dei diritti di voto, oppure
che comporti la possibilita' di esercitare un'influenza notevole o il
controllo sulla gestione dell'impresa partecipata;
«prestatori del servizio di disposizione di ordini di
pagamento»: gli istituti di pagamento autorizzati a prestare
esclusivamente il servizio di cui all'art. 1, comma 2, lettera
h-septies.1) n. 7, del TUB;
«prestatori del servizio di informazione sui conti»: gli
istituti di pagamento autorizzati a prestare esclusivamente il
servizio di cui all'art. 1, comma 2, lettera h-septies.1) n. 8, del
TUB;
«progetti ICT»: qualsiasi progetto, o parte di esso, in cui i
sistemi e i servizi ICT sono modificati, sostituiti, dismessi o
implementati. I progetti ICT possono far parte di piu' ampi programmi
ICT o di trasformazione aziendale;
«punto di contatto centrale»: il soggetto o la struttura di cui
all'art. 1, comma 2, lettera i), del TUB;
«rischi operativi»: il rischio di perdite derivanti dalla
inadeguatezza o dalla disfunzione di procedure, risorse umane e
sistemi interni, oppure da eventi esogeni. E' compreso il rischio
legale, ossia il rischio di perdite derivanti da violazioni di leggi
o regolamenti, da responsabilita' contrattuale o extra-contrattuale
ovvero da altre controversie;
«rischio ICT e di sicurezza»: il rischio di incorrere in
perdite economiche, di reputazione e di quote di mercato in relazione
all'utilizzo di tecnologia dell'informazione e della comunicazione
(Information and communication technology - ICT) dovuto a violazione
della riservatezza, carente integrita' dei sistemi e dei dati,
inadeguatezza o indisponibilita' dei sistemi e dei dati o incapacita'
di sostituire la tecnologia dell'informazione (ICT) entro ragionevoli
limiti di tempo e costi in caso di modifica dei requisiti del
contesto esterno o dell'attivita' (agility), nonche' i rischi di
sicurezza derivanti da processi interni inadeguati o errati o da
eventi esterni, inclusi gli attacchi informatici o un livello di
sicurezza fisica inadeguata;
«risk appetite (obiettivo di rischio o propensione al
rischio)»: il livello complessivo e le tipologie di rischio che gli
istituti sono disposti ad assumere per conseguire gli obiettivi
strategici che si sono prefissati, in funzione della loro capacita'
di tollerare il rischio, in linea con il proprio modello di business;
«risorsa informativa»: una raccolta di informazioni, tangibile
o intangibile, che merita protezione;
«risorsa informatica (o ICT)»: qualsiasi software o hardware
presente nel contesto aziendale;
«servizi ICT»: i servizi forniti dai sistemi ICT a uno o piu'
utenti interni o esterni. Tali servizi comprendono, ad esempio:
servizi di inserimento, archiviazione, elaborazione e comunicazione
di dati, servizi di monitoraggio, di supporto alle attivita' e alle
decisioni aziendali;
«sistemi ICT»: ICT adottato come parte di un meccanismo o di
una rete di interconnessione a supporto delle operazioni
dell'istituto;
«soggetti convenzionati con gli istituti di moneta
elettronica»: le persone fisiche o giuridiche che, ai sensi dell'art.
114-bis.1 del TUB, distribuiscono o rimborsano la moneta elettronica
per conto di un istituto di moneta elettronica;
«servizi di pagamento»: i servizi indicati nell'art. 1, comma
2, lettera h-septies.1), del TUB(1);
«soggetto terzo»: un soggetto o organizzazione che ha stretto
rapporti commerciali o stipulato contratti con un istituto per la
fornitura di un prodotto o un servizio;
«stretti legami»: le fattispecie riportate nell'art. 1, comma
2, lettera h), del TUB;
«titoli di debito qualificati»: i titoli di debito inclusi
nella tabella di cui all'art. 336, paragrafo 1, del CRR, per i quali
e' prevista una ponderazione pari o inferiore all'1,6 per cento ad
esclusione delle «altre posizioni qualificate» come definite dal
paragrafo 4 del medesimo articolo del CRR.
Ove non diversamente specificato, ai fini delle presenti
disposizioni valgono le altre definizioni contenute nel TUB e nel
decreto legislativo 27 gennaio 2010, n. 11.
(Omissis).
----------
(1) Resta fermo quanto previsto dall'art. 2, comma 2, del decreto
legislativo 27 gennaio 2010, n. 11.
CAPITOLO VI
ORGANIZZAZIONE AMMINISTRATIVA E CONTABILE
E CONTROLLI INTERNI
Sezione II
Principi generali
1. Premessa
Il presente Capitolo attua quanto previsto dagli articoli
114-quaterdecies, comma 2, e 114-quinquies.2, comma 2, TUB, in base
ai quali la Banca d'Italia detta disposizioni di carattere generale
aventi ad oggetto il Governo societario, l'organizzazione
amministrativa e contabile e i controlli interni degli istituti.
Gli istituti applicano le disposizioni del presente Capitolo in
maniera proporzionata alla dimensione e alla complessita'
dell'attivita' svolta nonche' alla tipologia e alla gamma dei servizi
prestati.
2. Requisiti generali di organizzazione
La gestione aziendale sana e prudente, l'affidabilita' e
l'efficienza dei servizi di pagamento prestati e dell'attivita' di
emissione di moneta elettronica dipendono anche da un assetto
organizzativo adeguato alla dimensione, alla complessita' e alla
vocazione operativa dell'istituto.
In tal senso, gli istituti definiscono e applicano:
a) dispositivi di governo societario solidi, che comprendono
processi decisionali e una struttura organizzativa che specifichino
in forma chiara e documentata i rapporti gerarchici e la suddivisione
delle funzioni;
b) politiche di governo e procedure per la gestione e il
controllo di tutti i rischi aziendali e un efficace sistema dei
controlli interni;
c) misure che assicurino che il personale e gli agenti
dell'istituto o i soggetti convenzionati dall'istituto di moneta
elettronica conoscano le procedure da seguire per il corretto
esercizio delle proprie funzioni;
d) politiche e procedure volte ad assicurare che il personale,
gli agenti e i soggetti convenzionati siano provvisti delle
qualifiche, delle conoscenze e delle competenze necessarie per
l'esercizio delle responsabilita' loro attribuite;
e) efficaci flussi interni di comunicazione delle informazioni;
f) sistemi e procedure diretti a conservare registrazioni
adeguate e ordinate dei fatti di gestione dell'istituto e della sua
organizzazione interna;
g) criteri e procedure volti a garantire che l'affidamento al
personale, agli agenti o ai soggetti convenzionati di funzioni
multiple non sia tale da impedire all'istituto di svolgere in modo
adeguato e professionale una qualsiasi di tali funzioni;
h) politiche di governo e procedure per la gestione della
sicurezza relativa alla prestazione dei servizi di pagamento e di
emissione della moneta elettronica, inclusa la gestione degli
incidenti relativi alla sicurezza e dei reclami dei clienti in
materia;
i) procedure e sistemi idonei a: 1) tutelare la sicurezza,
l'integrita' e la riservatezza delle informazioni, tenendo conto
della natura delle informazioni medesime; 2) archiviare e gestire i
dati sensibili relativi ai pagamenti, con gli opportuni limiti di
accesso; e 3) acquisire dati statistici relativi ai risultati della
gestione, alle operazioni di pagamento effettuate e alle frodi(1);
----------
(1) Non sono tenuti all'adozione di sistemi e procedure finalizzati
alla registrazione e conservazione dei dati statistici relativi alle
frodi, gli istituti che svolgono in via esclusiva il servizio di
informazione sui conti.
j) politiche, sistemi, risorse e procedure per la continuita' e
la regolarita' dei servizi, volte anche ad assicurare la regolare
esecuzione delle operazioni di pagamento in corso e la chiusura dei
contratti in essere in caso di cessazione dell'operativita'.
k) politiche e procedure contabili che consentano di fornire
tempestivamente alle autorita' di vigilanza documenti che presentino
un quadro fedele della posizione finanziaria ed economica e che siano
conformi a tutti i principi e a tutte le norme anche contabili
applicabili.
Gli istituti controllano e valutano con regolarita'
l'adeguatezza, l'efficacia e l'applicazione di tali requisiti
organizzativi e adottano le misure adeguate per rimediare a eventuali
carenze.
L'organo con funzione di controllo informa tempestivamente la
Banca d'Italia di tutti gli atti o fatti, di cui venga a conoscenza
nell'esercizio dei propri compiti, che possano costituire una
irregolarita' nella gestione o una violazione delle norme che
disciplinano l'attivita' dell'istituto.
Negli allegati A e C si definiscono i requisiti, di carattere
minimo, a cui il sistema di governo, dei controlli interni e i
sistemi informativi di gestione dei rischi operativi, inclusi i
rischi ICT e di sicurezza, si devono uniformare.
Le presenti disposizioni formano parte integrante del complesso
di norme concernenti gli assetti organizzativi, governo e di
controllo degli intermediari, quali i controlli sugli assetti
proprietari, i requisiti degli esponenti aziendali, gli obblighi di
trasparenza e correttezza delle relazioni tra intermediari e clienti,
la prevenzione dei fenomeni di usura, riciclaggio e del finanziamento
al terrorismo.
(Omissis).
__________
Allegato A
Ruolo degli organi aziendali
e sistema dei controlli interni
(Omissis).
2. Sistema dei controlli interni
Premessa
Il sistema dei controlli interni e' costituito dall'insieme delle
risorse, delle strutture organizzative, delle regole e delle
procedure per assicurare il conseguimento delle strategie aziendali e
dell'efficacia ed efficienza dei processi aziendali, della
salvaguardia del valore delle attivita' e della protezione dalle
perdite, dell'affidabilita' e integrita' delle informazioni contabili
e gestionali, della conformita' delle operazioni con la legge, la
normativa di vigilanza e di sorveglianza sul sistema dei pagamenti e
le disposizioni interne dell'istituto.
Nel sistema dei controlli interni rientrano le strategie, le
politiche, i processi e i meccanismi riguardanti la gestione dei
rischi a cui l'istituto e' o potrebbe essere esposto e per
determinare e controllare il livello di rischio tollerato. In questo
contesto, la gestione dei rischi include le funzioni di
individuazione, assunzione, misurazione, sorveglianza e attenuazione
dei rischi.
Per gli istituti, in relazione alla prestazione dei servizi di
pagamento e all'emissione di moneta elettronica, assumono particolare
rilievo i rischi operativi, inclusi i rischi ICT e di sicurezza e
quelli di natura legale e reputazionale, che possono discendere dai
rapporti con la clientela. A tal fine, gli istituti sono tenuti, tra
l'altro, ad approntare specifici presidi organizzativi per assicurare
il rispetto delle prescrizioni normative e di autoregolamentazione,
pianificando, in tale ambito, specifici controlli sulle succursali,
sugli agenti e sui soggetti convenzionati.
Gli istituti valutano attentamente le implicazioni derivanti dai
mutamenti dell'operativita' aziendale (ingresso in nuovi mercati o in
nuovi settori operativi, offerta di nuovi prodotti, utilizzo di
canali distributivi innovativi, partecipazione a nuovi sistemi di
pagamento), con preventiva individuazione dei rischi e definizione di
procedure di controllo adeguate, approvate dagli organi aziendali
competenti.
Nella predisposizione dei presidi organizzativi, gli istituti
tengono conto dell'esigenza di prevenire fenomeni di riciclaggio e di
finanziamento al terrorismo.
Tipologie di controllo
Si descrivono di seguito alcune tipologie di controllo,
indipendentemente dalle strutture organizzative in cui sono
collocate:
1) controlli di linea (c.d. controlli di primo livello),
diretti ad assicurare il corretto svolgimento delle operazioni
connesse con la prestazione dei servizi di pagamento e con
l'emissione di moneta elettronica. Essi sono effettuati dalle stesse
strutture operative (es. controlli di tipo gerarchico, sistematici e
a campione), incorporati nelle procedure (anche automatizzate) ovvero
eseguiti nell'ambito dell'attivita' di back office;
2) controlli sulla gestione dei rischi e di conformita' alle
norme (c.d. controlli di secondo livello) (1),che hanno l'obiettivo
di assicurare: (i) il rispetto dei limiti assegnati alle varie
funzioni operative; e (ii) la coerenza dell'operativita' delle
singole aree produttive con gli obiettivi di rischio-rendimento
assegnati, nonche' la conformita' dell'operativita' aziendale alle
norme, incluse quelle di autoregolamentazione. Essi sono affidati a
strutture diverse da quelle produttive; le funzioni di controllo
concorrono alla definizione delle politiche di governo e del processo
di gestione dei rischi aziendali;
3) revisione interna (internal audit, c.d. controlli di terzo
livello). In tale ambito rientra la valutazione periodica della
completezza, della funzionalita' e dell'adeguatezza del sistema dei
controlli interni, inclusi quelli sul sistema informativo (ITC
audit), con cadenza prefissata in relazione alla natura e
all'intensita' dei rischi. L'attivita' e' condotta da funzioni
diverse e indipendenti da quelle produttive, anche attraverso
verifiche in loco.
Ferma l'esigenza di gestire tutti i rischi aziendali, gli
istituti, in considerazione della natura dell'attivita' svolta,
prestano particolare attenzione ai rischi operativi, inclusi quelli
ICT e di sicurezza e il rischio di reputazione (2).
Pertanto, gli istituti:
prestano particolare attenzione agli eventi di maggiore
gravita' e scarsa frequenza e individuano le varie forme e modalita'
con cui possono manifestarsi i rischi operativi, inclusi quelli ICT e
di sicurezza, in relazione alle specifiche caratteristiche
organizzative ed operative;
valutano i rischi operativi, inclusi quelli ICT e di sicurezza
e i rischi reputazionali, connessi con l'introduzione di nuovi
prodotti, attivita', reti distributive, processi e sistemi rilevanti
e con la partecipazione, anche indiretta, a nuovi sistemi di
pagamento;
si dotano di piani di emergenza e di continuita' operativa che
assicurano la propria capacita' di operare su base continuativa e di
limitare le perdite operative in caso di gravi interruzioni
dell'operativita'.
Nel caso in cui gli istituti, nella prestazione dei servizi di
pagamento, eroghino finanziamenti ai clienti, essi definiscono
adeguati processi decisionali e operativi connessi con la gestione
del rischio di credito (3).
----------
(1) Tra le funzioni aziendali di controllo di secondo livello rientra
la funzione di controllo dei rischi ICT e di sicurezza disciplinata
dagli orientamenti dell'EBA sulla gestione dei rischi relativi alle
tecnologie dell'informazione (Information and communication
technology, ICT) e di sicurezza (EBA/GL/2019/04), come recepiti
nell'Allegato C. Resta ferma la possibilita' per gli istituti di
assegnare i compiti della funzione di controllo dei rischi ICT e di
sicurezza alle funzioni aziendali di controllo dei rischi e di
conformita' alle norme, in coerenza con il ruolo, le responsabilita'
e le competenze proprie di ciascuna.
(2) Il rischio di reputazione puo' scaturire direttamente da
determinati eventi o comportamenti (ad es. politiche commerciali
percepite dalla clientela come poco attente ai propri interessi) o
indirettamente da altre tipologie di rischio (operativo, credito,
liquidita') rispetto alle quali gli effetti reputazionali possono
amplificare l'impatto economico. Il rischio di reputazione puo'
pertanto conseguire sia da comportamenti irregolari sia da errate
percezioni da parte della clientela o del mercato.
(3) Tale obbligo e' previsto anche con riferimento all'attivita' di
emissione e gestione di carte di credito con saldo mensile.
L'attivita' di concessione di finanziamenti ha natura accessoria
ai servizi di pagamento prestati: gli istituti adottano sistemi e
procedure per monitorare i finanziamenti e identificano criteri, di
natura anche quantitativa, che tengano conto dei flussi di pagamento
effettuati su base annuale.
Gli istituti hanno in ogni momento conoscenza della propria
esposizione nei confronti di ogni cliente o gruppo di clienti
connessi (4), anche al fine di procedere, se del caso, ad una
tempestiva revisione delle linee di credito.
Poiche' l'insolvenza di un grande prenditore puo' avere effetti
di rilievo sulla solidita' patrimoniale, gli istituti si dotano di
regole volte ad assicurare la corretta rilevazione, valutazione della
qualita' e dell'andamento nel tempo delle esposizioni assunte nei
confronti di un singolo cliente o gruppo di clienti connessi che
siano di importo rilevante rispetto ai fondi propri. Gli istituti
adottano misure adeguate a limitare o presidiare opportunamente i
rischi derivanti dall'assunzione di esposizioni di importo rilevante
nei confronti di singoli clienti o gruppi di clienti connessi.
Il processo riguardante l'erogazione del credito comprende le
seguenti fasi: 1) istruttoria; 2) erogazione; 3) monitoraggio delle
posizioni; 4) interventi in caso di anomalia; 5) revisione delle
linee di credito. Il processo risulta dal regolamento interno ed e'
periodicamente sottoposto a verifica. Il regolamento, approvato
dall'organo con funzione di gestione, definisce, tra l'altro: la
documentazione minimale da acquisire per effettuare una adeguata
valutazione del merito creditizio del prenditore; le eventuali
deleghe in materia di erogazione del credito; le modalita' di rinnovo
degli affidamenti; le procedure e gli adempimenti riferiti alla fase
di monitoraggio del credito nonche' le modalita' e i tempi di
attivazione in caso di rilevazione di crediti anomali; criteri di
classificazione, gestione e valutazione dei crediti anomali.
Tutti gli affidamenti sono concessi al termine di un procedimento
istruttorio documentato, ancorche' basato su procedure automatizzate.
In caso di ricorso ad agenti per la prestazione di servizi di
pagamento o, per i soli IMEL, a soggetti convenzionati per la
distribuzione e il rimborso della moneta elettronica, gli istituti
assicurano il rispetto delle proprie disposizioni interne da parte di
questi soggetti, nonche' delle disposizioni ad essi applicabili (ad
esempio trasparenza, usura, antiriciclaggio, diritti e obblighi delle
parti). Gli istituti effettuano controlli, in loco o a distanza,
sulla rete con cadenza almeno annuale. Gli istituti assicurano
altresi' che siano resi riconoscibili all'utenza i soggetti di cui si
avvalgono (agenti, soggetti convenzionati, punti operativi abilitati
all'incasso ai sensi dell'art. 12, comma 4, del decreto legislativo
n. 141/2010).
Gli istituti controllano e gestiscono i rischi connessi con gli
investimenti dei fondi ricevuti dai clienti in modo da assicurare la
pronta disponibilita' delle somme per l'esecuzione delle operazioni
di pagamento. Essi approntano procedure operative volte ad assicurare
il rispetto dei termini fissati dalla normativa per il deposito o
l'investimento dei fondi e per la sistemazione di eventuali sbilanci
tra valore di tali attivita' e fondi ricevuti (5).
Funzioni aziendali di controllo
Gli istituti istituiscono funzioni indipendenti di controllo di
conformita' alle norme, di gestione del rischio, e di revisione
interna (6), in modo proporzionato alla dimensione e alla
complessita' dell'attivita' svolta nonche' alla tipologia e alla
gamma dei servizi di pagamento prestati.
Per assicurare la correttezza e l'indipendenza delle funzioni
aziendali di controllo e' necessario che:
a) tali funzioni dispongano dell'autorita', delle risorse e
delle competenze necessarie per lo svolgimento dei loro compiti;
b) i responsabili non siano gerarchicamente subordinati ai
responsabili delle funzioni sottoposte a controllo e siano nominati
dall'organo con funzione di supervisione strategica, sentito l'organo
con funzione di controllo. Essi riferiscono direttamente agli organi
aziendali;
c) coloro che partecipano alle funzioni aziendali di controllo
non partecipino direttamente alla prestazione dei servizi che essi
sono chiamati a controllare. Ferma restando tale previsione, in
applicazione del principio di proporzionalita', i responsabili delle
funzioni di controllo possono avvalersi di soggetti aventi anche
funzioni operative, incardinati in strutture aziendali diverse da
quelle di controllo, a condizione che l'affidamento a tali soggetti
di altri compiti oltre a quelli di controllo non impedisca loro di
svolgere in modo adeguato e professionale i compiti di controllo;
d) le funzioni aziendali di controllo siano tra loro separate
sotto un profilo organizzativo;
e) il metodo per la determinazione della remunerazione di
coloro che partecipano alle funzioni aziendali di controllo non ne
comprometta l'obiettivita'.
Gli istituti possono non applicare i requisiti di cui alla
lettera d) del precedente capoverso, qualora dimostrino che, in
applicazione del principio di proporzionalita', gli obblighi in
questione non sono proporzionati ai rischi da essi assunti e che le
funzioni di controllo continuano ad essere efficaci (7).
----------
(4) A tali fini si identificano due tipologie di connessioni tra uno
o piu' soggetti: a) giuridica - se uno dei soggetti in esame ha,
direttamente o indirettamente, un potere di controllo sull'altro o
sugli altri; b) economica - quando, indipendentemente dall'esistenza
dei rapporti di controllo di cui alla lettera a), esistono, tra i
soggetti considerati, legami tali che, con tutta probabilita', se uno
di essi si trova in difficolta' finanziarie, in particolare
difficolta' di raccolta di fondi o rimborso dei debiti, l'altro, o
tutti gli altri, potrebbero incontrare analoghe difficolta'. Con
riferimento alla lettera a) il controllo sussiste - salvo che
l'istituto dimostri il contrario - quando ricorre anche una sola
delle seguenti circostanze: 1) uno dei soggetti in esame possiede -
direttamente o indirettamente - piu' del 50% del capitale o delle
azioni con diritto di voto di un altro dei soggetti in esame; 2) uno
dei soggetti in esame possiede il 50% o meno del 50% del capitale o
dei diritti di voto in un altro dei soggetti in esame ed e' in grado
di esercitare il controllo congiunto su di esso in virtu' delle
azioni e dei diritti posseduti, di clausole statutarie e di accordi
con gli altri partecipanti. Nell'ipotesi di cui al punto 2, ovvero
indipendentemente da possessi azionari, costituisce indice di
controllo la disponibilita' di uno o piu' dei seguenti poteri: i)
indirizzare l'attivita' di un'impresa in modo da trarne benefici; ii)
decidere operazioni significative, quali ad esempio il trasferimento
dei profitti e delle perdite; iii) nominare o rimuovere la
maggioranza dei componenti degli organi amministrativi; iv) disporre
della maggioranza dei voti negli organi amministrativi o della
maggioranza dei voti nell'assemblea dei soci o in altro organo
equivalente; v) coordinare la gestione di un'impresa con quella di
altre imprese ai fini del perseguimento di uno scopo comune.
(5) Gli istituti adottato, tra l'altro, presidi idonei a fronteggiare
il rischio di disconoscimenti in relazione a operazioni di
accreditamento della moneta elettronica o dei conti di pagamento via
web, ad es. con addebito di carte di credito (fenomeni di phishing,
ecc.).
(6) Per la funzione di controllo dei rischi ICT e di sicurezza, cfr.
par.11 degli orientamenti dell'EBA sulla gestione dei rischi relativi
alle tecnologie dell'informazione (Information and communication
technology, ICT) e di sicurezza (EBA/GL/2019/04), recepiti
nell'Allegato C. Resta ferma la possibilita' per gli istituti di
assegnare i compiti della funzione di controllo dei rischi ICT e di
sicurezza alle funzioni aziendali di controllo dei rischi e di
conformita' alle norme, in coerenza con il ruolo, le responsabilita'
e le competenze proprie di ciascuna.
(7) Per la funzione di controllo dei rischi ICT e di sicurezza resta
fermo quanto previsto dal par. 11 degli orientamenti dell'EBA sulla
gestione dei rischi relativi alle tecnologie dell'informazione
(Information and communication technology, ICT) e di sicurezza
(EBA/GL/2019/04), come recepito nell'Allegato C. Resta ferma la
possibilita' per gli istituti di assegnare i compiti della funzione
di controllo dei rischi ICT e di sicurezza alle funzioni aziendali di
controllo dei rischi e di conformita' alle norme, in coerenza con il
ruolo, le responsabilita' e le competenze proprie di ciascuna.
Le funzioni aziendali di controllo, svolgono i compiti di seguito
indicati.
La funzione di gestione del rischio:
a) collabora alla definizione delle politiche di governo e del
processo di gestione del rischio e delle relative procedure e
modalita' di rilevazione e controllo, verificandone l'adeguatezza nel
continuo;
b) verifica nel continuo l'adeguatezza del sistema di controllo
dei rischi e ne verifica il rispetto da parte dell'istituto;
c) verifica l'adeguatezza e l'efficacia delle misure prese per
rimediare alle carenze riscontrate nel sistema di controllo dei
rischi.
La funzione di controllo di conformita' (compliance) valuta
l'adeguatezza delle procedure interne rispetto all'obiettivo di
prevenire la violazione di leggi, regolamenti e norme di
autoregolamentazione applicabili all'istituto; a questo fine:
a) identifica le norme applicabili all'istituto e ai servizi da
esso prestati e ne misura/valuta l'impatto sui processi e procedure
aziendali;
b) propone modifiche organizzative e procedurali volte ad
assicurare adeguato presidio dei rischi di non conformita' alle
norme;
c) predispone flussi informativi diretti agli organi aziendali
e alle altre funzioni aziendali di controllo;
d) verifica l'efficacia degli adeguamenti organizzativi
suggeriti per la prevenzione del rischio di non conformita'.
La funzione di revisione interna:
a) definisce e applica un piano di audit, approvato dall'organo
con funzione di supervisione strategica, per l'esame e la valutazione
dell'adeguatezza e dell'efficacia del sistema dei controlli interni,
incluso il sistema per la gestione del rischio di sicurezza, e dei
meccanismi adottati dagli agenti utilizzati per la prestazione dei
servizi di pagamento e dai soggetti convenzionati per la
distribuzione e il rimborso della moneta elettronica per conformarsi
agli obblighi in materia di lotta al riciclaggio e finanziamento al
terrorismo. Il piano di audit prevede, tra l'altro, specifici
controlli sull'intera rete di succursali, agenti utilizzati per la
promozione e conclusione dei contratti relativi alla prestazione dei
servizi di pagamento e soggetti convenzionati per la distribuzione e
il rimborso di moneta elettronica;
b) formula raccomandazioni agli organi aziendali basate sui
risultati delle verifiche effettuate in base al piano di audit e ne
verifica l'osservanza.
Le funzioni aziendali di controllo presentano agli organi
aziendali, almeno una volta all'anno, relazioni sull'attivita' svolta
e forniscono agli stessi organi consulenza per i profili che
attengono ai compiti di controllo svolti.
(Omissis).
__________
Allegato C
Sistemi informativi e gestione dei rischi operativi,
inclusi i rischi ICT e di sicurezza
1. Disposizioni di carattere generale
L'affidabilita' dei sistemi informativi rappresenta un
pre-requisito essenziale per il buon funzionamento dell'istituto e
consente agli organi aziendali di assumere decisioni consapevoli e
coerenti con gli obiettivi aziendali.
I sistemi informativo-contabili sono adeguati al contesto
operativo e ai rischi ai quali l'istituto e' esposto.
Essi hanno un elevato grado di attendibilita', registrano
correttamente e con la massima tempestivita' i fatti di gestione,
consentono di ricostruire l'attivita' dell'istituto a qualsiasi data,
partitamente per ciascuno dei servizi di pagamento prestati e, per
gli istituti di moneta elettronica, anche in relazione all'attivita'
di emissione moneta elettronica.
La circostanza che l'istituto utilizzi diverse procedure
settoriali (contabilita', segnalazioni, antiriciclaggio, ecc.) non
inficia la qualita' e l'integrita' dei dati ne' comporta la creazione
di archivi non coerenti.
Gli istituti si dotano di sistemi e misure di mitigazione e di
meccanismi di controllo adeguati per gestire i rischi operativi,
inclusi i rischi ICT e di sicurezza, relativi ai servizi di pagamento
prestati.
In particolare, gli istituti:
i) nel trattamento dei dati sensibili relativi ai pagamenti,
definiscono e formalizzano i processi di raccolta, instradamento,
trattamento, memorizzazione e/o archiviazione nonche' di accesso
degli stessi, al fine di garantirne l'integrita' e la riservatezza.
In tale ambito gli istituti istituiscono e aggiornano un registro dei
soggetti che hanno accesso ai dati sensibili relativi ai pagamenti;
ii) adottano misure per prevenire e gestire gli incidenti
operativi o di sicurezza e individuano i soggetti responsabili
dell'assistenza ai clienti in relazione ai reclami concernenti la
sicurezza dei servizi di pagamento prestati. I gravi incidenti
operativi o di sicurezza che interessano direttamente o
indirettamente gli istituti sono comunicati senza indugio alla Banca
d'Italia con le modalita' e nei termini da essa stabiliti,
conformemente agli Orientamenti aggiornati dell'EBA in materia di
segnalazione dei gravi incidenti ai sensi della PSD2 (EBA/GL/2021/03)
(1). Gli istituti utilizzano il modulo disponibile sul sito internet
dell'Istituto (2). Se l'incidente incide o potrebbe incidere sugli
interessi finanziari dei propri utenti di servizi di pagamento, gli
istituti informano altresi' quest'ultimi senza indugio dell'incidente
e di tutte le misure a disposizione che possono adottare per
attenuarne gli effetti negativi (3);
iii) svolgono, con cadenza almeno annuale, una valutazione dei
rischi operativi e di sicurezza relativi ai servizi di pagamento che
essi prestano e dell'adeguatezza delle misure di mitigazione e dei
meccanismi di controllo messi in atto per affrontarli (4). Una
relazione contenente le risultanze di tale valutazione e' trasmessa
alla Banca d'Italia entro il 30 aprile di ogni anno (5).
----------
(1) Cfr. Comunicazione della Banca d'Italia del 29 ottobre 2021
relativa all'attuazione per i prestatori di servizi di pagamento
degli orientamenti aggiornati dell'EBA in materia di segnalazione dei
gravi incidenti ai sensi della PSD2 (EBA/GL/2021/03).
(2) https://www.bancaditalia.it/compiti/vigilanza/incidenti-operativi
/index.html
(3) Cfr., art. 96, paragrafo 1, comma 2, della PSD2.
(4) Questa valutazione e' anche necessaria in caso di previste
modiche nelle infrastrutture, processi e procedure che possono
riguardare la sicurezza dell'istituto.
(5) Gli istituti redigono la relazione in linea con quanto previsto
nelle istruzioni dalla Banca d'Italia relative all'applicazione della
direttiva PSD2 (cfr.
https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norm
e/circolari/c285/direttiva-psd2/Istruzioni_Procedure_BI_PSD2.pdf). La
relazione contiene anche la descrizione delle soluzioni eventualmente
adottate sulla base dell'art. 17 del regolamento delegato (UE)
2018/389 del 27 novembre 2017 in materia di processi e protocolli di
pagamento sicuri per le imprese. Le relative informazioni, dovute
soltanto alla prima occorrenza, sono trasmesse alla Banca d'Italia
con apposito modulo disponibile al seguente indirizzo:
https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norm
e/circolari/c285/direttiva-psd2/Esenzione_dall_autenticazione_forte_d
el_cliente_per_i_pagamenti_corporate.pdf
iv) in materia di continuita' operativa, individuano le
operazioni critiche, si dotano di piani di emergenza efficaci e di
una procedura per testare periodicamente tali piani e riesaminarne
l'adeguatezza e l'efficacia;
v) definiscono le misure da adottare in caso di cessazione dei
propri servizi di pagamento e/o dei contratti vigenti, per evitare
effetti negativi sui sistemi di pagamento e sugli utenti e per
garantire l'esecuzione delle operazioni di pagamento in corso. Queste
misure sono descritte in un'apposita sezione del piano di emergenza e
di continuita' operativa.
Gli istituti applicano gli orientamenti dell'EBA sulla gestione
dei rischi relativi alle tecnologie dell'informazione (Information
and communication technology, ICT) e di sicurezza (EBA/GL/2019/04).
In linea con l'impostazione generale della disciplina in materia di
controlli interni e gestione dei rischi, gli istituti applicano le
disposizioni contenute negli orientamenti secondo il principio di
proporzionalita', cioe' tenuto conto della dimensione e complessita'
operative, della natura dell'attivita' svolta, della tipologia dei
servizi prestati.
2. Esenzione dall'obbligo di predisporre il meccanismo di emergenza
di cui all'art. 33(4) del regolamento delegato (UE) 2018/389 della
Commissione
Nel rispetto di quanto previsto dal regolamento delegato (UE)
2018/389 della Commissione, gli istituti che prestano servizi di
pagamento di radicamento di conti di pagamento che intendono
richiedere l'esenzione dalla predisposizione del meccanismo di
emergenza ( «interfaccia di fall-back») previsto dall'art. 33, par.
4, del regolamento delegato si attengono a quanto previsto dagli
orientamenti dell'ABE sulle condizioni per beneficiare dell'esenzione
dal meccanismo di emergenza a norma dell'art. 33, paragrafo 6, del
regolamento (UE) 2018/389 (EBA/GL/2018/07) del 4 dicembre 2018.
__________
Allegato D
Schema della relazione sulla struttura organizzativa
(Omissis).
PARTE III
Gestione dei rischi
1. Indicare per ciascuna tipologia di rischio rilevante i presidi
organizzativi approntati per la loro gestione e i meccanismi di
controllo.
2. Illustrare i presidi e le cautele previsti con riferimento
alla distribuzione dei servizi di pagamento, di emissione di moneta
elettronica e di eventuali altri servizi, con particolare riguardo
sia alla propria rete periferica che alla rete costituita da agenti e
da soggetti convenzionati. Specifici riferimenti dovranno essere
prodotti in merito alle procedure poste in essere nel caso di
utilizzo di reti distributive informatiche (es. internet) (1).
3. Descrivere i presidi organizzativi e di controllo per
assicurare il rispetto delle normative in materia di prevenzione del
riciclaggio e di finanziamento al terrorismo.
4. Descrivere i presidi organizzativi approntati per garantire il
rispetto della disciplina in materia di trasparenza e correttezza
delle relazioni con la clientela, anche con riferimento alle
procedure adottate per la trattazione dei reclami.
PARTE IV
Sistemi informativi e sicurezza
1. Descrivere sinteticamente le procedure informatiche utilizzate
nei vari comparti (contabilita', segnalazioni, ecc.), ivi inclusa la
procedura utilizzata per il monitoraggio, la gestione e il controllo
degli incidenti di sicurezza e dei reclami dei clienti in merito alla
sicurezza, il processo di alimentazione delle stesse, ponendo in
evidenza le operazioni automatizzate e quelle effettuate manualmente,
il grado di integrazione tra le procedure.
2. Indicare i controlli (compresi quelli generati automaticamente
dalle procedure) effettuati sulla qualita' dei dati.
3. Illustrare i presidi logici e fisici approntati per garantire
la sicurezza del sistema ICT e la riservatezza dei dati
(individuazione dei soggetti abilitati, gestione di userid e
password, sistemi di back-up e di recovery, ecc.). Con particolare
riferimento ai dati sensibili relativi ai pagamenti:
i. descrivere la policy in materia di diritto di accesso ai
componenti e ai sistemi dell'infrastruttura informatica utilizzati
per il trattamento di questi dati, inclusi i database e i sistemi di
back up; e
ii. indicare i soggetti che hanno accesso ai dati sensibili
relativi ai pagamenti;
4. Individuare il responsabile ICT e le funzioni ad esso
attribuite.
5. Descrivere il piano di emergenza e di continuita' operativa
stabilito per assicurare la propria capacita' di operare su base
continuativa e di limitare le perdite operative in caso di gravi
interruzioni dell'operativita'; descrivere le procedure e le misure
adottate per mitigare i rischi in caso di cessazione dei propri
servizi di pagamento, al fine di evitare effetti negativi sui sistemi
di pagamento e sugli utenti dei servizi, nonche' per garantire
l'esecuzione delle operazioni in corso.
6. Descrivere il sistema di gestione dei rischi operativi e di
sicurezza (2).
----------
(1) Gli istituti applicano i gia' citati «Orientamenti finali in
materi di sicurezza dei pagamenti tramite internet» emanati dall'EBA.
(2) Per il dettaglio delle informazioni da comunicare, cfr.
Orientamento n. 13 concernente il «Documento relativo alla politica
di sicurezza» dei gia' citati Orientamenti finali sulle informazioni
che devono essere fornite per ottenere l'autorizzazione degli
istituti di pagamento e degli istituti di moneta elettronica, nonche'
per la registrazione dei prestatori di servizi di informazione sui
conti (EBA/GL/2017/09) emanati dall'EBA l'8 novembre 2017.
__________
Allegato E
Descrizione dei servizi di pagamento, dell'attivita' di emissione
della moneta elettronica e delle relative caratteristiche
(Omissis).
Sezione B - Caratteristiche dei servizi di pagamento
(Omissis).
B.1 - Servizi di pagamento di cui ai nn. da 1 a 5 dell'art. 1,
comma 2, lettera h-septies.1, del TUB
PARTE I
1 - Contrattualizzazione
Caratteristiche del servizio offerto all'utenza, incluse le
modalita' di registrazione delle operazioni di sottoscrizione e
estinzione del rapporto con l'utente e le relazioni contrattuali con
le altre parti eventualmente coinvolte.
Caratteristiche dei conti di pagamento, inclusi eventuali importi
massimi di avvaloramento e/o tempi massimi di gestione dei fondi.
2 - Circuito
Caratteristiche del circuito di accettazione dello strumento di
pagamento e dei meccanismi di collegamento tra l'istituto e il
circuito. A tal fine, e' indicato se l'istituto che emette lo
strumento di pagamento: i) e' proprietario del circuito di
accettazione; ii) aderisce a un circuito di pagamento gestito da
terzi (es. schema carte di pagamento ovvero rete interbancaria di
pagamento); iii) ha aggiunto funzioni proprie a un circuito di
pagamento di terzi.
Aspetti di dettaglio:
modalita' di funzionamento del circuito e, in particolare,
ruolo e responsabilita' dei diversi soggetti coinvolti;
meccanismi di tutela dell'integrita' del circuito, con
particolare riguardo ai sistemi di controllo, alle misure atte ad
assicurare la continuita' e l'adeguatezza dei livelli del servizio,
nonche' indicazione dei soggetti responsabili per l'amministrazione
della sicurezza del circuito;
misure di sicurezza dell'informazione adottate, in particolare
modalita' di identificazione/autenticazione degli utenti e di
gestione di eventuali sistemi di crittografia, misure dirette a
preservare l'integrita' e la riservatezza dei dati e ad assicurare la
protezione dei dispositivi fisici.
3 - Meccanismi di autenticazione
Caratteristiche del dispositivo personalizzato e/o insieme di
procedure concordate tra l'utente e il prestatore di servizi di
pagamento e di cui l'utente di servizi di pagamento si avvale per
impartire un ordine di pagamento.
Modalita' di acquisizione dell'eventuale dispositivo
personalizzato e presidi di sicurezza tecnici adottati.
(Omissis).
B.4. Servizio di pagamento di cui all'art. 1, comma 2, lettera
h-septies.1) n. 8, del TUB (Servizio di informazione sui conti)
PARTE I
1 - Contrattualizzazione
Caratteristiche del servizio offerto all'utenza, incluse le
modalita' di registrazione delle operazioni di sottoscrizione e
estinzione del rapporto con l'utente e le relazioni contrattuali con
le altre parti eventualmente coinvolte.
Caratteristiche dei conti di pagamento cui il prestatore accede.
2 - Accesso ai conti di pagamento
Descrizione delle modalita' e delle procedure di accesso ai conti
di pagamento.
Descrizione delle procedure interne per la richiesta di rilascio,
gestione, revoca e aggiornamento dei certificati con cui il
prestatore di servizi di informazione sui conti si identifica presso
il prestatore di servizi di pagamento di radicamento del conto.
Descrizione delle misure di sicurezza informatica adottate, in
particolare modalita' di identificazione/autenticazione degli utenti
e di gestione di eventuali sistemi di crittografia, misure dirette a
preservare l'integrita' e la riservatezza dei dati e ad assicurare la
protezione dei dispositivi fisici.
3 - Autenticazione e consenso
Descrizione delle caratteristiche dei dispositivi personalizzati
e/o delle procedure eventualmente concordate tra il prestatore di
servizi di informazione sui conti e l'utente, anche in aggiunta a
quelle fornite dal prestatore di servizi di pagamento di radicamento
del conto.
Presidi di sicurezza tecnici adottati per assicurare
l'affidabilita' e la disponibilita' del servizio.
Descrizione delle procedure di integrazione con i meccanismi di
autenticazione forniti dal prestatore di servizi di pagamento di
radicamento del conto. Modalita' di acquisizione del consenso
dell'utente e presidi di sicurezza tecnici adottati, inclusi i
meccanismi con cui si assicura l'accesso esclusivamente alle
informazioni sui conti di pagamento designati e sulle operazioni di
pagamento a questi associati.
(Omissis).
CAPITOLO VIII
OPERATIVITA' IN ITALIA DEGLI ISTITUTI
Sezione I
Operativita' degli istituti dell'Unione europea (1)
1. Ambito di applicazione
Le presenti disposizioni si applicano:
agli istituti dell'Unione europea che intendono prestare in
Italia servizi di pagamento attraverso l'esercizio del diritto di
stabilimento o in regime di libera prestazione di servizi, anche
mediante l'impiego di agenti;
agli istituti di moneta elettronica dell'Unione europea che
intendono prestare in Italia l'attivita' di emissione di moneta
elettronica attraverso l'esercizio del diritto di stabilimento o in
regime di libera prestazione di servizi, anche mediante l'impiego di
soggetti convenzionati per la distribuzione e il rimborso della
moneta elettronica.
2. Stabilimento di succursali: primo insediamento (2)
L'istituto dell'Unione europea che intende per la prima volta
operare in Italia tramite l'insediamento di una succursale notifica
questo intendimento all'autorita' competente dello Stato d'origine.
L'inizio dell'operativita' della succursale e' subordinato alla
ricezione da parte della Banca d'Italia della comunicazione inviata
dall'autorita' competente dello Stato d'origine dell'istituto.
Entro trenta giorni dalla ricezione della notifica, la Banca
d'Italia comunica all'autorita' competente dello Stato di origine se
sussistono ragionevoli motivi per sospettare che, relativamente
all'insediamento della succursale, siano in corso o siano state
compiute o tentate operazioni di riciclaggio o di finanziamento del
terrorismo ovvero che possa aumentare il rischio di riciclaggio o di
finanziamento al terrorismo.
3. Impiego di agenti o di soggetti convenzionati insediati in Italia
(3)
3.1. Diritto di stabilimento
In conformita' a quanto previsto dall'art. 128-decies, comma
2-bis, del TUB, l'istituto dell'Unione europea che intende prestare
in Italia, in regime di diritto di stabilimento senza succursale,
servizi di pagamento per il tramite di agenti designa in Italia un
punto di contatto centrale, nel rispetto di quanto previsto dal
regolamento delegato della Commissione sul punto di contatto centrale
ai sensi della direttiva 2015/2366/UE (4). Quando e' costituito in
Italia il punto di contatto centrale ai sensi delle disposizioni di
cui al Titolo II, Capo V, del decreto legislativo 21 novembre 2007,
n. 231, e successive modificazioni, l'istituto designa questo punto
di contatto centrale anche per le finalita' di cui alle presenti
disposizioni e per lo svolgimento delle funzioni previste dal
regolamento citato nel presente capoverso.
L'istituto dell'Unione europea che intende prestare servizi di
pagamento in Italia attraverso agenti insediati in Italia notifica
tale intendimento all'autorita' competente dello Stato d'origine,
indicando, tra l'altro, nome del responsabile, indirizzo e recapiti
del punto di contatto centrale.
L'istituto di moneta elettronica dell'Unione europea che intende
distribuire e rimborsare moneta elettronica in Italia attraverso
soggetti convenzionati notifica tale intendimento all'autorita'
competente dello Stato d'origine, indicando la qualificazione
motivata dell'attivita' quale esercizio della liberta' di
stabilimento.
L'inizio dell'operativita' dell'agente o del soggetto
convenzionato e' subordinato alla ricezione da parte della Banca
d'Italia della comunicazione inviata dall'autorita' competente dello
Stato d'origine dell'istituto. La Banca d'Italia comunica
all'autorita' competente dello Stato di origine se sussistono
ragionevoli motivi per sospettare che, relativamente all'utilizzo
dell'agente o del soggetto convenzionato, siano in corso o siano
state compiute o tentate operazioni di riciclaggio o di finanziamento
del terrorismo ovvero che l'impiego dell'agente o del soggetto
convenzionato possa aumentare il rischio di riciclaggio o di
finanziamento al terrorismo.
----------
(1) Le comunicazioni di cui alla presente Sezione vanno inviate alla
Banca d'Italia - Amministrazione centrale - Servizio regolamentazione
e analisi macroprudenziale.
(2) Cfr. regolamento delegato (UE) 2017/2055 della Commissione del 23
giugno 2017 che integra la direttiva 2015/2366/UE del Parlamento
europeo e del Consiglio per quanto riguarda le norme tecniche di
regolamentazione per la cooperazione e lo scambio di informazioni tra
autorita' competenti in relazione all'esercizio del diritto di
stabilimento e della libera prestazione dei servizi degli istituti di
pagamento.
(3) Restano fermi gli altri obblighi di comunicazione imposti agli
istituti dell'Unione europea ai sensi dall'art. 128-quater, comma
7-bis del TUB.
(4) Restano ferme le disposizioni dettate per finalita' di
prevenzione del riciclaggio e di finanziamento del terrorismo
dall'art. 43, commi 3 e 4 e dall'art. 45 del decreto legislativo 21
novembre 2007, n. 231 e successive modificazioni.
3.2 Libera prestazione di servizi
L'istituto che intende prestare servizi di pagamento in Italia in
regime di libera prestazione di servizi attraverso agenti notifica
tale intendimento all'autorita' competente dello Stato d'origine,
indicando la qualificazione motivata dell'attivita' quale libera
prestazione di servizi.
L'agente puo' iniziare l'attivita' dopo che la Banca d'Italia ha
ricevuto la notifica da parte della autorita' competente dello Stato
d'origine.
L'istituto di moneta elettronica che intende avvalersi di
soggetti convenzionati per la distribuzione e il rimborso in Italia
della moneta elettronica in regime di libera prestazione di servizi
notifica tale intendimento all'autorita' competente dello Stato
d'origine, indicando la qualificazione motivata dell'attivita' quale
libera prestazione di servizi.
Il soggetto convenzionato puo' iniziare l'attivita' dopo che la
Banca d'Italia ha ricevuto la notifica da parte della autorita'
competente dello Stato d'origine.
4. Prestazione di servizi di pagamento in regime di libera
prestazione di servizi
Fermo restando quanto previsto al paragrafo 3.1, l'istituto di
pagamento dell'Unione europea che intende prestare in Italia per la
prima volta servizi di pagamento in regime di libera prestazione di
servizi puo' iniziare l'attivita' dopo che la Banca d'Italia ha
ricevuto la notifica da parte dell'autorita' competente dello Stato
d'origine.
L'istituto di moneta elettronica dell'Unione europea che intende
prestare in Italia per la prima volta attivita' di emissione di
moneta elettronica o prestare servizi di pagamento in regime di
libera prestazione di servizi puo' iniziare l'attivita' dopo che la
Banca d'Italia ha ricevuto la notifica da parte dell'autorita'
competente dello Stato d'origine.
5. Controlli della Banca d'Italia e collaborazione con le autorita'
estere
La Banca d'Italia esercita sugli istituti dell'Unione europea
operanti in Italia i controlli, anche ispettivi, di competenza
previsti dalla legislazione vigente.
Ai sensi dell'art. 114-quinquiesdecies, comma 1, lettera b), del
TUB, la Banca d'Italia scambia informazioni con le altre autorita'
competenti ai sensi delle disposizioni dell'Unione europea
applicabili ai prestatori di servizi di pagamento (5).
----------
(5) Cfr. regolamento delegato della Commissione sulla cooperazione
tra le autorita' competenti dello stato di origine e dello stato
ospitante per la supervisione degli istituti di pagamento che operano
su base transfrontaliera ai sensi dell'art. 29(6) della PSD2.
Sezione II
Condizioni per l'esercizio in Italia dell'attivita' di concessione di
credito da parte di istituti di pagamento dell'Unione europea
1. Ambito di applicazione
Le presenti disposizioni si applicano agli istituti di pagamento
dell'Unione europea, che prestano servizi di pagamento in Italia ai
sensi dell'art. 114-decies, commi 2 e 4, del TUB.
2. Condizioni per la concessione del credito
Gli istituti di pagamento dell'Unione europea che prestano
servizi di pagamento in Italia, possono concedere credito di durata
superiore ai dodici mesi collegato all'emissione o alla gestione di
carte di credito qualora siano rispettate le seguenti condizioni:
a) istituiscono una succursale ai sensi della Sezione I, par.
2;
b) l'attivita' di concessione del credito e' svolta con
modalita' analoghe nel paese d'origine ed e' sottoposta a vigilanza;
c) l'attivita' di concessione del credito nel territorio
italiano e' esercitata nel rispetto delle disposizioni vigenti nel
paese d'origine;
d) la succursale rispetta la disciplina italiana in materia di
trasparenza e correttezza delle relazioni tra intermediari e clienti,
contrasto dell'usura, del riciclaggio e del finanziamento al
terrorismo;
e) l'autorita' competente per la vigilanza nel paese di origine
assume la responsabilita' del controllo sulle attivita' di
concessione del credito, sui rischi rilevanti ad essa connessi, sugli
assetti organizzativi e sul sistema di controlli interni della
succursale;
f) l'autorita' del paese d'origine comunica tempestivamente
alla Banca d'Italia tutte le informazioni rilevanti, in particolare
nel caso di violazioni, ancorche' non accertate in via definitiva, da
parte di una succursale della normativa ad essa applicabile.
L'avvio da parte della succursale dell'attivita' di concessione
del credito superiore ai dodici mesi collegato all'emissione o alla
gestione di carte di credito e' subordinata al raggiungimento di un
accordo di collaborazione tra la Banca d'Italia e l'autorita'
competente del paese di origine, nel quale quest'ultima attesta il
rispetto delle condizioni di cui ai punti da b) ad f) del presente
paragrafo. L'accordo definisce in dettaglio le modalita' e le
condizioni per l'esercizio dei controlli di competenza da parte delle
autorita' coinvolte, eventuali forme di collaborazione e i relativi
scambi di informazioni, fermo restando quando previsto dal successivo
paragrafo 3.
3. Controlli della Banca d'Italia
La Banca d'Italia esercita sulle succursali in Italia degli
istituti di pagamento dell'Unione europea insediate in Italia per le
attivita' di cui alla presente Sezione (1) i controlli, anche
ispettivi, di competenza.
----------
(1) Per la prestazione dell'attivita' di concessione di finanziamento
con scadenza superiore ai dodici mesi tramite agenti, gli istituti di
pagamento si avvalgono di agenti in attivita' finanziaria di cui
all'art 128-quater del TUB.
Allo scopo di effettuare i controlli di propria competenza
nonche' di garantire la completezza delle informazioni che riguardano
il mercato italiano, la Banca d'Italia si riserva la facolta' di
chiedere alle succursali di istituti dell'Unione europea i medesimi
dati e documenti previsti per gli intermediari finanziari di cui al
Titolo V del TUB. In particolare, la Banca d'Italia puo' richiedere i
dati e le informazioni utili ai fini della verifica del rispetto
delle disposizioni in materia di trasparenza e correttezza dei
comportamenti, contrasto all'usura, al riciclaggio e al finanziamento
al terrorismo e diritti e obblighi delle parti.
La Banca d'Italia scambia con l'autorita' competente del paese di
origine dell'istituto di pagamento dell'Unione europea tutte le
informazioni essenziali e/o pertinenti, in particolare nel caso di
violazioni o presunte violazioni da parte di una succursale della
normativa applicabile.
(Omissis).
CAPITOLO XII
Vigilanza ispettiva
Sezione I
Disposizioni di carattere generale
1. Premessa
La Banca d'Italia puo' effettuare accertamenti ispettivi presso
gli istituti operanti in Italia.
Le ispezioni sono volte ad accertare che l'attivita' degli enti
vigilati risponda a criteri di sana e prudente gestione, sia svolta
in coerenza con le esigenze di regolare funzionamento del sistema dei
pagamenti e sia espletata nell'osservanza delle disposizioni vigenti.
In particolare, l'accertamento ispettivo e' volto a valutare la
complessiva situazione tecnica e organizzativa dell'ente, nonche' a
verificare l'attendibilita' delle informazioni fornite alla Banca
d'Italia.
Gli accertamenti possono riguardare la complessiva situazione
aziendale («a spettro esteso»), specifici comparti operativi e/o il
rispetto di normative di settore («mirati») nonche' la rispondenza di
eventuali azioni correttive poste in essere dall'istituto («follow
up»).
Gli istituti ispezionati prestano la massima collaborazione
all'espletamento degli accertamenti e, in particolare, forniscono con
tempestivita' e completezza i documenti che gli incaricati ritengono
necessario acquisire (1).
----------
(1) Cfr. regolamento delegato della Commissione sulla cooperazione
tra le autorita' competenti dello stato di origine e dello stato
ospitante per la supervisione degli istituti di pagamento che operano
su base transfrontaliera ai sensi dell'art. 29(6) della PSD2.
2. Ambito di applicazione
La vigilanza ispettiva e' svolta presso:
gli istituti italiani;
le succursali in Italia di istituti di pagamento dell'Unione
europea o di istituti di moneta elettronica dell'Unione europea,
anche nel caso in cui le competenti autorita' dello Stato membro
d'origine lo richiedano;
le succursali in Italia di istituti di moneta elettronica
aventi sede in stati terzi.
(Omissis).