Art. 5 Efficacia dei controlli I gestori individuano e valutano in un apposito documento i rischi d'impresa, legali, operativi e tutti gli altri rischi, inclusi quelli cibernetici, che possono compromettere l'affidabilita' del sistema e adottano un'architettura dei controlli adeguata a gestirli. In particolare: i) assicurano la conformita' dei servizi offerti alle normative vigenti, nonche' alle strategie, ai regolamenti e alle procedure interne; ii) definiscono le caratteristiche e la tempistica della reportistica della funzione di controllo agli organi decisionali; iii) verificano - almeno annualmente - la complessiva funzionalita' del sistema dei controlli interni; iv) definiscono su base annua un piano dei controlli sui rischi connessi con l'attivita' svolta e un ordine di priorita' degli interventi, in modo da favorire una gestione integrata dei rischi, l'individuazione specifica delle linee di responsabilita' e la disponibilita' delle risorse destinate a sostenere la resilienza cibernetica; v) si dotano di un sistema di gestione integrata dei rischi e di una strategia di resilienza cibernetica con connesse procedure di implementazione; vi) si dotano di tre linee di difesa (operativa, di gestione dei rischi e di audit) tra loro indipendenti. In caso di malfunzionamenti del sistema di pagamento i gestori: i) ne assicurano la tempestiva individuazione; ii) li classificano secondo i criteri, gli schemi di reportistica degli incidenti e la tempistica di cui alla citata guida operativa; iii) ne analizzano e rimuovono le cause; iv) adottano misure idonee di prevenzione; v) ne trasmettono una relazione alla Banca d'Italia secondo le modalita' e le tempistiche indicate nella citata guida operativa.