Art. 5 
 
                       Efficacia dei controlli 
 
  I gestori individuano e valutano in un apposito documento i  rischi
d'impresa, legali, operativi e tutti gli altri rischi, inclusi quelli
cibernetici, che possono compromettere l'affidabilita' del sistema  e
adottano  un'architettura  dei  controlli  adeguata  a  gestirli.  In
particolare: i) assicurano la conformita' dei  servizi  offerti  alle
normative vigenti, nonche' alle  strategie,  ai  regolamenti  e  alle
procedure interne; ii) definiscono le caratteristiche e la tempistica
della  reportistica  della  funzione   di   controllo   agli   organi
decisionali; iii) verificano - almeno annualmente  -  la  complessiva
funzionalita' del sistema dei controlli interni; iv)  definiscono  su
base annua un piano dei controlli sui rischi connessi con l'attivita'
svolta e un ordine di priorita' degli interventi, in modo da favorire
una gestione integrata dei rischi, l'individuazione  specifica  delle
linee di responsabilita' e la disponibilita' delle risorse  destinate
a sostenere la resilienza cibernetica; v) si dotano di un sistema  di
gestione integrata dei  rischi  e  di  una  strategia  di  resilienza
cibernetica con connesse procedure di implementazione; vi) si  dotano
di tre linee di difesa (operativa, di gestione dei rischi e di audit)
tra loro indipendenti. 
  In caso di malfunzionamenti del sistema di pagamento i gestori:  i)
ne assicurano  la  tempestiva  individuazione;  ii)  li  classificano
secondo i criteri, gli schemi di reportistica degli  incidenti  e  la
tempistica di cui alla citata guida operativa; iii) ne  analizzano  e
rimuovono le cause; iv) adottano misure idonee di prevenzione; v)  ne
trasmettono una relazione alla Banca d'Italia secondo le modalita'  e
le tempistiche indicate nella citata guida operativa.