LA BANCA D'ITALIA In attuazione dell'art. 146, comma 2, lettere a) e b), del decreto legislativo del 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia), cosi' come modificato dall'art. 35, comma 18, del decreto legislativo del 27 gennaio 2010, n. 11, nel contesto dell'art. 127 par. 2 del Trattato sul funzionamento dell'Unione europea e dell'art. 22 del Protocollo sullo statuto del Sistema europeo di banche centrali e della Banca centrale europea; In materia di sistemi di pagamento: Visto il decreto legislativo del 12 aprile 2001, n. 210 (attuazione della direttiva 98/26/CE sulla definitivita' degli ordini immessi in un sistema di pagamento o di regolamento titoli) e successive modifiche; Visto il regolamento della Banca centrale europea (BCE) n. 795/2014 del 3 luglio 2014 sui requisiti di sorveglianza per i sistemi di pagamento di importanza sistemica, modificato con i regolamenti della BCE n. 2094/2017 del 3 novembre 2017 e n. 728/2021 del 29 aprile 2021; Considerato che le definizioni di «sistema di pagamento al dettaglio» e di «sistema di pagamento all'ingrosso» adottate nel presente provvedimento sono coerenti con quelle in uso nell'Eurosistema e non escludono la possibilita' che i gestori trattino nel medesimo sistema entrambe le tipologie di pagamenti; Considerata la dichiarazione dell'Eurosistema del 4 agosto del 2005 («Erogazione di servizi di pagamento al dettaglio in euro agli enti creditizi da parte delle banche centrali»), contenente principi a cui devono attenersi le banche centrali che offrono servizi di compensazione e regolamento per i pagamenti al dettaglio in concorrenza con i sistemi privati; Considerati i principi per le infrastrutture dei mercati finanziari («Principles for financial market infrastructures») che il Committee on Payment and Settlement Systems (CPSS) della Banca dei regolamenti internazionali e l'International Organization of Securities Commissions (IOSCO) hanno pubblicato ad aprile del 2012 e che il Consiglio direttivo della BCE ha adottato nel giugno del 2013 per la sorveglianza di tutte le tipologie di infrastrutture dei mercati finanziari nell'area dell'euro ricadenti sotto la responsabilita' dell'Eurosistema; Considerata la policy di sorveglianza dell'Eurosistema (Oversight policy framework), che include i sistemi di pagamento e i relativi fornitori critici di servizi, e la cornice di sorveglianza dell'Eurosistema per i sistemi di pagamento al dettaglio (Oversight framework for retail payment systems), entrambe aggiornate e pubblicate nel 2016; Considerata la necessita' di dare attuazione alla disciplina dell'accesso dei prestatori dei servizi di pagamento ai sistemi di pagamento al dettaglio, ai sensi dell'art. 30 del decreto legislativo del 27 gennaio del 2010, n. 11 (attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE), come modificato dagli articoli 2 e 3 del decreto legislativo del 15 dicembre 2017, n. 218 (recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonche' adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta); In materia di servizi e strumenti di pagamento: Visto il decreto legislativo del 27 gennaio 2010, n. 11, in materia di servizi di pagamento, come modificato dal decreto legislativo del 15 dicembre del 2017, n. 218; Visto il decreto legislativo del 15 dicembre 2017, n. 218 (recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, nonche' adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta); Considerato che dal 2004 l'Eurosistema e la Commissione europea hanno promosso la realizzazione di un'area unica dei pagamenti in euro (Single Euro Payments Area, SEPA) per favorire la progressiva eliminazione delle barriere nazionali all'offerta di servizi di pagamento e la creazione - per le infrastrutture di pagamento al dettaglio europee - di un contesto piu' competitivo, caratterizzato da regole e standard comuni; In materia di continuita' operativa, sicurezza cibernetica e segnalazione di incidenti: Visti gli orientamenti in materia di segnalazione di incidenti gravi ai sensi della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (Payment Services Directive 2, PSD2) che l'Autorita' bancaria europea (ABE) ha pubblicato nel dicembre 2017; Considerata la Guidance on cyber resilience for financial market infrastructures che il Committee on Payment and Market Infrastructures (CPMI) - gia' Committee on Payment and Settlement Systems (CPSS) - della Banca dei regolamenti internazionali e l'International Organization of Securities Commissions (IOSCO) hanno pubblicato nel giugno 2016 e viste le Cyber resilience oversight expectations (CROE) for financial market infrastructures che la BCE ha pubblicato nel dicembre del 2018; In materia di infrastrutture strumentali tecnologiche o di rete: Viste le previsioni della circolare della Banca d'Italia n. 285 «Disposizioni di vigilanza per le banche» del 17 dicembre 2013 e del provvedimento della Banca d'Italia del 23 luglio 2019 «Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica» in materia di esternalizzazione di funzioni operative importanti; Considerato che nell'agosto 2017 il Consiglio direttivo della BCE ha approvato la policy dell'Eurosistema per l'identificazione e la sorveglianza dei fornitori critici di servizi per le infrastrutture dei mercati finanziari; Circa i poteri dell'autorita' di sorveglianza: Visti gli articoli 144 e 146 del testo unico delle leggi in materia bancaria e creditizia che conferiscono alla Banca d'Italia, oltre al potere normativo, poteri informativi, ispettivi, provvedimentali e sanzionatori, che possono essere esercitati nei confronti dei soggetti che emettono o gestiscono strumenti di pagamento, prestano servizi di pagamento, gestiscono sistemi di scambio, di compensazione e di regolamento o gestiscono infrastrutture strumentali tecnologiche o di rete; Considerato che si rende necessario rivedere la normativa secondaria riguardante il sistema dei pagamenti al fine di introdurre disposizioni che tengano conto dell'evoluzione della normativa di settore, nonche' dei principi di sorveglianza e delle migliori prassi condivise a livello europeo e internazionale, anche in relazione ai fornitori critici di servizi; Emana le disposizioni seguenti: Art. 1 Definizioni Nel presente provvedimento, si intendono per: (a) «sistema dei pagamenti»: l'insieme di soggetti, infrastrutture, procedure e norme che consentono il trasferimento della moneta, anche mediante strumenti di pagamento, o l'estinzione di obbligazioni pecuniarie mediante compensazione; (b) «sistema di pagamento»: accordo formale tra partecipanti, con regole comuni e procedure standardizzate per lo scambio, la compensazione e/o il regolamento di operazioni di pagamento per conto proprio o della clientela; (c) «sistema di pagamento al dettaglio»: accordo formale tra partecipanti, con regole comuni e procedure standardizzate, per lo scambio, la compensazione e/o il regolamento di operazioni di pagamento per conto della clientela, con modalita' differita o istantanea, generalmente di importo ridotto e numero elevato; (d) «sistema di pagamento all'ingrosso»: accordo formale tra partecipanti, con regole comuni e procedure standardizzate, per il regolamento di operazioni di pagamento tra partecipanti, generalmente di importo elevato e numero ridotto; (e) «infrastruttura strumentale tecnologica o di rete»: complesso di impianti e di implementazioni a supporto di uno o piu' servizi strumentali al sistema dei pagamenti, tra i quali a titolo di esempio: a. servizi di messaggistica e di rete; b. servizi e/o applicazioni di business strumentali a trattamento e scambio di flussi finanziari e informativi, compensazione e/o regolamento di operazioni di pagamento tra prestatori di servizi di pagamento e/o tra prestatori di servizi di pagamento e clienti; c. servizi di conservazione e trattamento di dati sensibili relativi ai pagamenti, incluse le credenziali di sicurezza degli utenti e i dati per l'indirizzamento dei pagamenti; d. servizi per il trattamento delle operazioni di pagamento di cui all'art. 2, comma 1, numero 28 del regolamento (UE) n. 2015/751 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta; e. servizi tecnologici di interfaccia multi-operatore per l'accesso di terze parti ai conti ai sensi del regolamento delegato (UE) n. 2018/389 della Commissione del 27 novembre 2017 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri; (f) «gestore»: societa' o ente che gestisce sistemi di pagamento o singole fasi di questi; se ne ha i requisiti puo' anche essere partecipante; (g) «partecipante»: societa' o ente che partecipa a un sistema di pagamento, assumendo i diritti e gli obblighi derivanti dalla disciplina contrattuale che regola la partecipazione al sistema; (h) «fornitori di infrastrutture o servizi tecnici»: soggetti che gestiscono, fornendo i relativi servizi, infrastrutture tecnologiche o di rete strumentali a un sistema di pagamento o all'erogazione di servizi di pagamento; (i) «fornitori critici di infrastrutture o servizi»: fornitori di infrastrutture o servizi tecnici considerati critici ai sensi dell'art. 20 del presente provvedimento; (j) «scambio»: attivita' attraverso la quale vengono scambiate fra i partecipanti al sistema le informazioni di pagamento, ossia i messaggi e gli ordini diretti a trasferire fondi o, comunque, ad estinguere obbligazioni tramite compensazione; il gestore puo' disciplinare direttamente l'attivita' di scambio ovvero fare riferimento a regole definite da soggetti terzi; (k) «compensazione»: la conversione, secondo le regole del sistema, in un'unica posizione - a credito o a debito - dei crediti e dei debiti di uno o piu' partecipanti nei confronti di uno o piu' partecipanti e risultanti dallo scambio delle informazioni di pagamento; (l) «regolamento»: estinzione delle posizioni a credito o a debito di due o piu' partecipanti; (m) «collegamenti»: insieme di regole operative e procedure che consentono lo scambio, la compensazione e il regolamento tra partecipanti a sistemi di pagamento diversi; (n) «prestatori di servizi di pagamento»: istituti di moneta elettronica e istituti di pagamento, nonche', quando prestano servizi di pagamento, banche, Poste Italiane S.p.a., la Banca centrale europea e le banche centrali nazionali se non agiscono in veste di autorita' monetarie, altre autorita' pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorita' pubbliche, ai sensi del decreto legislativo del 27 gennaio del 2010, n. 11 e successive modifiche; (o) «terze parti»: i prestatori di servizi di pagamento che si relazionano con i prestatori di servizi di radicamento dei conti per la prestazione dei servizi di pagamento di accesso dispositivo o informativo ai conti di pagamento previsti dalla direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio; (p) «funzione di compliance»: funzione aziendale responsabile della verifica di conformita' dell'attivita' aziendale alle norme applicabili; (q) «affidabilita'»: proprieta' dei sistemi di pagamento e delle infrastrutture tecnologiche o di rete che assicurano il contenimento dei rischi che possono comprometterne o influenzarne negativamente il corretto e continuo funzionamento, ripercuotendosi cosi' sulla fiducia del pubblico negli strumenti di pagamento; (r) «efficienza»: proprieta' dei sistemi di pagamento e delle infrastrutture tecnologiche o di rete che offrono servizi rapidi, economici e pratici per gli utilizzatori, nonche' vantaggiosi per i mercati finanziari e per l'economia; (s) «resilienza cibernetica»: capacita' di un sistema di pagamento o di un'infrastruttura tecnologica o di rete di continuare a svolgere la propria attivita' anticipando e adattandosi a minacce cibernetiche e altri cambiamenti rilevanti nell'ecosistema in cui opera, nonche' resistendo a incidenti informatici, contenendone gli effetti e recuperando tempestivamente la propria operativita'; (t) «malfunzionamento»: l'arresto dell'operativita' del sistema, gli errori procedurali, il peggioramento dei tempi di elaborazione delle operazioni di pagamento, la perdita di riservatezza e l'alterazione non autorizzata dei dati trattati. Per quanto non definito espressamente, si rinvia alle definizioni normative.