LA BANCA D'ITALIA
In attuazione dell'art. 146, comma 2, lettere a) e b), del decreto
legislativo del 1° settembre 1993, n. 385 (Testo unico delle leggi in
materia bancaria e creditizia), cosi' come modificato dall'art. 35,
comma 18, del decreto legislativo del 27 gennaio 2010, n. 11, nel
contesto dell'art. 127 par. 2 del Trattato sul funzionamento
dell'Unione europea e dell'art. 22 del Protocollo sullo statuto del
Sistema europeo di banche centrali e della Banca centrale europea;
In materia di sistemi di pagamento:
Visto il decreto legislativo del 12 aprile 2001, n. 210
(attuazione della direttiva 98/26/CE sulla definitivita' degli ordini
immessi in un sistema di pagamento o di regolamento titoli) e
successive modifiche;
Visto il regolamento della Banca centrale europea (BCE) n.
795/2014 del 3 luglio 2014 sui requisiti di sorveglianza per i
sistemi di pagamento di importanza sistemica, modificato con i
regolamenti della BCE n. 2094/2017 del 3 novembre 2017 e n. 728/2021
del 29 aprile 2021;
Considerato che le definizioni di «sistema di pagamento al
dettaglio» e di «sistema di pagamento all'ingrosso» adottate nel
presente provvedimento sono coerenti con quelle in uso
nell'Eurosistema e non escludono la possibilita' che i gestori
trattino nel medesimo sistema entrambe le tipologie di pagamenti;
Considerata la dichiarazione dell'Eurosistema del 4 agosto del
2005 («Erogazione di servizi di pagamento al dettaglio in euro agli
enti creditizi da parte delle banche centrali»), contenente principi
a cui devono attenersi le banche centrali che offrono servizi di
compensazione e regolamento per i pagamenti al dettaglio in
concorrenza con i sistemi privati;
Considerati i principi per le infrastrutture dei mercati
finanziari («Principles for financial market infrastructures») che il
Committee on Payment and Settlement Systems (CPSS) della Banca dei
regolamenti internazionali e l'International Organization of
Securities Commissions (IOSCO) hanno pubblicato ad aprile del 2012 e
che il Consiglio direttivo della BCE ha adottato nel giugno del 2013
per la sorveglianza di tutte le tipologie di infrastrutture dei
mercati finanziari nell'area dell'euro ricadenti sotto la
responsabilita' dell'Eurosistema;
Considerata la policy di sorveglianza dell'Eurosistema (Oversight
policy framework), che include i sistemi di pagamento e i relativi
fornitori critici di servizi, e la cornice di sorveglianza
dell'Eurosistema per i sistemi di pagamento al dettaglio (Oversight
framework for retail payment systems), entrambe aggiornate e
pubblicate nel 2016;
Considerata la necessita' di dare attuazione alla disciplina
dell'accesso dei prestatori dei servizi di pagamento ai sistemi di
pagamento al dettaglio, ai sensi dell'art. 30 del decreto legislativo
del 27 gennaio del 2010, n. 11 (attuazione della direttiva
2007/64/CE, relativa ai servizi di pagamento nel mercato interno,
recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE,
2006/48/CE, e che abroga la direttiva 97/5/CE), come modificato dagli
articoli 2 e 3 del decreto legislativo del 15 dicembre 2017, n. 218
(recepimento della direttiva (UE) 2015/2366 relativa ai servizi di
pagamento nel mercato interno, che modifica le direttive 2002/65/CE,
2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga
la direttiva 2007/64/CE, nonche' adeguamento delle disposizioni
interne al regolamento (UE) n. 751/2015 relativo alle commissioni
interbancarie sulle operazioni di pagamento basate su carta);
In materia di servizi e strumenti di pagamento:
Visto il decreto legislativo del 27 gennaio 2010, n. 11, in
materia di servizi di pagamento, come modificato dal decreto
legislativo del 15 dicembre del 2017, n. 218;
Visto il decreto legislativo del 15 dicembre 2017, n. 218
(recepimento della direttiva (UE) 2015/2366 relativa ai servizi di
pagamento nel mercato interno, che modifica le direttive 2002/65/CE,
2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga
la direttiva 2007/64/CE, nonche' adeguamento delle disposizioni
interne al regolamento (UE) n. 751/2015 relativo alle commissioni
interbancarie sulle operazioni di pagamento basate su carta);
Considerato che dal 2004 l'Eurosistema e la Commissione europea
hanno promosso la realizzazione di un'area unica dei pagamenti in
euro (Single Euro Payments Area, SEPA) per favorire la progressiva
eliminazione delle barriere nazionali all'offerta di servizi di
pagamento e la creazione - per le infrastrutture di pagamento al
dettaglio europee - di un contesto piu' competitivo, caratterizzato
da regole e standard comuni;
In materia di continuita' operativa, sicurezza cibernetica e
segnalazione di incidenti:
Visti gli orientamenti in materia di segnalazione di incidenti
gravi ai sensi della direttiva (UE) 2015/2366 relativa ai servizi di
pagamento nel mercato interno (Payment Services Directive 2, PSD2)
che l'Autorita' bancaria europea (ABE) ha pubblicato nel dicembre
2017;
Considerata la Guidance on cyber resilience for financial market
infrastructures che il Committee on Payment and Market
Infrastructures (CPMI) - gia' Committee on Payment and Settlement
Systems (CPSS) - della Banca dei regolamenti internazionali e
l'International Organization of Securities Commissions (IOSCO) hanno
pubblicato nel giugno 2016 e viste le Cyber resilience oversight
expectations (CROE) for financial market infrastructures che la BCE
ha pubblicato nel dicembre del 2018;
In materia di infrastrutture strumentali tecnologiche o di rete:
Viste le previsioni della circolare della Banca d'Italia n. 285
«Disposizioni di vigilanza per le banche» del 17 dicembre 2013 e del
provvedimento della Banca d'Italia del 23 luglio 2019 «Disposizioni
di vigilanza per gli istituti di pagamento e gli istituti di moneta
elettronica» in materia di esternalizzazione di funzioni operative
importanti;
Considerato che nell'agosto 2017 il Consiglio direttivo della BCE
ha approvato la policy dell'Eurosistema per l'identificazione e la
sorveglianza dei fornitori critici di servizi per le infrastrutture
dei mercati finanziari;
Circa i poteri dell'autorita' di sorveglianza:
Visti gli articoli 144 e 146 del testo unico delle leggi in
materia bancaria e creditizia che conferiscono alla Banca d'Italia,
oltre al potere normativo, poteri informativi, ispettivi,
provvedimentali e sanzionatori, che possono essere esercitati nei
confronti dei soggetti che emettono o gestiscono strumenti di
pagamento, prestano servizi di pagamento, gestiscono sistemi di
scambio, di compensazione e di regolamento o gestiscono
infrastrutture strumentali tecnologiche o di rete;
Considerato che si rende necessario rivedere la normativa
secondaria riguardante il sistema dei pagamenti al fine di introdurre
disposizioni che tengano conto dell'evoluzione della normativa di
settore, nonche' dei principi di sorveglianza e delle migliori prassi
condivise a livello europeo e internazionale, anche in relazione ai
fornitori critici di servizi;
Emana
le disposizioni seguenti:
Art. 1
Definizioni
Nel presente provvedimento, si intendono per:
(a) «sistema dei pagamenti»: l'insieme di soggetti,
infrastrutture, procedure e norme che consentono il trasferimento
della moneta, anche mediante strumenti di pagamento, o l'estinzione
di obbligazioni pecuniarie mediante compensazione;
(b) «sistema di pagamento»: accordo formale tra partecipanti, con
regole comuni e procedure standardizzate per lo scambio, la
compensazione e/o il regolamento di operazioni di pagamento per conto
proprio o della clientela;
(c) «sistema di pagamento al dettaglio»: accordo formale tra
partecipanti, con regole comuni e procedure standardizzate, per lo
scambio, la compensazione e/o il regolamento di operazioni di
pagamento per conto della clientela, con modalita' differita o
istantanea, generalmente di importo ridotto e numero elevato;
(d) «sistema di pagamento all'ingrosso»: accordo formale tra
partecipanti, con regole comuni e procedure standardizzate, per il
regolamento di operazioni di pagamento tra partecipanti, generalmente
di importo elevato e numero ridotto;
(e) «infrastruttura strumentale tecnologica o di rete»: complesso
di impianti e di implementazioni a supporto di uno o piu' servizi
strumentali al sistema dei pagamenti, tra i quali a titolo di
esempio:
a. servizi di messaggistica e di rete;
b. servizi e/o applicazioni di business strumentali a
trattamento e scambio di flussi finanziari e informativi,
compensazione e/o regolamento di operazioni di pagamento tra
prestatori di servizi di pagamento e/o tra prestatori di servizi di
pagamento e clienti;
c. servizi di conservazione e trattamento di dati sensibili
relativi ai pagamenti, incluse le credenziali di sicurezza degli
utenti e i dati per l'indirizzamento dei pagamenti;
d. servizi per il trattamento delle operazioni di pagamento di
cui all'art. 2, comma 1, numero 28 del regolamento (UE) n. 2015/751
relativo alle commissioni interbancarie sulle operazioni di pagamento
basate su carta;
e. servizi tecnologici di interfaccia multi-operatore per
l'accesso di terze parti ai conti ai sensi del regolamento delegato
(UE) n. 2018/389 della Commissione del 27 novembre 2017 che integra
la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio
per quanto riguarda le norme tecniche di regolamentazione per
l'autenticazione forte del cliente e gli standard aperti di
comunicazione comuni e sicuri;
(f) «gestore»: societa' o ente che gestisce sistemi di pagamento
o singole fasi di questi; se ne ha i requisiti puo' anche essere
partecipante;
(g) «partecipante»: societa' o ente che partecipa a un sistema di
pagamento, assumendo i diritti e gli obblighi derivanti dalla
disciplina contrattuale che regola la partecipazione al sistema;
(h) «fornitori di infrastrutture o servizi tecnici»: soggetti che
gestiscono, fornendo i relativi servizi, infrastrutture tecnologiche
o di rete strumentali a un sistema di pagamento o all'erogazione di
servizi di pagamento;
(i) «fornitori critici di infrastrutture o servizi»: fornitori di
infrastrutture o servizi tecnici considerati critici ai sensi
dell'art. 20 del presente provvedimento;
(j) «scambio»: attivita' attraverso la quale vengono scambiate
fra i partecipanti al sistema le informazioni di pagamento, ossia i
messaggi e gli ordini diretti a trasferire fondi o, comunque, ad
estinguere obbligazioni tramite compensazione; il gestore puo'
disciplinare direttamente l'attivita' di scambio ovvero fare
riferimento a regole definite da soggetti terzi;
(k) «compensazione»: la conversione, secondo le regole del
sistema, in un'unica posizione - a credito o a debito - dei crediti e
dei debiti di uno o piu' partecipanti nei confronti di uno o piu'
partecipanti e risultanti dallo scambio delle informazioni di
pagamento;
(l) «regolamento»: estinzione delle posizioni a credito o a
debito di due o piu' partecipanti;
(m) «collegamenti»: insieme di regole operative e procedure che
consentono lo scambio, la compensazione e il regolamento tra
partecipanti a sistemi di pagamento diversi;
(n) «prestatori di servizi di pagamento»: istituti di moneta
elettronica e istituti di pagamento, nonche', quando prestano servizi
di pagamento, banche, Poste Italiane S.p.a., la Banca centrale
europea e le banche centrali nazionali se non agiscono in veste di
autorita' monetarie, altre autorita' pubbliche, le pubbliche
amministrazioni statali, regionali e locali se non agiscono in veste
di autorita' pubbliche, ai sensi del decreto legislativo del 27
gennaio del 2010, n. 11 e successive modifiche;
(o) «terze parti»: i prestatori di servizi di pagamento che si
relazionano con i prestatori di servizi di radicamento dei conti per
la prestazione dei servizi di pagamento di accesso dispositivo o
informativo ai conti di pagamento previsti dalla direttiva (UE)
2015/2366 del Parlamento europeo e del Consiglio;
(p) «funzione di compliance»: funzione aziendale responsabile
della verifica di conformita' dell'attivita' aziendale alle norme
applicabili;
(q) «affidabilita'»: proprieta' dei sistemi di pagamento e delle
infrastrutture tecnologiche o di rete che assicurano il contenimento
dei rischi che possono comprometterne o influenzarne negativamente il
corretto e continuo funzionamento, ripercuotendosi cosi' sulla
fiducia del pubblico negli strumenti di pagamento;
(r) «efficienza»: proprieta' dei sistemi di pagamento e delle
infrastrutture tecnologiche o di rete che offrono servizi rapidi,
economici e pratici per gli utilizzatori, nonche' vantaggiosi per i
mercati finanziari e per l'economia;
(s) «resilienza cibernetica»: capacita' di un sistema di
pagamento o di un'infrastruttura tecnologica o di rete di continuare
a svolgere la propria attivita' anticipando e adattandosi a minacce
cibernetiche e altri cambiamenti rilevanti nell'ecosistema in cui
opera, nonche' resistendo a incidenti informatici, contenendone gli
effetti e recuperando tempestivamente la propria operativita';
(t) «malfunzionamento»: l'arresto dell'operativita' del sistema,
gli errori procedurali, il peggioramento dei tempi di elaborazione
delle operazioni di pagamento, la perdita di riservatezza e
l'alterazione non autorizzata dei dati trattati.
Per quanto non definito espressamente, si rinvia alle definizioni
normative.