Gazzetta n. 234 del 6 ottobre 2012 (vai al sommario)
BANCA D'ITALIA
PROVVEDIMENTO 18 settembre 2012
Disposizioni in materia di sorveglianza sui sistemi di pagamento al dettaglio.


IL DIRETTORIO DELLA BANCA D'ITALIA

In attuazione dell'art. 146 del decreto legislativo del 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia) cosi' come modificato dall'art. 35, comma 18 del decreto legislativo del 27 gennaio 2010, n. 11;
Visto l'art. 127 par. 2 del Trattato sul funzionamento dell'Unione Europea;
Visto l'art. 22 del Protocollo sullo Statuto del Sistema Europeo di Banche Centrali e della Banca Centrale Europea;
Visto il decreto legislativo del 12 aprile 2001, n. 210 (attuazione della direttiva 98/26/CE sulla definitivita' degli ordini immessi in un sistema di pagamento o di regolamento titoli) cosi' come modificato dal decreto legislativo del 24 marzo 2011, n. 48 (attuazione della direttiva 2009/44/CE, che modifica la direttiva 98/26/CE, concernente il carattere definitivo del regolamento nei sistemi di pagamento e nei sistemi di regolamento titoli e la direttiva 2002/47/CE relativa ai contratti di garanzia finanziaria per quanto riguarda i sistemi connessi e i crediti);
Visto il provvedimento del Governatore della Banca d'Italia del 24 febbraio 2004, recante disposizioni in materia di vigilanza sui sistemi di pagamento, emanato ai sensi dell'art. 146 del decreto legislativo n. 385 del 1993;
Visto il provvedimento del Governatore della Banca d'Italia dell'11 novembre 2005, recante disposizioni in materia di vigilanza sui sistemi di pagamento di importo non rilevante;
Visto il decreto legislativo del 27 gennaio 2010, n. 11 (attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE);
Considerato che nel 2003 l'Eurosistema ha definito la cornice di riferimento per la sorveglianza sui sistemi di pagamento al dettaglio per l'area dell'Euro, individuando tre categorie di sistemi (sistemi al dettaglio di importanza sistemica, di importanza preminente e altri sistemi), nonche' i principi di sorveglianza ad esse applicabili, basandosi sugli standard di sorveglianza per i sistemi di pagamento di importanza sistemica emanati nel 2001 dalla Banca dei Regolamenti Internazionali;
Considerato che nel 2004 l'Eurosistema e la Commissione Europea hanno promosso la realizzazione di un'area unica dei pagamenti in Euro (SEPA) per favorire la progressiva eliminazione delle barriere nazionali all'offerta di servizi di pagamento e la creazione - per le infrastrutture di pagamento al dettaglio europee - di un contesto piu' competitivo, caratterizzato da regole e standard comuni;
Considerato che nel 2005 l'Eurosistema ha pubblicato una dichiarazione relativa ai principi cui devono attenersi le Banche Centrali che offrono servizi di compensazione e regolamento per i pagamenti al dettaglio in concorrenza con i sistemi privati;
Considerato che la Banca d'Italia nel 2004 e l'Eurosistema nel 2006 hanno definito linee guida per la continuita' di servizio rispettivamente per le infrastrutture qualificate dei sistemi di pagamento e per gli operatori di sistemi di pagamento sistemicamente rilevanti;
Considerato che l'Eurosistema nel 2011 ha pubblicato l'Eurosystem Oversight Policy Framework che definisce l'ambito di applicazione della funzione di sorveglianza condivisa all'interno dell'Eurosistema includendovi i sistemi di pagamento al dettaglio;
Considerato che nel 2012 il Committee on Payment and Settlement Systems (CPSS) della Banca dei Regolamenti Internazionali e il Technical Committee of the International Organization of Securities Commissions (IOSCO) hanno reso pubblico il Rapporto contenente i nuovi principi per la regolamentazione delle infrastrutture dei mercati finanziari;
Considerato che l'art. 146 del Testo unico delle leggi in materia bancaria e creditizia conferisce alla Banca d'Italia, oltre al potere normativo, poteri informativi, ispettivi, provvedimentali e sanzionatori attraverso l'irrogazione di sanzioni amministrative pecuniarie;
Considerata la necessita' di dare attuazione all'art. 30 del decreto legislativo n. 11 del 2010 che disciplina l'accesso dei prestatori dei servizi di pagamento ai sistemi di pagamento al dettaglio;
Considerato che si rende necessario rivedere la normativa secondaria per i sistemi di pagamento al dettaglio al fine di introdurre disposizioni che considerino unitariamente le funzioni di scambio, compensazione e regolamento ancorche' gestite da soggetti diversi e che tengano conto dei principi di sorveglianza e delle migliori prassi condivise a livello internazionale;
Considerato che la definizione di "sistema di pagamento al dettaglio" adottata nel presente provvedimento e' coerente con quella in uso nell'Eurosistema e non esclude la possibilita' per i gestori di trattare nel medesimo sistema anche pagamenti di altro tipo sia per importi sia per caratteristiche;
Considerato che la presente normativa non tratta le fasi di scambio, compensazione e regolamento delle operazioni con carte qualora esse siano svolte al di fuori di un sistema di pagamento al dettaglio, in linea con la policy definita nello Eurosystem oversight framework for card payment schemes

Emana
le seguenti disposizioni:

Art. 1
Definizioni

Nel presente provvedimento, si intendono per:
(a) «sistema di pagamento al dettaglio»: sistema - caratterizzato da meccanismi di funzionamento formali e standardizzati e da regole comuni - per lo scambio, la compensazione e/o il regolamento di operazioni di pagamento di importo pari o inferiore a 500.000 euro, generalmente con bassa priorita' e trasmesse in forma aggregata;
(b) «affidabilita'»: contenimento dei rischi che possono compromettere o influenzare negativamente il corretto e continuo funzionamento dei sistemi di pagamento, ripercuotendosi cosi' sulla fiducia del pubblico negli strumenti di pagamento;
(c) «efficienza»: proprieta' dei sistemi che offrono servizi rapidi, economici e pratici per gli utilizzatori, nonche' vantaggiosi per i mercati finanziari e per l'economia;
(d) «gestore»: societa' o ente che gestisce sistemi di pagamento al dettaglio o singole fasi di questi; se ne ha i requisiti puo' anche essere partecipante;
(e) «partecipante»: societa' o ente che partecipa a un sistema di pagamento al dettaglio assumendo gli obblighi derivanti dalla disciplina contrattuale che regola la partecipazione al sistema;
(f) «scambio»: attivita' attraverso la quale vengono scambiate fra i partecipanti al sistema le informazioni di pagamento, ossia i messaggi e gli ordini diretti a trasferire fondi o, comunque, ad estinguere obbligazioni tramite compensazione; il gestore puo' disciplinare direttamente l'attivita' di scambio ovvero fare riferimento a regole definite da soggetti terzi;
(g) «compensazione»: la conversione, secondo le regole del sistema, in un'unica posizione - a credito o a debito - dei crediti e dei debiti di uno o piu' partecipanti nei confronti di uno o piu' partecipanti e risultanti dallo scambio delle informazioni di pagamento;
(h) «regolamento»: invio in Target2 delle posizioni a credito o a debito dei partecipanti;
(i) «prestatori di servizi di pagamento»: istituti di moneta elettronica e istituti di pagamento, nonche', quando prestano servizi di pagamento, banche, Poste Italiane s.p.a., la Banca centrale europea e le Banche centrali nazionali se non agiscono in veste di autorita' monetarie, altre autorita' pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorita' pubbliche;
(j) «collegamenti»: insieme di regole operative e procedure che consentono lo scambio, la compensazione e il regolamento delle informazioni di pagamento tra partecipanti a sistemi di pagamento al dettaglio diversi;
(k) «malfunzionamento»: l'arresto dell'operativita' del sistema, gli errori procedurali, il peggioramento dei tempi di elaborazione delle operazioni di pagamento, la perdita di riservatezza e l'alterazione non autorizzata dei dati trattati.
 
Art. 2
Finalita' e ambito applicativo

Le presenti disposizioni sono volte a favorire l'affidabilita' ed efficienza dell'offerta di servizi di pagamento al dettaglio in Italia. Esse si applicano ai prestatori dei servizi di pagamento e ai gestori di sistemi di pagamento al dettaglio che abbiano sede legale e/o operativa in Italia.
 
Art. 3
Obblighi di comunicazione

I prestatori di servizi di pagamento, che intendano rivolgersi per lo scambio, la compensazione e/o il regolamento dei pagamenti al dettaglio a sistemi diversi da quelli che rientrano nell'ambito applicativo di cui al presente provvedimento, sono tenuti a comunicare per iscritto alla Banca d'Italia la denominazione del sistema e del gestore e il paese d'insediamento.
Se il sistema ha sede legale e/o operativa in un paese al di fuori dell'Area dell'Euro deve essere altresi' trasmessa alla Banca d'Italia una dichiarazione della banca centrale o altra autorita' competente per la funzione di sorveglianza che descriva il regime di controllo applicato ; la Banca d'Italia ne verifichera' la coerenza con i principi ispiratori della presente normativa.
 
Art. 4
Assetto organizzativo

I gestori di sistemi di pagamento al dettaglio definiscono il modello organizzativo sulla base del grado di complessita' operativa del sistema. Essi devono assicurare: i) la chiara e univoca definizione delle competenze di ciascuna struttura interna, al fine di garantire il coordinamento delle funzioni e ridurre i casi di sovrapposizione di ruoli e di conflitti di attribuzione; ii) l'esatta individuazione delle responsabilita' decisionali per i principali atti della gestione, attraverso idonee evidenze documentali; iii) la definizione di meccanismi atti a verificare e misurare le prestazioni delle strutture operative.
Per rispondere alle esigenze dei partecipanti i gestori valutano l'istituzione di comitati con funzioni consultive, le cui regole di funzionamento devono essere definite in maniera chiara e comunicate ai partecipanti.
Qualora le funzioni di scambio, di compensazione e/o regolamento siano svolte, in tutto o in parte, da gestori diversi, va assicurato il coordinamento delle attivita' svolte.
 
Art. 5
Efficacia dei controlli

I gestori adottano un'architettura dei controlli adeguata ai rischi d'impresa, legali, operativi e a tutti gli altri rischi che possono compromettere l'affidabilita' del sistema. In particolare: i) assicurano la conformita' dei servizi offerti alle normative vigenti, nonche' alle strategie, ai regolamenti e alle procedure interne; ii) definiscono le caratteristiche e la tempistica della reportistica della funzione di controllo agli organi decisionali; iii) verificano - almeno annualmente - la complessiva funzionalita' del sistema dei controlli interni; iv) definiscono su base annua un piano dei controlli sui rischi connessi all'attivita' svolta e un ordine di priorita' degli interventi; v) definiscono uno schema di classificazione dei malfunzionamenti e le caratteristiche e la tempistica della reportistica della struttura operativa agli organi di Direzione e alla funzione di controllo.
Nell'operativita' corrente, i gestori assicurano: i) la tempestiva individuazione dei malfunzionamenti sulla base dello schema di classificazione di cui al comma precedente punto v), l'analisi delle loro cause e la loro rimozione; ii) la rilevazione della frequenza e delle caratteristiche degli eventi e l'aggiornamento costante dei relativi dati; iii) l'individuazione delle misure idonee a prevenire il verificarsi dei malfunzionamenti. Nei casi giudicati piu' gravi deve essere data tempestiva informazione alla direzione e alla funzione di controllo.
Il gestore trasmette annualmente alla Banca d'Italia una relazione sui malfunzionamenti verificatisi nell'anno precedente.
 
Art. 6
Esternalizzazione

I gestori valutano i profili di efficienza e di rischio connessi all'esternalizzazione di funzioni rilevanti per l'offerta del servizio.
Nel decidere il ricorso all'esternalizzazione, i gestori devono valutare i costi/benefici della scelta e stabilire i criteri da seguire per l'individuazione del fornitore. Inoltre, devono assicurarsi che il relativo contratto definisca: i) i diritti, gli obblighi e le responsabilita' delle parti coinvolte, anche nei confronti dei partecipanti al sistema; ii) la disciplina dei livelli di servizio e le penali per il caso di mancato rispetto; iii) le caratteristiche dei flussi informativi che il fornitore e' tenuto periodicamente a trasmettere al gestore; iv) le modalita' di accesso del gestore e della Banca d'Italia alle informazioni disponibili presso il fornitore; v) le misure alternative per minimizzare l'impatto in caso di fallimento del fornitore e quelle previste per la sua sostituzione o per la successiva reinternalizzazione delle attivita'.
I gestori devono verificare l'adempimento del contratto e monitorare l'operativita' del fornitore in modo da assicurare la qualita' dei servizi esternalizzati.
 
Art. 7
Rischio d'impresa

I gestori elaborano e approvano periodicamente un piano per la manutenzione e lo sviluppo del servizio - ivi compresi eventuali collegamenti con altri sistemi - tenendo conto delle caratteristiche e della situazione del mercato, delle esigenze dei partecipanti, delle opportunita' offerte dall'innovazione tecnologica.
I gestori mantengono un profilo economico-finanziario tale da consentire la continuita' nell'offerta del servizio e la sostenibilita' economica degli investimenti necessari per la manutenzione e lo sviluppo del servizio.
 
Art. 8
Rischio legale

I gestori assicurano che le regole, le procedure e i contratti relativi all'operativita' del sistema siano conformi alla legge applicabile e validi in tutte le giurisdizioni interessate.
I gestori devono: i) formulare le condizioni di offerta del servizio (ivi incluso piano tariffario e livelli minimi di servizio) in maniera chiara e trasparente; ii) descrivere nelle regole di funzionamento del sistema diritti ed obblighi propri, dei partecipanti e dei soggetti di cui essi si avvalgono per il funzionamento del sistema; iii) definire il momento d'ingresso dell'ordine di pagamento nel sistema e le condizioni per la sua revoca; iv) predispone idonei meccanismi per la tracciabilita' dell'ordine nelle diverse fasi del ciclo di trattamento.
Le regole di funzionamento del sistema devono disciplinare l'ipotesi di inadempimento di un partecipante prevedendo meccanismi idonei a ridurre possibili riflessi negativi sul sistema e sugli altri partecipanti, definendo le procedure da attivare, le strutture responsabili e le modalita' di coinvolgimento dei partecipanti.
I gestori possono trattare dati personali ove cio' sia necessario a prevenire, individuare e indagare casi di frode nei pagamenti. Il trattamento avviene in conformita' al decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
 
Art. 9
Rischio operativo

I gestori adottano un sistema di gestione del rischio operativo atto a prevenire: i) l'arresto dell'operativita'; ii) gli errori procedurali; iii) una riduzione della funzionalita' elaborativa; iv) la perdita di riservatezza e l'alterazione non autorizzata dei dati.
A tal fine, i gestori sono tenuti a individuare una politica di gestione del rischio operativo che stabilisca obiettivi in termini di: a) availability (tempo in cui il servizio e' attivo esclusi i fermi tecnici); b) reliability (numero massimo di interruzioni in un determinato periodo); c) recovery time (tempo massimo entro cui il servizio deve essere ripristinato dopo l'anomalia); d) recovery point (istante di consolidamento dei dati fino al quale e' garantita l'integrita' degli stessi).
I gestori stabiliscono altresi' meccanismi di governo tali da consentire l'identificazione e la valutazione del rischio e l'implementazione di strategie di risposta a incidenti specifici; i gestori devono valutare il sistema di gestione dei rischi con cadenza annuale attraverso esercizi di autovalutazione.
Il sistema di gestione del rischio operativo prevede anche misure tecnico-organizzative per la riduzione della probabilita' del verificarsi di un malfunzionamento e per il contenimento degli effetti del suo impatto. I gestori di sistemi, riconosciuti di importanza sistemica, sono tenuti a osservare le disposizioni specifiche in materia di continuita' operativa comunicate dalla Banca d'Italia.
 
Art. 10
Accesso

I gestori fissano requisiti di tipo operativo, finanziario e legale che i partecipanti devono soddisfare per garantire l'adempimento regolare e tempestivo degli obblighi dei partecipanti verso il sistema e verso gli altri partecipanti. Tali requisiti devono essere obiettivi, non discriminatori e proporzionati nonche' improntati alla piu' ampia apertura, fatte salve le limitazioni dovute alla necessita' di proteggere il sistema da rischi specifici, quali il rischio di regolamento, il rischio operativo e il rischio d'impresa e a tutelarne la stabilita' finanziaria e operativa.
Le norme che disciplinano l'accesso ai sistemi di pagamento al dettaglio non possono imporre nessuno dei seguenti requisiti ai prestatori di servizi di pagamento, agli utilizzatori di servizi di pagamento o ad altri sistemi di pagamento: i) restrizioni all'effettiva partecipazione ad altri sistemi di pagamento; ii) discriminazioni tra prestatori di servizi di pagamento autorizzati e registrati in relazione ai diritti, agli obblighi e alle prerogative dei partecipanti; iii) restrizioni in base allo status istituzionale.
I commi 1 e 2 non si applicano: i) ai sistemi di pagamento designati ai sensi del decreto legislativo 12 aprile 2001, n. 210; ii) ai sistemi di pagamento costituiti esclusivamente da prestatori di servizi di pagamento appartenenti a un gruppo composto da societa' aventi legami di capitale, ove una delle societa' collegate eserciti un controllo effettivo sulle altre; iii) ai sistemi di pagamento in cui uno stesso prestatore di servizi di pagamento: 1) agisce o puo' agire come prestatore di servizi di pagamento sia per il pagatore sia per il beneficiario e ha la responsabilita' esclusiva della gestione del sistema e 2) autorizza altri prestatori di servizi di pagamento a partecipare al sistema e questi ultimi non hanno la possibilita' di negoziare commissioni tra loro in relazione al sistema di pagamento, benche' possano stabilire le proprie tariffe nei confronti degli utilizzatori dei servizi di pagamento.
 
Art. 11
Collegamenti

I gestori possono stabilire collegamenti con altri sistemi per ampliare la gamma e la capillarita' dei servizi offerti. In questo caso, i gestori concordano con i sistemi collegati meccanismi formalizzati per lo scambio d'informazioni rilevanti e per l'assunzione di decisioni su aspetti d'interesse comune.
I gestori analizzano i rischi che derivano dal collegamento e, in particolare: a) se i sistemi collegati siano assoggettati a un regime di sorveglianza; b) se nei sistemi collegati esistano meccanismi per gestire i rischi derivanti dall'insolvenza di un partecipante; c) se le regole contrattuali disciplinanti il collegamento siano valide e applicabili nonche' compatibili con le regole generali di funzionamento del sistema. I gestori, diversi dalle banche centrali, assicurano che i fondi utilizzati per il regolamento dei pagamenti che transitano nei collegamenti siano separati dai fondi propri del gestore.
Il funzionamento del collegamento deve essere monitorato e gli incidenti devono essere identificati, gestiti e catalogati, assicurando la continuita' operativa del collegamento. Con riferimento alla gestione del rischio operativo, si applicano le disposizioni di cui all'art. 9 del presente provvedimento.
 
Art. 12
Obblighi informativi

I gestori trasmettono alla Banca d'Italia le seguenti informazioni, in occasione dell'inizio dell'operativita' e successivamente nei termini prescritti:
a) statuto, atto costitutivo e regolamenti interni attinenti le materie di cui al Titolo II Capo II del presente provvedimento;
b) organigramma, funzionigramma ed eventuali comitati di gestione che trattano questioni relative all'offerta di servizi di pagamento;
c) la documentazione relativa al bilancio di esercizio;
d) piano strategico e operativo;
e) delibera istitutiva dei comitati di cui all'art. 4 comma secondo, se previsti;
f) resoconto delle verifiche di cui all'articolo 5 comma primo, punto iii);
g) piano annuale dei controlli previsto dall'articolo 5 comma primo, punto iv);
h) schema di classificazione dei malfunzionamenti di cui all'articolo 5 comma primo, punto v);
i) relazione sui malfunzionamenti di cui all'articolo 5 comma 2;
j) contratto di esternalizzazione di cui all'articolo 6;
k) studi di fattibilita' dei nuovi progetti per lo sviluppo dell'attivita', ivi compresi i collegamenti;
l) regole di funzionamento del sistema;
m) requisiti tecnici-operativi per l'immissione delle informazioni di pagamento nel sistema;
n) contrattualistica relativa ai partecipanti;
o) piano tariffario;
p) livelli minimi di servizio (SLA);
q) elenco dei partecipanti raggiungibili;
r) documentazione relativa alla gestione del rischio operativo di cui all'articolo 9;
s) criteri di accesso ed esclusione;
t) contrattualistica relativa ai sistemi collegati.
I gestori sono inoltre tenuti a trasmettere report periodici sui malfunzionamenti e dati statistici sull'operativita' del sistema, con le caratteristiche e la frequenza fissata dalla Banca d'Italia.
 
Art. 13
Modalita' di comunicazione

La documentazione deve essere trasmessa all'indirizzo di posta elettronica certificata smp@pec.bancaditalia.it. Dopo il primo invio, i gestori aggiornano i documenti ogni qual volta intervengano modifiche rilevanti e, comunque, con cadenza annuale.
L'obbligo si intende assolto qualora i documenti e le informazioni siano gia' trasmesse alla Banca d'Italia nell'adempimento di obblighi informativi previsti dal TUB.
 
Art. 14
Regime giuridico

Ai fini del presente provvedimento, ai sistemi di pagamento al dettaglio gestiti direttamente dalla Banca d'Italia, in regime di servizio pubblico e senza fine di lucro, non si applicano, l'articolo 5 (efficacia dei controlli) primo comma e l'articolo 10 (accesso), nonche' l'articolo 12 (obblighi informativi), l'articolo 13 (modalita' di comunicazione) e l'articolo 16 (sanzioni). L'articolo 4 (assetto organizzativo) e l'articolo 7 (rischio d'impresa) si applicano in quanto compatibili.
Gli obblighi informativi facenti capo alla Banca d'Italia come gestore sono assolti attraverso l'attivazione di canali informativi interni. I documenti e le informazioni da fornire sono i seguenti:
a) relazione sui malfunzionamenti di cui all'articolo 5 secondo comma;
b) contratto di esternalizzazione di cui all'articolo 6;
c) contrattualistica relativa ai partecipanti;
d) regole di funzionamento del sistema;
e) requisiti tecnici-operativi per l'immissione delle informazioni di pagamento nel sistema;
f) piano tariffario;
g) livelli minimi di servizio (SLA);
h) elenco dei partecipanti raggiungibili;
i) documentazione relativa alla gestione del rischio operativo di cui all'articolo 9;
j) contrattualistica relativa ai sistemi collegati;
k) eventuali progetti di manutenzione, sviluppo e ampliamento dell'offerta dei servizi;
l) report periodici sui malfunzionamenti e dati statistici sull'operativita' del sistema.
 
Art. 15
Recupero dei costi

Ai sistemi di pagamento al dettaglio gestiti dalla Banca d'Italia si applica il principio del recupero dei costi.
 
Art. 16
Sanzioni

Per la violazione delle norme contenute nel Titolo II del presente provvedimento sono applicate le sanzioni amministrative e pecuniarie previste dall'art. 144, primo comma del TUB.
 
Art. 17
Abrogazione

Dalla data di entrata in vigore del presente provvedimento e' abrogato il provvedimento del Governatore della Banca d'Italia dell' 1l novembre 2005, recante disposizioni in materia di vigilanza sui sistemi di pagamento di importo non rilevante.
 
Art. 18
Entrata in vigore

Il presente provvedimento sara' pubblicato nella Gazzetta Ufficiale della Repubblica italiana ed entra in vigore il quindicesimo giorno successivo a quello di pubblicazione.
Roma, 18 settembre 2012

Il Governatore: Visco
 
Gazzetta Ufficiale Serie Generale per iPhone