Banca d'Italia: "Disposizioni in materia di sorveglianza sui sistemi di pagamento al dettaglio" (6 ottobre 2012)

Il 6 ottobre 2012 Banca d'Italia ha pubblicato i seguenti documenti in relazione al provvedimento attuativo dell'art. 146 del Testo Unico Bancario, recante disposizioni in materia di sorveglianza sui sistemi di pagamento al dettaglio:

  1. Provvedimento del Direttorio della Banca d'Italia del 18 settembre 2012 (pdf, 166 K, 14 pp.)
  2. Prospetto riassuntivo dei commenti alla consultazione pubblica e relative risposte dell'Istituto (pdf, 141 K, 12 pp.)
  3. Guida operativa dei controlli di sorveglianza previsti dal Provvedimento del Direttorio della Banca d'Italia del 18 settembre 2012 (pdf, 166 K, 14 pp.).

Le disposizioni, recita Bankitalia, sono volte a favorire l'affidabilità ed efficienza dell'offerta di servizi di pagamento al dettaglio in Italia. Esse si applicano ai prestatori dei servizi di pagamento e ai gestori di sistemi di pagamento al dettaglio che abbiano sede legale e/o operativa in Italia.
I "prestatori di servizi di pagamento" sono: istituti di moneta elettronica e istituti di pagamento, nonché, quando prestano servizi di pagamento, banche, Poste Italiane s.p.a., la Banca centrale europea e le Banche centrali nazionali se non agiscono in veste di autorità monetarie, altre autorità pubbliche, le pubbliche amministrazioni statali, regionali e locali se non agiscono in veste di autorità pubbliche.
L'elenco dei gestori di sistemi di pagamento al dettaglio con sede legale e/o operativa in Italia è riportato a pag. 5 della "Guida operativa dei controlli di sorveglianza previsti dal Provvedimento
del Direttorio della Banca d'Italia del 18 settembre 2012" (pdf, 166 K, 14 pp.):

  • Gestori di sistemi di scambio e/o compensazione
    • CABI, gestito dal Servizio Sistemi di pagamento della Banca d'Italia
    • Equens SpA, con sede legale in Milano
    • ICBPI, con sede legale in Milano
    • ICCREA Banca, con sede legale in Roma
    • SIA SpA, con sede legale in Milano
  • Gestori di sistemi di compensazione e di regolamento
    • BICOMP, gestito dal Servizio Sistemi di pagamento della Banca d'Italia

Le disposizioni prevedono nuovi obblighi di informazione e rendicontazione nei confronti di Bankit compresa la trasmissione periodica di una relazione sui malfunzionamenti verificatisi nell'anno precedente.
Banca d'Italia definisce affidabilità, efficienza e malfunzionamento come segue:

  • "affidabilità": contenimento dei rischi che possono compromettere o influenzare negativamente il corretto e continuo funzionamento dei sistemi di pagamento, ripercuotendosi così sulla fiducia del pubblico negli strumenti di pagamento;
  • "efficienza": proprietà dei sistemi che offrono servizi rapidi, economici e pratici per gli utilizzatori, nonché vantaggiosi per i mercati finanziari e per l'economia;
  • "malfunzionamento": l'arresto dell'operatività del sistema, gli errori procedurali, il peggioramento dei tempi di elaborazione delle operazioni di pagamento, la perdita di riservatezza e l'alterazione non autorizzata dei dati trattati.

Nel seguito gli articoli 4 - Assetto organizzativo, 5 - Efficacia dei controlli, 9 - Rischio operativo, 12 - Obblighi informativi e 18 - Entrata in vigore.

Articolo 4 - Assetto organizzativo

I gestori di sistemi di pagamento al dettaglio definiscono il modello organizzativo sulla base del grado di complessità operativa del sistema. Essi devono assicurare: i) la chiara e univoca definizione delle competenze di ciascuna struttura interna, al fine di garantire il coordinamento delle
funzioni e ridurre i casi di sovrapposizione di ruoli e di conflitti di attribuzione; ii) l'esatta individuazione delle responsabilità decisionali per i principali atti della gestione, attraverso idonee
evidenze documentali; iii) la definizione di meccanismi atti a verificare e misurare le prestazioni delle strutture operative.

Articolo 5 - Efficacia dei controlli

I gestori adottano un'architettura dei controlli adeguata ai rischi d'impresa, legali, operativi e a tutti gli altri rischi che possono compromettere l'affidabilità del sistema.
In particolare:
i) assicurano la conformità dei servizi offerti alle normative vigenti, nonché alle strategie, ai regolamenti e alle procedure interne;
ii) definiscono le caratteristiche e la tempistica della reportistica della funzione di controllo agli organi decisionali;
iii) verificano – almeno annualmente – la complessiva funzionalità del sistema dei controlli interni; iv) definiscono su base annua un piano dei controlli sui rischi connessi all'attività svolta e un ordine di priorità degli interventi;
v) definiscono uno schema di classificazione dei malfunzionamenti e le caratteristiche e la tempistica della reportistica della struttura operativa agli organi di Direzione e alla funzione di controllo.
Nell'operatività corrente, i gestori assicurano:
i) la tempestiva individuazione dei malfunzionamenti sulla base dello schema di classificazione di cui al comma precedente punto v), l'analisi delle loro cause e la loro rimozione;
ii) la rilevazione della frequenza e delle caratteristiche degli eventi e l'aggiornamento costante dei relativi dati;
iii) l'individuazione delle misure idonee a prevenire il verificarsi dei malfunzionamenti.
Nei casi giudicati più gravi deve essere data tempestiva informazione alla direzione e alla funzione di controllo. Il gestore trasmette annualmente alla Banca d'Italia una relazione sui malfunzionamenti verificatisi nell'anno precedente.

Articolo 9 (Rischio operativo)

I gestori adottano un sistema di gestione del rischio operativo atto a prevenire:
i) l'arresto dell'operatività;
ii) gli errori procedurali;
iii) una riduzione della funzionalità elaborativa;
iv) la perdita di riservatezza e l'alterazione non autorizzata dei dati.
A tal fine, i gestori sono tenuti a individuare una politica di gestione del rischio operativo che stabilisca obiettivi in termini di:
a) availability (tempo in cui il servizio è attivo esclusi i fermi tecnici);
b) reliability (numero massimo di interruzioni in un determinato periodo);
c) recovery time (tempo massimo entro cui il servizio deve essere ripristinato dopo l'anomalia);
d) recovery point (istante di consolidamento dei dati fino al quale è garantita l'integrità degli stessi). I gestori stabiliscono altresì meccanismi di governo tali da consentire l'identificazione e la valutazione del rischio e l'implementazione di strategie di risposta a incidenti specifici; i gestori devono valutare il sistema di gestione dei rischi con cadenza annuale attraverso esercizi di autovalutazione.
Il sistema di gestione del rischio operativo prevede anche misure tecnico-organizzative per la riduzione della probabilità del verificarsi di un malfunzionamento e per il contenimento degli effetti
del suo impatto. I gestori di sistemi, riconosciuti di importanza sistemica, sono tenuti a osservare le
disposizioni specifiche in materia di continuità operativa comunicate dalla Banca d'Italia.

Articolo 12 - Obblighi informativi

I gestori trasmettono alla Banca d'Italia le seguenti informazioni, in occasione dell'inizio dell'operatività e successivamente nei termini prescritti:
a) statuto, atto costitutivo e regolamenti interni attinenti le materie di cui al Titolo II Capo II del presente provvedimento;
b) organigramma, funzionigramma ed eventuali comitati di gestione che trattano questioni relative all'offerta di servizi di pagamento;
c) la documentazione relativa al bilancio di esercizio;
d) piano strategico e operativo;
e) delibera istitutiva dei comitati di cui all'art. 4 comma secondo, se previsti;
f) resoconto delle verifiche di cui all'articolo 5 comma primo, punto iii);
g) piano annuale dei controlli previsto dall'articolo 5 comma primo, punto iv);
h) schema di classificazione dei malfunzionamenti di cui all'articolo 5 comma primo, punto v); i) relazione sui malfunzionamenti di cui all'articolo 5 comma 2; j) contratto di esternalizzazione di cui all'articolo 6;
k) studi di fattibilità dei nuovi progetti per lo sviluppo dell'attività, ivi compresi i collegamenti;
l) regole di funzionamento del sistema;
m) requisiti tecnici-operativi per l'immissione delle informazioni di pagamento nel sistema;
n) contrattualistica relativa ai partecipanti;
o) piano tariffario;
p) livelli minimi di servizio (SLA);
q) elenco dei partecipanti raggiungibili;
r) documentazione relativa alla gestione del rischio operativo di cui all'articolo 9;
s) criteri di accesso ed esclusione;
t) contrattualistica relativa ai sistemi collegati.
I gestori sono inoltre tenuti a trasmettere report periodici sui malfunzionamenti e dati statistici sull'operatività del sistema, con le caratteristiche e la frequenza fissata dalla Banca d'Italia.

Articolo 18 (Entrata in vigore)

Il presente provvedimento sarà pubblicato sulla Gazzetta Ufficiale della Repubblica italiana ed entra in vigore il quindicesimo giorno successivo a quello di pubblicazione.

ComplianceNet: