DISPOSIZIONI DI VIGILANZA PER GLI ISTITUTI DI PAGAMENTO 2019

 

 

 

 

PROVVEDIMENTO DELLA BANCA D’ITALIA DEL 23 luglio 2019 - Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica. Il presente provvedimento che modifica le “Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica” del17 maggio 2016 per attuare la direttiva 2015/2366/UE (PSD2) e le relative disposizioni attuative, nonché coordina le nuove previsioni con la normativa vigente.

CAPITOLO VI
ORGANIZZAZIONE AMMINISTRATIVA E CONTABILE
E CONTROLLI INTERNI

SEZIONE I
PRINCIPI GENERALI

1. Premessa

Il presente Capitolo attua quanto previsto dagli articoli 114-quaterdecies, comma 2, e 114-quinquies.2, comma 2, TUB, in base ai quali la Banca d’Italia detta disposizioni di carattere generale aventi ad oggetto il governo societario, l’organizzazione amministrativa e contabile e i controlli interni degli istituti.

Gli istituti applicano le disposizioni del presente Capitolo in maniera proporzionata alla dimensione e alla complessità dell’attività svolta nonché alla tipologia e alla gamma dei servizi prestati.

2. Requisiti generali di organizzazione

La gestione aziendale sana e prudente, l’affidabilità e l’efficienza dei servizi di pagamento prestati e dell’attività di emissione di moneta elettronica dipendono anche da un assetto organizzativo adeguato alla dimensione, alla complessità e alla vocazione operativa dell’istituto. In tal senso, gli istituti definiscono e applicano:

a) dispositivi di governo societario solidi, che comprendono processi decisionali e una struttura organizzativa che specifichino in forma chiara e documentata i rapporti gerarchici e la suddivisione delle funzioni;
b) politiche di governo e procedure per la gestione e il controllo di tutti i rischi aziendali e un efficace sistema dei controlli interni;
c) misure che assicurino che il personale e gli agenti dell’istituto o i soggetti convenzionati dall’istituto di moneta elettronica conoscano le procedure da seguire per il corretto esercizio delle proprie funzioni;
d) politiche e procedure volte ad assicurare che il personale, gli agenti e i soggetti convenzionati siano provvisti delle qualifiche, delle conoscenze e delle competenze necessarie per l’esercizio delle responsabilità loro attribuite;
e) efficaci flussi interni di comunicazione delle informazioni;
f) sistemi e procedure diretti a conservare registrazioni adeguate e ordinate dei fatti digestione dell’istituto e della sua organizzazione interna;
g) criteri e procedure volti a garantire che l’affidamento al personale, agli agenti o ai soggetti convenzionati di funzioni multiple non sia tale da impedire all’istituto di svolgere in modo adeguato e professionale una qualsiasi di tali funzioni;
h) politiche di governo e procedure per la gestione della sicurezza relativa alla prestazione dei servizi di pagamento e di emissione della moneta elettronica, inclusa la gestione degli incidenti relativi alla sicurezza e dei reclami dei clienti in materia (1);
i) procedure e sistemi idonei a: (1) tutelare la sicurezza, l’integrità e la riservatezza delle informazioni, tenendo conto della natura delle informazioni medesime; (2) archiviare e gestire i dati sensibili relativi ai pagamenti, con gli opportuni limiti di accesso; e (3) acquisire dati statistici relativi ai risultati della gestione, alle operazioni di pagamento effettuate e alle frodi (2);
j) politiche, sistemi, risorse e procedure per la continuità e la regolarità dei servizi, volte a:

- assicurare la capacità di operare su base continuativa;
- limitare le perdite in caso di gravi interruzioni dell’operatività;
- preservare i dati e le funzioni essenziali;
- garantire la continuità dei servizi in caso di interruzione dei sistemi e delle procedure. Qualora ciò non sia possibile, permettere di recuperare tempestivamente i dati e le funzioni e di riprendere tempestivamente i servizi;
- assicurare la regolare esecuzione delle operazioni di pagamento in corso e la chiusura dei contratti in essere in caso di cessazione dell’operatività;

k) politiche e procedure contabili che consentano di fornire tempestivamente alle autorità di vigilanza documenti che presentino un quadro fedele della posizione finanziaria ed economica e che siano conformi a tutti i principi e a tutte le norme anche contabili applicabili.

 

(1) Gli istituti applicano gli“Orientamenti finali in materia di segnalazione dei gravi incidenti ai sensi della direttiva 2015/2366/UE(PSD2), emanati dall'EBA il 19 dicembre 2017” e gli “Orientamenti finali sulle misure di sicurezza per i rischi operativi e di sicurezza dei servizi di pagamento ai sensi della direttiva 2015/2366/UE(PSD2), emanati dall’EBA il 12 gennaio 2018”.
(2) Non sono tenuti all’adozione di sistemi e procedure finalizzati alla registrazione e conservazione dei dati statistici relativi alle frodi, gli istituti che svolgono in via esclusiva il servizio di informazione sui conti.
 

 

 

 

 

 

 

Gli istituti controllano e valutano con regolarità l’adeguatezza, l’efficacia e l’applicazione di tali requisiti organizzativi e adottano le misure adeguate per rimediare a eventuali carenze.

L’organo con funzione di controllo informa tempestivamente la Banca d’Italia di tutti gli atti o fatti, di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una irregolarità nella gestione o una violazione delle norme che disciplinano l’attività dell’istituto.

Negli allegati A e C si definiscono i requisiti, di carattere minimo, a cui il sistema di governo, dei controlli interni e i sistemi informativi si devono uniformare.

Le presenti disposizioni formano parte integrante del complesso di norme concernenti gli assetti organizzativi, governo e di controllo degli intermediari, quali i controlli sugli assetti proprietari, i requisiti degli esponenti aziendali, gli obblighi di trasparenza e correttezza delle relazioni tra intermediari e clienti, la prevenzione dei fenomeni di usura, riciclaggio e del finanziamento al terrorismo.

 

 

SEZIONE II
ESTERNALIZZAZIONE DIFUNZIONI OPERATIVE E ACCORDI PER LA
DISTRIBUZIONE E IL RIMBORSO DELLA MONETA ELETTRONICA

1. Esternalizzazione di funzioni operative

L’istituto che intende esternalizzare funzioni operative relative ai servizi di pagamento o all’emissione di moneta elettronica nonché al sistema dei controlli interni o esternalizzare il sistema informativo o componenti critiche dello stesso ne informa preventivamente la Banca d’Italia, almeno 60 giorni prima di dare corso all’esternalizzazione. Entro 60 giorni dal ricevimento della comunicazione la Banca d’Italia può avviare un procedimento d’ufficio di divieto dell’esternalizzazione che si conclude entro 60 giorni.

L’esternalizzazione di funzioni operative importanti non può mettere materialmente a repentaglio la qualità del controllo interno dell’istituto né impedire alla Banca d’Italia di controllare che gli istituti si conformino alle disposizioni loro applicabili (nell’allegato B sono riportati gli obblighi a carico dell’istituto in caso di esternalizzazione di tali funzioni).

Gli istituti comunicano senza ritardo alla Banca d’Italia eventuali modifiche di rilievo delle informazioni relative ad accordi di esternalizzazione precedentemente comunicate.

1.1. Esternalizzazione di funzioni operative in altri Stati membri dell’Unione europea

L’istituto che intende esternalizzare funzioni operative relative ai servizi di pagamento o all’emissione di moneta elettronica ad un fornitore di servizi avente sede in uno Stato membro dell’Unione europea ospitante ne informa preventivamente la Banca d’Italia, almeno 30 giorni prima di dare corso all’esternalizzazione. Si applica quanto previsto nell’allegato B.

La Banca d’Italia, entro un 30 giorni dalla ricezione della comunicazione, completa di tutti gli elementi necessari, notifica le informazioni ricevute all’autorità competente dello Stato ospitante.

La Banca d’Italia dà comunicazione all’istituto interessato dell’avvenuta notifica all’autorità competente dello Stato ospitante.

Gli istituti comunicano senza ritardo alla Banca d’Italia eventuali modifiche di rilievo delle informazioni relative ad accordi di esternalizzazione precedentemente comunicate.

2. Accordi per la distribuzione e il rimborso della moneta elettronica

L’istituto di moneta elettronica che intende avvalersi di soggetti convenzionati per la distribuzione e il rimborso della moneta elettronica trasmette alla Banca d’Italia uno schema generale di accordo –redatto secondo le indicazioni contenute nell’allegato B almeno 60 giorni prima di procedere alla prima stipula. I singoli accordi di convenzionamento redatti secondo lo schema non sono oggetto di comunicazione specifica alla Banca d’Italia. Gli istituti di moneta elettronica conservano la relativa documentazione e tengono apposite evidenze aggiornate di tutti i soggetti convenzionati di cui si avvalgono a disposizione della Banca d’Italia.

Gli istituti di moneta elettronica comunicano alla Banca d’Italia eventuali variazioni significative apportate allo schema contrattuale di convenzionamento almeno 60 giorni prima della loro adozione.

Entro 60 giorni dal ricevimento della comunicazione la Banca d’Italia può avviare un procedimento d’ufficio di divieto che si conclude entro 60 giorni.

 

SEZIONE III
RELAZIONE SULLA STRUTTURA ORGANIZZATIVA E DOCUMENTO
DESCRITTIVO DEI SERVIZI DI PAGAMENTO, DELLA MONETA
ELETTRONICA E DELLE RELATIVE CARATTERISTICHE

L’istituto invia alla Banca d’Italia entro il 30 aprile di ogni anno una relazione sulla struttura organizzativa redatta secondo lo schema indicato nell’allegato D e un documento descrittivo dei servizi di pagamento e/o dell’attività di emissione di moneta elettronica e delle relative caratteristiche, redatto secondo lo schema indicato nell’allegato E.

Il contenuto delle informazioni contenute nei documenti redatti secondo l’allegato E deve essere coerente con le disposizioni europee in materia direttamente applicabili, nonché con quelle emanate dalla Banca d’Italia ai sensi dell’art. 146 del TUB, al fine di assicurare l’affidabilità e l’efficienza dei servizi di pagamento offerti e della moneta elettronica emessa.

La relazione e/o i documenti descrittivi non sono dovuti qualora non siano intervenute variazioni rispetto alle informazioni comunicate con l’ultima relazione e/o documenti descrittivi trasmessi.

 

 

SEZIONE IV
PROCEDIMENTI AMMINISTRATIVI

Si indicano di seguito, a soli fini riepilogativi, i procedimenti amministrativi, e le corrispondenti unità organizzative responsabili, rilevanti ai sensi del presente Capitolo:

- divieto di esternalizzazione di funzioni operative relative ai servizi di pagamento o all’emissione di moneta elettronica nonché al sistema dei controlli interni o del sistema informativo o componenti critiche dello stesso, ai sensi dell’articolo 114-quinquies.2, comma 3, lett. d) o dell’articolo 114-quaterdecies, comma 3, lett. d) del TUB (Servizio Supervisione bancaria 1, Servizio Supervisione bancaria 2, Servizio Supervisione intermediari finanziari o Filiale territorialmente competente, individuati in base ai criteri stabiliti dall’art. 9 del Regolamento della Banca d'Italia del 25 giugno 2008, recante l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi);

- esenzione dall’obbligo di predisporre l’interfaccia di fall-back prevista dall’art. 33, par. 4 del Regolamento delegato 2018/389 della Commissione Europea del 27 novembre 2017, ai sensi dell’art. 33, par. 6 del Regolamento delegato 2018/389 (Servizio Rapporti Istituzionali di Vigilanza);

- revoca dell’esenzione dall’obbligo di predisporre l’interfaccia di fall-back prevista dall’art. 33, par. 4 del Regolamento delegato 2018/389 della Commissione Europea del 27 novembre 2017, ai sensi dell’art. 33, par. 7 del Regolamento delegato 2018/389 (Servizio Rapporti Istituzionali di Vigilanza).

 

A L L E G A T I
ALLEGATO A
Ruolo degli organi aziendali e sistema dei controlli interni
1. RUOLO DEGLI ORGANI AZIENDALI
2. SISTEMA DEI CONTROLLIINTERNI
ALLEGATO B
Obblighi a carico degli istituti nel caso di esternalizzazione di funzioni operative relative ai servizi di pagamento, all’emissione di moneta elettronica o importanti.
ALLEGATO C
Sistemi informativi e rischio di sicurezza
ALLEGATO D
Schema della relazione sulla struttura organizzativa
ALLEGATO E
Descrizione dei servizi di pagamento, dell’attività di emissione della moneta elettronica e delle relative caratteristiche
 
NAVIGAZIONE CON GLI ALTRI CAPITOLI
CAP I CAP II CAP III CAP IV CAP V CAP VI CAP VII CAP VIII CAP IX CAP X CAP XI CAP XII CAP XIII
 
© 2009 2019 www.servizidipagamento.eu - All Rights Reserved - Stuttura operativa della DLVA FIDES CONSULTING SRL |

CAPITOLO VI - ORGANIZZAZIONE AMMINISTRATIVA E CONTABILE E CONTROLLI INTERNI