EBA
European Banking Authority
Orientamenti
in materia di segnalazione dei gravi incidenti ai sensi della direttiva (UE) 2015/2366 (PSD2)
EBA/GL/2017/10 DEL
19 dicembre 2017
1. Conformità e obblighi di comunicazione
2.Oggetto, ambito di applicazione e definizioni
3. Attuazione
4. Orientamenti per i prestatori di servizi di pagamento in materia di segnalazione
dei gravi incidenti operativi o di sicurezza all’autorità competente del rispettivo Stato membro di origine
Orientamento 1: classificazione in quanto incidente grave
Orientamento 2: procedura di segnalazione
Orientamento 3: segnalazione delegata e consolidata
Orientamento 4: politica operativa e di sicurezza
5. Orientamenti rivolti alle autorità competenti in merito ai criteri per valutare la rilevanza dell’incidente
e i dettagli dei rapporti sugli incidenti da condividere con altre autorità nazionali
Orientamento 5: valutazione della rilevanza dell’incidente
Orientamento 6: informazioni da condividere
6. Orientamenti rivolti alle autorità competenti sui criteri per valutare i dettagli rilevanti dei rapporti
sugli incidenti da condividere con l’ABE e la BCE e sul formato e le procedure per la loro comunicazione
Orientamento 7: informazioni da condividere
Orientamento 8: comunicazione
Allegato 1 – Modulo di segnalazione per i prestatori di servizi di pagamento
1. Conformità e obblighi di comunicazione
Status giuridico degli orientamenti
1. Il presente documento contiene orientamenti emanati in applicazione dell’articolo 16 del regolamento (UE) n. 1093/2010 (1). Conformemente all’articolo 16, paragrafo 3, del regolamento (UE) n. 1093/2010, le autorità competenti e gli enti finanziari compiono ogni sforzo per conformarsi agli orientamenti.
2. Gli orientamenti presentano la posizione dell’ABE in merito alle prassi di vigilanza adeguate all’interno del Sistema europeo di vigilanza finanziaria o alle modalità di applicazione del diritto dell’Unione in un particolare settore. Ai sensi dell’articolo 4, paragrafo 2, del regolamento (UE) n. 1093/2010, le autorità competenti sono tenute a conformarsi a detti orientamenti integrandoli opportunamente nelle rispettive prassi di vigilanza (per esempio modificando il proprio quadro giuridico o le proprie procedure di vigilanza), anche quando gli orientamenti sono diretti principalmente agli enti.
Obblighi di comunicazione
3. Ai sensi dell’articolo 16, paragrafo 3, del regolamento (UE) n. 1093/2010, le autorità competenti devono comunicare all’ABE entro 19/02/2018 se sono conformi o se intendono conformarsi agli orientamenti in questione; in alternativa sono tenute a indicare le ragioni della mancata conformità. Qualora entro il termine indicato non sia pervenuta alcuna comunicazione da parte delle autorità competenti, queste sono ritenute dall’ABE non conformi. Le notifiche dovrebbero essere inviate trasmettendo il modulo disponibile sul sito web dell’ABE all’indirizzo compliance@eba.europa.eu con il riferimento “EBA/GL/2017/10” da persone debitamente autorizzate a segnalare la conformità per conto delle rispettive autorità competenti. Ogni eventuale variazione dello status di conformità deve essere altresì comunicata all’ABE.
4. Le comunicazioni sono pubblicate sul sito web dell’ABE ai sensi dell’articolo 16, paragrafo 3.
( 1) Regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, che istituisce l’Autorità europea di vigilanza (Autorità bancaria europea), modifica la decisione 716/2009/CE e abroga la decisione 2009/78/CE della Commissione (GU L 331 del 15.12.2010, pag. 12). |
|
2.Oggetto, ambito di applicazione e definizioni
Oggetto
5. I presenti orientamenti sono stati redatti in virtù del mandato conferito all’ABE ai sensi dell’articolo 96, paragrafo 3, della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE (PSD2).
6. In particolare, i presenti orientamenti specificano i criteri per la classificazione dei gravi incidenti operativi o di sicurezza gravi riscontrati dai prestatori di servizi di pagamento, nonché il formato e le procedure da seguire per comunicare tali incidenti all’autorità competente dello Stato membro di origine, ai sensi dall’articolo 96, paragrafo 1, della suddetta direttiva.
7. Inoltre, i presenti orientamenti indicano il modo in cui tali autorità competenti dovrebbero valutare la rilevanza dell’incidente e i dettagli delle segnalazioni di incidente che, ai sensi dell’articolo 96, paragrafo 2, di detta direttiva, sono tenute a condividere con altre autorità nazionali.
8. I presenti orientamenti riguardano anche la condivisione con l’ABE e la BCE dei dettagli pertinenti degli incidenti segnalati, al fine di promuovere un approccio comune e coerente.
Ambito d’applicazione
9. I presenti orientamenti si applicano alla classificazione e alla segnalazione dei gravi incidenti operativi o di sicurezza, ai sensi dell’articolo 96 della direttiva (UE) 2015/2366.
10. I presenti orientamenti si applicano a tutti gli incidenti che rientrano nella definizione di «grave incidente operativo o di sicurezza», che comprende eventi sia esterni sia interni, dolosi o accidentali.
11. I presenti orientamenti si applicano anche se il grave incidente operativo o di sicurezza ha origine al di fuori dell’Unione (ad esempio, quando un incidente ha origine presso la società capogruppo o una succursale costituita al di fuori dell’Unione) e riguarda i servizi di pagamento forniti da un prestatore di servizi di pagamento con sede nell’Unione direttamente (un servizio connesso ai pagamenti è effettuato dalla società colpita costituita al di fuori dell’Unione) o indirettamente (la capacità del prestatore di servizi di pagamento di continuare a svolgere l’attività di pagamento viene compromessa in qualche altro modo a causa dell’incidente).
Destinatari
12. La prima parte degli orientamenti (sezione 4) è rivolta ai prestatori di servizi di pagamento ai sensi dell’articolo 4, paragrafo 11, della direttiva (UE) 2015/2366 e di cui all’articolo 4, paragrafo 1, del regolamento (UE) n. 1093/2010.
13. La seconda e la terza parte degli orientamenti (sezioni 5 e 6) si rivolgono alle autorità competenti di cui all’articolo 4, paragrafo 2, lettera i), del regolamento (UE) n. 1093/2010.
Definizioni
14. Se non diversamente specificato, i termini utilizzati e definiti nella direttiva (UE) 2015/2366 sono utilizzati con lo stesso significato nei presenti orientamenti. In aggiunta, ai fini dei presenti orientamenti, si applicano le seguenti definizioni.
Incidente operativo o di sicurezza |
Singolo evento o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti. |
Integrità |
Proprietà della salvaguardia dell’esattezza e completezza delle risorse (inclusi i dati). |
Disponibilità |
Proprietà dei servizi connessi ai pagamenti di essere accessibili e utilizzabili da parte degli utenti dei servizi di pagamento. |
Riservatezza |
Proprietà per cui le informazioni non sono rese disponibili o divulgate a persone, entità o procedure non autorizzate. |
Autenticità |
Proprietà di una fonte di essere quella che dichiara di essere. |
Continuità |
Proprietà delle procedure, attività e risorse di un’organizzazione funzionali all’erogazione dei servizi connessi ai pagamenti di essere pienamente fruibili e operative a livelli di servizio accettabili e predefiniti. |
Servizi connessi ai pagamenti |
Attività commerciali definite nell’articolo 4, paragrafo 3, della PSD2 e tutte le attività di supporto tecnico necessarie per la corretta fornitura dei servizi di pagamento. |
3. Attuazione
Data di applicazione
15. I presenti orientamenti si applicano a partire dal 13 gennaio 2018.
4. Orientamenti per i prestatori di servizi di pagamento in materia di segnalazione
dei gravi incidenti operativi o di sicurezza all’autorità competente del rispettivo Stato membro di origine
Orientamento 1: classificazione in quanto incidente grave
1.1. I prestatori di servizi di pagamento dovrebbero classificare come gravi gli incidenti operativi o di sicurezza che soddisfano
a. uno o più criteri al «livello di impatto maggiore», o
b. tre o più criteri al «livello di impatto minore» come indicato al punto 1.4 degli orientamenti e seguendo la valutazione indicata nei presenti orientamenti.
1.2. I prestatori di servizi di pagamento dovrebbero basare la propria valutazione di un incidente operativo o di sicurezza sui seguenti criteri e sui rispettivi indicatori sottostanti.
i. Transazioni interessate
I prestatori di servizi di pagamento dovrebbero determinare il valore totale delle transazioni interessate e il numero dei pagamenti compromessi come percentuale del livello normale delle transazioni di pagamento effettuate mediante i servizi di pagamento interessati.
ii. Utenti del servizio di pagamento interessati
I prestatori di servizi di pagamento dovrebbero determinare il numero di utenti del servizio di pagamento interessati, sia in termini assoluti sia in percentuale del numero totale di utenti del servizio di pagamento.
iii. Periodo di indisponibilità del servizio
I prestatori di servizi di pagamento dovrebbero determinare il periodo di tempo in cui il servizio probabilmente non sarà disponibile all’utente del servizio di pagamento o in cui l’ordine di pagamento, inteso ai sensi dell’articolo 4, paragrafo 13, della PSD2, non potrà essere eseguito dal prestatore di servizi di pagamento.
iv. Impatto economico
I prestatori di servizi di pagamento dovrebbero determinare in modo olistico i costi monetari associati all’incidente e tenere conto sia della cifra assoluta sia, se applicabile, dell’importanza relativa di tali costi in relazione alla dimensione del prestatore di servizi di pagamento (ossia al capitale di tipo Tier 1 del prestatore di servizi di pagamento).
v. Alto livello di escalation interna
I prestatori di servizi di pagamento dovrebbero determinare se l’incidente è stato o sarà probabilmente segnalato ai rispettivi dirigenti esecutivi.
vi. Altri prestatori di servizi di pagamento o infrastrutture connesse potenzialmente coinvolti
I prestatori di servizi di pagamento dovrebbero determinare le implicazioni sistemiche che l’incidente probabilmente avrà, ossia il suo potenziale di estendersi oltre il prestatore di servizi di pagamento inizialmente interessato ad altri prestatori di servizi di pagamento, infrastrutture dei mercati finanziari e/o a schemi di carte di pagamento.
vii. Impatto sulla reputazione
I prestatori di servizi di pagamento dovrebbero determinare in che modo l’incidente possa minare la fiducia degli utenti nei confronti del prestatore di servizi di pagamento stesso e, più in generale, nei confronti dei servizi coinvolti o del mercato nel suo complesso.
1.3. I prestatori di servizi di pagamento dovrebbero calcolare il valore degli indicatori in base alla seguente metodologia.
i. Transazioni interessate Come regola generale, i prestatori di servizi di pagamento dovrebbero considerare come «transazioni interessate» tutte le transazioni nazionali e transfrontaliere che sono state o probabilmente saranno interessate, direttamente o indirettamente, dall’incidente e, in particolare, quelle transazioni che potrebbero non essere iniziate o elaborate, quelle per le quali il contenuto del messaggio di pagamento è stato alterato e quelle ordinate in modo fraudolento (a prescindere dal fatto che i fondi siano stati recuperati o meno).
Inoltre, i prestatori di servizi di pagamento dovrebbero intendere come livello normale di transazioni di pagamento la media annuale giornaliera delle transazioni di pagamento nazionali e transfrontaliere effettuate con gli stessi servizi di pagamento interessati dall’incidente, prendendo l’anno precedente come periodo di riferimento per i calcoli. Se i prestatori di servizi di pagamento non ritengono che tale dato sia rappresentativo (ad esempio, a causa della stagionalità), essi dovrebbero utilizzare un’altra metrica, più rappresentativa, e comunicare all’autorità competente la motivazione alla base di tale approccio compilando il campo corrispondente dello schema (cfr. allegato 1).
ii. Utenti del servizio di pagamento interessati I prestatori di servizi di pagamento dovrebbero considerare come «utenti del servizio di pagamento interessati» tutti i clienti (nazionali o stranieri, consumatori o imprese) che hanno un contratto con il prestatore di servizi di pagamento interessato che garantisce loro l’accesso al servizio di pagamento interessato e che hanno subito o probabilmente subiranno le conseguenze dell’incidente. I prestatori di servizi di pagamento dovrebbero ricorrere a stime basate sull’attività precedente per determinare il numero di utenti del servizio di pagamento che potrebbero aver utilizzato il servizio di pagamento nel corso dell’incidente.
Nel caso di gruppi, ogni prestatore di servizi di pagamento dovrebbe considerare solo i propri utenti di servizi di pagamento. Nel caso di un prestatore di servizi di pagamento che offre servizi operativi a terzi, tale prestatore di servizi di pagamento dovrebbe considerare solo i propri utenti dei servizi di pagamento (se ve ne sono) e i prestatori di servizi di pagamento che ricevono tali servizi operativi dovrebbero valutare l’incidente in relazione ai propri utenti di servizi di pagamento.
Inoltre, i prestatori di servizi di pagamento dovrebbero considerare quale numero totale di utenti di servizi di pagamento il numero aggregato degli utenti di servizi di pagamento nazionali e transfrontalieri contrattualmente vincolati al momento dell’incidente (o, in alternativa, il numero più recente disponibile) e aventi accesso al servizio di pagamento interessato, a prescindere dalla loro dimensione o dal fatto che siano ritenuti utenti attivi o passivi.
iii. Periodo di indisponibilità del servizio
I prestatori di servizi di pagamento dovrebbero considerare il periodo di tempo in cui qualsiasi attività, processo o canale che abbia un collegamento con la prestazione di servizi di pagamento è o sarà probabilmente interrotto, impedendo di conseguenza (i) l’avvio e/o l’esecuzione di un servizio di pagamento e/o (ii) l’accesso a un conto di pagamento. I prestatori di servizi di pagamento dovrebbero calcolare il periodo di indisponibilità del servizio dal momento del suo inizio e dovrebbero considerare sia gli intervalli di tempo in cui sono operativi, come richiesto per l’esecuzione dei servizi di pagamento, sia gli orari di chiusura e i periodi di manutenzione, se del caso e se applicabile. Se i prestatori di servizi di pagamento non sono in grado di determinare il momento di inizio del periodo di inattività del servizio, essi dovrebbero eccezionalmente calcolare tale periodo a partire dal momento in cui l’indisponibilità è stata rilevata.
iv. Impatto economico
I prestatori di servizi di pagamento dovrebbero considerare sia i costi che possono essere collegati direttamente all’incidente sia quelli che sono indirettamente associati ad esso. Tra le altre cose, i prestatori di servizi di pagamento dovrebbero tener conto dei fondi o dei beni espropriati, dei costi di sostituzione dell’hardware o del software, di altri costi di indagine o di riconfigurazione, delle penali dovute alla mancata osservanza di obblighi contrattuali, delle sanzioni, delle passività esterne e delle perdite di entrate. Per quanto riguarda i costi indiretti, i prestatori di servizi di pagamento dovrebbero considerare solo quelli già noti o molto probabili.
v. Alto livello di escalation interna
I prestatori di servizi di pagamento dovrebbero considerare se, in conseguenza dell’impatto dell’incidente sui servizi connessi ai pagamenti, il direttore della funzione informatica (CIO o posizione analoga) è stato o sarà probabilmente informato dell’accaduto in via straordinaria rispetto alle procedura di informazione periodica e in modo continuativo per tutta la durata dell’incidente. Inoltre, i prestatori di servizi di pagamento dovrebbero considerare se, a seguito dell’impatto dell’incidente sui servizi connessi ai pagamenti, è stata o sarà probabilmente attivata la modalità di crisi aziendale.
vi. Altri prestatori di servizi di pagamento o infrastrutture connesse potenzialmente coinvolti
I prestatori di servizi di pagamento dovrebbero valutare l’impatto dell’incidente sui mercati finanziari, inteso come infrastrutture dei mercati finanziari e/o schemi di pagamento con carte che li supportano e altri prestatori di servizi di pagamento. In particolare, i prestatori di servizi di pagamento dovrebbero valutare se l’incidente si è ripetuto o probabilmente si ripeterà presso altri prestatori di servizi di pagamento, se ha influenzato o probabilmente influenzerà il buon funzionamento delle infrastrutture dei mercati finanziari e se ha compromesso o probabilmente comprometterà il regolare funzionamento del sistema finanziario nel suo complesso. I prestatori di servizi di pagamento dovrebbero tener conto di vari elementi, ad esempio se il componente/software interessato è proprietario o genericamente disponibile, se la rete compromessa è interna o esterna e se il prestatore di servizi di pagamento ha smesso o probabilmente smetterà di adempiere i propri obblighi nelle infrastrutture del mercato finanziario di cui è membro.
vii. Impatto sulla reputazione
I prestatori di servizi di pagamento dovrebbero considerare il livello di visibilità che, per quanto di loro conoscenza, l’incidente ha ricevuto o probabilmente riceverà sul mercato. In particolare, i prestatori di servizi di pagamento dovrebbero considerare la probabilità che l’incidente causi danni alla società quale valido indicatore del suo potenziale di influenzare la loro reputazione. I prestatori di servizi di pagamento dovrebbero considerare se (i) l’incidente ha influito su un processo visibile e pertanto riceverà probabilmente o ha già ricevuto copertura mediatica (non solo tramite i media tradizionali, come i giornali, ma anche blog, social networks, ecc.), (ii) non si sono adempiuti o probabilmente non si adempiranno obblighi regolamentari, (iii) sono state o probabilmente saranno violate sanzioni o (iv) lo stesso tipo di incidente si è già verificato in passato.
1.4. I prestatori di servizi di pagamento dovrebbero valutare un incidente determinando, per ogni singolo criterio, se le soglie pertinenti di cui alla tabella 1 sono o saranno probabilmente raggiunte prima che l’incidente sia risolto.
Tabella 1: soglie Criteri
Criteri |
Livello di impatto minore |
Livello di impatto maggiore |
Transazioni interessate |
transazioni del prestatore di servizi di pagamento (in termini di numero di transazioni)
e
> 100 000 EUR |
> 25 % del livello normale delle transazioni del prestatore di servizi di pagamento (in termini di numero di transazioni)
o
> 5 milioni di EUR |
Utenti di servizi di pagamento interessati |
> 5 000
e
> 10 % degli utenti di servizi di pagamento del prestatore di servizi di pagamento |
> 50 000
o
> 25 % degli utenti di servizi di pagamento del prestatore di servizi di pagamento |
Periodo di indisponibilità del servizio |
> 2 ore |
Non applicabile |
Impatto economico |
Non applicabile |
> Max (0,1 % capitale di tipo “Tier 1”(*), 200 000 EUR)
o
> 5 milioni di EUR |
Alto livello di escalation interna |
Sì |
Sì e probabilmente si ricorrerà alla modalità di crisi aziendale (o equivalente) |
Altri prestatori di servizi di pagamento o infrastrutture connesse potenzialmente coinvolti |
Sì |
Non applicabile |
Impatto sulla reputazione |
Sì |
Non applicabile |
(*) Capitale di tipo “Tier 1”, come definito nell’articolo 25 del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento e che modifica il regolamento (UE) n. 648/2012. |
|
1.5. I prestatori di servizi di pagamento dovrebbero ricorrere a stime laddove non dispongano di dati effettivi sulla base dei quali valutare se una determinata soglia è o sarà probabilmente raggiunta prima che l’incidente sia risolto (ad esempio, questo potrebbe avvenire durante la fase iniziale di indagine).
1.6. I prestatori di servizi di pagamento dovrebbero effettuare tale valutazione in modo continuo per l’intera durata dell’incidente, per individuare eventuali cambiamenti di stato, sia verso l’alto (da non grave a grave) sia verso il basso (da grave a non grave).
Orientamento 2: procedura di segnalazione
2.1. I prestatori di servizi di pagamento dovrebbero raccogliere tutte le informazioni pertinenti, produrre un rapporto sull’incidente utilizzando il modulo di cui all’allegato 1 e sottometterlo all’autorità competente dello Stato membro di origine. I prestatori di servizi di pagamento dovrebbero compilare il modulo seguendo le istruzioni fornite nell’allegato 1.
2.2. I prestatori di servizi di pagamento dovrebbero utilizzare lo stesso modulo per tenere informata l’autorità competente durante tutto lo svolgimento dell’incidente (ossia per la segnalazione iniziale, intermedia e finale, come descritto nei paragrafi da 2.7 a 2.21). I prestatori di servizi di pagamento dovrebbero compilare il modulo in modo incrementale, con la massima diligenza possibile, mano a mano che nuove informazioni divengono prontamente disponibili nel corso delle loro indagini interne.
2.3. I prestatori di servizi di pagamento dovrebbero inoltre presentare all’autorità competente dello Stato membro di origine, se applicabile, una copia delle comunicazioni che sono state effettuate (o saranno effettuate) ai propri utenti, come previsto dall’articolo 96, paragrafo 1, comma 2, della PSD2, non appena disponibili.
2.4. I prestatori di servizi di pagamento dovrebbero fornire all’autorità competente dello Stato membro di origine eventuali informazioni aggiuntive, se disponibili e considerate rilevanti per l’autorità competente, integrando il modulo standardizzato con documentazione integrativa, sotto forma di uno o più allegati.
2.5. I prestatori di servizi di pagamento dovrebbero rispondere a tutte le richieste dell’autorità competente dello Stato membro di origine di fornire ulteriori informazioni o chiarimenti riguardanti la documentazione già presentata.
2.6. I prestatori di servizi di pagamento dovrebbero, in ogni momento, mantenere la riservatezza e l’integrità delle informazioni scambiate con l’autorità competente del loro Stato membro di origine e dovrebbero altresì autenticarsi opportunamente nei confronti dell’autorità competente del loro Stato membro di origine.
Rapporto iniziale
2.7. I prestatori di servizi di pagamento dovrebbero sottomettere un rapporto iniziale all’autorità competente dello Stato membro di origine alla prima rilevazione di un grave incidente operativo o di sicurezza.
2.8. I prestatori di servizi di pagamento dovrebbero inviare il rapporto iniziale all’autorità competente entro 4 ore dalla prima rilevazione di un grave incidente operativo o di sicurezza, oppure, essendo a conoscenza che i canali di segnalazione dell’autorità competente non sono disponibili o operativi in quel momento, non appena essi lo diventino nuovamente.
2.9. I prestatori di servizi di pagamento dovrebbero inoltrare un rapporto iniziale all’autorità competente dello Stato membro di origine anche quando un incidente classificato in precedenza come non grave diventi grave. In questo caso particolare, i prestatori di servizi di pagamento dovrebbero inviare il rapporto iniziale all’autorità competente immediatamente dopo la rilevazione della modifica di stato o, essendo a conoscenza che i canali di segnalazione dell’autorità competente non sono disponibili o operativi in quel momento, non appena essi lo diventino nuovamente.
2.10. I prestatori di servizi di pagamento dovrebbero includere nei loro rapporti iniziali le informazioni basilari (ossia quelle di cui alla sezione A del modulo), indicando alcune caratteristiche fondamentali dell’incidente e le sue conseguenze previste sulla base delle informazioni disponibili subito dopo che è stato rilevato o riclassificato. I prestatori di servizi di pagamento dovrebbero ricorrere a stime quando non sono disponibili i dati effettivi. I prestatori di servizi di pagamento dovrebbero includere nel loro rapporto iniziale anche la data del successivo aggiornamento, che dovrebbe essere il più presto possibile e in nessun caso oltre i tre giorni lavorativi successivi.
Segnalazione intermedia
2.11. I prestatori di servizi di pagamento dovrebbero sottomettere rapporti intermedi ogniqualvolta ritengano che vi sia un aggiornamento dello stato dell’incidente rilevante e, come minimo, entro la data del successivo aggiornamento indicato nel rapporto precedente (rapporto iniziale o precedente rapporto intermedio).
2.12. I prestatori di servizi di pagamento dovrebbero sottomettere all’autorità competente un primo rapporto intermedio con una descrizione più dettagliata dell’incidente e delle sue conseguenze (sezione B del modulo). Inoltre, i prestatori di servizi di pagamento dovrebbero produrre ulteriori rapporti intermedi, almeno aggiornando le informazioni già inserite nelle sezioni A e B del modulo, quando vengano a conoscenza di nuove informazioni rilevanti o di cambiamenti significativi rispetto al rapporto precedente (ad esempio, se la gravità dell’incidente aumenta o diminuisce, nuove cause identificate o azioni intraprese per risolvere il problema). In ogni caso, i prestatori di servizi di pagamento dovrebbero presentare un rapporto intermedio su richiesta dell’autorità competente dello Stato membro di origine.
2.13. Come nel caso dei rapporti iniziali, qualora dati effettivi non siano disponibili, i prestatori di servizi di pagamento dovrebbero ricorrere a stime.
2.14. Inoltre, i prestatori di servizi di pagamento dovrebbero indicare in ogni rapporto la data dell’aggiornamento successivo che dovrebbe avvenire il più presto possibile e in nessun caso oltre i tre giorni lavorativi. Nell’impossibilità di rispettare la data prevista per il successivo aggiornamento, il prestatore di servizi di pagamento dovrebbe contattare l’autorità competente per spiegare i motivi del ritardo, proporre un nuovo termine di presentazione plausibile (non oltre i tre giorni lavorativi successivi) e inviare una nuovo rapporto intermedio, aggiornando esclusivamente le informazioni relative alla data stimata per l’aggiornamento successivo.
2.15. I prestatori di servizi di pagamento dovrebbero inviare l’ultimo rapporto intermedio quando le normali operazioni sono state ripristinate e l’attività è tornata alla normalità, informando l’autorità competente di questa circostanza. I prestatori di servizi di pagamento dovrebbero considerare ristabilita la normalità quando le attività/operazioni sono state ripristinate allo stesso livello di servizio/alle stesse condizioni definiti dal prestatore di servizi di pagamento o disposti esternamente da un accordo sul livello dei servizi (SLA), in termini di tempi di elaborazione, capacità, requisiti di sicurezza, ecc., e le misure di emergenza non sono più in vigore.
2.16. Se l’attività dovesse ritornare alla normalità prima che siano trascorse quattro ore dalla rilevazione dell’incidente, i prestatori di servizi di pagamento dovrebbero adoperarsi per presentare simultaneamente sia il rapporto iniziale sia l’ultimo rapporto intermedio (ossia compilando le sezioni A e B del modulo) entro le quattro ore di scadenza.
Rapporto finale
2.17. I prestatori di servizi di pagamento dovrebbero inviare un rapporto finale una volta effettuata l’analisi delle cause che hanno originato l’incidente (indipendentemente dal fatto che siano state già attuate misure di mitigazione o che sia stata individuata definitivamente la causa che ha originato l’incidente) e quando sono disponibili dati effettivi da sostituire alle eventuali stime effettuate.
2.18. I prestatori di servizi di pagamento dovrebbero sottomettere il rapporto finale all’autorità competente entro un termine massimo di due settimane dal momento in cui si considera che le attività siano tornate alla normalità. I prestatori di servizi di pagamento che necessitano di una proroga di tale termine (ad esempio, se non sono ancora disponibili dati effettivi sull’impatto) dovrebbero contattare l’autorità competente prima della scadenza di suddetto termine e dovrebbero fornire una giustificazione adeguata per il ritardo e una nuova data stimata per il rapporto finale.
2.19. Laddove i prestatori di servizi di pagamento siano in grado di fornire tutte le informazioni richieste dal rapporto finale (ossia sezione C del modulo) entro quattro ore dalla rilevazione dell’incidente, essi dovrebbero adoperarsi per includere nel rapporto iniziale le informazioni relative a rapporto iniziale, ultimo rapporto intermedio e rapporto finale.
2.20. I prestatori di servizi di pagamento dovrebbero adoperarsi per includere nei loro rapporti finali informazioni complete, ovvero (i) dati effettivi relativi all’impatto anziché stime (nonché eventuali altri aggiornamenti necessari nelle sezioni A e B del modulo) e (ii) sezione C del modulo, che comprende la causa che ha originato l’incidente, se già nota, e una sintesi delle misure che sono state adottate o che si prevede di adottare per eliminare il problema ed evitare che si ripeta in futuro.
2.21. I prestatori di servizi di pagamento dovrebbero inviare inoltre un rapporto finale quando, in esito all’analisi dell’incidente svolta nel continuo, ritengano che un incidente già segnalato non soddisfi più i criteri per essere considerato grave e non si prevede che li soddisferà prima che l’incidente sia risolto. In tale eventualità, i prestatori di servizi di pagamento dovrebbero inviare il rapporto finale non appena questa circostanza viene rilevata e in ogni caso entro la data prevista per il rapporto successivo. In questa particolare situazione, invece di compilare la sezione C del modulo, i prestatori di servizi di pagamento dovrebbero selezionare la casella «incidente riclassificato come non grave» e spiegare le ragioni che giustificano questa riclassificazione.
Orientamento 3: segnalazione delegata e consolidata
3.1. Laddove consentito dall’autorità competente, i prestatori di servizi di pagamento che intendono delegare gli obblighi di segnalazione ai sensi della PSD2 a una terza parte dovrebbero informare l’autorità competente dello Stato membro di origine e assicurare che siano soddisfatte le condizioni specificate di seguito.
a. Il contratto formale o, se applicabile, le disposizioni esistenti interne a un gruppo che disciplinano la segnalazione delegata tra il prestatore di servizi di pagamento e la terza parte definiscono inequivocabilmente l’assegnazione delle responsabilità di tutte le parti. In particolare, suddetti accordi stabiliscono chiaramente che, a prescindere dall’eventuale delega degli obblighi di segnalazione, il prestatore di servizi di pagamento interessato rimane pienamente responsabile dell’adempimento dei requisiti di cui all’articolo 96 della PSD2 e del contenuto delle informazioni fornite alle autorità competenti dello Stato membro di origine.
b. La delega è conforme ai requisiti per l’esternalizzazione di importanti funzioni operative di cui:
i. all’articolo 19, paragrafo 6, della PSD2 in relazione agli istituti di pagamento e agli istituti di moneta elettronica, applicabile mutatis mutandis in conformità dell’articolo 3 della direttiva 2009/110/CE (EMD) o
ii. agli orientamenti del CEBS sull’esternalizzazione relativa agli enti creditizi.
c. La comunicazione all’autorità competente dello Stato membro di origine è effettuata in anticipo e, in ogni caso, ove applicabile, rispettando le scadenze e le procedure stabilite dall’autorità competente.
d. La riservatezza dei dati sensibili e la qualità, la coerenza, l’integrità e l’affidabilità delle informazioni da fornire all’autorità competente sono opportunamente garantite.
3.2. I prestatori di servizi di pagamento che intendono consentire a una terza parte designata di adempiere gli obblighi di segnalazione in modo consolidato (ossia inoltrando un unico rapporto riferito a diversi prestatori di servizi di pagamento interessati dallo stesso grave incidente operativo o di sicurezza) dovrebbero informarne l’autorità competente dello Stato membro di origine, includere le informazioni di contatto di cui alla sezione «PSP interessati» del modulo e assicurare che siano soddisfatte le condizioni specificate di seguito.
a. Includere questa disposizione nel contratto che disciplina la segnalazione delegata.
b. Rendere la segnalazione consolidata possibile unicamente laddove l’incidente sia stato causato da una problematica relativa ai servizi forniti dalla terza parte.
c. Limitare la segnalazione consolidata a prestatori di servizi di pagamento stabiliti nello stesso Stato membro.
d. Assicurare che la terza parte valuti la rilevanza dell’incidente per ciascun prestatore di servizi di pagamento interessato e includa nel rapporto consolidato solo i prestatori di servizi di pagamento per i quali l’incidente è classificato come grave. Inoltre, assicurare che, in caso di dubbio, un prestatore di servizi di pagamento sia incluso nel rapporto consolidato fintanto che non sussista evidenza del fatto che non dovrebbe esservi incluso.
e. Assicurare che, laddove in alcuni campi del modulo non sia possibile inserire una risposta comune (ad esempio, sezione B 2, B 4 o C 3), la terza parte (i) li compili singolarmente per ciascun prestatore di servizi di pagamento interessato, precisando inoltre l’identità di ogni prestatore di servizi di pagamento a cui si riferiscono le informazioni; oppure (ii) utilizzi intervalli di valori, nei campi dove ciò è consentito, indicando il valore più basso e quello più alto osservati o stimati per i diversi prestatori di servizi di pagamento.
f. I prestatori di servizi di pagamento dovrebbero assicurare che la terza parte li tenga costantemente informati comunicando tutte le informazioni rilevanti in merito all’incidente e tutte le interazioni che la terza parte avesse con l’autorità competente nonché il loro contenuto, nei limiti consentiti dall’esigenza di evitare qualsiasi violazione della riservatezza delle informazioni relative ad altri prestatori di servizi di pagamento.
3.3. I prestatori di servizi di pagamento non dovrebbero delegare i propri obblighi di segnalazione prima di avere informato l’autorità competente dello Stato membro di origine o dopo essere stati messi al corrente che l’accordo di esternalizzazione non soddisfa i requisiti di cui al punto 3.1, lettera b), dei presenti orientamenti.
3.4. I prestatori di servizi di pagamento che intendono ritirare la delega dei propri obblighi di segnalazione dovrebbero comunicare tale decisione all’autorità competente dello Stato membro di origine, conformemente alle scadenze e alle procedure stabilite da quest’ultima. I prestatori di servizi di pagamento dovrebbero altresì informare l’autorità competente dello Stato membro di origine in merito a qualsiasi sviluppo importante che interessi la terza parte designata e influenzi la sua capacità di adempiere gli obblighi di segnalazione.
3.5. I prestatori di servizi di pagamento dovrebbero adempiere i propri obblighi di segnalazione senza alcun ricorso ad assistenza esterna laddove la terza parte designata non sia in grado di informare l’autorità competente dello Stato membro di origine in merito a un incidente operativo o di sicurezza grave ai sensi dell’articolo 96 della PSD2 e dei presenti orientamenti. Inoltre, i prestatori di servizi di pagamento dovrebbero assicurare che un incidente non sia segnalato due volte (una volta dal prestatore di servizi di pagamento e una seconda volta dalla terza parte).
Orientamento 4: politica operativa e di sicurezza
4.1. I prestatori di servizi di pagamento dovrebbero assicurare che la propria politica generale di gestione delle operazioni e della sicurezza definisca chiaramente tutte le responsabilità relative alla segnalazione di incidenti di cui alla PSD2 e le procedure attuate per soddisfare i requisiti definiti nei presenti orientamenti.
5. Orientamenti rivolti alle autorità competenti in merito ai criteri per valutare la rilevanza dell’incidente
e i dettagli dei rapporti sugli incidenti da condividere con altre autorità nazionali
Orientamento 5: valutazione della rilevanza dell’incidente
5.1. Le autorità competenti dello Stato membro di origine dovrebbero valutare la rilevanza di un grave incidente operativo o di sicurezza per altre autorità nazionali, sulla base del proprio parere di esperte della materia e utilizzando i seguenti criteri come indicatori primari dell’importanza di detto incidente:
a. le cause dell’incidente rientrano nell’ambito di competenza regolamentare dell’altra autorità nazionale (ossia il suo campo di competenza);
b. le conseguenze dell’incidente hanno un impatto sugli obiettivi di un’altra autorità nazionale (ad esempio, la tutela della stabilità finanziaria);
c. l’incidente interessa o potrebbe interessare gli utenti dei servizi di pagamento su larga scala;
d. è probabile che l’incidente riceva o abbia ricevuto un’ampia copertura mediatica.
5.2. Le autorità competenti dello Stato membro di origine dovrebbero effettuare questa valutazione in modo continuo per tutta la durata dell’incidente, per individuare eventuali cambiamenti che potrebbero rendere rilevante un incidente non considerato tale in precedenza.
Orientamento 6: informazioni da condividere
6.1. Fatti salvi eventuali altri requisiti legali per la condivisione delle informazioni relative agli incidenti con altre autorità nazionali, le autorità competenti dovrebbero fornire informazioni sui gravi incidenti operativi o di sicurezza alle autorità nazionali identificate ai sensi dell’orientamento 5.1 (ossia «altre autorità nazionali rilevanti») quanto meno al momento della ricezione del rapporto iniziale (o, in alternativa, del rapporto che ha indotto la condivisione delle informazioni) e quando ricevono la notifica di ritorno alla normalità delle operazioni (ossia l’ultimo rapporto intermedio).
6.2. Le autorità competenti dovrebbero fornire ad altre autorità nazionali rilevanti le informazioni necessarie per delineare un quadro chiaro di quanto accaduto e delle potenziali conseguenze. A tal fine, esse dovrebbero fornire almeno le informazioni indicate dal prestatore di servizi di pagamento nei seguenti campi del modulo (nel rapporto iniziale o intermedio):
- data e ora di rilevazione dell’incidente;
- data e ora di inizio dell’incidente;
- data e ora in cui l’incidente è stato risolto o in cui si prevede di risolverlo;
- breve descrizione dell’incidente (comprese le parti non sensibili della descrizione dettagliata);
- breve descrizione delle misure adottate o previste per il ripristino dopo l’incidente;
- descrizione di come l’incidente possa interessare altri PSP e/o infrastrutture;
- descrizione (se del caso) della copertura mediatica;
- causa dell’incidente.
6.3. Le autorità competenti dovrebbero procedere a un’adeguata anonimizzazione, secondo necessità, ed escludere tutte le informazioni che potrebbero essere soggette a riservatezza o restrizioni di proprietà intellettuale prima di condividere informazioni relative agli incidenti con altre autorità nazionali rilevanti. Tuttavia, le autorità competenti dovrebbero fornire alle altre autorità nazionali rilevanti il nome e l’indirizzo del prestatore di servizi di pagamento segnalante laddove dette autorità nazionali possano garantire che le informazioni saranno trattate in modo riservato.
6.4. Le autorità competenti dovrebbero sempre preservare la riservatezza e l’integrità delle informazioni conservate e scambiate con altre autorità nazionali competenti e dovrebbero autenticarsi opportunamente nei confronti delle altre autorità nazionali competenti. In particolare, le autorità competenti dovrebbero trattare tutte le informazioni ricevute in virtù dei presenti orientamenti in conformità degli obblighi di segreto d’ufficio stabiliti nella PSD2, fatte salve la legislazione dell’Unione e le norme nazionali applicabili.
6. Orientamenti rivolti alle autorità competenti sui criteri per valutare i dettagli rilevanti dei rapporti
sugli incidenti da condividere con l’ABE e la BCE e sul formato e le procedure per la loro comunicazione
Orientamento 7: informazioni da condividere
7.1. Le autorità competenti dovrebbero sempre fornire all’ABE e alla BCE tutte i rapporti ricevuti da (o per conto di) prestatori di servizi di pagamento interessati da un grave incidente operativo o di sicurezza (ossia i rapporti iniziali, intermedi e finali).
Orientamento 8: comunicazione
8.1. Le autorità competenti dovrebbero sempre preservare la riservatezza e l’integrità delle informazioni conservate e scambiate con l’ABE e la BCE e dovrebbero inoltre autenticarsi opportunamente nei confronti dell’ABE e della BCE. In particolare, le autorità competenti dovrebbero trattare tutte le informazioni ricevute in virtù dei presenti orientamenti in conformità degli obblighi di segreto d’ufficio stabiliti nella PSD2, fatte salve la legislazione dell’Unione e le norme nazionali applicabili.
8.2. Per evitare ritardi nella trasmissione di informazioni sugli incidenti all’ABE e alla BCE e contribuire a ridurre al minimo i rischi di problematiche operative, le autorità competenti dovrebbero avvalersi di mezzi appropriati di comunicazione.
Allegato 1 – Modulo di segnalazione per i prestatori di servizi di pagamento
Allegato 1
Modulo di segnalazione per i prestatori di servizi di pagamento
|
|
|