Attuazione del Titolo II del Decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento

(Diritti ed obblighi delle parti)

(tratto dal sito della Banca d'Italia) 

1

L’articolo 31 del decreto legislativo n. 11 del 27 gennaio 2010 – che

recepisce in Italia la direttiva 2007/64/CE sui servizi di pagamento -

rimette alla Banca d’Italia l’emanazione di misure di attuazione delle

disposizioni di cui al Titolo II del medesimo decreto, riguardanti diritti ed

obblighi delle parti di un contratto per la prestazione di servizi di

pagamento.

Alla luce di detta previsione, l’accluso Provvedimento, che tiene conto

anche delle osservazioni formulate nell’ambito di un’apposita procedura

di consultazione pubblica, fornisce indicazioni a contenuto vincolante per

i prestatori e per gli utilizzatori di servizi di pagamento: dal

comportamento di entrambi dipende infatti il conseguimento delle finalità

di regolare funzionamento del sistema dei pagamenti, di sicurezza ed

efficienza dei servizi, di tutela degli utilizzatori alle quali è indirizzata la

normativa.

La realizzazione di detti obiettivi, propri delle competenze esercitate dalla

Banca d’Italia ai sensi dell’art. 146 del Testo Unico Bancario e

nell’ambito dell’Eurosistema, è legata anche al corretto funzionamento

delle piattaforme tecniche, delle procedure e delle regole interne al

sistema dei pagamenti. Per questo motivo, le norme del Titolo II del

Decreto e le relative disposizioni di attuazione costituiscono un vincolo

anche per i gestori di circuiti di pagamento nonché per i fornitori di

servizi di supporto alla prestazione di servizi di pagamento.

Il Provvedimento è articolato in sette Sezioni che seguono l’iter

dispositivo definito dalla normativa primaria e dettano norme riguardanti

l’ambito di applicazione della disciplina, le spese, l’autorizzazione e

l’esecuzione delle operazioni nonché la responsabilità delle parti di

un’operazione di pagamento, oltre a disposizioni transitorie finali.

Al Provvedimento è allegato il documento “Tipologie di strumenti di più

elevata qualità sotto il profilo della sicurezza”: i prestatori di servizi di

pagamento che decidano di osservare i requisiti di sicurezza ivi indicati

possono chiedere alla Banca d’Italia che i relativi strumenti siano inclusi

in una lista pubblica. Al fine di incentivare il ricorso a modalità di

2

pagamento connotate da elevati profili di affidabilità, in caso di utilizzo

indebito degli strumenti inclusi nella lista pubblica la clientela può

giovarsi di forme di responsabilità attenuata.

Attuazione del Titolo II del Decreto legislativo n. 11 del 27 gennaio 2010

relativo ai servizi di pagamento (Diritti ed obblighi delle parti)

INDICE

SEZIONE I

Disposizioni di carattere generale

1. Premessa

2. Definizioni

SEZIONE II

Ambito di applicazione

1. Fonti normative

2. Ambito di applicazione oggettivo

2.1 Servizi di pagamento

2.2 Attività che non costituiscono servizi di pagamento ai sensi del

Decreto

2.2.1 Servizi che non sono prestati agli utilizzatori

2.2.2 Cash-Pooling

2.2.3 Trasporto di contante

2.2.4 Modulistica contrattuale

2.2.5 “Cash-back”

2.2.6 Strumenti a spendibilità limitata

2.2.7 Operazioni con finalità di investimento

2.2.8 Operazioni di cambio valuta

2.2.9 Pagamenti eseguiti tramite operatore di

telecomunicazione, digitale o informatico

2.3 Deroghe per i micropagamenti

3. Ambito di applicazione soggettivo

3.1 Prestatori di servizi di pagamento

3.2 Utilizzatori di servizi di pagamento

SEZIONE III

Spese

1. Fonti normative

2. Principi generali

2.1 Gratuità delle misure correttive e preventive

2.2 Regola tariffaria

2.3 Divieto di decurtazione delle spese

3. Data valuta e tempi di disponibilità dei fondi

SEZIONE IV

Autorizzazione di operazioni di pagamento

1. Fonti normative

2. Obblighi e responsabilità dell’utilizzatore di servizi di pagamento in

relazione alle modalità di utilizzo dei servizi e degli strumenti di

pagamento

2.1 Riservatezza dei dispositivi di sicurezza

2.2 Responsabilità dell’utilizzatore

2.3 Prova di autenticazione ed esecuzione dell’operazione di pagamento

3. Obblighi del prestatore di servizi di pagamento in relazione alla

prestazione di servizi e all’emissione di strumenti di pagamento

3.1 Sicurezza

4. Rettifica di operazioni di pagamento non autorizzate o eseguite in modo

inesatto

5. Rimborsi

5.1 Rimborsi nel caso di operazioni di pagamento non autorizzate

5.2 Rimborsi nel caso di operazioni di pagamento eseguite su iniziativa del

beneficiario

5.2.1 Rimborso di addebiti diretti

5.2.2 Deroga per i non consumatori e le micro-imprese

SEZIONE V

Esecuzione di un’operazione di pagamento

1. Fonti normative

2. Ricezione degli ordini di pagamento

3. Irrevocabilità di un ordine di pagamento

4. Rifiuto di un ordine di pagamento

5. Tempi di esecuzione

5.1 Pagamenti a valere su un conto

5.1.1 Conversioni valutarie

5.1.2 Pagamenti interni

5.2 Pagamenti in assenza di conto

5.3 Versamenti

5.4 Data valuta e disponibilità dei fondi

5.4.1 Pagamenti in giornate non operative

5.5 Rettifiche

SEZIONE VI

Responsabilità

1. Fonti normative:

2. Identificativo unico

2.1 Identificativi unici inesatti

2.2 Assenza di identificativo unico

3. Responsabilità per mancata o inesatta esecuzione

3.1 Principi generali

3.2 Responsabilità del prestatore di servizi di pagamento del pagatore

3.3 Responsabilità del prestatore di servizi di pagamento del beneficiario

3.4 Diritto di regresso

SEZIONE VII

Disposizioni transitorie e finali

1. Istituti di pagamento

2. Istituti di moneta elettronica

3. Banche e Bancoposta S.p.A.

ALLEGATO TECNICO

Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza

1. Premessa

2. Requisiti degli strumenti “a maggior sicurezza”

3. Assessment indipendente

4. Procedura di adesione

5. Strumenti di pagamento di “basso valore”

SEZIONE I

Disposizioni di carattere generale

1. Premessa

Il presente Provvedimento, emanato ai sensi dell’art. 31 del decreto legislativo n.

11/2010 (di seguito “Decreto”) - di recepimento della direttiva 2007/64/CE

relativa ai servizi di pagamento nel mercato interno (Payment Services Directive

- PSD) - reca misure attuative delle norme del Titolo II del Decreto medesimo,

relativo ai diritti e gli obblighi delle parti di un’operazione di pagamento, entrate

in vigore il 1° marzo 2010. Le disposizioni contenute nel presente

Provvedimento forniscono quindi indicazioni a contenuto vincolante a cui

prestatori e utilizzatori di servizi di pagamento devono attenersi

nell’applicazione delle norme contenute nel richiamato Titolo II.

Il documento è articolato in sette Sezioni riguardanti l’ambito di applicazione

della disciplina, le spese, l’autorizzazione e l’esecuzione delle operazioni nonché

la responsabilità delle parti di un’operazione di pagamento, oltre a disposizioni

transitorie finali.

Le disposizioni si rivolgono sia ai prestatori di servizi di pagamento, così come

definiti dall’articolo 1, lett. g), del Decreto, sia agli utilizzatori di servizi di

pagamento: il conseguimento delle finalità di regolare funzionamento del

sistema dei pagamenti, di sicurezza ed efficienza dei servizi, di tutela degli

utilizzatori alle quali è indirizzata la normativa dipende infatti dal

comportamento diligente di entrambe le parti di un contratto per la prestazione

dei servizi in questione.

La rilevanza per la Funzione di Sorveglianza sul sistema dei pagamenti delle

disposizioni del Titolo II del Decreto – confermata dal richiamo operato dall’art.

31 dello stesso Decreto all’art. 146 del Testo Unico Bancario – si basa

sull’importanza dell’affidabilità e dell’efficienza dei servizi offerti agli

utilizzatori finali per il regolare funzionamento del sistema dei pagamenti nel

suo complesso. Tali obiettivi non dipendono, tuttavia, solo dai corretti

comportamenti dei prestatori e degli utilizzatori – così come disciplinati dalle

norme dettate dal Decreto in materia di diritti e obblighi delle parti - ma anche

dal corretto funzionamento delle piattaforme tecniche, delle procedure e delle

regole interne al sistema dei pagamenti su cui la Sorveglianza esplica la sua

azione di controllo.

Per quanto precede, ai sensi di quanto previsto dall’art. 146 del Testo Unico

Bancario, le norme del Titolo II del Decreto e le relative disposizioni di

attuazione costituiscono un vincolo anche per i gestori di circuiti di pagamento

nonché per i fornitori di servizi di supporto alla prestazione di servizi di

pagamento che, nell’esercizio di tali attività, debbono mettere i prestatori di

servizi di pagamento in condizione di osservare le vigenti disposizioni dettate in

materia.

2. Definizioni

Ai fini del presente Provvedimento si definiscono1:

pagamento di un pagatore in base al quale un’operazione di pagamento è

disposta dal beneficiario in conformità al consenso dato dal pagatore al

beneficiario, al prestatore di servizi di pagamento del beneficiario o al

prestatore di servizi di pagamento del pagatore medesimo;

al processo di integrazione dei servizi di pagamento in euro secondo

regole e standard definiti in appositi documenti;

l’effettuazione da parte della clientela di operazioni quali prelievo di

contante, versamento di contante o assegni, richiesta di informazioni sul

conto, bonifici, pagamento di utenze, ricariche telefoniche, ecc.;

pagamento di verificare il legittimo utilizzo di uno specifico strumento

di pagamento, inclusi i relativi dispositivi personalizzati di sicurezza;

fondi oggetto dell’operazione di pagamento;

che consentono l’accettazione e l’utilizzo di uno strumento di

pagamento;

del Decreto legislativo 6 settembre 2005, n. 206, e successive

modificazioni;

servizi di pagamento da uno o più utilizzatori di servizi di pagamento

per l’esecuzione di operazioni di pagamento. Rientra nella nozione di

conto di pagamento il conto corrente bancario o postale nei limiti in cui

venga utilizzato per operazioni di pagamento, nonché il conto sul quale

vengono addebitate e accreditate le operazioni di pagamento eseguite a

valere su una carta di debito o di credito;

operazioni di pagamento singole e ricorrenti e che può dettare gli

obblighi e le condizioni che le parti devono rispettare per l’apertura e la

gestione di un conto di pagamento;

pagamento per il calcolo degli interessi applicati ai fondi addebitati o

accreditati su un conto di pagamento;

k) “Decreto”: il Decreto legislativo 27 gennaio 2010, n. 11;

responsabile dell’attuazione della politica monetaria unica. Esso

comprende la Banca Centrale Europea (BCE) e le banche centrali

nazionali (BCN) dei Paesi dell’Unione europea che hanno adottato

l’euro quale valuta nazionale;

m) “fondi”: banconote e monete, moneta scritturale e moneta elettronica

ove del caso, di riferimenti esplicativi.

legislativo 1° settembre 1993, n. 385;

di funzionamento e di partecipazione a un circuito di pagamento e che è

responsabile del suo funzionamento;

del pagatore o del beneficiario coinvolto nell’esecuzione di un’operazione

di pagamento è operativo, in base a quanto è necessario per l’esecuzione

dell’operazione stessa;

prestatore di servizi di pagamento indica all’utilizzatore di servizi di

pagamento e che l’utilizzatore deve fornire al proprio prestatore di

servizi di pagamento per identificare con chiarezza l’altro utilizzatore

del servizio di pagamento e/o il suo conto di pagamento per

l’esecuzione di un’operazione di pagamento. Ove non vi sia un conto di

pagamento, l’identificativo unico identifica solo l’utilizzatore del

servizio di pagamento;

contratto per la prestazione di servizi di pagamento, è un’impresa che

possiede i requisiti previsti dalla raccomandazione della Commissione

vigore del presente Decreto, ovvero i requisiti individuati con Decreto del

Ministro dell’economia e delle finanze attuativo delle misure adottate

direttiva 2007/64/CE;

comma 2, lett. h-ter, del TUB;

beneficiario, di versare, trasferire o prelevare fondi, indipendentemente

da eventuali obblighi sottostanti tra pagatore e beneficiario;

beneficiario al proprio prestatore di servizi di pagamento con la quale

viene chiesta l’esecuzione di un’operazione di pagamento;

ambiente internet attraverso l’interposizione - tra prestatore di servizi di

pagamento e utilizzatore - di un soggetto attraverso l’utilizzo dei codici

di autenticazione dell’utilizzatore;

quale viene impartito un ordine di pagamento ovvero, in mancanza di un

conto di pagamento, il soggetto che impartisce un ordine di pagamento;

presta servizi di pagamento sul territorio della Repubblica in quanto

ivi insediato o in regime di libera prestazione di servizi: istituti di

moneta elettronica e istituti di pagamento nonché, quando prestano

servizi di pagamento, banche, uffici postali, la Banca Centrale Europea

e le banche centrali nazionali se non agiscono in veste di autorità

monetarie, altre autorità pubbliche, le pubbliche amministrazioni statali,

regionali e locali se non agiscono in veste di autorità pubbliche;

2 Pubblicata sulla Gazzetta ufficiale dell’Unione europea L 124/39 del 20.05.2003.

di pagamento a nome del pagatore o del beneficiario, il prestatore di

servizi di pagamento riceve i fondi dal pagatore con l’unico scopo di

trasferire un ammontare corrispondente al beneficiario o a un altro

prestatore di servizi di pagamento che agisce per conto del beneficiario.

Tali fondi possono essere ricevuti per conto del beneficiario e messi a

sua disposizione;

supporto alla prestazione di servizi di pagamento;

z) “servizi di pagamento”: le seguenti attività:

pagamento nonché tutte le operazioni richieste per la gestione di un

conto di pagamento;

pagamento nonché tutte le operazioni richieste per la gestione di un

conto di pagamento;

su un conto di pagamento presso il prestatore di servizi di

pagamento dell’utilizzatore o presso un altro prestatore di servizi di

pagamento:

- esecuzione di addebiti diretti, inclusi addebiti diretti una tantum;

pagamento o dispositivi analoghi;

- esecuzione di bonifici, inclusi ordini permanenti;

una linea di credito accordata ad un utilizzatore di servizi di

pagamento:

- esecuzione di addebiti diretti, inclusi addebiti diretti una tantum;

pagamento o dispositivi analoghi;

- esecuzione di bonifici, inclusi ordini permanenti;

ad eseguire l’operazione di pagamento sia dato mediante un

dispositivo di telecomunicazione, digitale o informatico e il

pagamento sia effettuato all’operatore del sistema o della rete di

telecomunicazioni o digitale o informatica che agisce

esclusivamente come intermediario tra l’utilizzatore di servizi di

pagamento e il fornitore di beni e servizi;

aa)“sistema di pagamento” o “sistema di scambio, di compensazione e di

regolamento”: un sistema di trasferimento di fondi con meccanismi di

funzionamento formali e standardizzati e regole comuni per il trattamento, la

compensazione e/o il regolamento di operazioni di pagamento;

bb) “strumento di pagamento”: qualsiasi dispositivo personalizzato e/o

insieme di procedure concordate tra l’utilizzatore e il prestatore di servizi di

pagamento e di cui l’utilizzatore di servizi di pagamento si avvale per

impartire un ordine di pagamento;

cc) “TUB”: il decreto legislativo 1° settembre 1993, n. 385 e successive

modificazioni;

dd) “utilizzatore di servizi di pagamento” o “utilizzatore”: il soggetto che

utilizza un servizio di pagamento in veste di pagatore o beneficiario o di

entrambi.

3. Comunicazioni e informazioni agli utilizzatori di servizi di pagamento

Sia nella fase genetica sia in quella dell’esecuzione di un’operazione di

pagamento può emergere l’esigenza per il prestatore di servizi di pagamento di

comunicare in modo tempestivo ed efficace con la propria clientela, al fine di

assicurare il regolare svolgimento dell’attività di pagamento. I casi in cui ciò

costituisce un obbligo sono individuati dal Decreto e dalle presenti disposizioni.

L’individuazione del mezzo di comunicazione o della modalità di

informazione più adatti allo scopo specifico della comunicazione o informazione

e alle esigenze di tutela degli interessi dell’utilizzatore di servizi di pagamento

nel caso concreto è rimessa alla valutazione del singolo prestatore di servizi di

pagamento nel rispetto della vigente normativa di trasparenza.

SEZIONE II

Ambito di applicazione

Le disposizioni del Titolo II del Decreto si applicano a tutti i prestatori

di servizi di pagamento per l’attività svolta nel territorio della Repubblica in

quanto ivi insediati o in regime di libera prestazione di servizi, a condizione che

sia il prestatore di servizi di pagamento del pagatore sia quello del beneficiario

siano insediati nello Spazio Economico Europeo e che la valuta in cui è

denominato il pagamento sia quella ufficiale di uno Stato Membro o di uno Stato

appartenente allo Spazio Economico Europeo. L’articolo 23 del Decreto, relativo

all’applicazione della data valuta e alla disponibilità delle somme trasferite, si

applica anche al caso in cui solo il prestatore di servizi di pagamento del

pagatore o solo quello del beneficiario sia insediato nello Spazio Economico

Europeo.

I servizi di pagamento ai quali si riferiscono le presenti disposizioni sono

di moneta elettronica e i servizi di pagamento ad iniziativa del beneficiario

eseguiti da un pagatore anche in assenza di un conto (servizi di incasso).

Rientrano altresì nell’ambito di applicazione del Decreto le operazioni

in euro o nella valuta ufficiale di uno Stato Membro o di uno Stato appartenente

allo Spazio Economico Europeo a valere su un conto del pagatore denominato in

una diversa divisa. Resta ferma, in tal caso, l’applicazione dell’art. 15, comma 2,

del Decreto per la determinazione del momento di ricezione dell’ordine di

pagamento e di messa a disposizione dei fondi oggetto del trasferimento da parte

del pagatore al rispettivo prestatore di servizi di pagamento; tale momento

coincide con quello di completamento dell’operazione di conversione valutaria.

Non rientrano nell’ambito di applicazione le attività elencate nell’art. 2,

comma 2, del Decreto.

Nei paragrafi che seguono vengono fornite indicazioni sul contenuto di

alcuni servizi di pagamento tenendo anche conto di indicazioni fornite dal

“Comitato dei pagamenti” costituito presso la Commissione europea ai sensi

dell’art. 85 della PSD.

1. Fonti normative:

del TUB.

2. Ambito di applicazione oggettivo

2.1 Servizi di pagamento:

- Servizi di pagamento - Ai fini della presente disciplina si definiscono

servizi di pagamento i servizi individuati dal combinato disposto:

attività;

- dell’art. 2 del Decreto, che al primo comma individua la valuta nella quale

devono essere espressi i pagamenti e al 2° comma indica le attività che non

costituiscono servizi di pagamento ai sensi del Decreto medesimo.

Con riferimento ai servizi disciplinati dal Decreto si forniscono i

seguenti chiarimenti:

– Deposito di contante su un conto di pagamento:

consiste nel versamento di contante su un conto e comprende il servizio di

“cassa continua”, ossia di deposito di contante su un conto di pagamento

eseguito presso uno sportello automatico. Ai fini del rispetto dei tempi di

disponibilità delle somme versate di cui all’articolo 22 del Decreto, per tale

ultimo servizio il versamento si intende effettuato dal cliente nel momento in cui

il contante versato viene ritirato presso lo sportello automatico e le attività di

controllo e contazione sono espletate dal prestatore di servizi di pagamento. Il

prestatore di servizi di pagamento è tenuto ad informare l’utilizzatore sui tempi

di esecuzione del servizio di cassa continua. Le attività di verifica e contazione

devono essere completate entro la giornata operativa successiva al ritiro del

contante.

- Carte di pagamento:

nell’ambito della definizione di servizi di pagamento prevista dal Decreto, il

riferimento alle carte di pagamento deve intendersi operato alle carte di credito –

che consentono l’effettuazione di transazioni e/o prelievi con regolamento

successivo - e alle carte di debito, che consentono transazioni e/o prelievi con

contestuale impegno dei fondi disponibili sul conto di pagamento.

Non è inclusa nella definizione di servizi di pagamento contenuta nel

Decreto la moneta elettronica. Caratteristiche specifiche degli strumenti di

moneta elettronica sono le seguenti:

1. consentono utilizzi esclusivamente nei limiti delle somme

trasformate in moneta elettronica;

2. possono essere emessi in forma anonima con i limiti e le

caratteristiche previsti dalla legislazione vigente.

L’emissione di moneta elettronica e i servizi ad essa connessi sono

comunque assoggettati alle disposizioni di cui agli articoli 3 e ss. del Titolo II

del Decreto e di quelle del presente provvedimento.

- Acquisizione di strumenti di pagamento

Viene annoverata tra i servizi di pagamento l’attività di “acquisizione”

di strumenti di pagamento (art. 1, comma 1, lett. b) n. 5) che consiste nella

stipula di apposito contratto per il convenzionamento di soggetti (ad esempio,

esercizi commerciali) con lo scopo di abilitarli all’accettazione di uno strumento

di pagamento secondo le regole del circuito di riferimento accompagnata dalla

gestione dei relativi flussi finanziari (c.d. acquiring). La mera gestione di

terminali non costituisce servizio di acquiring; tuttavia, data la loro importanza

per l’accettazione di uno strumento di pagamento, ai sensi dell’articolo 146,

comma 2 del TUB, i soggetti che forniscono e gestiscono i terminali assicurano

che i propri servizi consentano ai prestatori di servizi di pagamento la piena

conformità alle disposizioni del Decreto e del presente Provvedimento.

- Rimesse di denaro

Il servizio di rimessa di denaro si configura come un incasso e trasferimento di

fondi senza utilizzo di conti di pagamento. Rientra nella fattispecie l’ipotesi del

coinvolgimento di un unico prestatore di servizi di pagamento che,

eventualmente attraverso la propria rete di agenti, incassa il denaro dal pagatore

e lo detiene per conto del beneficiario. I servizi di rimessa vengono usualmente

iniziati e conclusi con denaro contante (c.d. “cash in/cash out”). Resta ferma la

possibilità per l’ordinante di fornire la provvista per la successiva esecuzione del

servizio di rimessa attingendo i fondi da un conto di pagamento. Parimenti, in

alternativa al ritiro dei fondi in contante, il beneficiario può chiederne l’accredito

su un conto di pagamento successivamente alla conclusione dell’operazione di

rimessa.

– Pagamenti eseguiti tramite operatore di telecomunicazione, digitale

o informatico

Costituiscono servizi di pagamento ai sensi dell’art. 1, comma 1, lett. b), n. 7) i

pagamenti effettuati mediante dispositivi di telecomunicazione, digitali o

informatici, nel caso in cui ricorrano tutte le seguenti condizioni:

a) il consenso all’esecuzione dell’operazione di pagamento sia dato mediante

un dispositivo di telecomunicazione, digitale o informatico;

b) il pagamento sia effettuato all’operatore del sistema o della rete di

telecomunicazione o digitale o informatica al quale è riconducibile la

gestione del dispositivo di cui alla lett. a);

c) l’operatore agisca esclusivamente come intermediario tra l’utilizzatore di

servizi di pagamento e il fornitore di beni e servizi.

A titolo esemplificativo, rientrano nell’ambito di cui al citato n. 7) i servizi di

pagamento via telefono cellulare (mobile payment) gestiti da operatore di

telecomunicazione per l’acquisto di beni o servizi, anche di natura fisica, presso

punti di accettazione convenzionati.

La compresenza delle condizioni descritte caratterizza i servizi di pagamento sub

n. 7 rispetto agli altri servizi di pagamento di cui all’art. 1, comma 1, lett. b), nn.

3 e 4, per l’esecuzione dei quali il ricorso a dispositivi di telecomunicazione,

digitali o informatici rappresenta solo una delle possibili modalità di colloquio

tra l’utilizzatore e il prestatore di servizi di pagamento (ad es. esecuzione di

2.1.1 Operazioni di pagamento

I servizi di pagamento sono strumentali all’esecuzione di operazioni di

pagamento. Queste ultime rappresentano trasferimenti di fondi disposti su

iniziativa del pagatore o del beneficiario. Ne consegue che, ove non

esplicitamente compreso nell’ambito di applicazione negativo del decreto ai

informatici v. anche infra par. 2.2.10.

sensi dell’articolo 2, comma 2, qualsiasi trasferimento di fondi è riconducibile

alla definizione di operazione di pagamento.

2.1.2 Operazioni di pagamento complesse

Vi sono operazioni di pagamento che risultano dal collegamento tra più

servizi di pagamento o tra servizi di pagamento e altre operazioni ad essi

contigue. In tali ipotesi si è in presenza di operazioni di pagamento complesse.

Ai fini dell’applicazione delle disposizioni del Decreto e del presente

provvedimento, ciascun segmento che compone l’operazione di pagamento

complessa deve essere considerato separatamente.

A titolo esemplificativo:

1. nel caso in cui si paghi il saldo mensile di una carta di credito con addebito

diretto su un conto di pagamento, si ha una combinazione tra due servizi di

pagamento: l’emissione (e la gestione degli utilizzi) di una carta di credito e

un trasferimento di fondi tramite addebito diretto su conto di pagamento. In

questo caso vi sono due rapporti contrattuali tra l’utilizzatore e: i) l’emittente

la carta di credito; ii) il prestatore di servizi di pagamento che gestisce il

conto su cui viene eseguito l’addebito diretto (l’emittente e quest’ultimo

prestatore possono coincidere). Il disconoscimento di operazioni effettuate

con la carta di credito andrà quindi sottoposto all’emittente della carta

medesima e non al prestatore di servizi di pagamento che gestisce il conto di

addebito; l’opposizione all’operazione di addebito sul conto, nel rispetto dei

requisiti fissati dal Decreto agli artt. 13 e 14 e dalla Sezione IV del presente

Provvedimento, andrà eccepita al prestatore di servizi di pagamento che

gestisce il conto medesimo;

2. altra ipotesi di operazione complessa è quella che si realizza nel caso di

pagamento di bollette o di altre fatture commerciali effettuato presso un

soggetto incaricato della riscossione dal creditore/beneficiario. La prima fase

di questa operazione è rappresentata dalla consegna dei fondi da parte del

pagatore al soggetto incaricato: ove con detta consegna il pagatore venga

liberato dall’obbligazione sottostante nei confronti del creditore, si è in

presenza di un “pagamento” con effetto solutorio (e non quindi di un “ordine

di pagamento”) a cui non si applicano i presidi di cui al Titolo II del

Decreto. La seconda fase dell’operazione è rappresentata dal trasferimento

della somma dal soggetto incaricato al creditore/beneficiario: detto

trasferimento può costituire un servizio di pagamento ai sensi del Decreto e

richiedere, quindi, l’intervento di un prestatore abilitato. Nel caso descritto si

ha quindi una combinazione tra servizi di pagamento (il trasferimento di

fondi disposto dall’incaricato alla riscossione al creditore) e operazioni

contigue (pagamento liberatorio da parte del debitore al soggetto incaricato

della riscossione).

2.2 Attività che non costituiscono servizi di pagamento ai sensi del Decreto.

L’art. 2, comma 2, fornisce un dettagliato elenco di attività escluse

dall’ambito di applicazione del Decreto. L’individuazione in concreto di tali

attività deve essere effettuata, ove del caso, tenendo conto delle disposizioni che

seguono.

2.2.1 Servizi che non sono prestati agli utilizzatori.

In via generale, le norme del Decreto non si applicano ai servizi di pagamento

che non prevedono un rapporto diretto tra prestatore di servizi di pagamento e

utilizzatore finale. Sono pertanto esclusi:

– i pagamenti tra prestatori di servizi di pagamento o tra questi e i loro agenti;

– i pagamenti effettuati all’interno di un sistema di pagamento o di

regolamento titoli tra partecipanti al sistema di pagamento o di regolamento

titoli e controparti centrali, agenti di regolamento, stanze di compensazione

o banche centrali;

– i servizi offerti da prestatori di servizi di pagamento ad altri prestatori senza

intrattenere un rapporto contrattuale con la clientela di questi ultimi (ad

esempio, mera gestione di sportelli ATM senza rapporto con gli utilizzatori

che prelevano o versano contante);

– i servizi di infrastruttura, che sono esclusi dall’ambito di applicazione del

Decreto a condizione che i relativi fornitori non entrino mai in possesso dei

fondi che vengono trasferiti, ma si limitino a prestare servizi di supporto

all’esecuzione dell’operazione di pagamento. Resta fermo l’obbligo per il

prestatore di servizi di pagamento di accertarsi, nella scelta del fornitore, che

i servizi di infrastruttura consentano il rispetto degli obblighi previsti dal

Decreto e dal presente Provvedimento; a tal fine, la ripartizione di

responsabilità tra il prestatore di servizi di infrastruttura e il prestatore di

servizi di pagamento è chiaramente disciplinata dal contratto stipulato da tali

soggetti.

2.2.2 Cash-Pooling

Non costituisce servizio di pagamento ai sensi del Decreto la gestione

della liquidità relativa a rapporti reciproci tra imprese commerciali e/o

finanziarie appartenenti al medesimo gruppo (cd. cash-pooling) da parte di un

soggetto che si interpone nei rapporti infragruppo per la mera ottimizzazione

della gestione delle relative disponibilità finanziarie. L’esenzione presuppone

che la suddetta gestione sia limitata all’interno del gruppo e non investa

l’esecuzione di trasferimenti di fondi per conto di società del medesimo gruppo

da e verso soggetti allo stesso esterni.

2.2.3 Trasporto di contante

Il trasporto di contante, compresi la raccolta, il trattamento e la

consegna, non costituisce servizio di pagamento. L’esenzione a favore della

società di trasporto opera anche quando una fase dello stesso trasporto di

contante è effettuata attraverso un’operazione di trasferimento di fondi per

realizzare il quale la società che offre il servizio si avvale, in veste di

utilizzatore, di un prestatore di servizi di pagamento. La suddetta operazione di

trasferimento di fondi costituisce un servizio di pagamento a cui si applica la

disciplina del Decreto e del presente Provvedimento.

2.2.4 Modulistica contrattuale

La mera distribuzione di modulistica contrattuale relativa alla

prestazione di servizi di pagamento non è attività riservata ai sensi del Decreto.

Restano comunque fermi tutti gli obblighi previsti in materia di offerta fuori

sede di prodotti bancari e finanziari.

2.2.5 “Cash-back”

Non costituisce attività di prestazione di servizi di pagamento ai sensi

del Decreto il c.d. “cash-back” che consiste nell’attività con cui il venditore di

un bene o di un servizio - ricevuto dall’utilizzatore un pagamento eseguito con

una carta di pagamento o con moneta elettronica per un importo superiore al

prezzo dovuto - restituisce all’utilizzatore medesimo una somma in contanti

corrispondente alla differenza tra quanto pagato e quanto dovuto.

2.2.6 Strumenti a spendibilità limitata

Ai sensi dell’art. 2, comma 2, lett. m), sono esclusi dall’ambito di

essere utilizzati esclusivamente:

b) sulla base di un accordo commerciale con l’emittente: b.1) per l’acquisto di

beni o servizi all’interno di una rete limitata di esercenti; b.2) per l’acquisto

di una gamma limitata di beni o servizi.

Con riferimento alla ipotesi di cui alla lettera a), rientrano nella

fattispecie gli strumenti di pagamento spendibili presso singoli emittenti

all’interno dei propri punti vendita. Più imprese appartenenti ad un medesimo

gruppo societario, anche se utilizzano marchi diversi, sono riconducibili alla

nozione di “singolo emittente” purché l’appartenenza al medesimo gruppo

societario sia resa nota al pubblico. In particolare, la carta spendibile presso i

punti vendita dovrà elencare i marchi riconducibili al medesimo gruppo

societario.

Relativamente alle ipotesi di cui alla lett. b), la direttiva e il Decreto non

predeterminano in via generale il concetto di “limitatezza” della rete di

accettazione ovvero della gamma di beni e servizi acquistabili. Alla luce delle

indicazioni della Commissione Europea - nonché di elementi interpretativi

ricavabili dalla direttiva 2009/110/CE sugli Istituti di moneta elettronica,

all’art. 1, comma 1, lett. b) n. 5 del Decreto.

interamente controllante l’emittente stesso o una sua consorella.

contenente analoga esenzione (v. in particolare il considerando n. 5) - si

formulano le seguenti indicazioni.

L’esclusione opera in forza della spendibilità limitata dello strumento di

pagamento presso determinati esercenti o con riferimento a determinati beni o

servizi e non della sua utilizzabilità in un’area geograficamente limitata. In

presenza di uno dei presupposti richiamati dalla norma, l’esclusione deve

intendersi operante anche nel caso in cui l’emissione, sulla base di un accordo

commerciale, sia stata affidata a soggetti terzi rispetto ai fornitori dei beni o dei

Rientrano nella fattispecie sub lettera b.1) - e sono pertanto da

considerare oggetto dell’esenzione - gli strumenti di pagamento spendibili presso

catene di esercizi commerciali (ad esempio “carte fedeltà” o similari),

indipendentemente dall’estensione della catena stessa e dalla natura giuridica del

rapporto tra i singoli punti vendita e la “casa madre”, purché: (i) si tratti di entità

legate da accordi di natura commerciale che prevedano l’utilizzo di un

medesimo marchio che renda pienamente riconoscibile dal pubblico l’esistenza

di una relazione giuridicamente rilevante tra la “casa madre” e i punti di

accettazione degli strumenti di pagamento emessi; e (ii) il suddetto marchio sia

utilizzato dai punti vendita e sia presente sulla carta spendibile presso gli stessi.

Rientrano nella fattispecie le carte spendibili presso esercizi commerciali in

franchising nonché le carte spendibili presso gli esercizi di un medesimo centro

commerciale. A meno che non ricorra l’esenzione di cui alla lettera b.2), i casi in

cui due o più catene commerciali si accordino per accettare reciprocamente le

carte di ciascuna catena non rientrano nell’esenzione. Nei casi dubbi, resta ferma

L’esenzione di cui alla lettera b.2) ricorre quando l’ambito di

spendibilità sia effettivamente circoscritto a una predeterminata lista di beni o

servizi funzionalmente collegati (è il caso, ad esempio, delle c.d. carte

“trasporti”, “parcheggio”, “cinema”, “musei”, dei buoni pasto, ecc.). Atteso che i

criteri di esenzione sono alternativi e non cumulativi, l’esenzione ricorre, in

presenza di queste caratteristiche, anche quando la spendita dello strumento può

essere effettuata presso soggetti diversi, non appartenenti alla medesima catena

commerciale.

La valutazione della sussistenza dei presupposti per l’esenzione deve

essere nuovamente effettuata ogni qualvolta le caratteristiche di spendibilità

dello strumento vengono modificate.

delle disposizioni concernenti il funzionamento dell’Archivio informatizzato degli

assegni e delle carte di pagamento irregolari (c.d. “Centrale d’Allarme Interbancaria”

– CAI) istituito presso la Banca d’Italia ai sensi della Legge 205/99.

carburante”, emesse da una determinata compagnia petrolifera per l’acquisto del

carburante e di prodotti o servizi simili o connessi (cambio olio, gomme etc.) presso la

propria rete distributiva, possono essere invece ricondotte alla fattispecie sub lettera

b.1) le carte della specie che consentono anche acquisti di altro tipo di beni e servizi

presso esercizi comunque collegati alla società petrolifera stessa, per via dell’utilizzo

dello stesso marchio o perché operanti all’interno delle stazioni di servizio della

compagnia medesima.

Quale criterio generale per la corretta individuazione del perimetro della

deroga va inoltre considerato che non possono beneficiare di esenzione -

rientrando pertanto nell’ambito di applicazione della normativa – gli strumenti

spendibili presso una lista di esercenti convenzionati (si pensi al caso del

convenzionamento di una pluralità di commercianti promosso dall’emittente e

potenzialmente aperto alla libera adesione di chi abbia interesse), poiché in tal

caso l’estensione soggettiva della rete di accettazione non è determinabile ex

ante ed è quindi potenzialmente illimitata: rientrano in questa tipologia, ad

esempio, strumenti come le “carte regalo” che possono essere spese presso più

punti vendita di svariata natura, oppure le c.d. “city card”, genericamente aperte

all’utilizzo presso più esercizi all’interno di una stessa città.

Il formato e la funzione degli strumenti a spendibilità limitata sono

spesso uguali o molto simili a quelli degli strumenti di pagamento a spendibilità

generalizzata; solo per gli utilizzatori di questi ultimi, tuttavia, operano le tutele

e i diritti previsti dal decreto. E’ quindi necessario che lo strumento a

spendibilità limitata rechi la dicitura “strumento privativo” o altra dicitura

idonea a indicarne univocamente la funzione di strumento a spendibilità limitata.

L’esclusione dall’ambito di applicazione del Decreto e delle presenti

disposizioni non opera con riguardo alle operazioni di pagamento con le quali

vengono regolati i flussi finanziari connessi con la gestione e il funzionamento

degli strumenti a spendibilità limitata. A titolo esemplificativo, rientrano

nell’ambito di applicazione in parola l’addebito diretto con il quale viene pagato

il saldo di una carta di credito a spendibilità limitata ovvero il bonifico con il

quale viene caricata una carta prepagata a spendibilità limitata.

Resta ferma l’applicazione della disciplina in materia di trasparenza e,

ove applicabile, di credito al consumo qualora all’emissione di strumenti a

spendibilità limitata sia connessa l’erogazione di finanziamenti.

2.2.7 Operazioni con finalità di investimento

L’articolo 2 del Decreto alla lett. i) esclude dall’ambito di applicazione

le operazioni che perseguono finalità di investimento invece che di pagamento.

Tra queste si richiamano a titolo esemplificativo:

· i rimborsi relativi a quote o azioni di OICR;

servizio di gestione di portafogli;

di quote o azioni di OICR;

· le operazioni collegate all’amministrazione di fondi pensione;

perseguano finalità di investimento.

2.2.8 Operazioni di cambio valuta

Le operazioni di cambio valuta si distinguono dalle operazioni di

pagamento in cui l’ordine di pagamento è espresso in una valuta diversa da

quella dei fondi messi a disposizione del beneficiario. Esse si contraddistinguono

per la finalità prevalente di cambiare la valuta in cui è espressa una determinata

somma di denaro e per l’assenza di una finalità di pagamento. Per tali ragioni

sono escluse dall’ambito di applicazione del Decreto e delle presenti

disposizioni:

1. le operazioni di cambio di valuta contante contro contante nell’ambito

delle quali i fondi non sono detenuti su un conto di pagamento;

2. i contratti di compravendita a termine di divisa estera, il cui oggetto è la

consegna reciproca tra le parti delle divise e non il pagamento di

differenziali;

3. i contratti di acquisto e vendita di valuta, estranei a transazioni

commerciali e regolati per differenza, anche mediante operazioni di

rinnovo automatico (c.d. “roll-over”).

2.2.9 Pagamenti eseguiti tramite operatore di telecomunicazione, digitale o

informatico

I servizi di pagamento gestiti dagli operatori di telecomunicazione,

digitali o informatici sono esclusi dall’ambito di applicazione del Decreto al

particolare, è necessario che:

a) le operazioni di pagamento siano riferibili all’acquisto di beni o servizi

digitali;

b) l’operatore di telecomunicazione, digitale o informatico non agisca quale

mero intermediario del pagamento tra l’utilizzatore e il fornitore di beni e

servizi ma apporti a questi ultimi un valore aggiunto (es. funzioni di accesso,

ricerca o distribuzione) in assenza del quale non sarebbe possibile usufruire

del bene con le medesime modalità;

c) la consegna o l’utilizzo dei beni e servizi in questione siano effettuati tramite

il dispositivo di telecomunicazione, digitale o informatico gestito

Con riferimento al requisito di cui alla lett. a), il bene o il servizio è qualificabile

come digitale se esso non è in alcun modo utilizzabile per l’ottenimento di beni

o servizi nel mondo fisico: a titolo esemplificativo, non rientra nella fattispecie

in esame un titolo di legittimazione elettronico abilitativo all’ottenimento di

diversi beni o servizi (es. di trasporto).

Con riferimento al requisito di cui alla lett. b), il valore aggiunto apportato

dall’operatore di telecomunicazione, digitale o informatico deve assumere un

ruolo essenziale, tale che senza di esso non sarebbe stato possibile fruire del

bene o del servizio ovvero lo sarebbe stato con modalità affatto diverse (es.

direttive 2007/64/CE e 2009/110/CE.

rete di telecomunicazioni per l’acquisto di contenuti multimediali che possono essere

scaricati sul telefono cellulare o su altro dispositivo dell’acquirente (es. smartphone,

decoder, tablet PC) nell’ambito dei servizi di trasmissione dati offerti dall’operatore

medesimo.

fornitura di codici di accesso con memorizzazione dell’autorizzazione accordata

Con riferimento al requisito di cui alla lett. c), l’esenzione opera se la fruizione o

la consegna del bene o servizio digitale avviene su un dispositivo oppure tramite

un servizio di trasmissione dati riconducibile allo stesso operatore; tale

condizione non esclude tuttavia la possibilità che il contenuto digitale,

successivamente alla consegna (es. in caso di download), venga fruito su altri

dispositivi.

Resta ferma, anche nei casi di deroga, la competenza della Banca d’Italia per

l’esercizio della funzione di cui all’art. 146 del TUB.

3. Ambito di applicazione soggettivo

3.1 Prestatori di servizi di pagamento

Il Titolo II del Decreto contiene le norme che disciplinano le modalità

con cui deve essere esercitata la prestazione di servizi di pagamento (cc.dd.

conduct-of-business rules).

Esse si applicano a tutte le categorie di prestatori di servizi di pagamento

elencate nel Decreto quando offrono servizi di pagamento in Italia:

– banche, istituti di moneta elettronica, istituti di pagamento, Poste Italiane

S.p.A.;

– Banca Centrale Europea e banche centrali nazionali qualora non agiscano in

veste di autorità monetarie e prestino servizi di pagamento in Italia;

– qualsiasi altra amministrazione statale, regionale e locale che offra servizi di

pagamento non agendo in veste di autorità pubblica.

3.2 Utilizzatori di servizi di pagamento

Il Titolo II del Decreto distingue tre categorie di utilizzatori di servizi di

pagamento: i consumatori, le micro-imprese e gli utilizzatori che non sono

consumatori. Mentre le prime due categorie sono individuate dal diritto

comunitario, l’ultima deve essere costruita per differenza rispetto alle prime due

e comprende, ad esempio, le imprese, le amministrazioni e gli enti pubblici, i

professionisti. Ove i professionisti presentino caratteristiche di fatturato e

numero di dipendenti analoghi alle micro-imprese, essi possono chiedere di

essere equiparati a queste ultime.

L’individuazione delle caratteristiche delle tre diverse categorie è

particolarmente rilevante ai fini dell’applicazione di alcune disposizioni del

Titolo II che possono essere derogate per accordo tra le parti quando

l’utilizzatore dei servizi di pagamento non è un consumatore.

assume una responsabilità diretta nei confronti della clientela per la corretta consegna

o fruizione del bene o servizio digitale.

Si tratta, in particolare, delle norme che riconoscono diritti

all’utilizzatore e responsabilità in capo al prestatore di servizi di pagamento.

Le norme derogabili, anche solo in parte, sono:

1. il principio di gratuità dell’esercizio dei diritti riconosciuti dal Titolo II

del Decreto e, quando applicabili, di proporzionalità delle spese rispetto

ai costi sostenuti dal prestatore di servizi di pagamento (articolo 3,

comma 1);

2. la revocabilità del consenso (articolo 5, comma 4);

3. l’onere della prova di autenticazione ed esecuzione in capo al prestatore

di servizi di pagamento (articolo 10);

4. le responsabilità del prestatore di servizi di pagamento per utilizzi non

autorizzati di strumenti di pagamento (articolo 12);

5. il diritto dell’utilizzatore ad ottenere il rimborso di alcuni tipi di

operazioni (articoli 13 e 14);

6. l’irrevocabilità degli ordini di pagamento (articolo 17);

7. la responsabilità del prestatore di servizi di pagamento per la mancata o

inesatta esecuzione di un’operazione di pagamento (articolo 25). La

responsabilità opera pienamente e a prescindere dalla deroga pattizia nel

caso di dolo o colpa grave del prestatore di servizi di pagamento.

Le micro-imprese sono equiparate ai consumatori e godono delle forme

di tutela più intense previste dal Decreto; tuttavia, al fine di non escludere per

tale categoria di utilizzatori la possibilità di utilizzare servizi di pagamento

particolarmente efficienti e efficaci (quali ad esempio i servizi di addebito RID

veloci), è ammessa comunque, come per le imprese di più grande dimensione, la

possibilità di rinunciare ai diritti di cui agli articoli 13, 14 e 17, comma 3, del

Decreto (rimborsi e irrevocabilità).

Tenuto conto dello specifico regime applicabile alle diverse categorie di

utilizzatori di servizi di pagamento – con particolare riguardo a quanto previsto

dall’art. 2, comma 4, lettere b) e c) del Decreto - i prestatori di servizi di

pagamento, nell’ambito delle procedure previste dalla Sezione XI, paragrafo 2

del provvedimento della Banca d’Italia del 29 luglio 2009 e successive

procedurali adeguate a gestire le operazioni relative alle diverse categorie di

utilizzatori in conformità con le disposizioni del Decreto e del presente

Provvedimento.

4. Micropagamenti

Per gli strumenti di pagamento dedicati ai micropagamenti è previsto un

regime particolare. Tali strumenti sono individuati in quelli che impongono un

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

limite di importo alla singola spesa di 30 euro o che hanno un importo spendibile

non superiore ai 150 euro (strumenti usa e getta) o che non possono in nessun

momento essere avvalorati per un importo superiore ai 150 euro (strumenti

ricaricabili).

Il Decreto consente alle parti ampie deroghe alla disciplina in materia di

tutela dell’utilizzatore, al fine di renderla proporzionata alle esigenze di

protezione effettivamente sussistenti contemperandole con quelle di maggiore

economicità e agevole funzionamento proprie degli strumenti in questione.

Il legislatore riconosce innanzitutto la possibilità che detti strumenti non

prevedano il blocco dell’utilizzo, in quanto trattasi di una funzionalità che

presuppone la possibilità di comunicazione tra prestatore e utilizzatore di servizi

di pagamento e si presenta quindi onerosa rispetto ai micropagamenti.

Il Decreto prevede inoltre una attenuazione delle responsabilità del

prestatore per l’esecuzione di operazioni non autorizzate quando lo strumento è

utilizzabile in forma anonima (rientrando in tale categoria gli strumenti che non

prevedono l’identificazione del relativo titolare, segnatamente la moneta

elettronica entro le soglie previste dal D.lgs. n. 231 del 2007) o non consente di

dimostrare l’intervenuta autorizzazione da parte del titolare (ad esempio, non

essendo previsto l’utilizzo di un PIN).

Il regime in deroga autorizza inoltre il prestatore di servizi di pagamento

a non informare il cliente del rifiuto di eseguire il pagamento quando il rifiuto è

evidente dal contesto in cui viene effettuato il pagamento (ad esempio nel caso

di mancata esecuzione di un pagamento con carta su un terminale di

accettazione) e prevede infine l’irrevocabilità dell’ordine di pagamento una volta

che questo sia stato trasmesso al beneficiario o dopo che questo sia stato

autorizzato ad avviare l’esecuzione del pagamento.

SEZIONE III

Spese

La direttiva sui servizi di pagamento e il relativo Decreto di recepimento

fissano alcuni principi di fondo che incidono sui modelli di pricing dei servizi di

pagamento favorendo quelli più efficienti ed affidabili.

Tali principi sono: la gratuità delle misure correttive e preventive di

errori e inesattezze nell’esecuzione di operazioni di pagamento, la ripartizione

delle spese tra le due parti (pagatore e beneficiario) del pagamento, il divieto di

detrarre spese dall’importo trasferito, il divieto per il beneficiario di applicare un

sovrapprezzo per l’utilizzo di un determinato strumento di pagamento (cd.

surcharge) fatte salve le deroghe che la Banca d’Italia potrà stabilire con proprio

regolamento, l’eliminazione di forme di tariffe implicite (ad esempio, la data

valuta) che rendono opaco il mercato. Il Decreto mira così a rendere più

trasparente e concorrenziale il mercato, agevolando l’utilizzatore non solo nella

scelta del prestatore di servizi di pagamento che pratica le migliori condizioni di

offerta ma anche in quella dello strumento o del servizio di pagamento che

meglio risponde alle sue esigenze.

Il Decreto consente altresì l’utilizzo della leva tariffaria per

disincentivare l’utilizzo degli strumenti di pagamento meno efficienti e

affidabili. Da un lato impone il divieto del surcharge, dall’altro rimette alla

Banca d’Italia l’individuazione di casi in cui sia possibile derogare al divieto.

Tale facoltà non trova attuazione con il presente Provvedimento: il suo esercizio

potrà essere disposto anche in connessione con la definizione di indicatori tesi a

misurare il costo relativo di utilizzo di diversi strumenti di pagamento.

1. Fonti normative

Artt. 3, 18 e 23 del Decreto

2. Principi generali

2.1. Gratuità delle misure correttive e preventive

I prestatori di servizi di pagamento sono tenuti ad effettuare

gratuitamente gli interventi volti a correggere o prevenire errori e inesattezze

nell’esecuzione di operazioni di pagamento. Sono previste eccezioni tassative

nei casi di:

del presente Provvedimento), ove ciò sia stato concordato dalle parti;

del presente Provvedimento), una volta decorsi i termini di

irrevocabilità;

identificativo inesatto da parte del cliente (v. Sez. VI, par. 2.1, del

presente Provvedimento).

In tali ipotesi le spese applicate devono essere comunque convenute nel

contratto ed essere adeguate e proporzionate rispetto ai costi effettivamente

sostenuti dal prestatore di servizi di pagamento.

2.2 Regola tariffaria

Il Decreto prevede che, quando l’operazione di pagamento non richiede

una conversione valutaria, il pagatore e il beneficiario remunerino ciascuno il

proprio prestatore di servizi di pagamento per il servizio prestato (c.d. “regola

share”). Tale regola non incide sulle eventuali ripartizioni di spese tra i prestatori

di servizi di pagamento coinvolti nell’esecuzione di un’operazione di

pagamento, ivi comprese eventuali tariffe multilaterali.

2.3 Divieto di decurtazione delle spese

Il Decreto vieta di decurtare spese dagli importi trasferiti, che devono

corrispondere a quelli indicati nei singoli ordini di pagamento. Tuttavia, il

beneficiario può concordare con il proprio prestatore di servizi che le spese

dovute a quest’ultimo vengano detratte dall’importo trasferito, a condizione che

il beneficiario venga informato esattamente dell’importo decurtato e della

relativa modalità di addebito nelle informazioni allo stesso dovute dal proprio

prestatore di servizi di pagamento.

Il divieto di decurtazione degli importi trasferiti si riferisce al pagamento

di spese sostenute dal prestatore di servizi di pagamento; esso non trova quindi

applicazione nel caso di decurtazioni applicate in osservanza di vincoli

normativi (ad esempio, disposizioni fiscali).

Quando un prestatore di servizi di pagamento che interviene

nell’esecuzione di un’operazione di pagamento senza avere rapporti né con il

pagatore né con il beneficiario trattiene delle spese dall’importo oggetto di

trasferimento, spetta al prestatore di servizi che si avvale di detto prestatore

garantire che il beneficiario riceva per intero l’importo trasferito.

2.4 Divieto di surcharge

Il divieto di surcharge opera nei confronti del beneficiario di un’operazione di

pagamento.

I prestatori che offrono il servizio di acquisizione di strumenti di pagamento

sono tenuti a richiamare nel contratto di convenzionamento l’attenzione dei

3. Data valuta e tempi di disponibilità dei fondi

Secondo l’articolo 23 del Decreto, è vietata la possibilità di applicare:

– al pagatore una data valuta antecedente a quella in cui i fondi vengono

addebitati sul suo conto;

– al beneficiario una data valuta successiva a quella in cui i fondi vengono

accreditati sul conto di quest’ultimo.

In aggiunta ai predetti divieti, i fondi trasferiti devono essere resi

disponibili al beneficiario da parte del suo prestatore di servizi di pagamento non

appena la somma trasferita sia stata accreditata al prestatore medesimo.

Qualora le informazioni relative al beneficiario siano trasmesse

separatamente rispetto al trasferimento dei fondi, l’obbligo di rendere

immediatamente disponibili i fondi trasferiti al beneficiario decorre dalla

ricezione delle informazioni relative a quest’ultimo.

Le regole sulla valuta non trovano applicazione nei casi previsti dall’art.

23, comma 4, del Decreto, così come specificato, nella Sezione V, paragrafo 5.5

del presente Provvedimento.

SEZIONE IV

Autorizzazione di operazioni di pagamento

La fase genetica di un’operazione di pagamento è quella più delicata per

la sua corretta esecuzione: per tale motivo il legislatore ripartisce nel dettaglio

gli obblighi del prestatore di servizi di pagamento e dell’utilizzatore nel processo

di autorizzazione all’esecuzione di un’operazione di pagamento. Proprio per

evitare operazioni fraudolente viene richiesta l’adozione di specifici

accorgimenti, oltre che ai prestatori, anche agli utilizzatori di servizi di

pagamento, in particolare per quel che riguarda la gestione dei codici di accesso

all’utilizzo di strumenti o di conti di pagamento. Al fine di preservare la fiducia

del pubblico negli strumenti di pagamento più efficienti (come ad esempio le

carte di pagamento e gli addebiti diretti), al ricorrere di determinate condizioni

sono riconosciute forme di tutela rafforzate ai loro utilizzatori.

1. Fonti normative

Artt. 7, 8, 9, 10, 11, 12, 13 e 14 del Decreto.

2. Obblighi e responsabilità dell’utilizzatore di servizi di pagamento in

relazione alle modalità di utilizzo dei servizi e degli strumenti di

pagamento

L’utilizzo di strumenti di pagamento comporta alcune responsabilità e

obblighi di condotta diligente volti a favorire l’efficiente funzionamento del

relativo circuito di riferimento; tali obblighi e responsabilità sono stabiliti dalla

disciplina contenuta nel Decreto nonché nelle clausole contrattuali che

disciplinano le modalità di utilizzo del servizio o dello strumento di pagamento.

2.1 Riservatezza dei dispositivi di sicurezza

Quando uno strumento prevede l’utilizzo di dispositivi personalizzati di

sicurezza (es. PIN e password) è fatto obbligo all’utilizzatore di mettere in atto

gli accorgimenti idonei al fine di preservarne la riservatezza onde evitare gli

utilizzi non autorizzati degli strumenti di pagamento in questione.

Tale esigenza rileva in modo specifico nel caso in cui il pagamento sia

effettuato a distanza, ad esempio per mezzo di un dispositivo telefonico o di un

proprio prestatore di servizi di pagamento prima di fornire a terzi i codici per

l’utilizzo del servizio o dello strumento di pagamento: in tal modo è possibile

per il prestatore individuare le richieste dei codici di sicurezza provenienti da

soggetti che simulino la legittimità della richiesta medesima, come nel caso del

phishing. In aggiunta, ciò consente di limitare i rischi connessi con l’eventuale

utilizzo di piattaforme per i pagamenti su internet (in particolare quelli a valere

2) gli ordini di pagamento effettuati attraverso la rete internet (internet

banking).

su un conto, quali i bonifici) che non sono autorizzate dal prestatore di servizi di

contratto tra utilizzatore e prestatore di servizi di pagamento faccia divieto al

primo di comunicare a terzi i codici di sicurezza, la violazione di tale divieto

integra una condotta negligente da parte dell’utilizzatore, non consentendogli di

avvalersi dell’esenzione di responsabilità di cui al successivo paragrafo.

Nell’ambito delle procedure organizzative previste dalla Sezione XI del

provvedimento della Banca d’Italia del 29 luglio 2009 e successive

occasioni di interlocuzione con la clientela vengano richiamati i seguenti aspetti:

– le clausole contrattuali che disciplinano l’utilizzo dei servizi e degli

strumenti di pagamento che prevedono il ricorso a codici di sicurezza

(ad esempio, servizi di pagamento compresi nell’home banking);

– l’esigenza di rispettare i termini contrattuali volti a dare particolari

garanzie di utilizzo sicuro;

– l’obbligo di assumere un comportamento diligente nell’utilizzo di tali

servizi e strumenti.

2.2 Responsabilità dell’utilizzatore

Il rispetto degli obblighi di condotta diligente da parte dell’utilizzatore

esime quest’ultimo da responsabilità per utilizzi non autorizzati dei servizi e

degli strumenti di pagamento. Il mancato adempimento di tali obblighi può

invece comportare la sua responsabilità per gli utilizzi non autorizzati. La

violazione degli obblighi posti in capo all’utilizzatore dalla legge o dal contratto

in essere con il suo prestatore di servizi di pagamento integra una condotta

negligente.

Al fine di favorire la diffusione dei servizi e degli strumenti di più

elevata qualità sotto il profilo della sicurezza, la Banca d’Italia, ai sensi dell’art.

12, comma 5, del Decreto, dispone la riduzione delle responsabilità

dell’utilizzatore che scelga detti prodotti di pagamento. Rientrano nella

fattispecie in esame gli strumenti di pagamento aventi le caratteristiche di

sicurezza individuate nel documento “Tipologie di strumenti di più elevata

qualità sotto il profilo della sicurezza” allegato al presente Provvedimento. Per

questi strumenti - fatti salvi i casi in cui l’utilizzatore abbia agito con dolo o

colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza

dei dispositivi personalizzati che consentono l’utilizzo dello strumento di

pagamento - l’utilizzatore non risponde neppure della franchigia di cui all’art.

12, comma 3, del Decreto.

pagamento, risultano particolarmente esposti al rischio di frode.

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

2.3 Prova di autenticazione ed esecuzione dell’operazione di pagamento.

L’art. 10 del Decreto pone in capo al prestatore di servizi di pagamento

l’onere di provare l’utilizzo autorizzato dello strumento di pagamento da parte

dell’utilizzatore quando quest’ultimo neghi di aver autorizzato l’operazione.

In caso di utilizzo di uno strumento di pagamento registrato, il prestatore

di servizi di pagamento ha comunque l’onere di verificare che non sussistano

elementi tali da non consentire di ritenere certa l’autorizzazione dell’utilizzatore:

è questo il caso, ad esempio, di una carta di pagamento utilizzata su terminali

fisici a breve distanza temporale in luoghi geograficamente distanti.

3. Obblighi del prestatore di servizi di pagamento in relazione alla

prestazione di servizi e all’emissione di strumenti di pagamento

Il Decreto (cfr. art. 8) prevede a carico dei prestatori di servizi di

pagamento:

- obblighi di riservatezza dei dispositivi personalizzati relativi a uno strumento di

pagamento;

- l’obbligo di consentire all’utilizzatore di bloccare tempestivamente lo

strumento in caso di furto o smarrimento. Tale misura è volta ad evitare che lo

strumento sottratto o smarrito venga utilizzato indebitamente. Una volta che tale

evento venga comunicato tempestivamente dall’utilizzatore al proprio prestatore

di servizi di pagamento, quest’ultimo fornisce al cliente una conferma

dell’avvenuto blocco, comunicando il codice che identifica il blocco e l’orario in

cui è intervenuto il blocco medesimo;

- il divieto di inviare all’utilizzatore strumenti di pagamento non richiesti, già

attivi o attivabili anche in mancanza di una esplicita richiesta dell’utilizzatore

medesimo. Tale misura è tesa a eliminare prassi che espongono gli utilizzatori al

rischio di accessi non autorizzati al proprio conto o di incorrere in spese per

servizi non richiesti (ad esempio, per l’invio dell’estratto conto mensile relativo

a una carta di credito mai richiesta né attivata). A tal fine è necessario che la

richiesta dell’utilizzatore di acquisire un nuovo strumento di pagamento sia

inequivocabile e precedente l’invio dello strumento di pagamento, anche quando

questo non sia ancora stato attivato (cfr. la Sezione V, paragrafo 2.3 del

provvedimento della Banca d’Italia del 29 luglio 2009 e successive

I prestatori di servizi di pagamento pongono altresì la massima

attenzione nella scelta del mezzo di spedizione di uno strumento di pagamento

e/o dei relativi codici di sicurezza, in considerazione del rischio di accesso non

autorizzato a detti strumenti e codici; per questo motivo, il legislatore pone

interamente a carico del prestatore di servizi di pagamento detto rischio.

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

Con specifico riferimento ai servizi di pagamento fruibili in ambiente

internet, al fine di prevenire utilizzi fraudolenti, è necessario che i prestatori di

servizi di pagamento aderiscano a piattaforme tecniche che consentano ai propri

clienti di effettuare pagamenti in rete in condizioni di elevata sicurezza.

3.1 Sicurezza

Avuto riguardo agli obiettivi di regolare funzionamento del sistema dei

pagamenti nonché di tutela della fiducia degli utilizzatori nel ricorso ai servizi

compresi nell’ambito di applicazione del Decreto, i prestatori di servizi di

pagamento assicurano che le soluzioni tecniche adottate per l’esercizio

dell’attività siano presidiate gestendo i rischi associati alle tecnologie utilizzate,

tra i quali:

- malfunzionamenti nei sistemi e nei processi informatizzati interni;

- difetti delle procedure software e dei sistemi operativi;

- guasti dei componenti hardware;

- limitata capacita dei sistemi di elaborazione e trasmissione;

- vulnerabilità delle reti di telecomunicazione;

- debolezza del sistema dei controlli e delle misure di sicurezza;

- sabotaggi;

- attacchi da parte di soggetti esterni;

- tentativi di frode.

In conformità con la normativa di Vigilanza emanata in materia di

- devono essere in grado – nell’ambito del processo di gestione dei rischi - di

identificare, valutare, misurare, monitorare e mitigare le minacce di natura

tecnologica. In particolare, è necessario individuare un insieme di misure di

sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di

confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi

associati; deve inoltre essere prevista l’esecuzione di fasi di verifica teorica e

pratica della vulnerabilità dei presidi di sicurezza con relativa revisione

- definiscono: i) un adeguato insieme di presidi di sicurezza logica e fisica per i

sistemi informativi; ii) un efficace processo di controllo interno; iii) un

appropriato piano di continuità operativa; iv) una gestione dei rapporti

contrattuali con i fornitori esterni coerente con i vincoli posti a carico dei

prestatori di servizi di pagamento.

Titoli IV, Capitolo 11; Circ. 263 del 27 dicembre 2006 Nuove disposizioni di

vigilanza prudenziale per le banche, Titoli I, Capitolo 1, Parte Quarta; Disposizioni di

vigilanza in materia di conformità (compliance) del 9 luglio 2007; Disposizioni in

materia di organizzazione e governo societario delle banche del 4 marzo 2008.

17 Cc.dd. “vulnerability assessment” e “penetration test”.

Nell’osservanza delle disposizioni di cui al presente paragrafo i

prestatori di servizi di pagamento si attengono ai requisiti di

sicurezza definiti nell’ambito dell'Eurosistema con riferimento agli strumenti di

pagamento offerti alla clientela finale.

4. Rettifica di operazioni di pagamento non autorizzate o eseguite in modo

inesatto

Quando viene a conoscenza del fatto che un’operazione di pagamento è

stata eseguita in difetto di autorizzazione o in modo inesatto, l’utilizzatore deve

comunicarlo senza indugio al proprio prestatore con le modalità e secondo i

termini concordati con quest’ultimo; l’utilizzatore avrà quindi diritto ad ottenere

la rettifica e, nei casi specificati nei paragrafi seguenti, il rimborso

dell’operazione.

Ferma restando l’esigenza di tempestività della comunicazione di cui al

precedente paragrafo, l’utilizzatore può chiedere la rettifica dell’operazione

entro il termine di 13 mesi dalla data dell’addebito, nel caso del pagatore, o di

accredito, nel caso del beneficiario. La richiesta può avvenire in un momento

successivo alla scadenza dei 13 mesi solo se il prestatore di servizi di pagamento

ha omesso di fornire o mettere a disposizione l’informativa successiva

all’esecuzione dell’operazione di cui al paragrafo 6 della Sezione VI del

provvedimento della Banca d’Italia del 29 luglio 2009 e successive

servizi di pagamento in condizione di comunicare tempestivamente che

l’operazione di pagamento era stata eseguita senza autorizzazione o in modo

inesatto. E’ onere del prestatore di servizi di pagamento dimostrare di aver

fornito o messo a disposizione la suddetta informativa.

Alle operazioni di rettifica si applica la data valuta secondo quanto

previsto nella Sezione V, paragrafo 5.5. del presente Provvedimento.

5. Rimborsi

Il rimborso integrale costituisce la forma di tutela più efficace nel caso

di un’operazione di pagamento non autorizzata: a differenza delle operazioni di

pagamento non eseguite correttamente, infatti, in questo caso manca il

presupposto fondamentale della volontà del pagatore di effettuare il pagamento

(cfr. infra, paragrafo 5.1).

5.1 Rimborsi in caso di operazioni di pagamento non autorizzate

Quando un’operazione di pagamento viene eseguita in assenza

dell’autorizzazione del pagatore, questi ha diritto ad ottenere immediatamente

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

dal proprio prestatore di servizi di pagamento il rimborso dell’importo trasferito;

nel caso in cui l’operazione sia stata eseguita a valere su un conto, il pagatore ha

diritto di ottenere il ripristino del proprio conto nella condizione in cui si sarebbe

trovato se l’operazione non avesse avuto luogo attraverso un’operazione di

di pagamento non autorizzate connesse con l’utilizzo di una carta di credito, il

prestatore di servizi di pagamento rifonde al cliente l’importo disconosciuto e

ripristina ove possibile la linea di credito concessa per un importo

corrispondente a quello dell’operazione non autorizzata.

Al dovere di rimborso immediato da parte del prestatore di servizi di

pagamento fa riscontro la possibilità di interrompere tale rimborso in caso di

fondato sospetto di comportamento fraudolento da parte del soggetto richiedente

il rimborso medesimo. Il sospetto di frode deve emergere con immediatezza e la

sua fondatezza potrà derivare dalla valutazione motivata delle circostanze del

l’immediatezza del rimborso non ne implichi la contestualità rispetto alla

richiesta del cliente, la sua corresponsione non può attendere lo svolgimento di

un’istruttoria da parte del prestatore di servizi di pagamento. L’esito

dell’immediata valutazione del sospetto di frode dovrà essere comunicato subito

dal prestatore di servizi di pagamento al proprio cliente e dovrà essere

conservato in modo da consentirne la verifica anche a distanza di tempo.

Nel caso di strumenti di pagamento di cui sia consentito l’utilizzo in

forma anonima, i prestatori di servizi di pagamento valutano con particolare

attenzione il rischio di frode prima di procedere al rimborso dell’operazione a

favore del titolare legittimato; in caso di accoglimento della richiesta, devono

registrare le generalità di quest’ultimo al fine di poterne tenere conto nel caso di

successive richieste riconducibili al medesimo soggetto.

Il prestatore di servizi di pagamento può dimostrare anche in un

momento successivo all’erogazione che l’operazione era stata autorizzata e che

quindi il rimborso non era dovuto: in tal caso avrà il diritto di chiedere ed

ottenere indietro i fondi originariamente trasferiti, ripristinando la situazione

come se l’operazione di rimborso non avesse avuto luogo. A tale ultimo scopo

sarà possibile derogare alle disposizioni di cui all’articolo 23 del Decreto in

materia di data valuta.

5.2 Rimborsi nel caso di operazioni di pagamento autorizzate eseguite su

iniziativa del beneficiario o per il suo tramite

Le operazioni di pagamento autorizzate eseguite su iniziativa del

beneficiario del pagamento o per il suo tramite richiedono per il pagatore forme

rafforzate di tutela nelle ipotesi in cui il trasferimento, pur se autorizzato, non

corrisponda alle sue ragionevoli aspettative. Le operazioni in questione sono

costituite dagli addebiti diretti e da quelle effettuate con carta di pagamento.

Il diritto al rimborso è riconosciuto al ricorrere di entrambe le seguenti

condizioni:

1. l’indeterminatezza dell’importo da trasferire al momento in cui il

2. l’importo trasferito sia superiore a quello che il pagatore, date le

circostanze e/o il precedente modello di spesa, avrebbe potuto

ragionevolmente attendersi: al riguardo, è necessario che vi sia una

differenza considerevole tra importo atteso e importo effettivamente

addebitato e/o che quest’ultimo non risulti in linea con le abitudini di

pagamento dell’utilizzatore.

La condizione di cui al numero 2) ha carattere soggettivo e non può che

essere valutata caso per caso; è tuttavia possibile che i prestatori di servizi di

pagamento definiscano, tramite le procedure organizzative di cui alla Sezione XI

del provvedimento della Banca d’Italia del 29 luglio 2009 e successive

atteso e importo addebitato possa essere ritenuta considerevole.

La circostanza che l’importo effettivamente addebitato non sia in linea

con le abitudini di pagamento dell’utilizzatore deve essere valutata anche alla

stregua di ogni ulteriore circostanza di fatto in cui si inscrive il pagamento di cui

si chiede il rimborso: ad esempio, nel caso del pagamento di una rata di mutuo a

tasso variabile, dove l’ammontare degli interessi è determinabile dal cliente sulla

base di quanto previsto nel contratto di mutuo, l’aumento del tasso di interesse

applicato non può essere opposto dal cliente per l’ottenimento del rimborso.

Nell’esempio citato restano fermi i diritti di rettifica e rimborso nel caso di

errore nel calcolo della rata del mutuo.

Il rimborso viene corrisposto entro 10 giornate operative dalla ricezione

della richiesta che deve essere trasmessa entro otto settimane dall’addebito

stesso; in caso di rifiuto ad effettuare il rimborso, il prestatore di servizi di

pagamento, nei medesimi tempi sopra citati, deve fornire al pagatore una

giustificazione del diniego e contestualmente comunicargli che, ove non accetti

la giustificazione fornita, ha il diritto di presentare un ricorso all’Arbitro

Bancario Finanziario secondo quanto previsto dall’articolo 128-bis del TUB

ovvero, se del caso, attivare altre forme di soluzione stragiudiziale delle

controversie. Il prestatore di servizi di pagamento comunica all’utilizzatore

anche le modalità per l’esercizio dei diritti sopra descritti.

Nel caso in cui la risposta del prestatore di servizi di pagamento alla

richiesta di rimborso sia stata negativa, l’utilizzatore può adire l’arbitro Bancario

Finanziario senza bisogno di presentare il preventivo reclamo al prestatore

medesimo. Per tale ragione, il rifiuto della richiesta di rimborso deve essere

motivato e contenere l’indicazione della possibilità di ricorrere all’Arbitro

Bancario Finanziario.

Resta ferma la possibilità di rivolgersi in qualunque momento

all’Autorità Giudiziaria e di presentare un esposto alla Banca d’Italia.

telefonica o dell’addebito sul proprio conto dell’importo speso con la carta di credito .

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

I prestatori di servizi di pagamento debbono dotarsi di procedure interne

e di strutture organizzative idonee ad assicurare l’espletamento degli obblighi

sopra descritti.

5.2.1 Rimborso di addebiti diretti

Per incentivare la fiducia del pubblico nell’addebito diretto, è previsto

che per questo strumento di pagamento le parti del contratto possano convenire

di riconoscere il diritto di rimborso del pagatore anche a prescindere dal

ricorrere di entrambe le condizioni di cui ai punti 1 e 2 del paragrafo precedente:

in tal caso il prestatore di servizi di pagamento non potrà rifiutare il rimborso al

pagatore.

Fermo restando quanto precede, e al fine di garantire l’affidabilità dei

circuiti di pagamento, i prestatori di servizi di pagamento sono tenuti a

monitorare le richieste di rimborso (in particolare, la loro frequenza e il loro

importo) al fine di individuare eventuali anomalie nell’utilizzo degli addebiti

Il diritto al rimborso può invece essere escluso a condizione che

l’autorizzazione al pagamento sia stata data direttamente dal pagatore al proprio

operazione di pagamento siano state fornite o messe a disposizione del pagatore

almeno quattro settimane prima dell’esecuzione.

5.2.2 Deroga per i non consumatori e le micro-imprese

Al fine di assicurare che servizi di addebito connotati dalla tempestiva

definitività del completamento dell’operazione (es. RID veloci) siano utilizzabili

in specifici ambiti economici (tipicamente, le forniture commerciali), il Decreto

prevede che, ove l’utilizzatore del servizio di pagamento non sia un

consumatore, le parti possano convenire di escludere il diritto di rimborso

dell’utilizzatore o quantomeno di concordare tempi ristretti per effettuare le

comunicazioni relative alla richiesta di rimborso.

accertare se sussistano eventuali anomalie connesse con le richieste di rimborso.

effettuare un acquisto di elevato ammontare; l’autorizzazione ad addebitare il proprio

conto alla ricezione della disposizione di incasso da parte del fornitore di luce o gas è

stata data direttamente dal debitore al proprio prestatore di servizi di pagamento.

SEZIONE V

Esecuzione di un’operazione di pagamento

Perchè l’esecuzione di un’operazione di pagamento possa considerarsi

correttamente eseguita due sono gli elementi sui quali è necessaria la massima

certezza: il momento in cui viene avviata l’esecuzione dell’ordine di pagamento

dal prestatore di servizi di pagamento e il tempo necessario affinché l’operazione

sia completata con l’accredito dei fondi, o la loro messa a disposizione, a favore

del beneficiario.

1. Fonti normative:

Artt. 15, 16, 17, 20, 21, 22 e 23 del Decreto

2. Ricezione degli ordini di pagamento

Il momento della ricezione di un ordine di pagamento è quello in cui

esso viene ricevuto dal prestatore di servizi di pagamento del pagatore o

direttamente dal proprio cliente o dal beneficiario o dal prestatore di servizi di

pagamento del beneficiario. A partire da questo momento:

deve essere eseguita;

· l’ordine di pagamento diventa irrevocabile;

prestatore di servizi di pagamento del pagatore l’obbligo di eseguire

l’ordine di pagamento o la possibilità di rifiutarne l’esecuzione

comunicandolo al proprio cliente.

Nel caso degli addebiti diretti, la data di ricezione dell’ordine di

pagamento è quella concordata tra il pagatore e il beneficiario quale data di

scadenza del pagamento stesso.

Per agevolare il fluido funzionamento dei circuiti di pagamento è

prevista la possibilità che il prestatore di servizi di pagamento fissi un termine

oltre il quale gli ordini si intendono ricevuti la giornata operativa successiva.

Tale possibilità non deve tuttavia tradursi in un danno per l’utilizzatore di servizi

di pagamento che non può vedersi ridotto in modo significativo il lasso di tempo

utile per dare un ordine di pagamento al proprio prestatore di servizi: per tale

motivo, qualora venga fissato un termine per la ricezione degli ordini di

pagamento, questo deve essere il più possibile coincidente con la fine effettiva

della giornata operativa. Detto termine può essere differenziato in relazione al

canale utilizzato dal cliente per l’invio dell’ordine di pagamento.

Il prestatore di servizi di pagamento:

- comunica il termine di ricezione degli ordini di pagamento all’utilizzatore in

conformità con quanto previsto dalla Sezione VI, paragrafo 4.1.1, e 4.2.1 del

provvedimento della Banca d’Italia del 29 luglio 2009 e successive

- verifica che tale termine sia coerente con l’esigenza di garantire nel concreto la

fluidità e la correttezza dell’effettuazione delle operazioni di pagamento; in

caso di incoerenza, provvede tempestivamente a spostarlo il più possibile in

avanti.

L’effetto di differimento al giorno successivo degli ordini trasmessi dal

cliente oltre il termine si produce anche nei confronti dell’ordinante stesso. I

prestatori di servizi di pagamento riconoscono pertanto al cliente ordinante la

disponibilità delle somme relative a un ordine di pagamento ricevuto dopo il

termine della giornata operativa fino al momento di ricezione dell’ordine

medesimo nella giornata operativa successiva.

Non è consentito individuare analogo termine per i pagamenti ricevuti

dal prestatore di servizi di pagamento del beneficiario. Ove tali pagamenti siano

ricevuti in tempi oggettivamente incompatibili con l’immediata messa a

disposizione dei fondi del beneficiario, la disponibilità è riconosciuta nel giorno

operativo immediatamente successivo alla ricezione con data valuta del giorno

precedente.

La gestione della ricezione e dell’esecuzione di un ordine di pagamento

deve essere svolta in conformità con i vincoli derivanti dalla normativa dettata in

materia di contrasto all’utilizzo dei circuiti e servizi di pagamento per finalità

illecite e agli obblighi dettati in materia di tracciabilità dei flussi finanziari24.

3. Irrevocabilità di un ordine di pagamento

L’utilizzatore non può revocare un ordine di pagamento una volta che

questo sia stato ricevuto dal suo prestatore di servizi di pagamento.

Quando l’operazione di pagamento è disposta su iniziativa del

beneficiario o per il suo tramite, il pagatore, in ossequio al principio di

affidamento, non può revocare l’ordine dopo che questo è stato trasmesso al

beneficiario medesimo o dopo avergli dato il consenso ad eseguire l’operazione

di pagamento. Nel caso di addebiti diretti, per i quali vi è una preventiva

autorizzazione all’addebito del proprio conto da parte del pagatore, quest’ultimo

può revocare l’ordine non oltre la fine della giornata operativa precedente il

giorno concordato per l’addebito dei fondi.

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

finanziamento del terrorismo, si fa riferimento alla disciplina sulla tracciabilità dei

flussi finanziari di cui all’art. 3 della legge 13 agosto 2010, n. 136, come modificata

dal decreto legge 12 novembre 2010, n. 187 convertito in legge, con modificazioni,

dalla legge 17 dicembre 2010, n. 217, e successivi provvedimenti attuativi. Con

riferimento a quest’ultima disciplina, i prestatori di servizi di pagamento ne possono

essere destinatari diretti.

Nel caso di pagamenti a esecuzione differita, la revoca non può

intervenire oltre la fine della giornata operativa che precede il giorno previsto

per l’esecuzione.

Decorsi i termini sopra richiamati, un ordine di pagamento può essere

revocato solo se sussiste l’accordo tra l’utilizzatore e il suo prestatore di servizi

di pagamento.

4. Rifiuto di un ordine di pagamento

Il prestatore di servizi di pagamento ha l’obbligo di eseguire un ordine di

pagamento quando questo risulti conforme alle condizioni previste nel contratto.

In caso di rifiuto, per tutelare l’affidamento del cliente che confida

nell’esecuzione dell’ordine di pagamento impartito secondo i tempi previsti, il

prestatore di servizi di pagamento deve informare immediatamente, e comunque

non oltre il termine per l’esecuzione dell’operazione di pagamento, il pagatore

del rifiuto di eseguire l’ordine seguendo le modalità di comunicazione

concordate nel contratto e fornendo le motivazioni del rifiuto, salvo che tale

comunicazione sia contraria alla legge (tale contrarietà ricorre, ad esempio, nel

caso in cui il nominativo del pagatore corrisponda a uno di quelli elencati nelle

liste diffuse per il contrasto al finanziamento del terrorismo). Considerata

l’esigenza di effettuare con la massima rapidità tale comunicazione, i prestatori

di servizi di pagamento debbono adottare modalità di comunicazione atte ad

assicurare il più possibile l’immediatezza dell’informazione del cliente (es.

telefoniche o a mezzo posta elettronica).

Ove il rifiuto sia imputabile a un errore materiale del pagatore, il

prestatore di servizi di pagamento è tenuto a comunicare anche le procedure

finalizzate alla correzione dello stesso .

5. Tempi di esecuzione

Il tempo di esecuzione è il tempo necessario affinché l’ordine di

pagamento venga eseguito attraverso l’accredito dei fondi sul conto del

beneficiario o la loro messa a disposizione a favore di quest’ultimo.

5.1 Pagamenti a valere su un conto

Il prestatore di servizi di pagamento del pagatore esegue l’ordine di

pagamento con l’accredito dei fondi sul conto del prestatore di servizi di

pagamento del beneficiario entro la fine della giornata operativa successiva alla

ricezione dell’ordine di pagamento; fino al 1° gennaio 2012 detto lasso

temporale è dilazionabile, d’accordo tra il prestatore e l’utilizzatore del servizio

di pagamento, fino a un massimo di tre giorni.

Nel caso in cui l’operazione sia ad iniziativa del pagatore, il termine

decorre da quando l’ordine di pagamento è ricevuto dal prestatore di servizi di

pagamento di quest’ultimo. Nel caso delle operazioni ad iniziativa del

beneficiario o per il suo tramite, il termine decorre dal momento della ricezione,

da parte del prestatore di servizi del pagatore, della disposizione di pagamento

trasmessa dal prestatore di servizi del beneficiario. La trasmissione della

disposizione di pagamento ha luogo nel momento concordato tra il beneficiario e

il proprio prestatore di servizi (facendo riferimento, ad esempio, alla data di

addebito indicata sulla fattura di un’utenza domestica).

5.1.1 Conversioni valutarie

Fatto salvo quanto previsto dall’articolo 126-octies, comma 1, del

Decreto, qualora un’operazione di pagamento sia eseguita in una valuta diversa

da quella in cui è denominato il conto del beneficiario il prestatore di servizi di

pagamento del beneficiario:

1) avvia immediatamente l’operazione di conversione valutaria;

2) riconosce la disponibilità dei fondi al beneficiario nella valuta in

cui è denominato il conto non appena l’operazione di conversione

valutaria è stata completata. Resta ferma la possibilità del

beneficiario di chiedere al proprio prestatore di servizi di

pagamento di non accreditare la somma ricevuta sul proprio conto

rendendola disponibile nella valuta in cui era originariamente

espresso il pagamento.

In caso di ordini di pagamento da eseguire in una valuta diversa da

quella in cui è denominato il conto del pagatore - o, in mancanza di un conto, da

quella versata per l’esecuzione dell’operazione - il prestatore di servizi di

pagamento del pagatore informa quest’ultimo del tasso di cambio applicato.

5.1.2 Pagamenti interni

Il caso dei c.d. “pagamenti interni” ricorre quando i conti coinvolti

nell’operazione di pagamento sono tenuti presso lo stesso prestatore di servizi di

pagamento. In tal caso, ove i conti siano detenuti presso la stessa filiale o presso

diverse filiali del medesimo prestatore di servizi di pagamento, le operazioni

devono essere eseguite immediatamente ai sensi dell’art. 23 del Decreto, a meno

che per il relativo regolamento non venga utilizzato un sistema esterno al

prestatore medesimo. In tal caso il momento dell’accredito dei fondi sul conto

della filiale presso cui è detenuto il conto del beneficiario, fermo restando il

rispetto dei tempi di cui all’art. 20 del Decreto, sarà quello del regolamento del

sistema esterno attraverso il quale viene effettuato il regolamento

dell’operazione.

5.2 Pagamenti in assenza di conto

Se il beneficiario non ha un conto di pagamento, i fondi trasferiti sono

messi a sua disposizione dal prestatore di servizi di pagamento di cui egli si

avvale entro i tempi di cui all’articolo 23, comma 2, del Decreto, che decorrono

dall’accredito dei fondi medesimi sul conto del prestatore di servizi in questione.

Le somme dovranno essere contabilizzate in conti o sottoconti transitori

riconducibili al beneficiario che verranno estinti nel momento in cui esse

saranno ritirate in contanti o il beneficiario ne richiederà l’accredito su un altro

conto.

5.3 Versamenti

Nel caso di versamenti di contante su un conto nella stessa valuta in cui

è denominato il conto medesimo, i fondi sono immediatamente disponibili per il

titolare del conto e la data valuta sarà quella del giorno in cui viene effettuato il

versamento. Se l’utilizzatore non è un consumatore, l’importo è reso disponibile

e la valuta datata al più tardi la giornata operativa successiva al versamento dei

fondi.

Quando il versamento di contante è effettuato in una valuta diversa da

quella in cui è denominato il conto, i fondi sono immediatamente disponibili per

l’utilizzo (ad esempio, per l’esecuzione di un nuovo ordine di pagamento

espresso nella valuta medesima che non deve quindi essere convertita) ma

vengono accreditati sul conto immediatamente dopo che sia stata effettuata

l’operazione di conversione valutaria; la data valuta è quella dell’accredito in

conto che non può superare la seconda giornata operativa successiva a quella in

cui viene effettuato il versamento (cfr. presente Sezione, par. 5.1.1).

L’utilizzatore viene preventivamente informato dei tempi necessari per

effettuare detta operazione di conversione valutaria. Qualora il titolare del conto

non sia un consumatore, la disponibilità dei fondi potrà essere al più tardi quella

della giornata operativa successiva a quella in cui il versamento ha avuto luogo e

la data valuta applicata potrà essere quella della terza giornata operativa

successiva a quella del versamento.

5.4 Data valuta e disponibilità dei fondi

Cfr. Sezione III, par. 3, del presente Provvedimento.

5.4.1 Pagamenti in giornate non operative

Nel caso di operazioni di pagamento effettuate in una giornata che non è

operativa per il prestatore di servizi di pagamento del pagatore o, nel caso di

prelievo effettuato in una giornata che non è operativa per il prestatore di servizi

di pagamento presso cui è detenuto il conto di pagamento dal quale i fondi

vengono prelevati, la data in cui l’importo viene addebitato sul medesimo conto

è necessariamente successiva a quella in cui i fondi sono resi disponibili

all’utilizzatore. In tali casi, la data valuta dell’operazione di pagamento è quella

del giorno in cui viene disposto l’ordine di pagamento o effettuato il prelievo.

Per il rispetto dei tempi di esecuzione di cui all’articolo 20 del Decreto, l’ordine

di pagamento si intende ricevuto il giorno in cui il pagatore dispone

effettivamente dei fondi, quindi, il giorno in cui viene disposto l’ordine di

pagamento o effettuato il prelievo.

5.5 Rettifiche

La rettifica è un’operazione con la quale viene corretta un’operazione di

pagamento eseguita in modo inesatto, anche a causa di un mero errore materiale,

di ritardi nella contabilizzazione o di un difetto di autorizzazione all’esecuzione

(è questo, ad esempio, il caso di storni, rimborsi, ecc.; cfr. anche Sezione IV,

par. 4). La rettifica riporta il conto nello stato in cui si sarebbe trovato se

l’operazione errata non avesse avuto luogo: la data valuta applicata verrà quindi

retrodatata al giorno in cui i fondi sono stati originariamente addebitati sul conto

del pagatore e, se del caso, la data valuta di addebito al beneficiario verrà

retrodatata al giorno in cui i fondi sono stati accreditati sul conto del

beneficiario.

Il prestatore di servizi di pagamento può scegliere di effettuare la

rettifica con un’operazione di pagamento che integra quella precedentemente

eseguita in modo inesatto, oppure annullare l’operazione di pagamento eseguita

in modo inesatto con una ad essa uguale e contraria ed effettuare una nuova

operazione conforme all’ordine di pagamento o alle istruzioni impartite dal

proprio cliente.

I prestatori di servizi di pagamento provvedono a effettuare rettifiche in

relazione a esigenze effettive connesse con operazioni non autorizzate o eseguite

in modo inesatto; non è ammesso il ricorso a rettifiche aventi l’effetto

sostanziale di eludere le regole poste a presidio della regolare esecuzione delle

operazioni di pagamento (in particolare, di quelle relative alla valuta e ai tempi

di esecuzione delle operazioni medesime).

SEZIONE VI

Responsabilità

Come nella fase di autorizzazione di un pagamento, la normativa opera

un attento bilanciamento di obblighi tra prestatori e utilizzatori di servizi di

pagamento anche nella fase di esecuzione dell’operazione di pagamento:

all’estensione della responsabilità dei prestatori di servizi di pagamento a

copertura dell’intero ciclo di trasferimento monetario fa riscontro l’esenzione

totale di responsabilità per gli stessi nel caso in cui l’utilizzatore abbia fornito un

identificativo unico inesatto. I rimedi individuati dal Decreto per i casi di

operazioni di pagamento non eseguite o eseguite in modo inesatto lasciano

impregiudicata l’applicazione di quelli risarcitori previsti dal codice civile.

1. Fonti normative:

Artt. 24, 25, 27, 28 del Decreto

2. Identificativo unico

L’identificativo unico è un codice che identifica l’utilizzatore di servizi

di pagamento o il suo conto oppure entrambi. Esso viene indicato a ciascun

utilizzatore dal prestatore di servizi di pagamento e assolve alla funzione di

indirizzamento dei pagamenti, consentendone l’esecuzione interamente

automatizzata (c.d. straight through processing). L’utilizzatore che impartisce un

ordine di pagamento deve quindi fornire al proprio prestatore di servizi

l’identificativo unico della controparte del pagamento e deve prestare particolare

attenzione a che il codice fornito sia esatto. Secondo quanto previsto nella

Sezione VI paragrafo 4.1.1 del provvedimento della Banca d’Italia del 29 luglio

adottare accorgimenti idonei a richiamare l’attenzione degli utilizzatori sulle

conseguenze derivanti dall’utilizzo di un codice identificativo inesatto.

2.1 Identificativi unici inesatti

L’esecuzione dell’ordine in conformità con l’identificativo unico fornito

dall’utilizzatore fa scattare la presunzione di esecuzione corretta dell’ordine

medesimo da parte del prestatore di servizi di pagamento ed esclude la sua

responsabilità in caso di mancata o inesatta esecuzione dell’operazione di

pagamento. La presunzione di corretta esecuzione e l’esclusione della

responsabilità operano anche qualora l’utilizzatore abbia fornito al proprio

prestatore di servizi di pagamento informazioni aggiuntive rispetto

all’identificativo unico: quest’ultimo assume quindi importanza prioritaria,

finanziari. Correttezza delle relazioni tra intermediari e clienti” disponibili sul sito

internet della Banca d’Italia (www.bancaditalia.it).

condizionando il buon fine delle operazioni di pagamento e la possibilità per

l’utilizzatore di far valere le responsabilità del prestatore di servizi di cui si

avvale.

Nel caso in cui l’utilizzatore abbia fornito un codice identificativo

inesatto, i prestatori di servizi di pagamento si adoperano per il recupero dei

fondi oggetto dell’operazione di pagamento sulla base degli obblighi di diligenza

professionale che loro competono. All’utilizzatore potranno essere applicate

spese per il recupero dei fondi, secondo i principi elencati nella Sezione III del

presente Provvedimento.

Sulla base dei citati obblighi di diligenza professionale, i prestatori di

servizi di pagamento – limitatamente ai casi in cui, anche senza porre

necessariamente in essere verifiche specifiche, siano comunque consapevoli

dell’inesattezza dell’identificativo unico fornito dal proprio cliente – devono

adoperarsi affinché l’operazione di pagamento venga eseguita correttamente: il

prestatore che esegua l’operazione di pagamento malgrado sia consapevole

dell’inesattezza dell’identificativo unico pone infatti in essere una condotta

volutamente pregiudizievole degli interessi del proprio cliente. Pertanto, al fine

di favorire la corretta esecuzione dell’operazione di pagamento, il prestatore di

servizi di pagamento consapevole dell’inesattezza dell’identificativo unico

utilizzato dal proprio cliente lo contatterà prima di avviare l’esecuzione

dell’operazione di pagamento. Il prestatore di servizi del beneficiario

consapevole contatterà invece il prestatore di servizi dell’ordinante prima di

decidere se respingere il pagamento - nel caso di codice identificativo inesistente

presso di sé – ovvero di eseguirlo sulla base del solo codice identificativo unico

in caso di discordanza tra questo e i riferimenti indicati nell’ordine di

pagamento. L’adozione di tali accorgimenti – ove fondata su presupposti

oggettivi e giustificabili - esime il prestatore di servizi di pagamento da

responsabilità per il mancato rispetto dei tempi di esecuzione dell’operazione di

pagamento.

2.2 Assenza di identificativo unico

Qualora l’utilizzatore ometta di fornire al prestatore di servizi di

pagamento di cui si avvale l’identificativo unico della controparte del pagamento

l’ordine di pagamento deve essere rifiutato dal prestatore di servizi medesimo, a

meno che quest’ultimo non sia già in possesso dell’identificativo unico della

controparte in quanto fornito in precedenza dall’utilizzatore che impartisce

l’ordine di pagamento. In quest’ultimo caso, ove decida di eseguire l’ordine di

pagamento ricevuto, il prestatore di servizi di pagamento comunicherà al proprio

cliente l’integrazione dell’ordine di pagamento incompleto prima di avviare la

relativa esecuzione.

3. Responsabilità per mancata o inesatta esecuzione

3.1 Principi generali

Il Decreto disciplina la responsabilità dei prestatori di servizi di

pagamento in caso di mancata o inesatta esecuzione di un’operazione di

pagamento. Tale disciplina fa salva l’applicabilità delle disposizioni che

esimono i prestatori di servizi di pagamento da responsabilità (quale l’utilizzo di

identificativi unici inesatti, il caso fortuito e la forza maggiore) e non pregiudica

le modalità e i tempi con cui l’utilizzatore deve far valere le proprie ragioni per

l’esecuzione non autorizzata o inesatta di un’operazione di pagamento (articolo

9 del Decreto).

La disciplina contenuta nell’articolo 25 del Decreto si concentra infatti

sul modo in cui un’operazione di pagamento viene eseguita e sul caso in cui essa

non venga eseguita affatto, prescindendo dagli elementi che hanno dato luogo

all’inesattezza o al difetto di esecuzione quali la volontà del pagatore, errori

dell’utilizzatore, eventi accidentali o inevitabili.

Un’operazione di pagamento è eseguita in modo inesatto quando

l’esecuzione non è conforme a quanto chiesto dall’utilizzatore al proprio

prestatore di servizi di pagamento nell’ordine di pagamento o in istruzioni allo

stesso impartite. Il rispetto delle istruzioni impartite dal cliente attiene

all’importo trasferito, ai tempi di esecuzione e di disponibilità, alle date valuta

applicate. Si ha mancata esecuzione di un’operazione di pagamento quando i

fondi oggetto dell’ordine di pagamento non vengono trasferiti da parte del

prestatore di servizi di pagamento del pagatore, rimanendo nella disponibilità del

pagatore o del prestatore stesso. Qualora i fondi vengano addebitati al pagatore,

escano dalla disponibilità del prestatore di servizi del pagatore ma non vengano

accreditati, in tutto o in parte, al prestatore del beneficiario l’esecuzione sarà

invece considerata inesatta.

Il principio generale al quale è informata la ripartizione di responsabilità

per la corretta esecuzione delle operazioni di pagamento è che ciascun prestatore

di servizi di pagamento è interamente responsabile nei confronti del proprio

cliente. Fatto salvo il riparto di responsabilità nelle diverse fasi in cui si articola

l’esecuzione di un’operazione di pagamento, ciascun prestatore di servizi

risponde quindi nei confronti del proprio cliente di tutte le spese o interessi che

siano stati a lui imputati a seguito della mancata o inesatta esecuzione

dell’operazione di pagamento.

In caso di inesatta o mancata esecuzione di un’operazione di pagamento,

ferme restando le rispettive responsabilità dei prestatori di servizi di pagamento

coinvolti, l’obbligo di diligenza professionale che ricade in capo ai prestatori di

servizi di pagamento impone comunque a questi ultimi di adoperarsi senza

indugio - quando i clienti ne facciano richiesta - per individuare lo stato in cui si

trovano i fondi oggetto dell’ordine di pagamento e di comunicarlo

tempestivamente ai clienti medesimi.

3.2 Responsabilità del prestatore di servizi di pagamento del pagatore

Il prestatore di servizi di pagamento del pagatore risponde nei confronti

del proprio cliente della corretta esecuzione dell’ordine di pagamento. La

responsabilità comporta l’obbligo di rimborso immediato dell’importo non

andato a buon fine, oppure, ove l’ordine di pagamento sia stato impartito a

valere su un conto, l’obbligo di ripristinare la situazione del conto come se

l’operazione eseguita in modo inesatto non avesse avuto luogo. Il rimborso non è

dovuto nel caso in cui la somma da trasferire non sia mai stata addebitata al

pagatore.

In ossequio al principio di conservazione degli atti giuridici, il pagatore

può scegliere di non ottenere il rimborso o il ripristino del conto (ad esempio nel

caso di esecuzione avvenuta oltre i tempi massimi previsti nell’articolo 20 del

Decreto o nel caso di trasferimento di un importo diverso da quello indicato

nell’ordine di pagamento); può comunque ottenere la rettifica dell’operazione

inesatta secondo quanto previsto dall’articolo 9 del Decreto.

Il prestatore di servizi di pagamento del pagatore può comunque

dimostrare al proprio cliente e, ove necessario, al prestatore di servizi di

pagamento del beneficiario che i fondi trasferiti sono stati accreditati sul conto di

quest’ultimo prestatore secondo i prescritti limiti temporali; in tal caso, l’ordine

di pagamento deve intendersi eseguito correttamente da parte del prestatore del

pagatore e il prestatore di servizi di pagamento del beneficiario risponde nei

confronti del beneficiario della corretta esecuzione dell’operazione di

pagamento, mettendo immediatamente i fondi ricevuti a disposizione del proprio

cliente o accreditandoli sul suo conto.

3.3 Responsabilità del prestatore di servizi di pagamento del beneficiario

Quando un’operazione di pagamento è disposta su iniziativa del

beneficiario o per il suo tramite, il prestatore di servizi di pagamento del

beneficiario deve:

disposizione di incasso al prestatore di servizi del pagatore;

precedente;

secondo quanto prescritto dall’articolo 23 del decreto;

3.4 Diritto di regresso

Se la responsabilità di un prestatore di servizi di pagamento ai sensi dei

paragrafi precedenti è in realtà ascrivibile ad un altro prestatore di servizi di

pagamento o a qualunque altro soggetto intervenuto nell’esecuzione

dell’operazione di pagamento, questo sarà tenuto a risarcire il prestatore di

servizi di pagamento responsabile delle perdite subite o degli importi versati.

L’esercizio del diritto di regresso lascia impregiudicati eventuali ulteriori

risarcimenti derivanti da accordi in essere tra prestatori di servizi di pagamento o

dalla disciplina ad essi applicabile.

SEZIONE VII

Disposizioni transitorie e finali

1. Istituti di pagamento

Gli Istituti di pagamento redigono la relazione sulla struttura

organizzativa e il documento descrittivo dei servizi di pagamento prestati e delle

relative caratteristiche di cui alla Sezione III, Capitolo VI, delle Disposizioni di

Vigilanza della Banca d’Italia per gli istituti di pagamento tenendo conto degli

obblighi previsti dal presente Provvedimento.

2. Istituti di moneta elettronica

Gli Istituti di moneta elettronica redigono la relazione sulla struttura

organizzativa di cui alla Sezione III, Capitolo VIII, delle Istruzioni di Vigilanza

per gli Istituti di moneta elettronica (Imel) tenendo conto degli obblighi previsti

dal presente Provvedimento.

3. Banche e Poste Italiane S.p.A.

Le banche e Poste Italiane S.p.A. tengono conto degli obblighi previsti

dal presente Provvedimento nella definizione della propria struttura

organizzativa e di controlli interni.

ALLEGATO TECNICO

Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza

1. Premessa

I prestatori di servizi di pagamento (PSP) sono sottoposti all’obbligo generale di

assicurare per tutti gli strumenti di pagamento offerti alla clientela adeguati

presidi tecnico-organizzativi di sicurezza al fine di garantire il regolare

funzionamento, in ogni momento, degli stessi nonché la fiducia del pubblico nel

loro utilizzo. La conformità a tale obbligo è definita nella Sezione IV del

Provvedimento della Banca d’Italia (d’ora in avanti “Provvedimento”) emanato

“Decreto”).

Le presenti disposizioni – emanate ai sensi dell’articolo 12, comma 5, del

Decreto - individuano gli strumenti di pagamento retail di più elevata qualità

sotto il profilo della sicurezza, per i quali la Banca d’Italia riconosce

l’esclusione della responsabilità patrimoniale dell’utilizzatore, fatta eccezione

per i casi di dolo, colpa grave ovvero mancata adozione di misure idonee a

Obiettivo delle presenti disposizioni è la promozione di strumenti di pagamento

sicuri che aumentino la fiducia del pubblico nei pagamenti elettronici e, quindi,

ne favoriscano la diffusione; in considerazione di tale obiettivo, esse trovano

applicazione esclusivamente nei casi di utilizzo degli strumenti “a maggior

sicurezza” da parte di “consumatori”, con esclusione, quindi, delle altre

categorie di utilizzatori previste dal Decreto.

Gli strumenti qualificati come “a maggior sicurezza” non vanno intesi come

mezzi intrinsecamente sicuri, cioè privi di rischio, ma come strumenti che

presentano un livello di rischio connesso con frodi o disconoscimenti inferiore

rispetto agli altri strumenti di pagamento alla luce dell’evoluzione tecnologica.

L’adesione ai requisiti delle presenti disposizioni avviene su base volontaria per

singolo strumento di pagamento su richiesta del PSP. La Banca d’Italia assicura

la generale conoscibilità di tali strumenti.

Nei paragrafi successivi si definiscono i requisiti tecnico-organizzativi che

qualificano i presidi di sicurezza “rafforzati” degli strumenti “a maggior

sicurezza” nonché la procedura per il riconoscimento di tali requisiti.

2. Requisiti degli strumenti “a maggior sicurezza”

Sono strumenti di più elevata qualità quelli dotati di maggiori presidi di

sicurezza specificamente orientati a:

prevenire i furti di identità;

minimizzare il rischio di frodi.

servizi di pagamento in relazione alla prestazione di servizi e all’emissione di strumenti

di pagamento”

euro derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo

furto o smarrimento.

Gli strumenti di pagamento possono essere qualificati a “maggior sicurezza” in

presenza di un rapporto di valutazione, (cfr. § 3), che attesti la presenza presso il

PSP del processo di gestione e mitigazione dei rischi relativi alla sicurezza

secondo quanto previsto alla sezione IV, par. 3.1. del Provvedimento.

Il processo di gestione e mitigazione dei rischi, per gli strumenti di cui al

presente allegato, deve includere obbligatoriamente specifici presidi per la

mitigazione del rischio di sottrazione delle credenziali di autenticazione dai

dispositivi dell’utente (es: smart card, token, PC, lap-top, telefono cellulare), dai

canali di comunicazione (es: attacchi man-in-the-middle) e dai dispositivi del

PSP (server, data storage, etc.). In particolare, tra i presidi specifici devono

essere previsti almeno quelli relativi a quanto di seguito indicato:

utilizzando due o più fattori di autenticazione; tali fattori devono essere tra

loro indipendenti in maniera che la compromissione dell’uno non

comprometta anche l’altro. Nel caso di One-Time-Password di tipo timebased,

il tempo di validità della singola password non deve superare i 100

secondi ed in ogni caso deve impedire attacchi di tipo ”forza bruta”.

essere in grado di autenticare in maniera sicura il dispositivo di pagamento

del PSP con il quale interagisce, al fine di minimizzare il rischio che

l’utilizzatore consegni inconsapevolmente le proprie credenziali e i propri

dati a dispositivi malevoli (es: autenticazione POS/ATM verso la carta,

autenticazione Web server della banca verso il PC dell’utente,

personalizzazione della pagina Web29).

superiore a 500 euro devono essere autorizzate on-line tramite il server

centrale che gestisce lo strumento di pagamento.

autenticazione dell’utilizzatore nonché dei suoi dati personali, dal

dispositivo del cliente fino al punto di verifica del PSP, deve essere

effettuata su canali con cifratura end-to-end30. Qualora la tecnologia del

“fattori”, tra i quali: i) qualcosa che l’utente conosce (es: password/PIN); ii) qualcosa che

l’utente possiede (es. smart card, token, OTP, SIM cellulare, Firma Digitale); iii)

qualcosa che l’utente è (es: caratteristiche biometriche). Fattori di diverso tipo possono

essere combinati insieme per ottenere soluzioni di autenticazione “multifattore” in grado

di elevare il livello complessivo di sicurezza.

della pagina Web dove l’utilizzatore inserisce le proprie credenziali; tale

personalizzazione può avvenire attraverso un’immagine e/o una frase che l’utente

registra ed è in grado di vedere ogni volta che esegue il login verso il sito valido, agendo

come segreto condiviso (shared secret) tra l’utente ed il server. Se il segreto condiviso

non è presente oppure non è presentato in maniera corretta, l’utente finale sarà

immediatamente in grado di notarlo, evitando di incorrere in attacchi di tipo phishing.

interazione vocale con l’operatore oppure attraverso servizi di risponditori automatici

(IVR).

PSP richieda che tali dati siano rimessi in chiaro su dispositivi intermedi,

ciò deve avvenire all’interno di dispositivi sicuri (es: tamper-resistant

module, HSM), oppure nell’ambito di sottoreti chiuse non pubbliche

sicure (es: reti aziendali protette). Le funzioni di cifratura utilizzate

devono basarsi su algoritmi pubblicamente disponibili e di comprovata

robustezza.

effettuare più transazioni dispositive nell’ambito della stessa sessione (es:

Internet Banking), ogni transazione deve essere autorizzata singolarmente.

quello usualmente utilizzato per le transazioni, attraverso cui l’utilizzatore

viene tempestivamente informato delle transazioni effettuate (es: SMS, email,

pagine web riservate, etc.).

pagamento effettuati da remoto, il PSP implementa metodi di download

configurazione, dai propri server ai dispositivi dell’utente33.

di attivazione di uno strumento di pagamento, il PSP mette a disposizione

del cliente un processo di verifica delle identità che prevede adeguati

controlli volti a minimizzare il rischio di acquisizione di false generalità.

Per la gestione dello strumento di pagamento (es: cambio PIN/password,

variazione indirizzo, modifica limiti di spesa, etc.), sono disponibili

processi con sistemi di autenticazione affidabili, diversi da quelli in essere

per le transazioni dispositive. Il PSP garantisce che non sia possibile

ottenere le credenziali di autenticazione dell’utilizzatore sufficienti ad

effettuare una transazione dalla intercettazione delle comunicazioni

periodiche tra PSP e utilizzatore (es: estratti conto via posta, e-mail o

SMS).

funzionalità di pagamento (il PSP o il circuito a cui aderisce) implementa

efficaci controlli in grado di intercettare attacchi complessi, inclusi quelli

che si basano sulla interposizione dell’attaccante tra il dispositivo di

pagamento e il PSP (es: Man-In-The-Middle)34.

31 Per utilizzatore si intende in questo caso il titolare dello strumento di pagamento.

software (e/o dei relativi dati di configurazione) trasmessi via rete.

strettamente funzionali all’operazione di pagamento.

dispositiva effettuata dall’utente modifica il numero del conto del destinatario ovvero

l’ammontare dell’operazione prima che essa si perfezioni. In maniera similare, nel caso

di una carta di pagamento, l’attaccante si intromette nel collegamento tra POS e Issuer

per carpire le credenziali della carta ed utilizzarle su un altro terminale POS a proprio

vantaggio.

In aggiunta a quanto precede, il titolare delle funzionalità di pagamento (il PSP o

il circuito a cui aderisce) implementa efficaci controlli di sicurezza in grado di

rilevare tempestivamente transazioni sospette o attività inusuali potenzialmente

riconducibili a furto di identità o frode. In particolare, i suddetti controlli devono

riscontrare orario e canale utilizzato dall’utente nell’effettuare la transazione

nonchè essere in grado di rilevare almeno le seguenti situazioni:

richiesta di ri-emissione di PIN/password da consegnare attraverso il

servizio postale;

improvvisa movimentazione di fondi verso controparti inusuali.

In tali casi il PSP riscontra prontamente con l’utilizzatore l’autenticità di tali

transazioni ovvero dispone il blocco cautelativo.

3. Assessment indipendente

Gli organi aziendali assicurano, nell’ambito delle rispettive competenze, la

conformità ai requisiti necessari perché lo strumento di pagamento possa essere

qualificato a maggiore sicurezza, mediante una specifica validazione

(assessment). Per lo svolgimento dell’assessment i PSP possono avvalersi anche

di una terza parte indipendente e qualificata. I risultati dell’assessment devono

essere altresì portati a conoscenza e approvati dagli organi aziendali competenti.

L’assessment deve prevedere, oltre a valutazioni di tipo organizzativo,

specifiche verifiche tecniche volte ad accertare la robustezza dei presidi di

sicurezza implementati, con particolare riferimento agli aspetti indicati nel § 2.

L’assessor deve possedere adeguata expertise nel comparto della sicurezza delle

La valutazione deve riguardare l'intero ciclo di vita dello strumento di

pagamento (emissione, transazione, compensazione e regolamento, risoluzione

delle controversie, monitoraggio). Nel caso di strumenti che funzionino

nell’ambito di un circuito, la valutazione deve riguardare tutti i canali di

accettazione dello strumento di pagamento, anche se non ricadenti sotto il diretto

controllo del PSP (es. POS fisici, internet, canale telefonico).

Il rapporto di valutazione deve: i) attestare l’esistenza di un efficace processo di

risk management; ii) dare conto della adeguatezza dei presidi di sicurezza

implementati; iii) documentare il numero e la tipologia delle frodi nonché delle

violazioni di sicurezza subite nel periodo di riferimento precedente alla

valutazione. Al riguardo si precisa che, per gli strumenti di nuova costituzione o

sottostanti acquisti di beni o servizi, che sono generalmente più appetibili in caso di

frode.

standard internazionali ovvero una Autorità Finanziaria

con tempo di vita inferiore all’anno, la suddetta documentazione statistica sulle

frodi e violazioni di sicurezza non è richiesta; per gli strumenti già operativi, il

periodo di riferimento per la statistica non deve essere inferiore all’anno; in caso

di rinnovo della valutazione, il periodo di riferimento da considerare è quello

intercorso dall’ultima valutazione effettuata.

Inoltre, il rapporto di valutazione deve attestare il supporto del Vertice

Aziendale al richiesto processo di risk management per il quale ha definito una

adeguata struttura organizzativa. Tale processo deve prevedere presidi di

sicurezza adeguati rispetto ai rischi da fronteggiare e includere tutti quelli

elencati al paragrafo 2. Esso deve contenere quanto segue:

deve dare conto delle fasi di progettazione, implementazione, testing, messa

in produzione, revisione periodica dello strumento di pagamento;

indicando quali componenti (sistemi, reti, apparati, dispositivi, strutture

organizzative) sono state oggetto della valutazione. Tale perimetro deve

interessare tutte le componenti tecnologiche e organizzative afferenti al

servizio di pagamento;

valutazione (analisi documentale, interviste, test di laboratorio, ispezioni). I

risultati della valutazione devono essere riproducibili e comparabili. Il

rapporto deve fornire riferimenti specifici sulle aree a maggior rischio (es:

vulnerability assessment e penetration test per i servizi via Internet, test sulla

resistenza alla effrazione per i POS, verifica delle caratteristiche di qualità

dei token). Essi possono essere documentati facendo riferimento anche a

rapporti di valutazione o certificazioni emessi da altri soggetti specializzati

sulle tematiche in esame;

evidenziando gli eventuali aspetti potenzialmente critici per il servizio di

pagamento offerto dal PSP; va anche quantificato il rischio residuo tenendo

in considerazione le principali modalità con cui sono effettuati gli attacchi e

le relative frequenze nonché l’effetto mitigante delle contromisure poste in

essere;

valutatore volte a sanare criticità riscontrate o aree con livelli di sicurezza

sub-ottimali.

Il rapporto di valutazione deve essere: i) rinnovato con frequenza almeno

biennale; ii) aggiornato in presenza di significative modifiche tecnicoorganizzative

del servizio di pagamento.

4. Procedura di adesione.

La qualifica di strumento a "maggior sicurezza" è riconosciuta dalla Banca

d'Italia, su richiesta dei vertici aziendali del PSP, a seguito di una valutazione

per la quale è necessario:

1. fornire la descrizione del prodotto, con evidenza delle caratteristiche di

cui al § 2 (Requisiti degli strumenti a maggior sicurezza);

2. presentare l’assessment di cui al § 3 (Assessment indipendente);

3. fornire riferimenti sul soggetto che ha eseguito l'assessment;

4. predisporre uno schema di pagina web descrittiva del prodotto e dei

d’Italia farà rinvio per assicurare la generale conoscibilità degli

strumenti di più elevata qualità sotto il profilo della sicurezza, mediante

loro inclusione in una lista pubblica.

In caso di significative modifiche tecnico-organizzative del servizio di

pagamento e comunque ogni due anni il PSP deve chiedere il rinnovo della

qualifica degli strumenti a “maggior sicurezza” ai fini del mantenimento degli

stessi nella suddetta lista pubblica.

L’acquisizione e la gestione del rapporto di valutazione da parte della Banca

d’Italia verrà effettuato con modalità tali da preservare la riservatezza delle

informazioni in esso contenute.

5. Strumenti di pagamento di “basso valore”.

Gli strumenti di pagamento di basso valore, che consentono operazioni di

pagamento non superiori a 30 euro ovvero hanno un limite massimo di

avvaloramento che in nessun momento supera i 150 euro, sono soggetti ai sensi

dell’art. 4 del Decreto a un regime di responsabilità particolare.

Detti strumenti, su richiesta del PSP emittente, possono essere assimilati a quelli

“a maggior sicurezza” ai fini dell’applicazione del regime di responsabilità

ridotta per l’utilizzatore di cui all’art. 12, comma 5, del Decreto. In tal caso sono

inseriti nella suddetta lista pubblica ai fini di assicurarne la generale

conoscibilità.

La richiesta del PSP deve essere inoltrata alla Banca d’Italia unitamente a una

scheda descrittiva del prodotto, nella quale sono precisati le condizioni e i limiti

di operatività dello stesso.

Per gli strumenti di pagamento di “basso valore” non sono obbligatori i requisiti

di cui al § 2.