BANCA D'ITALIA
REGOLAMENTO 29 gennaio 2002
Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento.
Titolo I DISPOSIZIONI GENERALI Capo I Funzionamento dell'archivio
IL GOVERNATORE
DELLA BANCA D'ITALIA
Visto l'art. 36, comma 2, del decreto legislativo 30 dicembre 1999,
n. 507, che prevede l'emanazione del regolamento per la disciplina
delle modalita' di trasmissione, rettifica ed aggiornamento dei dati
da inserire nell'archivio previsto dal comma 1 del medesimo articolo,
nonche' le modalita' con cui la Banca d'Italia provvede al
trattamento dei dati trasmessi e ne consente la consultazione;
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999,
n. 507, che prevede che, con distinto regolamento emesso entro trenta
giorni dall'adozione del regolamento ministeriale di cui al comma 2,
la Banca d'Italia disciplina le modalita' e le procedure relative
alle attivita' previste dal medesimo regolamento ministeriale;
Visto il decreto del Ministro della giustizia 7 novembre 2001, n.
458, adottato ai sensi dell'art. 36, comma 2, del decreto legislativo
30 dicembre 1999, n. 507, recante il regolamento sul funzionamento
dell'archivio informatizzato degli assegni bancari e postali e delle
carte di pagamento;
Visto l'art. 146 del decreto legislativo 1 settembre 1993, n. 385
(Testo unico delle leggi in materia bancaria e creditizia);
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999,
n. 507, secondo il quale la Banca d'Italia provvede altresi' a
determinare i criteri generali per la quantificazione dei costi per
l'accesso e la consultazione dell'archivio da parte delle banche,
degli intermediari finanziari vigilati e degli uffici postali;
Ritenuta l'opportunita' di provvedere, nel medesimo regolamento
adottato ai sensi dell'art. 36, comma 3, del decreto legislativo
30 dicembre 1999, n. 507, alla determinazione dei criteri generali
per la quantificazione dei costi per l'accesso e la consultazione
dell'archivio da parte delle banche, degli intermediari finanziari
vigilati e degli uffici postali;
Sentito il garante per la protezione dei dati personali;
Emana
il seguente regolamento:
Art. 1.
Definizioni
Nel presente regolamento, si intende per:
a) "archivio": l'archivio degli assegni bancari e postali e delle
carte di pagamento irregolari di cui all'art. 10-bis della legge
15 dicembre 1990, n. 386, composto dalla sezione centrale e dalle
sezioni remote di cui all'art. 1, comma 2, del decreto ministeriale;
b) "assegni e carte bloccati": assegni e carte di pagamento dei
quali l'ente trattario ovvero emittente abbia disposto, di iniziativa
ovvero su richiesta, il divieto di utilizzo;
c) "decreto ministeriale": il decreto del Ministro della
giustizia 7 novembre 2001, n. 458;
d) "ente responsabile": ente concessionario del servizio di
gestione dell'archivio e responsabile per il trattamento dei dati, ai
sensi dell'art. 10-bis, comma 2, della legge 15 dicembre 1990, n.
386;
e) "enti segnalanti privati": le banche, gli uffici postali e gli
intermediari finanziari vigilati emittenti carte di pagamento;
f) "fase temporale": ciclo di funzionamento dell'archivio,
secondo gli orari indicati nell'allegato "Tempi di funzionamento";
g) "giorno operativo": giorno lavorativo bancario secondo il
calendario nazionale;
h) "manuale operativo": manuale comprendente, per ciascun
segmento, documenti nei quali sono indicate le istruzioni tecniche
per il funzionamento del segmento medesimo;
i) "preavviso di revoca": la comunicazione di cui all'art. 9-bis
della legge 15 dicembre 1990, n. 386;
j) "revoca di sistema": la revoca di cui all'art. 9 della legge
15 dicembre 1990, n. 386;
k) "revoca aziendale": la revoca disposta dal trattario fuori dai
casi di revoca di sistema;
l) "segmento": parte dell'archivio contenente i dati relativi
alle medesime fattispecie di segnalazione;
m) "segnalazione completa": il flusso informativo reso dagli enti
segnalanti alla sezione centrale dell'archivio, quando tutti i dati
che lo costituiscono sono inseriti negli appositi campi in modo
conforme a quanto previsto dal manuale operativo;
n) "sezione centrale": la sezione dell'archivio presso la Banca
d'Italia ovvero presso l'ente responsabile;
o) "sezione remota": la sezione dell'archivio esistente presso
gli enti segnalanti privati e presso i prefetti.
Art. 2.
Struttura dell'archivio
1. Nella sezione centrale sono contenuti tutti i segmenti
individuati nell'allegato "Tempi di funzionamento"; nelle sezioni
remote devono essere contenuti i segmenti necessari per
l'assolvimento degli obblighi di consultazione dell'archivio.
2. I dati da iscrivere nell'archivio, ai sensi dell'art. 2 del
decreto ministeriale, devono essere completi degli elementi
specificati nel manuale operativo.
Art. 3.
Giorni di funzionamento dell'archivio
L'archivio e' funzionante in tutti i giorni operativi secondo
l'orario indicato nell'allegato "Tempi di funzionamento".
Art. 4.
Modalita' di funzionamento dell'archivio
1. Il funzionamento dell'archivio si articola in tre fasi
temporali. Nella prima fase, ciascun ente segnalante trasmette
all'ente responsabile i dati di propria pertinenza. Nella seconda
fase, l'ente responsabile invia il flusso di ritorno dei dati
ricevuti nel corso della fase precedente agli enti segnalanti
tenutari delle sezioni remote, che effettuano le operazioni di
riscontro. Nella terza fase, ai sensi dell'art. 9, comma 3, del
decreto ministeriale, si realizza l'iscrizione dei dati nell'archivio
e, quindi, la loro simultanea consultabilita' presso la sezione
centrale e presso quelle remote.
2. Per le attivita' di trasmissione e di ricezione dei dati,
previste dalla prima e dalla seconda fase di cui al comma precedente,
ciascun ente segnalante privato in conformita' con le disposizioni
della legge 31 dicembre 1996, n. 675, puo' avvalersi di altro ente
segnalante privato a cio' delegato.
3. I giorni e gli orari relativi a ciascuna delle fasi di cui al
comma 1 sono indicati nell'allegato "Tempi di funzionamento".
4. Fermo restando il momento di iscrizione nell'archivio dei dati
relativi alle fattispecie di assegni emessi senza provvista e senza
autorizzazione, resta salva, per la Banca d'Italia ovvero per l'ente
responsabile, la possibilita' di:
a) anticipare la conclusione delle fasi di cui al comma 3, allo
scopo di accrescere l'efficienza dei meccanismi di funzionamento
dell'archivio;
b) posticipare la conclusione delle fasi medesime, in presenza di
comprovate necessita' tecnico-operative.
5. Tenuto conto di quanto previsto nell'allegato "Tempi di
funzionamento", il trattario indica nel preavviso di revoca la data
dell'eventuale iscrizione della segnalazione in archivio.
Art. 5.
Completezza delle segnalazioni
1. La segnalazione di cui alla prima fase di funzionamento
dell'archivio prevista dall'art. 4, comma 1, puo' essere utilmente
effettuata e ricevuta solo se completa.
2. Qualora la segnalazione sia incompleta, essa viene respinta.
L'ente segnalante, dopo le opportune integrazioni e modifiche, puo'
effettuare una nuova segnalazione ed e' responsabile dell'eventuale
ritardo.
3. Fatto salvo il disposto dell'art. 20, qualora i dati inseriti
nel campo relativo al codice fiscale del soggetto segnalato siano
incongruenti, l'ente segnalante, sotto la propria responsabilita' e
in conformita' con quanto previsto nel manuale operativo, puo':
a) indicare fin dall'inizio che la segnalazione deve essere
comunque accettata dall'ente responsabile;
b) proporre una nuova segnalazione di contenuto uguale a quella
eventualmente respinta indicando che essa deve essere comunque
accettata dall'ente responsabile. Il ritardo nella iscrizione in
archivio conseguente alla necessita' della suddetta nuova
segnalazione e' imputabile all'ente segnalante.
4. La Banca d'Italia, ovvero l'ente responsabile, dispone la
cancellazione e la rettifica dei dati dell'archivio soltanto su
iniziativa dell'ente che ha originato la relativa segnalazione ovvero
in attuazione di provvedimenti dell'autorita' giudiziaria o del
garante per la protezione dei dati personali.
5. In caso di nuova segnalazione sostitutiva di una precedente che
non consentiva l'identificazione del soggetto da revocare, i termini
di efficacia della revoca di sistema decorrono dall'iscrizione della
nuova segnalazione in archivio.
6. In caso di ritardata iscrizione dovuta a segnalazione tardiva,
incompleta o con codice fiscale incongruo, nonche' nel caso di nuova
segnalazione di cui al comma precedente, l'ente segnalante cura sotto
la propria responsabilita' le necessarie comunicazioni ai soggetti
interessati.
Capo II Assegni e carte di pagamento
Art. 6.
Assegni senza provvista e senza autorizzazione
1. In caso di trasmissione telematica delle informazioni relative
ad un assegno da parte dell'ente negoziatore del titolo all'ente
trattario, quest'ultimo provvede ad effettuare i necessari controlli
e a comunicarne l'esito all'ente negoziatore del titolo con le
modalita' ed entro il termine massimo previsto dagli accordi
interbancari che disciplinano le relative procedure.
2. Per gli effetti di cui all'art. 9-bis, comma 2, della legge
15 dicembre 1990, n. 386, l'assegno si intende presentato al
pagamento nel giorno di scadenza del termine massimo di cui al comma
precedente.
3. Ai fini del rispetto dei termini previsti per il preavviso di
revoca, chi e' in possesso del titolo procede senza indugio, ove
richiesto, a trasmetterlo al trattario.
Art. 7.
Assegni non restituiti
1. Contestualmente alla segnalazione relativa a una revoca di
sistema, il trattario segnala alla sezione centrale dell'archivio i
dati relativi agli assegni non restituiti dal soggetto revocato, ai
sensi dell'art. 9-bis della legge 15 dicembre 1990, n. 386.
2. Nello stesso giorno in cui un proprio correntista autorizzato a
trarre assegni e' iscritto in archivio da altro ente, il trattario
segnala alla sezione centrale dell'archivio i dati relativi agli
assegni non restituiti dal correntista medesimo.
3. Nello stesso giorno in cui dispone una revoca aziendale, il
trattario segnala alla sezione centrale dell'archivio i dati relativi
agli assegni non restituiti dal soggetto revocato.
Art. 8.
Revoche all'utilizzo di carte di pagamento
Gli emittenti carte di pagamento che revocano dall'utilizzo di una
carta di pagamento segnalano alla sezione centrale dell'archivio, per
i rispettivi segmenti, i dati relativi alla carta medesima e alle
generalita' del titolare nello stesso giorno in cui e' disposta la
revoca.
Art. 9.
Assegni e carte di pagamento sottratti e smarriti
1. Gli enti segnalanti privati segnalano alla sezione centrale
dell'archivio i dati relativi agli assegni e alle carte di pagamento
smarriti o sottratti nello stesso giorno in cui ricevono dalla
clientela la comunicazione di furto o di smarrimento; eguale
segnalazione puo' essere prevista dal manuale operativo per gli
assegni e le carte di pagamento bloccati per motivi diversi dalla
sottrazione e dallo smarrimento.
2. Gli enti segnalanti privati comunicano alla clientela le
modalita' con le quali effettuare la comunicazione di furto o di
smarrimento ovvero la segnalazione di blocco.
Titolo II GESTIONE DELL'ARCHIVIO
Art. 10.
Sezione centrale
1. In caso di affidamento della gestione dell'archivio a un ente
responsabile, questo, oltre al rispetto delle necessarie misure
tecniche, informatiche, organizzative, logistiche e procedurali di
sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996,
n. 675, e' tenuto ad adottare ogni ulteriore misura necessaria per la
sicurezza nel trattamento dei dati e per l'affidabilita',
l'efficienza e la continuita' del servizio; anche a tal fine, la
Banca d'Italia individua specifici livelli di servizio coerenti con
l'esigenza di garantire il corretto funzionamento dell'archivio e il
regolare funzionamento del sistema dei pagamenti.
2. L'ente responsabile e la Banca d'Italia possono consultare i
dati inseriti in archivio per l'espletamento delle funzioni di
rispettiva competenza.
3. L'ente responsabile registra le persone fisiche che accedono, in
nome e per conto dello stesso ente responsabile, degli enti
segnalanti o della Banca d'Italia a risorse controllate dal sistema
informatico, tenendo altresi' traccia della data e dell'oggetto
dell'accesso medesimo.
Art. 11.
Sezioni remote
1. Gli enti segnalanti privati sono tenuti a garantire che le
sezioni dell'archivio che risiedono presso di essi presentino un
adeguato livello di efficienza e di sicurezza, rispondendo del
rispetto delle vigenti disposizioni in materia di trattamento dei
dati. Le consultazioni delle sezioni remote sono registrate secondo
quanto previsto all'art. 12, comma 1.
2. Gli enti segnalanti privati, in base alla propria struttura
tecnica e organizzativa, adottano processi di gestione della
sicurezza del sistema informativo coerenti con l'esigenza di
garantire la funzionalita' e l'efficienza dell'archivio, tenendo
anche conto di quanto indicato nell'allegato "Sicurezza del sistema
informativo" e di eventuali ulteriori indicazioni della Banca
d'Italia.
Titolo III MODALITA' DI ACCESSO AI DATI
Art. 12.
Modalita' di consultazione
1. Ogni consultazione effettuata dagli enti segnalanti privati e
dai prefetti deve essere dagli stessi registrata in modo tale che ne
risultino certi la persona fisica che la pone in essere, l'oggetto e
la data e che i suddetti dati non possano essere alterati.
2. L'autorita' giudiziaria consulta direttamente i dati contenuti
nella sezione centrale dell'archivio. La sezione centrale registra
tali accessi in modo tale che ne risultino certi l'oggetto e la data;
l'autorita' giudiziaria tiene traccia degli accessi medesimi in modo
tale che ne risultino certi la persona fisica che li pone in essere,
l'oggetto e la data.
Art. 13.
Accesso dell'interessato
Il soggetto interessato, o la persona da esso delegata, accede ai
dati contenuti nell'archivio che lo riguardano tramite gli enti
segnalanti privati che forniscono il servizio di consultazione o
tramite le Filiali della Banca d'Italia.
Art. 14.
Accesso ai dati non nominativi
In presenza di un interesse connesso con l'utilizzo degli assegni e
delle carte di pagamento, e' possibile accedere ai dati non
nominativi contenuti nell'archivio presso gli enti segnalanti privati
che offrono tale servizio e presso le Filiali della Banca d'Italia.
Art. 15.
Scadenza delle iscrizioni
1. Le segnalazioni contenenti dati identificativi personali restano
iscritte in archivio secondo quanto previsto dall'art. 10 del decreto
ministeriale.
2. I dati non nominativi inseriti in archivio a seguito di
sottrazione, smarrimento, mancata restituzione ovvero blocco di un
modulo di assegno restano iscritti in archivio per il periodo di
dieci anni.
3. I dati non nominativi inseriti in archivio a seguito di
sottrazione, smarrimento, revoca ovvero blocco di una carta di
pagamento restano iscritti in archivio per il periodo di due anni.
Titolo IV TARIFFE
Art. 16.
Determinazione delle tariffe
L'ente responsabile tariffa i servizi resi, nell'ambito della
gestione dell'archivio, alle banche, agli uffici postali e agli
intermediari finanziari vigilati emittenti carte di pagamento in
conformita' con i criteri di cui all'art. 17.
Art. 17.
Criteri per la determinazione delle tariffe
1. Le tariffe applicate dall'ente responsabile sono tali da
recuperare i costi complessivamente sostenuti e sono comprensive di
un margine di profitto congruo.
2. La tariffazione deve preservare condizioni di uguaglianza tra
gli enti segnalanti privati. A tal fine essa prevede:
a) una parte fissa, determinata in ragione della partecipazione
al sistema di funzionamento dell'archivio, eventualmente maggiorata
per il caso in cui l'attivita' di consultazione possa non essere
associata a quella di segnalazione;
b) una parte variabile, che tiene conto del ruolo di ciascun ente
nell'ambito del sistema medesimo, determinata in ragione direttamente
proporzionale alla sua rilevanza operativo-dimensionale, anche in
termini di flussi informativi trattati.
3. Ai fini di cui al comma 2, l'ente responsabile puo' altresi'
tenere conto delle soluzioni tecnico-organizzative adottate e
prevedere forme ridotte di tariffazione per gli enti segnalanti che
si avvalgono di altri enti segnalanti ai sensi dell'art. 4, comma 2.
4. L'ente responsabile assicura la trasparenza delle tariffe
applicate a fronte dei servizi resi.
5. Al fine di consentire la verifica del rispetto dei criteri per
la determinazione delle tariffe, l'ente responsabile e' tenuto ad
effettuare e a dare conto della corretta disaggregazione e
imputazione dei costi sostenuti.
6. L'ente responsabile verifica annualmente la necessita' di
adeguare le tariffe all'effettivo andamento dei costi, tenendo conto
dell'evoluzione tecnologica e di eventuali economie di produzione.
L'ente responsabile rende conto della tariffazione e dell'eventuale
adeguamento periodico delle tariffe, nonche' dei fattori a tal fine
presi in considerazione, in un'apposita relazione annuale alla Banca
d'Italia; al ricorrere di eventi straordinari e imprevedibili, l'ente
responsabile puo' adeguare le tariffe dandone preventiva
comunicazione alla Banca d'Italia.
Titolo V CONTROLLI
Art. 18.
Sorveglianza sull'attivita' dell'ente responsabile
1. La Banca d'Italia, ai sensi dell'art. 146 del Testo unico
bancario, controlla che la gestione dell'archivio da parte dell'ente
responsabile sia improntata a principi di affidabilita' ed efficienza
e sia conforme alle norme del presente regolamento e alle
disposizioni che regolano la materia.
2. L'ente responsabile definisce uno specifico "piano di qualita'"
per l'erogazione del servizio, in conformita' con gli standard
internazionali di riferimento e con le indicazioni fornite dalla
Banca d'Italia.
3. La Banca d'Italia puo' richiedere all'ente responsabile dati e
informazioni, nonche' la trasmissione, anche periodica, e
l'esibizione di ogni documento ritenuto necessario. L'ente
responsabile invia alla Banca d'Italia, secondo i tempi e le
modalita' definiti da quest'ultima, apposite relazioni sull'attivita'
svolta, nonche' le informazioni e i dati previsti dalle norme che
disciplinano l'affidamento della gestione dell'archivio alla Banca
d'Italia.
Art. 19.
Controlli sugli enti segnalanti privati
La Banca d'Italia, nell'esercizio delle funzioni di Vigilanza sulle
banche, sugli intermediari finanziari e sui sistemi di pagamento
previste dal Testo unico bancario, verifica il rispetto delle
disposizioni del presente regolamento, delle relative disposizioni di
attuazione e di ogni altra norma connessa da parte degli enti
segnalanti privati.
Titolo VI DISPOSIZIONI TRANSITORIE E FINALI
Art. 20.
Acquisizione del codice fiscale
1. Entro centottanta giorni dalla pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana del presente regolamento, gli
enti segnalanti privati richiedono il codice fiscale ai clienti non
residenti che intrattengono con essi convenzioni di assegno, che
siano titolari di una carta di pagamento emessa dagli stessi, ovvero
che richiedono la stipula di tali convenzioni.
2. Nelle more dell'acquisizione di cui al comma 1, la segnalazione
di revoca si intende completa anche in mancanza del codice fiscale.
Art. 21.
Disposizioni allegate
1. Le disposizioni contenute nell'allegato "Tempi di funzionamento"
e nell'allegato "Sicurezza del sistema informativo" formano parte
integrante del presente regolamento e, unitamente ad esso, sono
pubblicate sul sito Internet della Banca d'Italia all'indirizzo
www.bancaditalia.it, nonche' disponibili presso tutte le filiali
della stessa Banca d'Italia.
2. In caso di difformita' tra il testo pubblicato sul sito della
Banca d'Italia e quello disponibile presso le filiali della stessa,
fa fede il contenuto di quest'ultimo.
3. La Banca d'Italia puo' modificare e integrare le disposizioni di
cui al comma 1 per esigenze di adeguamento della struttura tecnica
dell'archivio, al fine di assicurarne la funzionalita' e
l'efficienza. La Banca d'Italia rende pubbliche tali modifiche e
integrazioni mediante appositi avvisi pubblicati sul suo sito
Internet e resi disponibili presso le proprie Filiali per un congruo
periodo di tempo.
Roma, 29 gennaio 2002
Il Governatore: Fazio
Allegato
TEMPI DI FUNZIONAMENTO
Art. 1.
Segmenti dell'archivio
L'archivio e' composto dai seguenti segmenti:
1) CAPRI (Centrale allarme procedura impagati), nel quale sono
contenuti i dati relativi alle revoche dall'autorizzazione ad
emettere assegni conseguenti alla commissione degli illeciti di cui
agli articoli 1 e 2 della legge 15 dicembre 1990, n. 386;
2) PASS (Procedura assegni sottratti e smarriti), nel quale
sono contenuti i dati relativi ai moduli di assegni sottratti,
smarriti, non restituiti e bloccati per altri motivi;
3) CARTER (Carte revocate), nel quale sono contenuti i dati
nominativi relativi alle revoche dall'utilizzo delle carte di
pagamento;
4) PROCAR (Procedura carte), nel quale sono contenuti i dati
relativi alle carte di pagamento revocate, smarrite e sottratte;
5) ASA (Assegni sanzioni amministrative), nel quale sono
contenuti i dati relativi alle sanzioni amministrative ai sensi
dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990,
n. 386;
6) ASP (Assegni sanzioni penali), nel quale sono contenuti i
dati relativi alle sanzioni penali ai sensi dell'art. 10-bis, comma
1, lettera c), della legge 15 dicembre 1990, n. 386.
Art. 2.
Segmento CAPRI
La trasmissione dei dati dagli enti segnalanti privati alla
sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del
giorno T1.
La divulgazione dalla sezione centrale agli enti segnalanti
privati ha luogo tra le ore 11 del giorno T e le ore 15 del giorno
T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento
della Banca d'Italia, l'ente segnalante delegato invia i dati
ricevuti dalla sezione centrale all'ente segnalante che di esso si
avvale entro le ore 18 del giorno T+1.
Gli enti segnalanti privati effettuano le operazioni di riscontro
sui dati ricevuti; l'iscrizione e i conseguenti effetti si
determinano alle ore 00:00 del giorno T+2.
Il segmento e' operativo nei giorni lavorativi bancari.
Art. 3.
Segmento PASS
La trasmissione dei dati dagli enti segnalanti alla sezione
centrale dell'archivio ha luogo tra le ore 5 e le ore 22 di ciascun
giorno (giorno T2).
La divulgazione dei dati dalla sezione centrale agli enti
segnalanti privati puo' avvenire dalle ore 5 del giorno T alle ore 3
del giorno T+1.
Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento
della Banca d'Italia, l'ente segnalante delegato invia i dati
ricevuti dalla sezione centrale all'ente segnalante che di esso si
avvale secondo quanto previsto negli accordi tra enti segnalanti e
comunque entro le ore 5 del giorno lavorativo T+1.
I dati sono iscritti in archivio in concomitanza con la loro
divulgazione.
Il segmento e' operativo nei giorni lavorativi bancari e,
facoltativamente per gli enti segnalanti, nella giornata del sabato,
salvi i casi di festivita' nazionale.
Art. 4.
Segmento CARTER
La trasmissione dei dati dagli enti segnalanti privati alla
sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del
giorno T3.
La divulgazione dalla sezione centrale agli enti segnalanti
privati puo' aver luogo tra le ore 11 del giorno T e le ore 15 del
giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del
regolamento della Banca d'Italia, l'ente segnalante delegato invia i
dati ricevuti dalla sezione centrale all'ente segnalante che di esso
si avvale entro le ore 18 del giorno T+1.
L'iscrizione ha luogo alle ore 00:00 del giorno T+2.
Il segmento e' operativo nei giorni lavorativi bancari.
Art. 5.
Segmento PROCAR
La trasmissione dei dati dagli enti segnalanti privati alla
sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del
giorno T4.
La divulgazione dalla sezione centrale agli enti segnalanti
privati puo' aver luogo tra le ore 11 del giorno T e le ore 15 del
giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del
regolamento della Banca d'Italia, l'ente segnalante delegato invia i
dati ricevuti dalla sezione centrale all'ente segnalante che di esso
si avvale entro le ore 18 del giorno T+1.
I dati sono iscritti in archivio in concomitanza con la loro
divulgazione.
Il segmento e' operativo nei giorni lavorativi bancari.
Art. 6.
Segmenti ASA e ASP
I tempi di funzionamento dei segmenti ASA e ASP verranno
successivamente definiti ad integrazione del presente allegato e resi
pubblici con le modalita' previste dall'art. 21, comma 3, del
regolamento della Banca d'Italia.
Allegato
SICUREZZA DEL SISTEMA INFORMATIVO
Ogni ente segnalante privato, oltre ad assicurare il rispetto
delle misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza in applicazione dell'art. 15 della legge
31 dicembre 1996, n. 675, deve definire e governare un processo per
la gestione della sicurezza del sistema informativo dell'archivio
(Centrale d'allarme interbancaria - CAI). Nell'ambito di tale
processo l'ente segnalante privato deve intraprendere le seguenti
azioni.
1) Definire le politiche per la sicurezza del sistema informativo
della CAI.
2) Definire i confini del sistema informativo della CAI in
termini di struttura organizzativa, collocazione fisica, risorse e
tecnologie.
3) Analizzare adeguatamente i rischi in modo da identificare le
minacce alle risorse, le vulnerabilita' e gli impatti sull'ente
segnalante privato e quindi determinare il livello di rischio
globale.
4) Selezionare dall'elenco riportato in calce (realizzato
utilizzando le specifiche ISO/IEC 17799:2000(E)1 come riferimento) i
controlli ritenuti appropriati. Tali controlli non sono esaustivi e
ulteriori controlli possono essere individuati, per esempio
attingendo alle gia' citate specifiche ISO/IEC 17799:2000(E).
5) Redigere un documento che spieghi le ragioni che hanno portato
alla scelta di ogni singolo controllo selezionato, in termini di
risorse da proteggere a fronte di minacce e vulnerabilita'. In questo
documento si devono anche indicare le ragioni che hanno indotto
all'eventuale esclusione di alcuni controlli fra quelli riportati nel
richiamato elenco.
Questi passi devono essere riesaminati periodicamente con cadenza
definita dall'ente segnalante privato oppure in occasione di eventi
significativi individuati dallo stesso. I passi identificati dai
numeri 1), 2), 3), 5) devono essere, inoltre, opportunamente
documentati.
La validita' delle procedure adottate per realizzare i controlli
selezionati deve essere verificata per valutarne la coerenza con le
politiche aziendali di sicurezza e vagliarne l'adeguatezza tecnica.
Le procedure in oggetto devono, inoltre, essere documentate in modo
che risultino chiaramente le responsabilita' e i principali ruoli
delle funzioni e dei soggetti coinvolti. Il sistema informativo della
CAI deve essere assoggettato a procedure di auditing.
I documenti sopra definiti devono essere:
prontamente disponibili;
periodicamente rivisti, coerentemente con le politiche di
sicurezza dell'ente segnalante privato e immediatamente sostituiti in
caso di obsolescenza;
gestiti con una procedura di controllo delle versioni.
L'ente segnalante privato e' tenuto a conservare le evidenze
relative all'applicazione dei controlli che dimostrino la conformita'
con i requisiti di sicurezza della CAI (per esempio: tracce di audit,
autorizzazioni all'accesso logico e/o fisico, ecc.). Tali evidenze
possono essere in formato cartaceo e/o elettronico, memorizzate e
gestite in modo che siano prontamente disponibili e adeguatamente
protette. L'ente stesso ha la responsabilita' di definire e governare
le procedure per identificare, gestire, conservare e distruggere tali
evidenze che devono essere leggibili, identificabili e tracciabili
rispetto alle attivita' a cui si riferiscono.
Elenco dei controlli suggeriti (i numeri identificativi corrispondono
a quelli delle specifiche ISO/IEC 17799:2000(E)).
Questi controlli rappresentano un insieme minimo tratto dalle
specifiche ISO/IEC 17799:2000(E). Essi non garantiscono la sicurezza
della CAI, che dipende fortemente dall'ambiente tecnico e
organizzativo in cui la procedura e' inserita, bensi' forniscono solo
un insieme minimo di linee guida. Per questa ragione la maggior parte
dei controlli previsti dalle specifiche ISO/IEC 17799:2000(E), pur
essendo potenzialmente necessari per la sicurezza globale della
procedura CAI, non sono espressamente menzionati in quanto non
riguardano strettamente l'applicazione CAI ma l'intero ambiente
elaborativo dell'ente segnalante privato2. In particolare
quest'ultimo deve attivare opportuni presidi finalizzati ad
assicurare:
una efficace e sicura gestione operativa dei flussi informativi
fra strutture centrali e periferiche dell'ente stesso;
(1) Per informazioni su tale norma ci si puo' rivolgere all'Ente
nazionale italiano di unificazione - UNI.
(2) Per esempio: politiche e organizzazione della sicurezza,
classificazione di beni e risorse, sicurezza del personale, aree
sicure, sicurezza degli apparati, protezioni contro software
malizioso, scambio di informazioni e software, controllo degli
accessi di rete, controllo degli accessi del sistema operativo,
mobile computing e telelavoro, controlli crittografici, sicurezza nei
processi di sviluppo e di supporto, gestione della business
continuity, aderenza alla legislazione, revisione delle politiche di
sicurezza e della conformita' tecnica, system audit.
una chiara definizione e separazione di ruoli e responsabilita'
tra gestori delle risorse informative e utilizzatori delle stesse.
Con riferimento alle sezioni remote dell'archivio, ogni ente
segnalante privato e' tenuto a verificare che ogni flusso informativo
ricevuto dall'ente responsabile sia perfettamente congruente con le
segnalazioni inviate dallo stesso ente segnalante. In caso di
incongruenza dei dati l'ente segnalante privato e' tenuto ad
attivarsi tempestivamente presso l'ente responsabile.
Per quanto riguarda la gestione delle operazioni e delle
comunicazioni si dovrebbe far riferimento ai seguenti controlli:
8.1 Procedure operative e responsabilita';
8.1.1 Procedure operative documentate;
8.1.3 Procedure per la gestione degli incidenti;
8.1.4 Separazione delle responsabilita';
8.1.5 Separazione fra le funzioni di sviluppo e produzione;
8.1.6 Gestione delle strutture esterne;
8.5 Gestione della rete;
8.5.1 Controlli di sicurezza sulla rete;
8.6 Gestione e sicurezza dei supporti di memorizzazione;
8.6.1 Gestione dei supporti informatici rimovibili;
8.6.2 Eliminazione dei supporti di memorizzazione;
8.6.3 Procedure di gestione delle informazioni.
Relativamente al controllo degli accessi si dovrebbero prendere
in considerazione i seguenti controlli:
9.1 Requisiti aziendali per l'accesso al sistema;
9.1.1 Politiche per il controllo degli accessi;
9.1.1.1 Politiche ed esigenze aziendali;
9.1.1.2 Regole per il controllo degli accessi;
9.2 Gestione dell'accesso degli utenti;
9.2.1 Registrazione degli utenti;
9.2.2 Gestione dei privilegi;
9.2.3 Gestione delle password d'utente;
9.2.4 Revisione dei diritti di accesso degli utenti;
9.3 Responsabilita' dell'utente;
9.3.1 Uso delle password;
9.3.2 Dispositivi dell'utente non sorvegliati;
9.5 Controllo degli accessi al sistema operativo;
9.5.4 Sistema di gestione delle password;
9.5.5 Uso dei servizi di sistema;
9.6 Controllo dell'accesso alle applicazioni;
9.6.1 Restrizione dell'accesso alle informazioni;
9.7 Monitoraggio dell'accesso e dell'uso del sistema;
9.7.1 Registrazione degli eventi;
9.7.2 Monitoraggio dell'uso del sistema;
9.7.2.1 Procedure e aree di rischio;
9.7.2.2 Fattori di rischio;
9.7.2.3 Registrazione e verifica degli eventi.
In relazione allo sviluppo e alla gestione dei sistemi si
dovrebbero esaminare i seguenti controlli:
10.2 Sicurezza delle applicazioni;
10.2.1 Autenticazione dei dati in input;
10.2.2 Controllo delle elaborazioni interne;
10.2.2.1 Aree di rischio;
10.2.2.2 Controlli e verifiche;
10.5 Sicurezza dei processi di sviluppo e supporto;
10.5.1 Procedure di controllo delle modifiche.
1) Per il giorno T si intende:
nel caso di revoca di sistema conseguente a emissione di
assegno senza autorizzazione, il giorno lavorativo di segnalazione
della revoca all'archivio;
nel caso revoca di sistema conseguente a emissione di assegno
in difetto di provvista, il sessantunesimo giorno, purche'
lavorativo, successivo alla scadenza del termine di presentazione al
pagamento del titolo, salvo quanto previsto dal comma 3 dell'art.
9-bis della legge 15 dicembre 1990, n. 386.
2) Per il giorno T si intende il giorno in cui gli enti segnalati
privati ricevono la comunicazione di furto, di smarrimento o di
blocco per altri motivi, ovvero quello in cui si riscontra che un
proprio correntista autorizzato a trarre assegni e' stato iscritto in
archivio da altro ente, ovvero si dispone una revoca aziendale.
3) Per giorno lavorativo T si intende il giorno in cui e'
disposta la revoca dall'utilizzo di una carta di pagamento.
4) Per giorno lavorativo T si intende il giorno in cui e'
disposta la revoca dall'utilizzo di una carta di pagamento.