dal Bollettino di Vigilanza
della Banca d'Italia novembre 2000
OGGETTO Sistema centralizzato di rilevazione dei rischi.
Per una completa valutazione di tutti i rischi
assunti nei confronti della clientela il sistema creditizio e
finanziario ha manifestato l'esigenza di conoscere anche le
informazioni relative agli affidamenti di importo inferiore
alla soglia di rilevazione della Centrale dei rischi.
Di conseguenza, l'ABI ha esaminato l'ipotesi di
realizzare un sistema di rilevazione dei suddetti affidamenti
e, con delibera del comitato esecutivo del 17 febbraio 1999,
ha individuato il possibile gestore di tale archivio nella
Societa' interbancaria per l'automazione s.p.a. (S.I.A.),
sulla base della considerazione che tale societa' e' l'unico
ente di emanazione del mondo creditizio e finanziario gia' in
possesso di una serie di requisiti idonei ad assicurare
l'efficiente e sicuro svolgimento del servizio di
rilevazione.
Il C.I.C.R., considerato che la realizzazione di un
censimento accentrato dei rischi di minore importo assume
rilievo come strumento idoneo a contribuire alla corretta
valutazione del merito creditizio da parte dei singoli
intermediari (1), con delibera del 3 maggio 1999 (pubblicata
in G.U. 8 luglio 1999, n. 158), ha condiviso l'opportunita'
di rimetterne la gestione in via autonoma al soggetto privato
individuato dall'ABI. Ha quindi stabilito a carico degli
intermediari (2) l'obbligo di comunicare al sistema
centralizzato di rilevazione gestito dalla S.I.A. i dati
relativi alle esposizioni creditizie di importo inferiore al
limite minimo di censimento previsto per la Centrale dei
rischi della Banca d'Italia e superiore al limite massimo
stabilito per le operazioni di credito al consumo, con
esclusione dei crediti classificati a sofferenza.
La delibera ha delineato i principi riguardanti
modalita' e procedure per le segnalazioni, cui il gestore
deve attenersi nello svolgimento del servizio.
Essa ha inoltre stabilito che la rilevazione in
parola sia effettuata dalla S.I.A. sulla base di una
convenzione con gli intermediari partecipanti, il cui testo
deve prevedere il rispetto delle istruzioni attuative emanate
dalla Banca d'Italia e delle seguenti condizioni: a) le
tariffe applicate dal gestore per il servizio reso devono
essere determinate avendo riguardo principalmente al recupero
dei costi del servizio stesso; b) tutti i dati personali
rilevati dal gestore devono essere trattati, anche dagli
intermediari partecipanti, esclusivamente per finalita' di
rilevazione del rischio creditizio.
Alla Banca d'Italia e' affidato il compito di
emanare le istruzioni di carattere generale necessarie per
l'attuazione della delibera del C.I.C.R. e di verificarne il
rispetto.
In relazione a quanto precede, sentito il Garante
per la protezione dei dati personali per gli aspetti relativi
al trattamento di tali dati, secondo quanto previsto dalla
ripetuta delibera C.I.C.R., si provvede a emanare le seguenti
istruzioni.
1. Aspetti procedurali.
La delibera del C.I.C.R. prevede che la rilevazione
delle posizioni di rischio e la loro comunicazione agli
intermediari devono essere effettuate secondo procedure
conformi a quelle previste per la Centrale dei rischi della
Banca d'Italia. A tal proposito, anche al fine di consentire
un risparmio dei costi per gli intermediari, le informazioni
oggetto della rilevazione e' opportuno che siano classificate
sulla base di un modello di rappresentazione avente struttura
analoga a quello adottato dalla Centrale dei rischi (cfr.
Istruzioni per gli intermediari partecipanti); e' comunque
consentita l'adozione di un modello di rappresentazione meno
articolato.
La rilevazione delle posizioni di rischio andra'
effettuata con cadenza mensile. Ciascun intermediario
partecipante ricevera' dal gestore del sistema centralizzato
un flusso di ritorno contenente la posizione riepilogativa
dei rischi complessivamente censiti al nome di ciascun
affidato segnalato dall'intermediario stesso.
Ogni intermediario partecipante ha inoltre la
facolta' di richiedere al sistema informazioni sulla
posizione globale di rischio censita a nome di soggetti che
presentino richieste di affidamento e non siano gia' stati
segnalati dall'intermediario stesso.
La disponibilita' di informazioni tempestive e
corrette costituisce un requisito indispensabile per il
conseguimento delle finalita' perseguite con la rilevazione.
Ne consegue che devono essere adottate procedure
organizzative e informatiche idonee a garantire il buon
funzionamento del servizio e che gli intermediari sono tenuti
ad effettuare le segnalazioni in modo corretto e puntuale.
In caso di errore nella segnalazione dei dati gli
intermediari devono inviare tempestivamente le relative
rettifiche, che devono essere portate a conoscenza di tutti
gli altri intermediari che segnalano gli affidati interessati
dalle rettifiche e di quelli che hanno avuto accesso ai dati
errati. Inoltre gli intermediari sono tenuti a verificare con
attenzione i dati in proprio possesso e a rispondere con la
massima tempestivita' alle richieste di verifica delle
segnalazioni ricevute dal gestore.
Le informazioni anagrafiche e quelle relative alle
posizioni di rischio sono conservate presso la S.I.A.
rispettivamente per un periodo di dieci anni e di dodici
mesi.
2. Misure di sicurezza e riservatezza delle informazioni.
I dati personali oggetto della rilevazione
effettuata dalla S.I.A. hanno carattere riservato: l'obbligo
di riservatezza va osservato nei confronti di qualsiasi
persona estranea al sistema di rilevazione.
Le informazioni trattate dalla S.I.A. non possono
in alcun caso essere utilizzate, neppure attraverso la
creazione di archivi presso gli intermediari, per finalita'
diverse da quella di rilevazione del rischio creditizio, come
previsto nella citata delibera del C.I.C.R.
Al fine di garantire l'ordinato e sicuro
svolgimento del servizio, la S.I.A. e gli intermediari devono
adottare le misure tecniche e organizzative idonee ad
assicurare la protezione delle informazioni. I sistemi
informativi adottati devono essere caratterizzati da un
adeguato livello di sicurezza; in particolare dovranno essere
adottati presidi di tipo fisico e/o di tipo logico conformi a
quelli previsti dal D.P.R. 28 luglio 1999, n. 318 e,
specificamente, dagli artt. 4, 5 e 6 di tale decreto.
La S.I.A. stabilisce le misure organizzative atte
ad assicurare la separatezza del trattamento dei dati in
oggetto rispetto alle altre attivita' svolte e ad evitare
l'accesso a soggetti non autorizzati.
In ogni caso il gestore e gli intermediari devono
assicurare il pieno rispetto delle disposizioni in materia di
tutela dei dati personali di cui alla legge 31 dicembre 1996,
n. 675 e successivi provvedimenti, avendo cura, fra l'altro,
di delimitare il numero delle persone fisiche aventi accesso
ai dati, da designare per iscritto quali incaricati dei
trattamenti effettuati. Gli intermediari devono provvedere
alle notificazioni necessarie ai sensi dell'art. 7 della
legge 675 per gli archivi da essi costituiti al fine di
agevolare la consultazione del sistema di rilevazione.
3. Diritto di accesso dei diretti interessati.
L'acquisizione del consenso dei diretti interessati
non e' necessaria ai fini del trattamento delle informazioni
censite nell'ambito del sistema di rilevazione gestito dalla
S.I.A. Gli intermediari devono, peraltro, fornire adeguata
informativa ai propri clienti in ordine alla comunicazione
alla S.I.A. e al successivo trattamento dei dati di rischio
ad essi relativi, indicando il carattere obbligatorio e le
finalita' di tale comunicazione.
I soggetti segnalati hanno, ai sensi dell'art.13
della legge 31 dicembre 1996, n. 675, il diritto di conoscere
i dati censiti a loro nome negli archivi del sistema
centralizzato di rilevazione. Essi, pertanto, possono
rivolgersi agli intermediari partecipanti per conoscere i
dati contenuti nel flusso di ritorno ricevuto dalla S.I.A. e
a quest'ultima per conoscere il dettaglio delle segnalazioni
di rischio prodotte dai singoli intermediari.
La S.I.A. e gli intermediari partecipanti devono
predisporre misure organizzative idonee a soddisfare le
istanze di accesso dei diretti interessati.
4. Disposizioni finali.
Ai fini della definizione del contenuto della
convenzione prevista dalla delibera del C.I.C.R. (punto 5) e,
successivamente, della verifica della funzionalita' del
servizio, gli intermediari partecipanti possono costituire un
organismo rappresentativo, che preveda la partecipazione
anche delle associazioni di categoria.
Gli intermediari partecipanti, eventualmente
tramite il cennato organismo, sono tenuti a segnalare alla
Banca d'Italia le eventuali disfunzioni del sistema.
La Banca d'Italia, nell'ambito degli accertamenti
ispettivi di vigilanza, verifica il rispetto delle presenti
disposizioni.
Qualunque infrazione delle stesse disposizioni, ivi
comprese le irregolarita' riscontrate nelle segnalazioni e il
mancato o il ritardato invio delle stesse, e' passibile delle
sanzioni amministrative di cui all'art. 144 del testo unico.
La Banca d'Italia, nell'ambito dell'analisi
sull'esposizione ai rischi dei singoli intermediari, puo'
richiedere a questi ultimi informazioni sulla posizione di
rischio dei principali affidati che tengano conto anche dei
dati trasmessi alla S.I.A. La Banca d'Italia puo', inoltre,
chiedere elaborazioni statistiche anonime desunte dai dati
trattati dalla S.I.A., utili per la propria attivita'
istituzionale.
----------
1. Il servizio di Centrale dei rischi affidato alla
Banca d'Italia si propone non solo l'obiettivo di contribuire
alla corretta valutazione del merito creditizio da parte
degli intermediari, ma altresi' di tutelare - dati anche gli
ammontari dei crediti censiti - la stabilita' del sistema
creditizio e finanziario nel suo complesso.
2. Sono tenuti alla segnalazione le banche iscritte
all'albo di cui all'art. 13, le societa' finanziarie di cui
all'art. 65, comma 1, lett. a) e b) e gli intermediari
finanziari iscritti nell'elenco speciale di cui all'art. 107
del testo unico delle leggi in materia bancaria e creditizia
che partecipano alla Centrale dei rischi della Banca
d'Italia.