Associazione di studio, formazione e informazione per la valorizzazione della figura dell'ufficiale giudiziario


MINISTERO DELLA GIUSTIZIA - DECRETO 7 novembre 2001, n. 458
Regolamento sul funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento.
Gazzetta Ufficiale N. 3 del 04 Gennaio 2002


REGOLAMENTO Banca d'Italia 29 gennaio 2002 Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (G.U. n. 27, 1° febbraio 2002, Serie Generale)


IL MINISTRO DELLA GIUSTIZIA
Visto l'articolo 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, che prevede l'emanazione del regolamento per la disciplina delle modalita' di trasmissione, rettifica ed aggiornamento dei dati da inserire nell'archivio previsto dal comma 1del medesimo articolo, nonche' le modalita' con cui la Banca d'Italia
provvede al trattamento dei dati trasmessi e ne consente la consultazione;
Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400;
Sentiti la Banca d'Italia ed il Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 18 giugno 2001;
Vista la comunicazione al Presidente del Consiglio dei Ministri,trasmessa in data 25 ottobre 2001, prot. n. 2304/U-12/25-14-U.L.;
A d o t t a
il seguente regolamento:
Art. 1.
Struttura dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento
1. L'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento, istituito presso la Banca d'Italia dall'articolo 10-bis della legge 15 dicembre 1990, n. 386, introdotto dall'articolo 36 del decreto legislativo 30 dicembre 1999, n. 507, costituisce un servizio di interesse economico generale, finalizzato
ad assicurare il regolare funzionamento del sistema dei pagamenti.

2. L'archivio e' costituito dalla sezione centrale presso la Banca d'Italia e dalle sezioni remote presso le banche, gli uffici postali,gli intermediari finanziari vigilati emittenti carte di pagamento e le prefetture.
3. I soggetti di cui al comma 2, adottano tutte le misure necessarie ad assicurare l'efficiente interazione delle sezioni remote con la sezione centrale dell'archivio.
4. Qualora la Banca d'Italia si avvalga di un ente esterno per la gestione dell'archivio, questi e' tenuto a presentare, annualmente,una relazione sull'attivita' svolta alla Banca d'Italia quale titolare del trattamento. Si osservano le disposizioni di cui all'articolo 8 della legge 31 dicembre 1996, n. 675.


Avvertenza:
Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge
alle quali e' operato il rinvio. Restano invariati il valore e, l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- Si riporta il testo dell'art. 36 del decreto legislativo 30 dicembre 1999, n. 507 (depenalizzazione dei
reati minori e riforma del sistema sanzionatario, ai sensi dell'art. 1 della legge 25 giugno 1999, n. 205):
"Art. 36 (Archivio informatico). - 1. Aggiunge l'art.10-bis alla legge 15 dicembre 1990, n. 386.
2. Con regolamento emanato, ai sensi dell'art. 17,comma 5 della legge 23 agosto 1988, n. 400, entro
centocinquanta giorni dall'entrata in vigore del presente decreto legislativo, il Ministro della giustizia, sentita
la Banca d'Italia ed il Garante per la protezione dei dati personali, disciplina le modalita' con cui i soggetti ivi
individuati devono trasmettere i dati all'archivio previsto  dal comma 1 del presente articolo e, se necessario,
rettificarli o aggiornarli. Con il medesimo regolamentosono individuate le modalita' con cui la Banca d'Italia,
attenendosi ai dati trasmessi, provvede al loro trattamento e ne consente la consultazione.
3. Con distinto regolamento emesso entro trenta giorni dall'adozione del regolamento ministeriale di cui al comma 2, la Banca d'Italia disciplina le modalita' e le procedure relative alle attivita' previste dal medesimo regolamento ministeriale. La Banca d'Italia provvede altresi a determinare i criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari vigilati e degli
uffici postali".
- Si riporta il testo dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400 (disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei Ministri):
"3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinateal Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' ministri, possono essere adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione".
Note all'art. 1:
- Si riporta il testo dell'art. 10-bis delle legge 15 dicembre 1990, n. 386 (nuova disciplina senzionatoria
degli assegni bancari.) introdotto dall'art. 36 del decreto legislativo 30 dicembre 1999, n. 507:
"Art. 10-bis (Archivio degli assegni bancari e postali e delle carte di pagamento irregolari). - 1. Al fine del
regolare funzionamento dei sistemi di pagamento, e' istituito presso la Banca d'Italia un archivio
informatizzato degli assegni bancari e postali e delle carte di pagamento, nel quale sono inseriti i seguenti
dati:
a) generalita' dei traenti degli assegni bancari o postali emessi senza autorizzazione o senza provvista;
b) assegni bancari e postali emessi senza autorizzazione o senza provvista, nonche' assegni non restituiti alle banche e agli uffici postali dopo la revoca dell'autorizzazione;
c) sanzioni amministrative pecuniarie e accessorie applicate per l'emissione di assegni bancari e postali
senza autorizzazione o senza provvista, nonche' sanzioni penali e connessi divieti applicati per l'inosservanza
degli obblighi imposti a titolo di sanzione amministrativa accessoria;
d) generalita' del soggetto al quale e' stata revocata l'autorizzazione all'utilizzo di carte di pagamento;
e) carte di pagamento per le quali sia stata revocata
l'autorizzazione all'utilizzo;
f) assegni bancari e postali e carte di pagamento di cui sia stato denunciato il furto o lo smarrimento.
2. La Banca d'Italia, quale titolare del trattamento dei dati, puo' avvalersi di un ente esterno per la gestione
dell'archivio, secondo quanto previsto dall'art. 8 della legge 31 dicembre 1996, n. 675.
3. Il soggetto interessato ha diritto ad accedere alle informazioni che lo riguardano contenute nell'archivio e di
esercitare gli altri diritti previsti dall'art. 13 della legge 31 dicembre 1996, n. 675.
4. I prefetti, le banche, gli intermediari finanziari vigilati e gli uffici postali possono accedere alle
informazioni contenute nell'archivio per le finalita' previste dalla presente legge e per quelle connesse alla
verifica della corretta utilizzazione degli assegni e delle carte di pagamento. L'autorita' giudiziaria ha accesso
diretto alle informazioni contenute nell'archivio, per lo svolgimento delle proprie funzioni".
- Si riporta il testo dell'art. 8 della legge 31 dicembre 1996, n. 675 (tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali):
"Art. 8 (Responsabile). - 1. Il responsabile, se designato, deve essere nominato fra soggetti che per
esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
2. Il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 1 e delle
proprie istruzioni.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile devono essere analiticamente specificati per iscritto.
5. Gli incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi alle
istruzioni del titolare o del responsabile".

Art. 2.
Dati contenuti nell'archivio 1. Nell'archivio sono iscritti i seguenti dati:
a) estremi identificativi del soggetto che trasmette i dati e data della trasmissione;
b) per le persone fisiche traenti degli assegni emessi senza autorizzazione o senza provvista e per i titolari delle carte di pagamento per le quali sia stata revocata l'autorizzazione all'utilizzo in conseguenza del mancato pagamento o della mancata costituzione dei fondi relativi alle transazioni effettuate: cognome,
nome, luogo e data di nascita, sesso, codice fiscale, domicilio eletto all'atto della conclusione della convenzione di assegno;
c) per gli enti, anche se privi di personalita' giuridica, traenti degli assegni emessi senza autorizzazione o senza provvista e titolari di carte di pagamento per le quali sia stata revocata l'autorizzazione all'utilizzo in conseguenza del mancato pagamento o della mancata costituzione dei fondi relativi alle transazioni effettuate: denominazione o ragione sociale, sede legale, codice fiscale, eventuale iscrizione alla camera di commercio, industria, agricoltura e artigianale;
d) per gli assegni emessi senza autorizzazione o senza provvista: coordinate, divisa, importo;
e) coordinate dei moduli di assegno dei quali sia stato denunciato il furto o lo smarrimento;
f) coordinate dei moduli di assegno non restituiti;
g) per le carte di pagamento per le quali sia stata revocata l'autorizzazione all'utilizzo: emittente, numero, scadenza;
h) per le carte di pagamento delle quali sia stato denunciato il furto o lo smarrimento: emittente, numero, scadenza.
2. Sono altresi' iscritti in archivio i dati relativi all'indicazione dell'autorita' procedente, del tipo e della durata
delle sanzioni e dei divieti di cui all'articolo 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386, delle norme di legge violate, nonche' del cognome, del nome, del luogo, della data di nascita, del sesso, della residenza, domicilio o dimora e del codice fiscale del soggetto nei cui confronti sono state applicate le suddette sanzioni.


Nota all'art. 2:
- Per il testo dell'art. 20-bis, comma 1, lettera c), della legge 15 dicembre 1990, n.386, si rimanda alle note
all'art. 1.

Art. 3.
Modalita' della trasmissione dei dati 1. I dati sono trasmessi alla sezione centrale dell'archivio dalle
banche, dagli uffici postali, dagli intermediari finanziari vigilati emittenti carte di pagamento, dai prefetti e dall'autorita' giudiziaria.
2. I soggetti indicati nel comma 1 assicurano l'esattezza e la completezza dei dati trasmessi all'archivio e provvedono tempestivamente alle cancellazioni e alle rettifiche dei dati errati.
3. La trasmissione dei dati viene effettuata con procedure telematiche compatibili con le caratteristiche tecniche
dell'archivio. Per la trasmissione dei dati all'archivio e per le comunicazioni che le banche, gli uffici postali e gli intermediari finanziari vigilati emittenti carte di pagamento devono fare ai soggetti interessati, si tiene conto dei giorni lavorativi bancari.

Art. 4.
Trasmissione dei dati da parte del prefetto e dell'autorita' giudiziaria
1. I dati relativi alle sanzioni amministrative pecuniarie e accessorie applicate per l'emissione di assegni bancari e postali senza autorizzazione o senza provvista, ove non piu' opponibili, sono trasmessi dal prefetto alla sezione centrale dell'archivio. La trasmissione e' effettuata decorsi dieci giorni dalla scadenza del termine indicato nell'articolo 22, commi 1 e 2, della legge 24 novembre 1981, n. 689, salvo che l'opponente abbia notificato al
prefetto copia del ricorso proposto.
2. Qualora sia proposta opposizione, la cancelleria dell'ufficio giudiziario che definisce il giudizio ne comunica l'esito al prefetto, allegando copia del provvedimento irrevocabile; il prefetto, ricevuta la comunicazione, provvede tempestivamente a trasmettere i dati alla sezione centrale dell'archivio a norma del comma 1.
3. I dati relativi alle sanzioni penali e connessi divieti applicati per l'inosservanza degli obblighi imposti a titolo di
sanzione amministrativa accessoria, nonche' i dati relativi alle sanzioni amministrative pecuniarie e accessorie applicate a norma dell'articolo 24 della legge 24 novembre 1981, n. 689, in base a provvedimenti irrevocabili, sono trasmessi dal casellario giudiziale centrale alla sezione centrale dell'archivio.


Nota all'art. 4:
- Si riporta il testo degli articoli 22 e 24 della legge 24 novembre 1981, n. 689 (modifiche al sistema
penale):
"Art. 22 (Opposizione all'ordinanza-ingiunzione). - Contro l'ordinanza-ingiunzione di pagamento e contro l'ordinanza che dispone la sola confisca, gli interessati possono proporre opposizione davanti al giudice del luogo in cui e' stata commessa la violazione individuato a norma dell'art.22-bis, entro il termine di trenta giorni dalla notificazione del provvedimento.
Il termine e' di sessanta giorni se l'interessato risiede all'estero.
L'opposizione si propone mediante ricorso, al quale e' allegata l'ordinanza notificata.
Il ricorso deve contenere altresi', quando l'opponente non abbia indicato un suo procuratore, la dichiarazione di
residenza o la elezione di domicilio nel comune dove ha sede il giudice adito.
Se manca l'indicazione del procuratore oppure la dichiarazione di residenza o la elezione di domicilio, le
notificazioni al ricorrente vengono eseguite mediante deposito in cancelleria.
Quando e' stato nominato un procuratore, le notificazioni e le comunicazioni nel corso del procedimento
sono effettuate nei suoi confronti secondo le modalita'stabilite dal codice di procedura civile.
L'opposizione non sospende l'esecuzione del provvedimento, salvo che il giudice, concorrendo gravi
motivi, disponga diversamente con ordinanza inoppugnabile".
"Art. 24 (Connessione obiettiva con un reato). - Qualora l'esistenza di un reato dipenda dall'accertamento di una violazione non costituente reato, e per questa non sia stato effettuato il pagamento in misura ridotta, il giudice penale competente a conoscere del reato e' pure competente a decidere sulla predetta
violazione e ad applicare con la sentenza di condanna la sanzione stabilita dalla legge per la violazione stessa.
Se ricorre l'ipotesi prevista dal precedente comma, il rapporto di cui all'art. 17 e' trasmesso, anche senza che
si sia proceduto alla notificazione prevista dal secondo comma dell'art. 14, alla autorita' giudiziaria competente
per il reato, la quale, quando invia la comunicazione giudiziaria, dispone lo notifica degli estremi della
violazione amministrativa agli obbligati per i quali essa non e' avvenuta. Dalla notifica decorre il termine per il
pagamento in misura ridotta Se l'autorita' giudiziaria non procede ad istruzione, il pagamento in misura ridotta puo' essere effettuato prima dell'apertura del dibattimento.
La persona obbligata in solido con l'autore della violazione deve essere citata nella istruzione o nel
giudizio penale su richiesta del pubblico ministero. Il pretore ne dispone di ufficio la citazione. Alla predetta
persona, per la difesa dei propri interessi, spettano i diritti e le garanzie riconosciuti all'imputato, esclusa la
nomina del difensore d'ufficio.Il pretore quando provvede con decreto penale, con lo
stesso decreto applica, nei confronti dei responsabili, la sanzione stabilita dalla legge per la violazione.
La competenza del giudice penale in ordine alla violazione non costituente reato cessa se il procedimento
penale si chiude per estinzione del reato e per difetto di una condizione di procedibilita'".

Art. 5.
Trasmissione dei dati relativi alla revoca delle autorizzazioni
1. Nei casi di cui all'articolo 9 della legge 15 dicembre 1990, n. 386, il trattario trasmette alla sezione centrale dell'archivio i seguenti dati:
a) le generalita' di coloro che hanno sottoscritto l'assegno,quando per l'emissione del titolo e' richiesta la firma congiunta;
b) le generalita' del delegante nel caso di delega di traenza;
c) la denominazione o la ragione sociale dell'ente, anche privo di personalita' giuridica, nel caso di assegno emesso in nome e per conto di quest'ultimo.
2. Quando il traente non e' identificabile il trattario non effettua alcuna trasmissione di dati all'archivio.


Nota all'art. 5:
- Si riporta il testo dell'art. 9 della citata legge 15 dicembre 1990, n. 386:
"Art. 9 (Revoca delle autorizzazioni). - 1 In caso di mancato pagamento, in tutto o in parte, di un assegno per
mancanza di autorizzazione o di provvista, il trattario iscrive il nominativo del traente nell'archivio previsto
dall'art. 10-bis.
2. L'iscrizione e' effettuata:
a) nel caso di mancanza di autorizzazione, entro il ventesimo giorno dalla presentazione al pagamento del
titolo;
b) nel caso di difetto di provvista, quando e' decorso il termine stabilito dall'art. 8 senza che il traente abbia fornito la prova dell'avvenuto pagamento, salvo quanto previsto dall'art. 9-bis, comma 3.
3. L'iscrizione nell'archivio determina la revoca di ogni autorizzazione ad emettere assegni. Una nuova
autorizzazione non puo' essere data prima che sia trascorso il termine di sei mesi dall'iscrizione del nominativo
nell'archivio.
4. La revoca comporta il divieto, della durata di sei mesi, per qualunque banca e ufficio postale di stipulare
nuove convenzioni di assegno con il traente e di pagare gli assegni tratti dal medesimo dopo l'iscrizione
nell'archivio, anche se emessi nei limiti della provvista".

Art. 6.
Trasmissione dei dati relativi ai moduli di assegno non restituiti

1. I dati relativi ai moduli di assegno non restituiti sono trasmessi dal trattario alla sezione centrale dell'archivio dopo la revoca dell'autorizzazione ovvero dopo l'applicazione delle sanzioni e dei divieti di cui all'articolo 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386.


Nota all'art. 6:
- Per il testo dell'art. 10-bis, comma 1, lettera c),della legge 15 dicembre 1990, n. 386, si rimanda alle note
all'art 1.

Art. 7.
Trasmissione dei dati relativi alle carte di pagamento 1. I dati relativi alle carte di pagamento e alle generalita' del responsabile dell'utilizzo secondo la disciplina contrattuale sono trasmessi quando e' revocata l'autorizzazione all'utilizzo di carte di pagamento in conseguenza del mancato pagamento o della mancata
costituzione dei fondi relativi alle transazioni effettuate.

 

Art. 8.
Trasmissione dei dati relativi agli assegni e alle carte di pagamento smarriti o rubati 1. I dati relativi agli assegni e alle carte di pagamento rubati o smarriti sono trasmessi dal trattario o dall'emittente che riceve dal
proprio cliente la comunicazione della denuncia di furto o di smarrimento.

Art. 9.
Iscrizione dei dati nell'archivio
1. La Banca d'Italia e per essa l'ente al quale e' affidata la gestione dell'archivio verifica la completezza dei dati trasmessi e qualora risultino incompleti li rinvia al soggetto che li ha trasmessi; questi, effettuati i necessari controlli, li ritrasmette con le rettifiche e le integrazioni.
2. La Banca d'Italia e per essa l'ente al quale e' affidata la gestione dell'archivio trasmette giornalmente, per via telematica, i dati ricevuti alle banche, agli uffici postali, agli intermediari finanziari vigilati emittenti carte di pagamento e alle prefetture.
3. Gli effetti dell'iscrizione si producono dal momento in cui i dati inseriti nella sezione centrale dell'archivio sono consultabili presso le sezioni remote.

Art. 10.
Durata delle iscrizioni
1. I dati identificativi personali iscritti a seguito della revoca dell'autorizzazione di cui all'articolo 9 della legge 15 dicembre 1990, n. 386, ovvero delle sanzioni e dei divieti previsti dall'articolo 10-bis, comma 1, lettera c), della medesima legge restano iscritti in archivio per il periodo di efficacia dei relativi
provvedimenti.

2. I dati identificativi personali iscritti a seguito di revoche all'utilizzo di carte di pagamento restano iscritti in archivio per due anni.
3. I dati identificativi personali iscritti a seguito delle sanzioni amministrative pecuniarie restano iscritti in archivio per cinque anni.
4. I dati identificativi personali sono eliminati dall'archivio decorsi i termini indicati nei commi 1, 2 e 3.


Note all'art. 10:
- Per il testo dell'art. 9 della legge 15 dicembre 1990, n. 386, si rimanda alle note dell'art. 5.
- Per il testo dell'art. 10-bis, comma 1, lettera e), della legge 15 dicembre 1990, n. 386, si rimanda alle note
all'art. 1.

Art. 11.
Diritti dell'interessato
1. I diritti di accesso ai dati personali e gli altri diritti dell'interessato previsti dall'articolo 13 della legge 31 dicembre 1996, n. 675, sono esercitati secondo le modalita' di cui all'articolo 17 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501, anche presso le sezioni remote dell'archivio. Gli aggiornamenti, le rettifiche, le integrazioni e le cancellazioni da effettuare in conseguenza dell'esercizio di tali diritti sono
disposti su comunicazione del soggetto che ha trasmesso i dati ovvero d'intesa con esso.


Note all'art. 11:
- Si riporta il testo dell'art. 13 della citata legge 31 dicembre 1996, n. 675:
"Art. 13 (Diritti dell'interessato). - 1. In relazione al trattamento di dati personali l'interessato ha diritto:
a) di conoscere, mediante accesso gratuito al registro di cui all'art. 31, comma 1, lettera a)
l'esistenza di trattamenti di dati che possono riguardarlo;
b) di essere informato su quanto indicato all'art. 7,comma 4, lettere a), b) e h);
c) di ottenere, a cura del titolare o del responsabile, senza ritardo:
1) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora
registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonche' della logica e
delle finalita' su cui si basa il trattamento; la richiesta puo' essere rinnovata, salva l'esistenza di giustificati
motivi, con intervallo non minore di novanta giorni;

2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di
legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati
sono stati raccolti o successivamente trattati;
3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati;
4) l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per
quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in
cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo
riguardano, ancorche' pertinenti allo scopo della raccolta;
e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di
informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre
il momento in cui i dati sono comunicati o diffusi, della possibilita' di esercitare gratuitamente tale diritto.
2. Per ciascuna richiesta di cui al comma 1, lettera c), numero 1), puo' essere chiesto all'interessato, ove non
risulti confermata l'esistenza di dati che lo riguardano, un contributo spese, non superiore ai costi effettivamente
sopportati, secondo le modalita' ed entro i limiti stabiliti dai regolamento di cui all'art. 33, comma 3.
3. I diritti di cui al comma 1 riferiti ai dati personali concernenti persone decedute possono essere
esercitati da chiunque vi abbia interesse.
4. Nell'esercizio dei diritti di cui al comma 1 l'interessato puo' conferire, per iscritto, delega o
procura a persone fisiche o ad associazioni.
5. Restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista limitatamente
alla fonte della notizia".
- Si riporta il testo dell'art. 17 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501
(regolamento recante norme per l'organizzazione ed il funzionamento dell'ufficio del Garante per la protezione
dei dati personali a norma dell'art. 33, comma 3, della legge 31 dicembre 1996, n. 675):
"Art. 17 (Accesso ai dati personali). - 1. La richiesta di cui all'art. 13. comma 1, lettera c), n. 1), della legge
puo' essere avanzata anche per il tramite degli incaricati del trattamento, senza formalita' ed anche verbalmente.
2. L'interessato deve dimostrare la propria identita',anche esibendo o allegando copia di un documento di
riconoscimento. La persona che agisce su incarico dell'interessato deve inoltre esibire o allegare copia
della procura o della delega recante sottoscrizione autenticata nelle forme di legge. Nei casi previsti
dall'art. 3, comma 11, della legge 15 maggio 1997, n. 127, l'autenticazione non e' necessaria. Se l'interessato e' una persona giuridica, un ente o un associazione, la richiesta e' avanzata dalla persona fisica a cio' legittimata in base ai rispettivi statuti od ordinamenti.
3. La richiesta puo' essere trasmessa anche mediante lettera raccomandata o telefax. Si applica anche per la
richiesta l'art. 12, comma 6.

4. L'interessato puo' farsi assistere da una persona di fiducia.
5. Salvo che la richiesta sia riferita ad un particolare trattamento o ad una specifica banca dati, la comunicazione o il riscontro all'interessato devono comprendere tutti i dati personali che riguardano l'interessato comunque trattati dal titolare.
6. I dati sono estratti a cura del responsabile o degli incaricati del trattamento e possono essere comunicati al
richiedente anche oralmente, ovvero con prospettazione mediante mezzi elettronici o comunque automatizzati,
sempreche' in tali casi la comprensione dei dati sia agevole, considerata anche la qualita' e la quantita' delle
informazioni. Se vi e' richiesta, si provvede in ogni caso alla trasposizione dei dati su supporto cartaceo o
informatico, ovvero alla loro trasmissione per via telematica.
7. Qualora, a seguito della richiesta di cui all'art.13, comma 1, lettera c), n. 1), della legge, non risulti
confermata l'esistenza di dati che riguardano l'interessato, il contributo spese che puo' essere
richiesto non puo' eccedere i costi effettivamente sopportati per la ricerca effettuata nel caso specifico, e
non puo' comunque superare l'importo di lire ventimila. Il contributo e' determinato forfettariamente in L. 5.000
qualora i dati siano trattati con mezzi elettronici o comunque automatizzati e la risposta sia fornita in forma
verbale.
8. Il contributo di cui al comma 7 e' corrisposto anche mediante versamento postale o bancario, ovvero mediante carta di pagamento o di credito, ove possibile all'atto della ricezione del riscontro dal quale risulta
l'inesistenza dei dati e comunque non oltre cinque giorni.
9. Ai fini di una piu' efficace applicazione dell'art.13 della legge, i titolari dei trattamenti adottano le
opportune misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi
programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano i singoli soggetti,
tenuto conto della definizione di "dato personale" contenuta nell'art. 1 della legge;
b) a semplificare per quanto possibile le modalita' per il riscontro al richiedente e a ridurre i relativi
tempi, anche nell'ambito degli uffici per le relazioni con il pubblico di cui all'art. 12 del decreto legislativo 3
febbraio 1993, n. 29, e successive modificazioni ed integrazioni.
10. Le disposizioni di cui ai commi da 1 a 6 e 9 si applicano anche agli altri casi disciplinati dall'art. 13
della legge, nei quali, tuttavia, non e' dovuto alcun contributo spese".

 

Art. 12.
Accesso dei privati
1. Chiunque, per finalita' connesse all'applicazione della disciplina in materia di assegni bancari e postali e di carte di pagamento, puo' accedere ai dati non nominativi contenuti nell'archivio per il tramite delle banche, degli uffici postali, degli intermediari finanziari vigilati emittenti carte di pagamento ovvero della Banca d'Italia. Tali dati sono pubblicati con cadenza periodica dalla Banca d'Italia.

 

Art. 13.
Modalita' di consultazione
1. Le banche, gli uffici postali, gli intermediari finanziari vigilati emittenti carte di pagamento e il prefetto consultano i dati contenuti nell'archivio attraverso le rispettive sezioni remote dell'archivio. I dati presenti nelle sezioni remote non sono modificabili.
2. L'autorita' giudiziaria accede direttamente ai dati contenuti nella sezione centrale dell'archivio utilizzando procedure telematiche compatibili con le caratteristiche tecniche dell'archivio stesso.

Art. 14.
Identificazione dei soggetti iscritti nell'archivio 1. Al fine di assicurare l'identificazione dei soggetti da
iscrivere nell'archivio, le banche, gli uffici postali, e gli intermediari finanziari vigilati emittenti carte di pagamento devono acquisire il codice fiscale dei soggetti, anche non residenti, ai quali vengono rilasciati moduli di assegno o carte di pagamento.

 

Art. 15.
Preavviso di revoca
1. Il termine per l'invio del preavviso di revoca decorre dalla presentazione, anche in via telematica, dell'assegno al pagamento.
2. La prova del pagamento tardivo dell'assegno nel sessantesimo giorno deve essere fornita dall'interessato durante l'orario di apertura dello stabilimento trattario.

Art. 16.
Controlli
1. La Banca d'Italia, nell'esercizio delle funzioni di titolare del trattamento, nonche' di vigilanza sugli intermediari bancari e finanziari e sul sistema dei pagamenti, verifica l'osservanza delle disposizioni che regolano il funzionamento dell'archivio da parte delle banche, degli uffici postali e degli emittenti carte di
pagamento.

 

Art. 17.
Disposizioni finali
1. Le disposizioni del presente regolamento entrano in vigore decorsi centocinquanta giorni dalla sua pubblicazione nella Gazzetta Ufficiale della Repubblica.
2. I soggetti segnalanti sono tenuti a trasmettere all'archivio i dati relativi alle violazioni commesse successivamente alla data di entrata in vigore del presente regolamento.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Roma, 7 novembre 2001
Il Ministro: Castelli
Visto, il Guardasigilli: Castelli
Registrato alla Corte dei conti il 27 dicembre 2001
Ministeri istituzionali, registro n. 14, foglio n. 169


REGOLAMENTO Banca d'Italia 29 gennaio 2002 Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (G.U. n. 27, 1° febbraio 2002, Serie Generale)

 

IL GOVERNATORE
DELLA BANCA D'ITALIA
Visto l'art. 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, che prevede l'emanazione del regolamento per la disciplina delle modalità di trasmissione, rettifica ed aggiornamento dei dati da inserire nell'archivio previsto dal comma 1 del medesimo articolo, nonché le modalità con cui la Banca d'Italia provvede al trattamento dei dati trasmessi e ne consente la consultazione;
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, che prevede che, con distinto regolamento emesso entro trenta giorni dall'adozione del regolamento ministeriale di cui al comma 2, la Banca d'Italia disciplina le modalità e le procedure relative alle attività previste dal medesimo regolamento ministeriale;
Visto il decreto del Ministro della giustizia 7 novembre 2001, n. 458, adottato ai sensi dell'art. 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, recante il regolamento sul funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento;
Visto l'art. 146 del decreto legislativo 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia);
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, secondo il quale la Banca d'Italia provvede altresì a determinare i criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari finanziari vigilati e degli uffici postali;
Ritenuta l'opportunità di provvedere, nel medesimo regolamento adottato ai sensi dell'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, alla determinazione dei criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari finanziari vigilati e degli uffici postali;
Sentito il garante per la protezione dei dati personali;
Emana
il seguente regolamento:

Titolo I

DISPOSIZIONI GENERALI
Capo I

Funzionamento dell'archivio

Art. 1.

Definizioni

Nel presente regolamento, si intende per:

 

a) "archivio": l'archivio degli assegni bancari e postali e delle carte di pagamento irregolari di cui all'art. 10-bis della legge 15 dicembre 1990, n. 386, composto dalla sezione centrale e dalle sezioni remote di cui all'art. 1, comma 2, del decreto ministeriale;
b) "assegni e carte bloccati": assegni e carte di pagamento dei quali l'ente trattario ovvero emittente abbia disposto, di iniziativa ovvero su richiesta, il divieto di utilizzo;
c) "decreto ministeriale": il decreto del Ministro della giustizia 7 novembre 2001, n. 458;
d) "ente responsabile": ente concessionario del servizio di gestione dell'archivio e responsabile per il trattamento dei dati, ai sensi dell'art. 10-bis, comma 2, della legge 15 dicembre 1990, n. 386;
e) "enti segnalanti privati": le banche, gli uffici postali e gli intermediari finanziari vigilati emittenti carte di pagamento;
f) "fase temporale": ciclo di funzionamento dell'archivio, secondo gli orari indicati nell'allegato "Tempi di funzionamento";
g) "giorno operativo": giorno lavorativo bancario secondo il calendario nazionale;
h) "manuale operativo": manuale comprendente, per ciascun segmento, documenti nei quali sono indicate le istruzioni tecniche per il funzionamento del segmento medesimo;
i) "preavviso di revoca": la comunicazione di cui all'art. 9-bis della legge 15 dicembre 1990, n. 386;
j) "revoca di sistema": la revoca di cui all'art. 9 della legge 15 dicembre 1990, n. 386;
k) "revoca aziendale": la revoca disposta dal trattario fuori dai casi di revoca di sistema;
l) "segmento": parte dell'archivio contenente i dati relativi alle medesime fattispecie di segnalazione;
m) "segnalazione completa": il flusso informativo reso dagli enti segnalanti alla sezione centrale dell'archivio, quando tutti i dati che lo costituiscono sono inseriti negli appositi campi in modo conforme a quanto previsto dal manuale operativo;
n) "sezione centrale": la sezione dell'archivio presso la Banca d'Italia ovvero presso l'ente responsabile;
o) "sezione remota": la sezione dell'archivio esistente presso gli enti segnalanti privati e presso i prefetti.

Art. 2.

Struttura dell'archivio

1. Nella sezione centrale sono contenuti tutti i segmenti individuati nell'allegato "Tempi di funzionamento"; nelle sezioni remote devono essere contenuti i segmenti necessari per l'assolvimento degli obblighi di consultazione dell'archivio.

2. I dati da iscrivere nell'archivio, ai sensi dell'art. 2 del decreto ministeriale, devono essere completi degli elementi specificati nel manuale operativo.

Art. 3.

Giorni di funzionamento dell'archivio

L'archivio è funzionante in tutti i giorni operativi secondo l'orario indicato nell'allegato "Tempi di funzionamento".

Art. 4.

Modalità di funzionamento dell'archivio

1. Il funzionamento dell'archivio si articola in tre fasi temporali. Nella prima fase, ciascun ente segnalante trasmette all'ente responsabile i dati di propria pertinenza. Nella seconda fase, l'ente responsabile invia il flusso di ritorno dei dati ricevuti nel corso della fase precedente agli enti segnalanti tenutari delle sezioni remote, che effettuano le operazioni di riscontro. Nella terza fase, ai sensi dell'art. 9, comma 3, del decreto ministeriale, si realizza l'iscrizione dei dati nell'archivio e, quindi, la loro simultanea consultabilità presso la sezione centrale e presso quelle remote.

2. Per le attività di trasmissione e di ricezione dei dati, previste dalla prima e dalla seconda fase di cui al comma precedente, ciascun ente segnalante privato in conformità con le disposizioni della legge 31 dicembre 1996, n. 675, può avvalersi di altro ente segnalante privato a ciò delegato.

3. I giorni e gli orari relativi a ciascuna delle fasi di cui al comma 1 sono indicati nell'allegato "Tempi di funzionamento".

4. Fermo restando il momento di iscrizione nell'archivio dei dati relativi alle fattispecie di assegni emessi senza provvista e senza autorizzazione, resta salva, per la Banca d'Italia ovvero per l'ente responsabile, la possibilità di:

 

a) anticipare la conclusione delle fasi di cui al comma 3, allo scopo di accrescere l'efficienza dei meccanismi di funzionamento dell'archivio;
b) posticipare la conclusione delle fasi medesime, in presenza di comprovate necessità tecnico-operative.

5. Tenuto conto di quanto previsto nell'allegato "Tempi di funzionamento", il trattario indica nel preavviso di revoca la data dell'eventuale iscrizione della segnalazione in archivio.

Art. 5.

Completezza delle segnalazioni

1. La segnalazione di cui alla prima fase di funzionamento dell'archivio prevista dall'art. 4, comma 1, può essere utilmente effettuata e ricevuta solo se completa.

2. Qualora la segnalazione sia incompleta, essa viene respinta. L'ente segnalante, dopo le opportune integrazioni e modifiche, può effettuare una nuova segnalazione ed è responsabile dell'eventuale ritardo.

3. Fatto salvo il disposto dell'art. 20, qualora i dati inseriti nel campo relativo al codice fiscale del soggetto segnalato siano incongruenti, l'ente segnalante, sotto la propria responsabilità e in conformità con quanto previsto nel manuale operativo, può:

 

a) indicare fin dall'inizio che la segnalazione deve essere comunque accettata dall'ente responsabile;
b) proporre una nuova segnalazione di contenuto uguale a quella eventualmente respinta indicando che essa deve essere comunque accettata dall'ente responsabile. Il ritardo nella iscrizione in archivio conseguente alla necessità della suddetta nuova segnalazione è imputabile all'ente segnalante.

4. La Banca d'Italia, ovvero l'ente responsabile, dispone la cancellazione e la rettifica dei dati dell'archivio soltanto su iniziativa dell'ente che ha originato la relativa segnalazione ovvero in attuazione di provvedimenti dell'autorità giudiziaria o del garante per la protezione dei dati personali.

5. In caso di nuova segnalazione sostitutiva di una precedente che non consentiva l'identificazione del soggetto da revocare, i termini di efficacia della revoca di sistema decorrono dall'iscrizione della nuova segnalazione in archivio.

6. In caso di ritardata iscrizione dovuta a segnalazione tardiva, incompleta o con codice fiscale incongruo, nonché nel caso di nuova segnalazione di cui al comma precedente, l'ente segnalante cura sotto la propria responsabilità le necessarie comunicazioni ai soggetti interessati.

Capo II

Assegni e carte di pagamento

Art. 6.

Assegni senza provvista e senza autorizzazione

1. In caso di trasmissione telematica delle informazioni relative ad un assegno da parte dell'ente negoziatore del titolo all'ente trattario, quest'ultimo provvede ad effettuare i necessari controlli e a comunicarne l'esito all'ente negoziatore del titolo con le modalità ed entro il termine massimo previsto dagli accordi interbancari che disciplinano le relative procedure.

2. Per gli effetti di cui all'art. 9-bis, comma 2, della legge 15 dicembre 1990, n. 386, l'assegno si intende presentato al pagamento nel giorno di scadenza del termine massimo di cui al comma precedente.

3. Ai fini del rispetto dei termini previsti per il preavviso di revoca, chi è in possesso del titolo procede senza indugio, ove richiesto, a trasmetterlo al trattario.

Art. 7.

Assegni non restituiti

1. Contestualmente alla segnalazione relativa a una revoca di sistema, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal soggetto revocato, ai sensi dell'art. 9-bis della legge 15 dicembre 1990, n. 386.

2. Nello stesso giorno in cui un proprio correntista autorizzato a trarre assegni è iscritto in archivio da altro ente, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal correntista medesimo.

3. Nello stesso giorno in cui dispone una revoca aziendale, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal soggetto revocato.

Art. 8.

Revoche all'utilizzo di carte di pagamento

Gli emittenti carte di pagamento che revocano dall'utilizzo di una carta di pagamento segnalano alla sezione centrale dell'archivio, per i rispettivi segmenti, i dati relativi alla carta medesima e alle generalità del titolare nello stesso giorno in cui è disposta la revoca.

Art. 9.

Assegni e carte di pagamento sottratti e smarriti

1. Gli enti segnalanti privati segnalano alla sezione centrale dell'archivio i dati relativi agli assegni e alle carte di pagamento smarriti o sottratti nello stesso giorno in cui ricevono dalla clientela la comunicazione di furto o di smarrimento; eguale segnalazione può essere prevista dal manuale operativo per gli assegni e le carte di pagamento bloccati per motivi diversi dalla sottrazione e dallo smarrimento.

2. Gli enti segnalanti privati comunicano alla clientela le modalità con le quali effettuare la comunicazione di furto o di smarrimento ovvero la segnalazione di blocco.

Titolo II

GESTIONE DELL'ARCHIVIO

Art. 10.

Sezione centrale

1. In caso di affidamento della gestione dell'archivio a un ente responsabile, questo, oltre al rispetto delle necessarie misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996, n. 675, è tenuto ad adottare ogni ulteriore misura necessaria per la sicurezza nel trattamento dei dati e per l'affidabilità, l'efficienza e la continuità del servizio; anche a tal fine, la Banca d'Italia individua specifici livelli di servizio coerenti con l'esigenza di garantire il corretto funzionamento dell'archivio e il regolare funzionamento del sistema dei pagamenti.

2. L'ente responsabile e la Banca d'Italia possono consultare i dati inseriti in archivio per l'espletamento delle funzioni di rispettiva competenza.

3. L'ente responsabile registra le persone fisiche che accedono, in nome e per conto dello stesso ente responsabile, degli enti segnalanti o della Banca d'Italia a risorse controllate dal sistema informatico, tenendo altresì traccia della data e dell'oggetto dell'accesso medesimo.

Art. 11.

Sezioni remote

1. Gli enti segnalanti privati sono tenuti a garantire che le sezioni dell'archivio che risiedono presso di essi presentino un adeguato livello di efficienza e di sicurezza, rispondendo del rispetto delle vigenti disposizioni in materia di trattamento dei dati. Le consultazioni delle sezioni remote sono registrate secondo quanto previsto all'art. 12, comma 1.

2. Gli enti segnalanti privati, in base alla propria struttura tecnica e organizzativa, adottano processi di gestione della sicurezza del sistema informativo coerenti con l'esigenza di garantire la funzionalità e l'efficienza dell'archivio, tenendo anche conto di quanto indicato nell'allegato "Sicurezza del sistema informativo" e di eventuali ulteriori indicazioni della Banca d'Italia.

Titolo III

MODALITA' DI ACCESSO AI DATI

Art. 12.

Modalità di consultazione

1. Ogni consultazione effettuata dagli enti segnalanti privati e dai prefetti deve essere dagli stessi registrata in modo tale che ne risultino certi la persona fisica che la pone in essere, l'oggetto e la data e che i suddetti dati non possano essere alterati.

2. L'autorità giudiziaria consulta direttamente i dati contenuti nella sezione centrale dell'archivio. La sezione centrale registra tali accessi in modo tale che ne risultino certi l'oggetto e la data; l'autorità giudiziaria tiene traccia degli accessi medesimi in modo tale che ne risultino certi la persona fisica che li pone in essere, l'oggetto e la data.

Art. 13.

Accesso dell'interessato

Il soggetto interessato, o la persona da esso delegata, accede ai dati contenuti nell'archivio che lo riguardano tramite gli enti segnalanti privati che forniscono il servizio di consultazione o tramite le Filiali della Banca d'Italia.

Art. 14.

Accesso ai dati non nominativi

In presenza di un interesse connesso con l'utilizzo degli assegni e delle carte di pagamento, è possibile accedere ai dati non nominativi contenuti nell'archivio presso gli enti segnalanti privati che offrono tale servizio e presso le Filiali della Banca d'Italia.

Art. 15.

Scadenza delle iscrizioni

1. Le segnalazioni contenenti dati identificativi personali restano iscritte in archivio secondo quanto previsto dall'art. 10 del decreto ministeriale.

2. I dati non nominativi inseriti in archivio a seguito di sottrazione, smarrimento, mancata restituzione ovvero blocco di un modulo di assegno restano iscritti in archivio per il periodo di dieci anni.

3. I dati non nominativi inseriti in archivio a seguito di sottrazione, smarrimento, revoca ovvero blocco di una carta di pagamento restano iscritti in archivio per il periodo di due anni.

Titolo IV

TARIFFE

Art. 16.

Determinazione delle tariffe

L'ente responsabile tariffa i servizi resi, nell'ambito della gestione dell'archivio, alle banche, agli uffici postali e agli intermediari finanziari vigilati emittenti carte di pagamento in conformità con i criteri di cui all'art. 17.

Art. 17.

Criteri per la determinazione delle tariffe

1. Le tariffe applicate dall'ente responsabile sono tali da recuperare i costi complessivamente sostenuti e sono comprensive di un margine di profitto congruo.

2. La tariffazione deve preservare condizioni di uguaglianza tra gli enti segnalanti privati. A tal fine essa prevede:

a) una parte fissa, determinata in ragione della partecipazione al sistema di funzionamento dell'archivio, eventualmente maggiorata per il caso in cui l'attività di consultazione possa non essere associata a quella di segnalazione;
b) una parte variabile, che tiene conto del ruolo di ciascun ente nell'ambito del sistema medesimo, determinata in ragione direttamente proporzionale alla sua rilevanza operativo-dimensionale, anche in termini di flussi informativi trattati.

3. Ai fini di cui al comma 2, l'ente responsabile può altresì tenere conto delle soluzioni tecnico-organizzative adottate e prevedere forme ridotte di tariffazione per gli enti segnalanti che si avvalgono di altri enti segnalanti ai sensi dell'art. 4, comma 2.

4. L'ente responsabile assicura la trasparenza delle tariffe applicate a fronte dei servizi resi.

5. Al fine di consentire la verifica del rispetto dei criteri per la determinazione delle tariffe, l'ente responsabile è tenuto ad effettuare e a dare conto della corretta disaggregazione e imputazione dei costi sostenuti.

6. L'ente responsabile verifica annualmente la necessità di adeguare le tariffe all'effettivo andamento dei costi, tenendo conto dell'evoluzione tecnologica e di eventuali economie di produzione. L'ente responsabile rende conto della tariffazione e dell'eventuale adeguamento periodico delle tariffe, nonché dei fattori a tal fine presi in considerazione, in un'apposita relazione annuale alla Banca d'Italia; al ricorrere di eventi straordinari e imprevedibili, l'ente responsabile può adeguare le tariffe dandone preventiva comunicazione alla Banca d'Italia.

Titolo V

CONTROLLI

Art. 18.

Sorveglianza sull'attività dell'ente responsabile

1. La Banca d'Italia, ai sensi dell'art. 146 del Testo unico bancario, controlla che la gestione dell'archivio da parte dell'ente responsabile sia improntata a principi di affidabilità ed efficienza e sia conforme alle norme del presente regolamento e alle disposizioni che regolano la materia.

2. L'ente responsabile definisce uno specifico "piano di qualità" per l'erogazione del servizio, in conformità con gli standard internazionali di riferimento e con le indicazioni fornite dalla Banca d'Italia.

3. La Banca d'Italia può richiedere all'ente responsabile dati e informazioni, nonché la trasmissione, anche periodica, e l'esibizione di ogni documento ritenuto necessario. L'ente responsabile invia alla Banca d'Italia, secondo i tempi e le modalità definiti da quest'ultima, apposite relazioni sull'attività svolta, nonché le informazioni e i dati previsti dalle norme che disciplinano l'affidamento della gestione dell'archivio alla Banca d'Italia.

Art. 19.

Controlli sugli enti segnalanti privati

La Banca d'Italia, nell'esercizio delle funzioni di Vigilanza sulle banche, sugli intermediari finanziari e sui sistemi di pagamento previste dal Testo unico bancario, verifica il rispetto delle disposizioni del presente regolamento, delle relative disposizioni di attuazione e di ogni altra norma connessa da parte degli enti segnalanti privati.

Titolo VI

DISPOSIZIONI TRANSITORIE E FINALI

Art. 20.

Acquisizione del codice fiscale

1. Entro centottanta giorni dalla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del presente regolamento, gli enti segnalanti privati richiedono il codice fiscale ai clienti non residenti che intrattengono con essi convenzioni di assegno, che siano titolari di una carta di pagamento emessa dagli stessi, ovvero che richiedono la stipula di tali convenzioni.

2. Nelle more dell'acquisizione di cui al comma 1, la segnalazione di revoca si intende completa anche in mancanza del codice fiscale.

Art. 21.

Disposizioni allegate

1. Le disposizioni contenute nell'allegato "Tempi di funzionamento" e nell'allegato "Sicurezza del sistema informativo" formano parte integrante del presente regolamento e, unitamente ad esso, sono pubblicate sul sito Internet della Banca d'Italia all'indirizzo www.bancaditalia.it, nonché disponibili presso tutte le filiali della stessa Banca d'Italia.

2. In caso di difformità tra il testo pubblicato sul sito della Banca d'Italia e quello disponibile presso le filiali della stessa, fa fede il contenuto di quest'ultimo.

3. La Banca d'Italia può modificare e integrare le disposizioni di cui al comma 1 per esigenze di adeguamento della struttura tecnica dell'archivio, al fine di assicurarne la funzionalità e l'efficienza. La Banca d'Italia rende pubbliche tali modifiche e integrazioni mediante appositi avvisi pubblicati sul suo sito Internet e resi disponibili presso le proprie Filiali per un congruo periodo di tempo.

Allegato
TEMPI DI FUNZIONAMENTO

Art. 1.

Segmenti dell'archivio

L'archivio è composto dai seguenti segmenti:

1) CAPRI (Centrale allarme procedura impagati), nel quale sono contenuti i dati relativi alle revoche dall'autorizzazione ad emettere assegni conseguenti alla commissione degli illeciti di cui agli articoli 1 e 2 della legge 15 dicembre 1990, n. 386;
2) PASS (Procedura assegni sottratti e smarriti), nel quale sono contenuti i dati relativi ai moduli di assegni sottratti, smarriti, non restituiti e bloccati per altri motivi;
3) CARTER (Carte revocate), nel quale sono contenuti i dati nominativi relativi alle revoche dall'utilizzo delle carte di pagamento;
4) PROCAR (Procedura carte), nel quale sono contenuti i dati relativi alle carte di pagamento revocate, smarrite e sottratte;
5) ASA (Assegni sanzioni amministrative), nel quale sono contenuti i dati relativi alle sanzioni amministrative ai sensi dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386;
6) ASP (Assegni sanzioni penali), nel quale sono contenuti i dati relativi alle sanzioni penali ai sensi dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386.

Art. 2.

Segmento CAPRI

La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T1.

La divulgazione dalla sezione centrale agli enti segnalanti privati ha luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.

Gli enti segnalanti privati effettuano le operazioni di riscontro sui dati ricevuti; l'iscrizione e i conseguenti effetti si determinano alle ore 00:00 del giorno T+2.

Il segmento è operativo nei giorni lavorativi bancari.

Art. 3.

Segmento PASS

La trasmissione dei dati dagli enti segnalanti alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 22 di ciascun giorno (giorno T2).

La divulgazione dei dati dalla sezione centrale agli enti segnalanti privati può avvenire dalle ore 5 del giorno T alle ore 3 del giorno T+1.

Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale secondo quanto previsto negli accordi tra enti segnalanti e comunque entro le ore 5 del giorno lavorativo T+1.

I dati sono iscritti in archivio in concomitanza con la loro divulgazione.

Il segmento è operativo nei giorni lavorativi bancari e, facoltativamente per gli enti segnalanti, nella giornata del sabato, salvi i casi di festività nazionale.

Art. 4.

Segmento CARTER

La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T3.

La divulgazione dalla sezione centrale agli enti segnalanti privati può aver luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.

L'iscrizione ha luogo alle ore 00:00 del giorno T+2.

Il segmento è operativo nei giorni lavorativi bancari.

Art. 5.

Segmento PROCAR

La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T4.

La divulgazione dalla sezione centrale agli enti segnalanti privati può aver luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.

I dati sono iscritti in archivio in concomitanza con la loro divulgazione.

Il segmento è operativo nei giorni lavorativi bancari.

Art. 6.

Segmenti ASA e ASP

I tempi di funzionamento dei segmenti ASA e ASP verranno successivamente definiti ad integrazione del presente allegato e resi pubblici con le modalità previste dall'art. 21, comma 3, del regolamento della Banca d'Italia.

Allegato
SICUREZZA DEL SISTEMA INFORMATIVO
Ogni ente segnalante privato, oltre ad assicurare il rispetto delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996, n. 675, deve definire e governare un processo per la gestione della sicurezza del sistema informativo dell'archivio (Centrale d'allarme interbancaria - CAI). Nell'ambito di tale processo l'ente segnalante privato deve intraprendere le seguenti azioni.
1) Definire le politiche per la sicurezza del sistema informativo della CAI.
2) Definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie.
3) Analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilità e gli impatti sull'ente segnalante privato e quindi determinare il livello di rischio globale.
4) Selezionare dall'elenco riportato in calce (realizzato utilizzando le specifiche ISO/IEC 17799:2000(E)(1) come riferimento) i controlli ritenuti appropriati. Tali controlli non sono esaustivi e ulteriori controlli possono essere individuati, per esempio attingendo alle già citate specifiche ISO/IEC 17799:2000(E).
5) Redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilità. In questo documento si devono anche indicare le ragioni che hanno indotto all'eventuale esclusione di alcuni controlli fra quelli riportati nel richiamato elenco.
Questi passi devono essere riesaminati periodicamente con cadenza definita dall'ente segnalante privato oppure in occasione di eventi significativi individuati dallo stesso. I passi identificati dai numeri 1), 2), 3), 5) devono essere, inoltre, opportunamente documentati.
La validità delle procedure adottate per realizzare i controlli selezionati deve essere verificata per valutarne la coerenza con le politiche aziendali di sicurezza e vagliarne l'adeguatezza tecnica. Le procedure in oggetto devono, inoltre, essere documentate in modo che risultino chiaramente le responsabilità e i principali ruoli delle funzioni e dei soggetti coinvolti. Il sistema informativo della CAI deve essere assoggettato a procedure di auditing.
I documenti sopra definiti devono essere:
prontamente disponibili;
periodicamente rivisti, coerentemente con le politiche di sicurezza dell'ente segnalante privato e immediatamente sostituiti in caso di obsolescenza;
gestiti con una procedura di controllo delle versioni.
L'ente segnalante privato è tenuto a conservare le evidenze relative all'applicazione dei controlli che dimostrino la conformità con i requisiti di sicurezza della CAI (per esempio: tracce di audit, autorizzazioni all'accesso logico e/o fisico, ecc.). Tali evidenze possono essere in formato cartaceo e/o elettronico, memorizzate e gestite in modo che siano prontamente disponibili e adeguatamente protette. L'ente stesso ha la responsabilità di definire e governare le procedure per identificare, gestire, conservare e distruggere tali evidenze che devono essere leggibili, identificabili e tracciabili rispetto alle attività a cui si riferiscono.
Elenco dei controlli suggeriti (i numeri identificativi corrispondono a quelli delle specifiche ISO/IEC 17799:2000(E)).
Questi controlli rappresentano un insieme minimo tratto dalle specifiche ISO/IEC 17799:2000(E). Essi non garantiscono la sicurezza della CAI, che dipende fortemente dall'ambiente tecnico e organizzativo in cui la procedura è inserita, bensì forniscono solo un insieme minimo di linee guida. Per questa ragione la maggior parte dei controlli previsti dalle specifiche ISO/IEC 17799:2000(E), pur essendo potenzialmente necessari per la sicurezza globale della procedura CAI, non sono espressamente menzionati in quanto non riguardano strettamente l'applicazione CAI ma l'intero ambiente elaborativo dell'ente segnalante privato (2). In particolare quest'ultimo deve attivare opportuni presidi finalizzati ad assicurare:
una efficace e sicura gestione operativa dei flussi informativi fra strutture centrali e periferiche dell'ente stesso;
(1) Per informazioni su tale norma ci si può rivolgere all'Ente nazionale italiano di unificazione - UNI.
(2) Per esempio: politiche e organizzazione della sicurezza, classificazione di beni e risorse, sicurezza del personale, aree sicure, sicurezza degli apparati, protezioni contro software malizioso, scambio di informazioni e software, controllo degli accessi di rete, controllo degli accessi del sistema operativo, mobile computing e telelavoro, controlli crittografici, sicurezza nei processi di sviluppo e di supporto, gestione della business continuity, aderenza alla legislazione, revisione delle politiche di sicurezza e della conformità tecnica, system audit.
una chiara definizione e separazione di ruoli e responsabilità tra gestori delle risorse informative e utilizzatori delle stesse.
Con riferimento alle sezioni remote dell'archivio, ogni ente segnalante privato è tenuto a verificare che ogni flusso informativo ricevuto dall'ente responsabile sia perfettamente congruente con le segnalazioni inviate dallo stesso ente segnalante. In caso di incongruenza dei dati l'ente segnalante privato è tenuto ad attivarsi tempestivamente presso l'ente responsabile.
Per quanto riguarda la gestione delle operazioni e delle comunicazioni si dovrebbe far riferimento ai seguenti controlli:
8.1 Procedure operative e responsabilità;
8.1.1 Procedure operative documentate;
8.1.3 Procedure per la gestione degli incidenti;
8.1.4 Separazione delle responsabilità;
8.1.5 Separazione fra le funzioni di sviluppo e produzione;
8.1.6 Gestione delle strutture esterne;
8.5 Gestione della rete;
8.5.1 Controlli di sicurezza sulla rete;
8.6 Gestione e sicurezza dei supporti di memorizzazione;
8.6.1 Gestione dei supporti informatici rimovibili;
8.6.2 Eliminazione dei supporti di memorizzazione;
8.6.3 Procedure di gestione delle informazioni.
Relativamente al controllo degli accessi si dovrebbero prendere in considerazione i seguenti controlli:
9.1 Requisiti aziendali per l'accesso al sistema;
9.1.1 Politiche per il controllo degli accessi;
9.1.1.1 Politiche ed esigenze aziendali;
9.1.1.2 Regole per il controllo degli accessi;
9.2 Gestione dell'accesso degli utenti;
9.2.1 Registrazione degli utenti;
9.2.2 Gestione dei privilegi;
9.2.3 Gestione delle password d'utente;
9.2.4 Revisione dei diritti di accesso degli utenti;
9.3 Responsabilità dell'utente;
9.3.1 Uso delle password;
9.3.2 Dispositivi dell'utente non sorvegliati;
9.5 Controllo degli accessi al sistema operativo;
9.5.4 Sistema di gestione delle password;
9.5.5 Uso dei servizi di sistema;
9.6 Controllo dell'accesso alle applicazioni;
9.6.1 Restrizione dell'accesso alle informazioni;
9.7 Monitoraggio dell'accesso e dell'uso del sistema;
9.7.1 Registrazione degli eventi;
9.7.2 Monitoraggio dell'uso del sistema;
9.7.2.1 Procedure e aree di rischio;
9.7.2.2 Fattori di rischio;
9.7.2.3 Registrazione e verifica degli eventi.
In relazione allo sviluppo e alla gestione dei sistemi si dovrebbero esaminare i seguenti controlli:
10.2 Sicurezza delle applicazioni;
10.2.1 Autenticazione dei dati in input;
10.2.2 Controllo delle elaborazioni interne;
10.2.2.1 Aree di rischio;
10.2.2.2 Controlli e verifiche;
10.5 Sicurezza dei processi di sviluppo e supporto;
10.5.1 Procedure di controllo delle modifiche.
1) Per il giorno T si intende:
nel caso di revoca di sistema conseguente a emissione di assegno senza autorizzazione, il giorno lavorativo di segnalazione della revoca all'archivio;
nel caso revoca di sistema conseguente a emissione di assegno in difetto di provvista, il sessantunesimo giorno, purché lavorativo, successivo alla scadenza del termine di presentazione al pagamento del titolo, salvo quanto previsto dal comma 3 dell'art. 9-bis della legge 15 dicembre 1990, n. 386.
2) Per il giorno T si intende il giorno in cui gli enti segnalati privati ricevono la comunicazione di furto, di smarrimento o di blocco per altri motivi, ovvero quello in cui si riscontra che un proprio correntista autorizzato a trarre assegni è stato iscritto in archivio da altro ente, ovvero si dispone una revoca aziendale.
3) Per giorno lavorativo T si intende il giorno in cui è disposta la revoca dall'utilizzo di una carta di pagamento.
4) Per giorno lavorativo T si intende il giorno in cui è disposta la revoca dall'utilizzo di una carta di pagamento.

TORNA a NORMATIVE    PRIMA PAGINA  NOVITA'