|
|
IL MINISTRO DELLA GIUSTIZIA
Visto l'articolo 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507,
che prevede l'emanazione del regolamento per la disciplina delle modalita' di
trasmissione, rettifica ed aggiornamento dei dati da inserire nell'archivio
previsto dal comma 1del medesimo articolo, nonche' le modalita' con cui la Banca
d'Italia
provvede al trattamento dei dati trasmessi e ne consente la consultazione;
Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400;
Sentiti la Banca d'Italia ed il Garante per la protezione dei dati personali;
Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per
gli atti normativi nell'adunanza del 18 giugno 2001;
Vista la comunicazione al Presidente del Consiglio dei Ministri,trasmessa in
data 25 ottobre 2001, prot. n. 2304/U-12/25-14-U.L.;
A d o t t a
il seguente regolamento:
Art. 1.
Struttura dell'archivio informatizzato degli assegni bancari e postali e delle
carte di pagamento
1. L'archivio informatizzato degli assegni bancari e postali e delle carte di
pagamento, istituito presso la Banca d'Italia dall'articolo 10-bis della legge
15 dicembre 1990, n. 386, introdotto dall'articolo 36 del decreto legislativo 30
dicembre 1999, n. 507, costituisce un servizio di interesse economico generale,
finalizzato
ad assicurare il regolare funzionamento del sistema dei pagamenti.
2. L'archivio e' costituito dalla sezione centrale presso la Banca d'Italia e
dalle sezioni remote presso le banche, gli uffici postali,gli intermediari
finanziari vigilati emittenti carte di pagamento e le prefetture.
3. I soggetti di cui al comma 2, adottano tutte le misure necessarie ad
assicurare l'efficiente interazione delle sezioni remote con la sezione centrale
dell'archivio.
4. Qualora la Banca d'Italia si avvalga di un ente esterno per la gestione
dell'archivio, questi e' tenuto a presentare, annualmente,una relazione sull'attivita'
svolta alla Banca d'Italia quale titolare del trattamento. Si osservano le
disposizioni di cui all'articolo 8 della legge 31 dicembre 1996, n. 675.
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto dall'amministrazione
competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione
delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della
Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la
lettura delle disposizioni di legge
alle quali e' operato il rinvio. Restano invariati il valore e, l'efficacia
degli atti legislativi qui trascritti.
Note alle premesse:
- Si riporta il testo dell'art. 36 del decreto legislativo 30 dicembre 1999, n.
507 (depenalizzazione dei
reati minori e riforma del sistema sanzionatario, ai sensi dell'art. 1 della
legge 25 giugno 1999, n. 205):
"Art. 36 (Archivio informatico). - 1. Aggiunge l'art.10-bis alla legge 15
dicembre 1990, n. 386.
2. Con regolamento emanato, ai sensi dell'art. 17,comma 5 della legge 23 agosto
1988, n. 400, entro
centocinquanta giorni dall'entrata in vigore del presente decreto legislativo,
il Ministro della giustizia, sentita
la Banca d'Italia ed il Garante per la protezione dei dati personali, disciplina
le modalita' con cui i soggetti ivi
individuati devono trasmettere i dati all'archivio previsto dal comma 1
del presente articolo e, se necessario,
rettificarli o aggiornarli. Con il medesimo regolamentosono individuate le
modalita' con cui la Banca d'Italia,
attenendosi ai dati trasmessi, provvede al loro trattamento e ne consente la
consultazione.
3. Con distinto regolamento emesso entro trenta giorni dall'adozione del
regolamento ministeriale di cui al comma 2, la Banca d'Italia disciplina le
modalita' e le procedure relative alle attivita' previste dal medesimo
regolamento ministeriale. La Banca d'Italia provvede altresi a determinare i
criteri generali per la quantificazione dei costi per l'accesso e la
consultazione dell'archivio da parte delle banche, degli intermediari vigilati e
degli
uffici postali".
- Si riporta il testo dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400
(disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei Ministri):
"3. Con decreto ministeriale possono essere adottati regolamenti nelle
materie di competenza del Ministro o di
autorita' sottordinateal Ministro, quando la legge espressamente conferisca tale
potere. Tali regolamenti, per
materie di competenza di piu' ministri, possono essere adottati con decreti
interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono dettare norme
contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere
comunicati al Presidente del Consiglio dei Ministri prima della loro
emanazione".
Note all'art. 1:
- Si riporta il testo dell'art. 10-bis delle legge 15 dicembre 1990, n. 386
(nuova disciplina senzionatoria
degli assegni bancari.) introdotto dall'art. 36 del decreto legislativo 30
dicembre 1999, n. 507:
"Art. 10-bis (Archivio degli assegni bancari e postali e delle carte di
pagamento irregolari). - 1. Al fine del
regolare funzionamento dei sistemi di pagamento, e' istituito presso la Banca
d'Italia un archivio
informatizzato degli assegni bancari e postali e delle carte di pagamento, nel
quale sono inseriti i seguenti
dati:
a) generalita' dei traenti degli assegni bancari o postali emessi senza
autorizzazione o senza provvista;
b) assegni bancari e postali emessi senza autorizzazione o senza provvista,
nonche' assegni non restituiti alle banche e agli uffici postali dopo la revoca
dell'autorizzazione;
c) sanzioni amministrative pecuniarie e accessorie applicate per l'emissione di
assegni bancari e postali
senza autorizzazione o senza provvista, nonche' sanzioni penali e connessi
divieti applicati per l'inosservanza
degli obblighi imposti a titolo di sanzione amministrativa accessoria;
d) generalita' del soggetto al quale e' stata revocata l'autorizzazione
all'utilizzo di carte di pagamento;
e) carte di pagamento per le quali sia stata revocata
l'autorizzazione all'utilizzo;
f) assegni bancari e postali e carte di pagamento di cui sia stato denunciato il
furto o lo smarrimento.
2. La Banca d'Italia, quale titolare del trattamento dei dati, puo' avvalersi di
un ente esterno per la gestione
dell'archivio, secondo quanto previsto dall'art. 8 della legge 31 dicembre 1996,
n. 675.
3. Il soggetto interessato ha diritto ad accedere alle informazioni che lo
riguardano contenute nell'archivio e di
esercitare gli altri diritti previsti dall'art. 13 della legge 31 dicembre 1996,
n. 675.
4. I prefetti, le banche, gli intermediari finanziari vigilati e gli uffici
postali possono accedere alle
informazioni contenute nell'archivio per le finalita' previste dalla presente
legge e per quelle connesse alla
verifica della corretta utilizzazione degli assegni e delle carte di pagamento.
L'autorita' giudiziaria ha accesso
diretto alle informazioni contenute nell'archivio, per lo svolgimento delle
proprie funzioni".
- Si riporta il testo dell'art. 8 della legge 31 dicembre 1996, n. 675 (tutela
delle persone e di altri
soggetti rispetto al trattamento dei dati personali):
"Art. 8 (Responsabile). - 1. Il responsabile, se designato, deve essere
nominato fra soggetti che per
esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
2. Il responsabile procede al trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale osservanza delle
disposizioni di cui al comma 1 e delle
proprie istruzioni.
3. Ove necessario per esigenze organizzative, possono essere designati
responsabili piu' soggetti anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile devono essere analiticamente specificati
per iscritto.
5. Gli incaricati del trattamento devono elaborare i dati personali ai quali
hanno accesso attenendosi alle
istruzioni del titolare o del responsabile".
Art. 2.
Dati contenuti nell'archivio 1. Nell'archivio sono iscritti i seguenti dati:
a) estremi identificativi del soggetto che trasmette i dati e data della
trasmissione;
b) per le persone fisiche traenti degli assegni emessi senza autorizzazione o
senza provvista e per i titolari delle carte di pagamento per le quali sia stata
revocata l'autorizzazione all'utilizzo in conseguenza del mancato pagamento o
della mancata costituzione dei fondi relativi alle transazioni effettuate:
cognome,
nome, luogo e data di nascita, sesso, codice fiscale, domicilio eletto all'atto
della conclusione della convenzione di assegno;
c) per gli enti, anche se privi di personalita' giuridica, traenti degli assegni
emessi senza autorizzazione o senza provvista e titolari di carte di pagamento
per le quali sia stata revocata l'autorizzazione all'utilizzo in conseguenza del
mancato pagamento o della mancata costituzione dei fondi relativi alle
transazioni effettuate: denominazione o ragione sociale, sede legale, codice
fiscale, eventuale iscrizione alla camera di commercio, industria, agricoltura e
artigianale;
d) per gli assegni emessi senza autorizzazione o senza provvista: coordinate,
divisa, importo;
e) coordinate dei moduli di assegno dei quali sia stato denunciato il furto o lo
smarrimento;
f) coordinate dei moduli di assegno non restituiti;
g) per le carte di pagamento per le quali sia stata revocata l'autorizzazione
all'utilizzo: emittente, numero, scadenza;
h) per le carte di pagamento delle quali sia stato denunciato il furto o lo
smarrimento: emittente, numero, scadenza.
2. Sono altresi' iscritti in archivio i dati relativi all'indicazione dell'autorita'
procedente, del tipo e della durata
delle sanzioni e dei divieti di cui all'articolo 10-bis, comma 1, lettera c),
della legge 15 dicembre 1990, n. 386, delle norme di legge violate, nonche' del
cognome, del nome, del luogo, della data di nascita, del sesso, della residenza,
domicilio o dimora e del codice fiscale del soggetto nei cui confronti sono
state applicate le suddette sanzioni.
Nota all'art. 2:
- Per il testo dell'art. 20-bis, comma 1, lettera c), della legge 15 dicembre
1990, n.386, si rimanda alle note
all'art. 1.
Art. 3.
Modalita' della trasmissione dei dati 1. I dati sono trasmessi alla sezione
centrale dell'archivio dalle
banche, dagli uffici postali, dagli intermediari finanziari vigilati emittenti
carte di pagamento, dai prefetti e dall'autorita' giudiziaria.
2. I soggetti indicati nel comma 1 assicurano l'esattezza e la completezza dei
dati trasmessi all'archivio e provvedono tempestivamente alle cancellazioni e
alle rettifiche dei dati errati.
3. La trasmissione dei dati viene effettuata con procedure telematiche
compatibili con le caratteristiche tecniche
dell'archivio. Per la trasmissione dei dati all'archivio e per le comunicazioni
che le banche, gli uffici postali e gli intermediari finanziari vigilati
emittenti carte di pagamento devono fare ai soggetti interessati, si tiene conto
dei giorni lavorativi bancari.
Art. 4.
Trasmissione dei dati da parte del prefetto e dell'autorita' giudiziaria
1. I dati relativi alle sanzioni amministrative pecuniarie e accessorie
applicate per l'emissione di assegni bancari e postali senza autorizzazione o
senza provvista, ove non piu' opponibili, sono trasmessi dal prefetto alla
sezione centrale dell'archivio. La trasmissione e' effettuata decorsi dieci
giorni dalla scadenza del termine indicato nell'articolo 22, commi 1 e 2, della
legge 24 novembre 1981, n. 689, salvo che l'opponente abbia notificato al
prefetto copia del ricorso proposto.
2. Qualora sia proposta opposizione, la cancelleria dell'ufficio giudiziario che
definisce il giudizio ne comunica l'esito al prefetto, allegando copia del
provvedimento irrevocabile; il prefetto, ricevuta la comunicazione, provvede
tempestivamente a trasmettere i dati alla sezione centrale dell'archivio a norma
del comma 1.
3. I dati relativi alle sanzioni penali e connessi divieti applicati per
l'inosservanza degli obblighi imposti a titolo di
sanzione amministrativa accessoria, nonche' i dati relativi alle sanzioni
amministrative pecuniarie e accessorie applicate a norma dell'articolo 24 della
legge 24 novembre 1981, n. 689, in base a provvedimenti irrevocabili, sono
trasmessi dal casellario giudiziale centrale alla sezione centrale
dell'archivio.
Nota all'art. 4:
- Si riporta il testo degli articoli 22 e 24 della legge 24 novembre 1981, n.
689 (modifiche al sistema
penale):
"Art. 22 (Opposizione all'ordinanza-ingiunzione). - Contro
l'ordinanza-ingiunzione di pagamento e contro l'ordinanza che dispone la sola
confisca, gli interessati possono proporre opposizione davanti al giudice del
luogo in cui e' stata commessa la violazione individuato a norma
dell'art.22-bis, entro il termine di trenta giorni dalla notificazione del
provvedimento.
Il termine e' di sessanta giorni se l'interessato risiede all'estero.
L'opposizione si propone mediante ricorso, al quale e' allegata l'ordinanza
notificata.
Il ricorso deve contenere altresi', quando l'opponente non abbia indicato un suo
procuratore, la dichiarazione di
residenza o la elezione di domicilio nel comune dove ha sede il giudice adito.
Se manca l'indicazione del procuratore oppure la dichiarazione di residenza o la
elezione di domicilio, le
notificazioni al ricorrente vengono eseguite mediante deposito in cancelleria.
Quando e' stato nominato un procuratore, le notificazioni e le comunicazioni nel
corso del procedimento
sono effettuate nei suoi confronti secondo le modalita'stabilite dal codice di
procedura civile.
L'opposizione non sospende l'esecuzione del provvedimento, salvo che il giudice,
concorrendo gravi
motivi, disponga diversamente con ordinanza inoppugnabile".
"Art. 24 (Connessione obiettiva con un reato). - Qualora l'esistenza di un
reato dipenda dall'accertamento di una violazione non costituente reato, e per
questa non sia stato effettuato il pagamento in misura ridotta, il giudice
penale competente a conoscere del reato e' pure competente a decidere sulla
predetta
violazione e ad applicare con la sentenza di condanna la sanzione stabilita
dalla legge per la violazione stessa.
Se ricorre l'ipotesi prevista dal precedente comma, il rapporto di cui all'art.
17 e' trasmesso, anche senza che
si sia proceduto alla notificazione prevista dal secondo comma dell'art. 14,
alla autorita' giudiziaria competente
per il reato, la quale, quando invia la comunicazione giudiziaria, dispone lo
notifica degli estremi della
violazione amministrativa agli obbligati per i quali essa non e' avvenuta. Dalla
notifica decorre il termine per il
pagamento in misura ridotta Se l'autorita' giudiziaria non procede ad
istruzione, il pagamento in misura ridotta puo' essere effettuato prima
dell'apertura del dibattimento.
La persona obbligata in solido con l'autore della violazione deve essere citata
nella istruzione o nel
giudizio penale su richiesta del pubblico ministero. Il pretore ne dispone di
ufficio la citazione. Alla predetta
persona, per la difesa dei propri interessi, spettano i diritti e le garanzie
riconosciuti all'imputato, esclusa la
nomina del difensore d'ufficio.Il pretore quando provvede con decreto penale,
con lo
stesso decreto applica, nei confronti dei responsabili, la sanzione stabilita
dalla legge per la violazione.
La competenza del giudice penale in ordine alla violazione non costituente reato
cessa se il procedimento
penale si chiude per estinzione del reato e per difetto di una condizione di
procedibilita'".
Art. 5.
Trasmissione dei dati relativi alla revoca delle autorizzazioni
1. Nei casi di cui all'articolo 9 della legge 15 dicembre 1990, n. 386, il
trattario trasmette alla sezione centrale dell'archivio i seguenti dati:
a) le generalita' di coloro che hanno sottoscritto l'assegno,quando per
l'emissione del titolo e' richiesta la firma congiunta;
b) le generalita' del delegante nel caso di delega di traenza;
c) la denominazione o la ragione sociale dell'ente, anche privo di personalita'
giuridica, nel caso di assegno emesso in nome e per conto di quest'ultimo.
2. Quando il traente non e' identificabile il trattario non effettua alcuna
trasmissione di dati all'archivio.
Nota all'art. 5:
- Si riporta il testo dell'art. 9 della citata legge 15 dicembre 1990, n. 386:
"Art. 9 (Revoca delle autorizzazioni). - 1 In caso di mancato pagamento, in
tutto o in parte, di un assegno per
mancanza di autorizzazione o di provvista, il trattario iscrive il nominativo
del traente nell'archivio previsto
dall'art. 10-bis.
2. L'iscrizione e' effettuata:
a) nel caso di mancanza di autorizzazione, entro il ventesimo giorno dalla
presentazione al pagamento del
titolo;
b) nel caso di difetto di provvista, quando e' decorso il termine stabilito
dall'art. 8 senza che il traente abbia fornito la prova dell'avvenuto pagamento,
salvo quanto previsto dall'art. 9-bis, comma 3.
3. L'iscrizione nell'archivio determina la revoca di ogni autorizzazione ad
emettere assegni. Una nuova
autorizzazione non puo' essere data prima che sia trascorso il termine di sei
mesi dall'iscrizione del nominativo
nell'archivio.
4. La revoca comporta il divieto, della durata di sei mesi, per qualunque banca
e ufficio postale di stipulare
nuove convenzioni di assegno con il traente e di pagare gli assegni tratti dal
medesimo dopo l'iscrizione
nell'archivio, anche se emessi nei limiti della provvista".
Art. 6.
Trasmissione dei dati relativi ai moduli di assegno non restituiti
1. I dati relativi ai moduli di assegno non restituiti sono trasmessi dal trattario alla sezione centrale dell'archivio dopo la revoca dell'autorizzazione ovvero dopo l'applicazione delle sanzioni e dei divieti di cui all'articolo 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386.
Nota all'art. 6:
- Per il testo dell'art. 10-bis, comma 1, lettera c),della legge 15 dicembre
1990, n. 386, si rimanda alle note
all'art 1.
Art. 7.
Trasmissione dei dati relativi alle carte di pagamento 1. I dati relativi alle
carte di pagamento e alle generalita' del responsabile dell'utilizzo secondo la
disciplina contrattuale sono trasmessi quando e' revocata l'autorizzazione
all'utilizzo di carte di pagamento in conseguenza del mancato pagamento o della
mancata
costituzione dei fondi relativi alle transazioni effettuate.
Art. 8.
Trasmissione dei dati relativi agli assegni e alle carte di pagamento smarriti o
rubati 1. I dati relativi agli assegni e alle carte di pagamento rubati o
smarriti sono trasmessi dal trattario o dall'emittente che riceve dal
proprio cliente la comunicazione della denuncia di furto o di smarrimento.
Art. 9.
Iscrizione dei dati nell'archivio
1. La Banca d'Italia e per essa l'ente al quale e' affidata la gestione
dell'archivio verifica la completezza dei dati trasmessi e qualora risultino
incompleti li rinvia al soggetto che li ha trasmessi; questi, effettuati i
necessari controlli, li ritrasmette con le rettifiche e le integrazioni.
2. La Banca d'Italia e per essa l'ente al quale e' affidata la gestione
dell'archivio trasmette giornalmente, per via telematica, i dati ricevuti alle
banche, agli uffici postali, agli intermediari finanziari vigilati emittenti
carte di pagamento e alle prefetture.
3. Gli effetti dell'iscrizione si producono dal momento in cui i dati inseriti
nella sezione centrale dell'archivio sono consultabili presso le sezioni remote.
Art. 10.
Durata delle iscrizioni
1. I dati identificativi personali iscritti a seguito della revoca
dell'autorizzazione di cui all'articolo 9 della legge 15 dicembre 1990, n. 386,
ovvero delle sanzioni e dei divieti previsti dall'articolo 10-bis, comma 1,
lettera c), della medesima legge restano iscritti in archivio per il periodo di
efficacia dei relativi
provvedimenti.
2. I dati identificativi personali iscritti a seguito di revoche all'utilizzo
di carte di pagamento restano iscritti in archivio per due anni.
3. I dati identificativi personali iscritti a seguito delle sanzioni
amministrative pecuniarie restano iscritti in archivio per cinque anni.
4. I dati identificativi personali sono eliminati dall'archivio decorsi i
termini indicati nei commi 1, 2 e 3.
Note all'art. 10:
- Per il testo dell'art. 9 della legge 15 dicembre 1990, n. 386, si rimanda alle
note dell'art. 5.
- Per il testo dell'art. 10-bis, comma 1, lettera e), della legge 15 dicembre
1990, n. 386, si rimanda alle note
all'art. 1.
Art. 11.
Diritti dell'interessato
1. I diritti di accesso ai dati personali e gli altri diritti dell'interessato
previsti dall'articolo 13 della legge 31 dicembre 1996, n. 675, sono esercitati
secondo le modalita' di cui all'articolo 17 del decreto del Presidente della
Repubblica 31 marzo 1998, n. 501, anche presso le sezioni remote dell'archivio.
Gli aggiornamenti, le rettifiche, le integrazioni e le cancellazioni da
effettuare in conseguenza dell'esercizio di tali diritti sono
disposti su comunicazione del soggetto che ha trasmesso i dati ovvero d'intesa
con esso.
Note all'art. 11:
- Si riporta il testo dell'art. 13 della citata legge 31 dicembre 1996, n. 675:
"Art. 13 (Diritti dell'interessato). - 1. In relazione al trattamento di
dati personali l'interessato ha diritto:
a) di conoscere, mediante accesso gratuito al registro di cui all'art. 31, comma
1, lettera a)
l'esistenza di trattamenti di dati che possono riguardarlo;
b) di essere informato su quanto indicato all'art. 7,comma 4, lettere a), b) e
h);
c) di ottenere, a cura del titolare o del responsabile, senza ritardo:
1) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche
se non ancora
registrati, e la comunicazione in forma intellegibile dei medesimi dati e della
loro origine, nonche' della logica e
delle finalita' su cui si basa il trattamento; la richiesta puo' essere
rinnovata, salva l'esistenza di giustificati
motivi, con intervallo non minore di novanta giorni;
2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di
legge, compresi quelli di cui non e' necessaria la conservazione in relazione
agli scopi per i quali i dati
sono stati raccolti o successivamente trattati;
3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse,
l'integrazione dei dati;
4) l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate
a conoscenza, anche per
quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati
comunicati o diffusi, eccettuato il caso in
cui tale adempimento si riveli impossibile o comporti un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato;
d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei
dati personali che lo
riguardano, ancorche' pertinenti allo scopo della raccolta;
e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo
riguardano, previsto a fini di
informazione commerciale o di invio di materiale pubblicitario o di vendita
diretta ovvero per il compimento
di ricerche di mercato o di comunicazione commerciale interattiva e di essere
informato dal titolare, non oltre
il momento in cui i dati sono comunicati o diffusi, della possibilita' di
esercitare gratuitamente tale diritto.
2. Per ciascuna richiesta di cui al comma 1, lettera c), numero 1), puo' essere
chiesto all'interessato, ove non
risulti confermata l'esistenza di dati che lo riguardano, un contributo spese,
non superiore ai costi effettivamente
sopportati, secondo le modalita' ed entro i limiti stabiliti dai regolamento di
cui all'art. 33, comma 3.
3. I diritti di cui al comma 1 riferiti ai dati personali concernenti persone
decedute possono essere
esercitati da chiunque vi abbia interesse.
4. Nell'esercizio dei diritti di cui al comma 1 l'interessato puo' conferire,
per iscritto, delega o
procura a persone fisiche o ad associazioni.
5. Restano ferme le norme sul segreto professionale degli esercenti la
professione di giornalista limitatamente
alla fonte della notizia".
- Si riporta il testo dell'art. 17 del decreto del Presidente della Repubblica
31 marzo 1998, n. 501
(regolamento recante norme per l'organizzazione ed il funzionamento dell'ufficio
del Garante per la protezione
dei dati personali a norma dell'art. 33, comma 3, della legge 31 dicembre 1996,
n. 675):
"Art. 17 (Accesso ai dati personali). - 1. La richiesta di cui all'art. 13.
comma 1, lettera c), n. 1), della legge
puo' essere avanzata anche per il tramite degli incaricati del trattamento,
senza formalita' ed anche verbalmente.
2. L'interessato deve dimostrare la propria identita',anche esibendo o allegando
copia di un documento di
riconoscimento. La persona che agisce su incarico dell'interessato deve inoltre
esibire o allegare copia
della procura o della delega recante sottoscrizione autenticata nelle forme di
legge. Nei casi previsti
dall'art. 3, comma 11, della legge 15 maggio 1997, n. 127, l'autenticazione non
e' necessaria. Se l'interessato e' una persona giuridica, un ente o un
associazione, la richiesta e' avanzata dalla persona fisica a cio' legittimata
in base ai rispettivi statuti od ordinamenti.
3. La richiesta puo' essere trasmessa anche mediante lettera raccomandata o
telefax. Si applica anche per la
richiesta l'art. 12, comma 6.
4. L'interessato puo' farsi assistere da una persona di fiducia.
5. Salvo che la richiesta sia riferita ad un particolare trattamento o ad una
specifica banca dati, la comunicazione o il riscontro all'interessato devono
comprendere tutti i dati personali che riguardano l'interessato comunque
trattati dal titolare.
6. I dati sono estratti a cura del responsabile o degli incaricati del
trattamento e possono essere comunicati al
richiedente anche oralmente, ovvero con prospettazione mediante mezzi
elettronici o comunque automatizzati,
sempreche' in tali casi la comprensione dei dati sia agevole, considerata anche
la qualita' e la quantita' delle
informazioni. Se vi e' richiesta, si provvede in ogni caso alla trasposizione
dei dati su supporto cartaceo o
informatico, ovvero alla loro trasmissione per via telematica.
7. Qualora, a seguito della richiesta di cui all'art.13, comma 1, lettera c), n.
1), della legge, non risulti
confermata l'esistenza di dati che riguardano l'interessato, il contributo spese
che puo' essere
richiesto non puo' eccedere i costi effettivamente sopportati per la ricerca
effettuata nel caso specifico, e
non puo' comunque superare l'importo di lire ventimila. Il contributo e'
determinato forfettariamente in L. 5.000
qualora i dati siano trattati con mezzi elettronici o comunque automatizzati e
la risposta sia fornita in forma
verbale.
8. Il contributo di cui al comma 7 e' corrisposto anche mediante versamento
postale o bancario, ovvero mediante carta di pagamento o di credito, ove
possibile all'atto della ricezione del riscontro dal quale risulta
l'inesistenza dei dati e comunque non oltre cinque giorni.
9. Ai fini di una piu' efficace applicazione dell'art.13 della legge, i titolari
dei trattamenti adottano le
opportune misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche
attraverso l'impiego di appositi
programmi per elaboratore finalizzati ad un'accurata selezione dei dati che
riguardano i singoli soggetti,
tenuto conto della definizione di "dato personale" contenuta nell'art.
1 della legge;
b) a semplificare per quanto possibile le modalita' per il riscontro al
richiedente e a ridurre i relativi
tempi, anche nell'ambito degli uffici per le relazioni con il pubblico di cui
all'art. 12 del decreto legislativo 3
febbraio 1993, n. 29, e successive modificazioni ed integrazioni.
10. Le disposizioni di cui ai commi da 1 a 6 e 9 si applicano anche agli altri
casi disciplinati dall'art. 13
della legge, nei quali, tuttavia, non e' dovuto alcun contributo spese".
Art. 12.
Accesso dei privati
1. Chiunque, per finalita' connesse all'applicazione della disciplina in materia
di assegni bancari e postali e di carte di pagamento, puo' accedere ai dati non
nominativi contenuti nell'archivio per il tramite delle banche, degli uffici
postali, degli intermediari finanziari vigilati emittenti carte di pagamento
ovvero della Banca d'Italia. Tali dati sono pubblicati con cadenza periodica
dalla Banca d'Italia.
Art. 13.
Modalita' di consultazione
1. Le banche, gli uffici postali, gli intermediari finanziari vigilati emittenti
carte di pagamento e il prefetto consultano i dati contenuti nell'archivio
attraverso le rispettive sezioni remote dell'archivio. I dati presenti nelle
sezioni remote non sono modificabili.
2. L'autorita' giudiziaria accede direttamente ai dati contenuti nella sezione
centrale dell'archivio utilizzando procedure telematiche compatibili con le
caratteristiche tecniche dell'archivio stesso.
Art. 14.
Identificazione dei soggetti iscritti nell'archivio 1. Al fine di assicurare
l'identificazione dei soggetti da
iscrivere nell'archivio, le banche, gli uffici postali, e gli intermediari
finanziari vigilati emittenti carte di pagamento devono acquisire il codice
fiscale dei soggetti, anche non residenti, ai quali vengono rilasciati moduli di
assegno o carte di pagamento.
Art. 15.
Preavviso di revoca
1. Il termine per l'invio del preavviso di revoca decorre dalla presentazione,
anche in via telematica, dell'assegno al pagamento.
2. La prova del pagamento tardivo dell'assegno nel sessantesimo giorno deve
essere fornita dall'interessato durante l'orario di apertura dello stabilimento
trattario.
Art. 16.
Controlli
1. La Banca d'Italia, nell'esercizio delle funzioni di titolare del trattamento,
nonche' di vigilanza sugli intermediari bancari e finanziari e sul sistema dei
pagamenti, verifica l'osservanza delle disposizioni che regolano il
funzionamento dell'archivio da parte delle banche, degli uffici postali e degli
emittenti carte di
pagamento.
Art. 17.
Disposizioni finali
1. Le disposizioni del presente regolamento entrano in vigore decorsi
centocinquanta giorni dalla sua pubblicazione nella Gazzetta Ufficiale della
Repubblica.
2. I soggetti segnalanti sono tenuti a trasmettere all'archivio i dati relativi
alle violazioni commesse successivamente alla data di entrata in vigore del
presente regolamento.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella
Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Roma, 7 novembre 2001
Il Ministro: Castelli
Visto, il Guardasigilli: Castelli
Registrato alla Corte dei conti il 27 dicembre 2001
Ministeri istituzionali, registro n. 14, foglio n. 169
REGOLAMENTO Banca d'Italia 29 gennaio 2002 Funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento (G.U. n. 27, 1° febbraio 2002, Serie Generale)
IL GOVERNATORE
DELLA BANCA D'ITALIA
Visto l'art. 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, che prevede l'emanazione del regolamento per la disciplina delle modalità di trasmissione, rettifica ed aggiornamento dei dati da inserire nell'archivio previsto dal comma 1 del medesimo articolo, nonché le modalità con cui la Banca d'Italia provvede al trattamento dei dati trasmessi e ne consente la consultazione;
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, che prevede che, con distinto regolamento emesso entro trenta giorni dall'adozione del regolamento ministeriale di cui al comma 2, la Banca d'Italia disciplina le modalità e le procedure relative alle attività previste dal medesimo regolamento ministeriale;
Visto il decreto del Ministro della giustizia 7 novembre 2001, n. 458, adottato ai sensi dell'art. 36, comma 2, del decreto legislativo 30 dicembre 1999, n. 507, recante il regolamento sul funzionamento dell'archivio informatizzato degli assegni bancari e postali e delle carte di pagamento;
Visto l'art. 146 del decreto legislativo 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia);
Visto l'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, secondo il quale la Banca d'Italia provvede altresì a determinare i criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari finanziari vigilati e degli uffici postali;
Ritenuta l'opportunità di provvedere, nel medesimo regolamento adottato ai sensi dell'art. 36, comma 3, del decreto legislativo 30 dicembre 1999, n. 507, alla determinazione dei criteri generali per la quantificazione dei costi per l'accesso e la consultazione dell'archivio da parte delle banche, degli intermediari finanziari vigilati e degli uffici postali;
Sentito il garante per la protezione dei dati personali;
Emana
il seguente regolamento:
Titolo I DISPOSIZIONI GENERALI
Capo IFunzionamento dell'archivio
Art. 1.
Definizioni
Nel presente regolamento, si intende per:
a) "archivio": l'archivio degli assegni bancari e postali e delle carte di pagamento irregolari di cui all'art. 10-bis della legge 15 dicembre 1990, n. 386, composto dalla sezione centrale e dalle sezioni remote di cui all'art. 1, comma 2, del decreto ministeriale;b) "assegni e carte bloccati": assegni e carte di pagamento dei quali l'ente trattario ovvero emittente abbia disposto, di iniziativa ovvero su richiesta, il divieto di utilizzo;c) "decreto ministeriale": il decreto del Ministro della giustizia 7 novembre 2001, n. 458;d) "ente responsabile": ente concessionario del servizio di gestione dell'archivio e responsabile per il trattamento dei dati, ai sensi dell'art. 10-bis, comma 2, della legge 15 dicembre 1990, n. 386;e) "enti segnalanti privati": le banche, gli uffici postali e gli intermediari finanziari vigilati emittenti carte di pagamento;f) "fase temporale": ciclo di funzionamento dell'archivio, secondo gli orari indicati nell'allegato "Tempi di funzionamento";g) "giorno operativo": giorno lavorativo bancario secondo il calendario nazionale;h) "manuale operativo": manuale comprendente, per ciascun segmento, documenti nei quali sono indicate le istruzioni tecniche per il funzionamento del segmento medesimo;i) "preavviso di revoca": la comunicazione di cui all'art. 9-bis della legge 15 dicembre 1990, n. 386;j) "revoca di sistema": la revoca di cui all'art. 9 della legge 15 dicembre 1990, n. 386;k) "revoca aziendale": la revoca disposta dal trattario fuori dai casi di revoca di sistema;l) "segmento": parte dell'archivio contenente i dati relativi alle medesime fattispecie di segnalazione;m) "segnalazione completa": il flusso informativo reso dagli enti segnalanti alla sezione centrale dell'archivio, quando tutti i dati che lo costituiscono sono inseriti negli appositi campi in modo conforme a quanto previsto dal manuale operativo;n) "sezione centrale": la sezione dell'archivio presso la Banca d'Italia ovvero presso l'ente responsabile;o) "sezione remota": la sezione dell'archivio esistente presso gli enti segnalanti privati e presso i prefetti.1. Nella sezione centrale sono contenuti tutti i segmenti individuati nell'allegato "Tempi di funzionamento"; nelle sezioni remote devono essere contenuti i segmenti necessari per l'assolvimento degli obblighi di consultazione dell'archivio. Art. 2.
Struttura dell'archivio
2. I dati da iscrivere nell'archivio, ai sensi dell'art. 2 del decreto ministeriale, devono essere completi degli elementi specificati nel manuale operativo.
L'archivio è funzionante in tutti i giorni operativi secondo l'orario indicato nell'allegato "Tempi di funzionamento". Art. 3.
Giorni di funzionamento dell'archivio
1. Il funzionamento dell'archivio si articola in tre fasi temporali. Nella prima fase, ciascun ente segnalante trasmette all'ente responsabile i dati di propria pertinenza. Nella seconda fase, l'ente responsabile invia il flusso di ritorno dei dati ricevuti nel corso della fase precedente agli enti segnalanti tenutari delle sezioni remote, che effettuano le operazioni di riscontro. Nella terza fase, ai sensi dell'art. 9, comma 3, del decreto ministeriale, si realizza l'iscrizione dei dati nell'archivio e, quindi, la loro simultanea consultabilità presso la sezione centrale e presso quelle remote. Art. 4.
Modalità di funzionamento dell'archivio
2. Per le attività di trasmissione e di ricezione dei dati, previste dalla prima e dalla seconda fase di cui al comma precedente, ciascun ente segnalante privato in conformità con le disposizioni della legge 31 dicembre 1996, n. 675, può avvalersi di altro ente segnalante privato a ciò delegato.
3. I giorni e gli orari relativi a ciascuna delle fasi di cui al comma 1 sono indicati nell'allegato "Tempi di funzionamento".
4. Fermo restando il momento di iscrizione nell'archivio dei dati relativi alle fattispecie di assegni emessi senza provvista e senza autorizzazione, resta salva, per la Banca d'Italia ovvero per l'ente responsabile, la possibilità di:
a) anticipare la conclusione delle fasi di cui al comma 3, allo scopo di accrescere l'efficienza dei meccanismi di funzionamento dell'archivio;b) posticipare la conclusione delle fasi medesime, in presenza di comprovate necessità tecnico-operative.5. Tenuto conto di quanto previsto nell'allegato "Tempi di funzionamento", il trattario indica nel preavviso di revoca la data dell'eventuale iscrizione della segnalazione in archivio.
1. La segnalazione di cui alla prima fase di funzionamento dell'archivio prevista dall'art. 4, comma 1, può essere utilmente effettuata e ricevuta solo se completa. Art. 5.
Completezza delle segnalazioni
2. Qualora la segnalazione sia incompleta, essa viene respinta. L'ente segnalante, dopo le opportune integrazioni e modifiche, può effettuare una nuova segnalazione ed è responsabile dell'eventuale ritardo.
3. Fatto salvo il disposto dell'art. 20, qualora i dati inseriti nel campo relativo al codice fiscale del soggetto segnalato siano incongruenti, l'ente segnalante, sotto la propria responsabilità e in conformità con quanto previsto nel manuale operativo, può:
a) indicare fin dall'inizio che la segnalazione deve essere comunque accettata dall'ente responsabile;b) proporre una nuova segnalazione di contenuto uguale a quella eventualmente respinta indicando che essa deve essere comunque accettata dall'ente responsabile. Il ritardo nella iscrizione in archivio conseguente alla necessità della suddetta nuova segnalazione è imputabile all'ente segnalante.4. La Banca d'Italia, ovvero l'ente responsabile, dispone la cancellazione e la rettifica dei dati dell'archivio soltanto su iniziativa dell'ente che ha originato la relativa segnalazione ovvero in attuazione di provvedimenti dell'autorità giudiziaria o del garante per la protezione dei dati personali.
5. In caso di nuova segnalazione sostitutiva di una precedente che non consentiva l'identificazione del soggetto da revocare, i termini di efficacia della revoca di sistema decorrono dall'iscrizione della nuova segnalazione in archivio.
6. In caso di ritardata iscrizione dovuta a segnalazione tardiva, incompleta o con codice fiscale incongruo, nonché nel caso di nuova segnalazione di cui al comma precedente, l'ente segnalante cura sotto la propria responsabilità le necessarie comunicazioni ai soggetti interessati.
Capo II
Assegni e carte di pagamento
1. In caso di trasmissione telematica delle informazioni relative ad un assegno da parte dell'ente negoziatore del titolo all'ente trattario, quest'ultimo provvede ad effettuare i necessari controlli e a comunicarne l'esito all'ente negoziatore del titolo con le modalità ed entro il termine massimo previsto dagli accordi interbancari che disciplinano le relative procedure. Art. 6.
Assegni senza provvista e senza autorizzazione
2. Per gli effetti di cui all'art. 9-bis, comma 2, della legge 15 dicembre 1990, n. 386, l'assegno si intende presentato al pagamento nel giorno di scadenza del termine massimo di cui al comma precedente.
3. Ai fini del rispetto dei termini previsti per il preavviso di revoca, chi è in possesso del titolo procede senza indugio, ove richiesto, a trasmetterlo al trattario.
1. Contestualmente alla segnalazione relativa a una revoca di sistema, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal soggetto revocato, ai sensi dell'art. 9-bis della legge 15 dicembre 1990, n. 386. Art. 7.
Assegni non restituiti
2. Nello stesso giorno in cui un proprio correntista autorizzato a trarre assegni è iscritto in archivio da altro ente, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal correntista medesimo.
3. Nello stesso giorno in cui dispone una revoca aziendale, il trattario segnala alla sezione centrale dell'archivio i dati relativi agli assegni non restituiti dal soggetto revocato.
Gli emittenti carte di pagamento che revocano dall'utilizzo di una carta di pagamento segnalano alla sezione centrale dell'archivio, per i rispettivi segmenti, i dati relativi alla carta medesima e alle generalità del titolare nello stesso giorno in cui è disposta la revoca. Art. 8.
Revoche all'utilizzo di carte di pagamento
1. Gli enti segnalanti privati segnalano alla sezione centrale dell'archivio i dati relativi agli assegni e alle carte di pagamento smarriti o sottratti nello stesso giorno in cui ricevono dalla clientela la comunicazione di furto o di smarrimento; eguale segnalazione può essere prevista dal manuale operativo per gli assegni e le carte di pagamento bloccati per motivi diversi dalla sottrazione e dallo smarrimento. Art. 9.
Assegni e carte di pagamento sottratti e smarriti
2. Gli enti segnalanti privati comunicano alla clientela le modalità con le quali effettuare la comunicazione di furto o di smarrimento ovvero la segnalazione di blocco.
Titolo II
GESTIONE DELL'ARCHIVIO
Art. 10. 1. In caso di affidamento della gestione dell'archivio a un ente responsabile, questo, oltre al rispetto delle necessarie misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996, n. 675, è tenuto ad adottare ogni ulteriore misura necessaria per la sicurezza nel trattamento dei dati e per l'affidabilità, l'efficienza e la continuità del servizio; anche a tal fine, la Banca d'Italia individua specifici livelli di servizio coerenti con l'esigenza di garantire il corretto funzionamento dell'archivio e il regolare funzionamento del sistema dei pagamenti.Sezione centrale
2. L'ente responsabile e la Banca d'Italia possono consultare i dati inseriti in archivio per l'espletamento delle funzioni di rispettiva competenza.
3. L'ente responsabile registra le persone fisiche che accedono, in nome e per conto dello stesso ente responsabile, degli enti segnalanti o della Banca d'Italia a risorse controllate dal sistema informatico, tenendo altresì traccia della data e dell'oggetto dell'accesso medesimo.
1. Gli enti segnalanti privati sono tenuti a garantire che le sezioni dell'archivio che risiedono presso di essi presentino un adeguato livello di efficienza e di sicurezza, rispondendo del rispetto delle vigenti disposizioni in materia di trattamento dei dati. Le consultazioni delle sezioni remote sono registrate secondo quanto previsto all'art. 12, comma 1. Art. 11.
Sezioni remote
2. Gli enti segnalanti privati, in base alla propria struttura tecnica e organizzativa, adottano processi di gestione della sicurezza del sistema informativo coerenti con l'esigenza di garantire la funzionalità e l'efficienza dell'archivio, tenendo anche conto di quanto indicato nell'allegato "Sicurezza del sistema informativo" e di eventuali ulteriori indicazioni della Banca d'Italia.
Titolo III
MODALITA' DI ACCESSO AI DATI
1. Ogni consultazione effettuata dagli enti segnalanti privati e dai prefetti deve essere dagli stessi registrata in modo tale che ne risultino certi la persona fisica che la pone in essere, l'oggetto e la data e che i suddetti dati non possano essere alterati. Art. 12.
Modalità di consultazione
2. L'autorità giudiziaria consulta direttamente i dati contenuti nella sezione centrale dell'archivio. La sezione centrale registra tali accessi in modo tale che ne risultino certi l'oggetto e la data; l'autorità giudiziaria tiene traccia degli accessi medesimi in modo tale che ne risultino certi la persona fisica che li pone in essere, l'oggetto e la data.
Il soggetto interessato, o la persona da esso delegata, accede ai dati contenuti nell'archivio che lo riguardano tramite gli enti segnalanti privati che forniscono il servizio di consultazione o tramite le Filiali della Banca d'Italia. Art. 13.
Accesso dell'interessato
In presenza di un interesse connesso con l'utilizzo degli assegni e delle carte di pagamento, è possibile accedere ai dati non nominativi contenuti nell'archivio presso gli enti segnalanti privati che offrono tale servizio e presso le Filiali della Banca d'Italia. Art. 14.
Accesso ai dati non nominativi
1. Le segnalazioni contenenti dati identificativi personali restano iscritte in archivio secondo quanto previsto dall'art. 10 del decreto ministeriale. Art. 15.
Scadenza delle iscrizioni
2. I dati non nominativi inseriti in archivio a seguito di sottrazione, smarrimento, mancata restituzione ovvero blocco di un modulo di assegno restano iscritti in archivio per il periodo di dieci anni.
3. I dati non nominativi inseriti in archivio a seguito di sottrazione, smarrimento, revoca ovvero blocco di una carta di pagamento restano iscritti in archivio per il periodo di due anni.
Titolo IV
TARIFFE
L'ente responsabile tariffa i servizi resi, nell'ambito della gestione dell'archivio, alle banche, agli uffici postali e agli intermediari finanziari vigilati emittenti carte di pagamento in conformità con i criteri di cui all'art. 17. Art. 16.
Determinazione delle tariffe
1. Le tariffe applicate dall'ente responsabile sono tali da recuperare i costi complessivamente sostenuti e sono comprensive di un margine di profitto congruo. Art. 17.
Criteri per la determinazione delle tariffe
2. La tariffazione deve preservare condizioni di uguaglianza tra gli enti segnalanti privati. A tal fine essa prevede:
a) una parte fissa, determinata in ragione della partecipazione al sistema di funzionamento dell'archivio, eventualmente maggiorata per il caso in cui l'attività di consultazione possa non essere associata a quella di segnalazione;b) una parte variabile, che tiene conto del ruolo di ciascun ente nell'ambito del sistema medesimo, determinata in ragione direttamente proporzionale alla sua rilevanza operativo-dimensionale, anche in termini di flussi informativi trattati.3. Ai fini di cui al comma 2, l'ente responsabile può altresì tenere conto delle soluzioni tecnico-organizzative adottate e prevedere forme ridotte di tariffazione per gli enti segnalanti che si avvalgono di altri enti segnalanti ai sensi dell'art. 4, comma 2.
4. L'ente responsabile assicura la trasparenza delle tariffe applicate a fronte dei servizi resi.
5. Al fine di consentire la verifica del rispetto dei criteri per la determinazione delle tariffe, l'ente responsabile è tenuto ad effettuare e a dare conto della corretta disaggregazione e imputazione dei costi sostenuti.
6. L'ente responsabile verifica annualmente la necessità di adeguare le tariffe all'effettivo andamento dei costi, tenendo conto dell'evoluzione tecnologica e di eventuali economie di produzione. L'ente responsabile rende conto della tariffazione e dell'eventuale adeguamento periodico delle tariffe, nonché dei fattori a tal fine presi in considerazione, in un'apposita relazione annuale alla Banca d'Italia; al ricorrere di eventi straordinari e imprevedibili, l'ente responsabile può adeguare le tariffe dandone preventiva comunicazione alla Banca d'Italia.
Titolo V
CONTROLLI
Art. 18.
Sorveglianza sull'attività dell'ente responsabile
1. La Banca d'Italia, ai sensi dell'art. 146 del Testo unico bancario, controlla che la gestione dell'archivio da parte dell'ente responsabile sia improntata a principi di affidabilità ed efficienza e sia conforme alle norme del presente regolamento e alle disposizioni che regolano la materia.
2. L'ente responsabile definisce uno specifico "piano di qualità" per l'erogazione del servizio, in conformità con gli standard internazionali di riferimento e con le indicazioni fornite dalla Banca d'Italia.
3. La Banca d'Italia può richiedere all'ente responsabile dati e informazioni, nonché la trasmissione, anche periodica, e l'esibizione di ogni documento ritenuto necessario. L'ente responsabile invia alla Banca d'Italia, secondo i tempi e le modalità definiti da quest'ultima, apposite relazioni sull'attività svolta, nonché le informazioni e i dati previsti dalle norme che disciplinano l'affidamento della gestione dell'archivio alla Banca d'Italia.
La Banca d'Italia, nell'esercizio delle funzioni di Vigilanza sulle banche, sugli intermediari finanziari e sui sistemi di pagamento previste dal Testo unico bancario, verifica il rispetto delle disposizioni del presente regolamento, delle relative disposizioni di attuazione e di ogni altra norma connessa da parte degli enti segnalanti privati. Art. 19.
Controlli sugli enti segnalanti privati
Titolo VI
DISPOSIZIONI TRANSITORIE E FINALI
1. Entro centottanta giorni dalla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del presente regolamento, gli enti segnalanti privati richiedono il codice fiscale ai clienti non residenti che intrattengono con essi convenzioni di assegno, che siano titolari di una carta di pagamento emessa dagli stessi, ovvero che richiedono la stipula di tali convenzioni. Art. 20.
Acquisizione del codice fiscale
2. Nelle more dell'acquisizione di cui al comma 1, la segnalazione di revoca si intende completa anche in mancanza del codice fiscale.
1. Le disposizioni contenute nell'allegato "Tempi di funzionamento" e nell'allegato "Sicurezza del sistema informativo" formano parte integrante del presente regolamento e, unitamente ad esso, sono pubblicate sul sito Internet della Banca d'Italia all'indirizzo www.bancaditalia.it, nonché disponibili presso tutte le filiali della stessa Banca d'Italia. Art. 21.
Disposizioni allegate
2. In caso di difformità tra il testo pubblicato sul sito della Banca d'Italia e quello disponibile presso le filiali della stessa, fa fede il contenuto di quest'ultimo.
3. La Banca d'Italia può modificare e integrare le disposizioni di cui al comma 1 per esigenze di adeguamento della struttura tecnica dell'archivio, al fine di assicurarne la funzionalità e l'efficienza. La Banca d'Italia rende pubbliche tali modifiche e integrazioni mediante appositi avvisi pubblicati sul suo sito Internet e resi disponibili presso le proprie Filiali per un congruo periodo di tempo.
Allegato
TEMPI DI FUNZIONAMENTO
L'archivio è composto dai seguenti segmenti: Art. 1.
Segmenti dell'archivio
1) CAPRI (Centrale allarme procedura impagati), nel quale sono contenuti i dati relativi alle revoche dall'autorizzazione ad emettere assegni conseguenti alla commissione degli illeciti di cui agli articoli 1 e 2 della legge 15 dicembre 1990, n. 386;2) PASS (Procedura assegni sottratti e smarriti), nel quale sono contenuti i dati relativi ai moduli di assegni sottratti, smarriti, non restituiti e bloccati per altri motivi;3) CARTER (Carte revocate), nel quale sono contenuti i dati nominativi relativi alle revoche dall'utilizzo delle carte di pagamento;4) PROCAR (Procedura carte), nel quale sono contenuti i dati relativi alle carte di pagamento revocate, smarrite e sottratte;5) ASA (Assegni sanzioni amministrative), nel quale sono contenuti i dati relativi alle sanzioni amministrative ai sensi dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386;6) ASP (Assegni sanzioni penali), nel quale sono contenuti i dati relativi alle sanzioni penali ai sensi dell'art. 10-bis, comma 1, lettera c), della legge 15 dicembre 1990, n. 386.La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T1. Art. 2.
Segmento CAPRI
La divulgazione dalla sezione centrale agli enti segnalanti privati ha luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.
Gli enti segnalanti privati effettuano le operazioni di riscontro sui dati ricevuti; l'iscrizione e i conseguenti effetti si determinano alle ore 00:00 del giorno T+2.
Il segmento è operativo nei giorni lavorativi bancari.
La trasmissione dei dati dagli enti segnalanti alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 22 di ciascun giorno (giorno T2). Art. 3.
Segmento PASS
La divulgazione dei dati dalla sezione centrale agli enti segnalanti privati può avvenire dalle ore 5 del giorno T alle ore 3 del giorno T+1.
Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale secondo quanto previsto negli accordi tra enti segnalanti e comunque entro le ore 5 del giorno lavorativo T+1.
I dati sono iscritti in archivio in concomitanza con la loro divulgazione.
Il segmento è operativo nei giorni lavorativi bancari e, facoltativamente per gli enti segnalanti, nella giornata del sabato, salvi i casi di festività nazionale.
La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T3. Art. 4.
Segmento CARTER
La divulgazione dalla sezione centrale agli enti segnalanti privati può aver luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.
L'iscrizione ha luogo alle ore 00:00 del giorno T+2.
Il segmento è operativo nei giorni lavorativi bancari.
La trasmissione dei dati dagli enti segnalanti privati alla sezione centrale dell'archivio ha luogo tra le ore 5 e le ore 11 del giorno T4. Art. 5.
Segmento PROCAR
La divulgazione dalla sezione centrale agli enti segnalanti privati può aver luogo tra le ore 11 del giorno T e le ore 15 del giorno T+1. Per le ipotesi di cui al comma 2 dell'art. 4 del regolamento della Banca d'Italia, l'ente segnalante delegato invia i dati ricevuti dalla sezione centrale all'ente segnalante che di esso si avvale entro le ore 18 del giorno T+1.
I dati sono iscritti in archivio in concomitanza con la loro divulgazione.
Il segmento è operativo nei giorni lavorativi bancari.
I tempi di funzionamento dei segmenti ASA e ASP verranno successivamente definiti ad integrazione del presente allegato e resi pubblici con le modalità previste dall'art. 21, comma 3, del regolamento della Banca d'Italia. Allegato Art. 6.
Segmenti ASA e ASP
SICUREZZA DEL SISTEMA INFORMATIVO
Ogni ente segnalante privato, oltre ad assicurare il rispetto delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza in applicazione dell'art. 15 della legge 31 dicembre 1996, n. 675, deve definire e governare un processo per la gestione della sicurezza del sistema informativo dell'archivio (Centrale d'allarme interbancaria - CAI). Nell'ambito di tale processo l'ente segnalante privato deve intraprendere le seguenti azioni.
1) Definire le politiche per la sicurezza del sistema informativo della CAI.
2) Definire i confini del sistema informativo della CAI in termini di struttura organizzativa, collocazione fisica, risorse e tecnologie.
3) Analizzare adeguatamente i rischi in modo da identificare le minacce alle risorse, le vulnerabilità e gli impatti sull'ente segnalante privato e quindi determinare il livello di rischio globale.
4) Selezionare dall'elenco riportato in calce (realizzato utilizzando le specifiche ISO/IEC 17799:2000(E)(1) come riferimento) i controlli ritenuti appropriati. Tali controlli non sono esaustivi e ulteriori controlli possono essere individuati, per esempio attingendo alle già citate specifiche ISO/IEC 17799:2000(E).
5) Redigere un documento che spieghi le ragioni che hanno portato alla scelta di ogni singolo controllo selezionato, in termini di risorse da proteggere a fronte di minacce e vulnerabilità. In questo documento si devono anche indicare le ragioni che hanno indotto all'eventuale esclusione di alcuni controlli fra quelli riportati nel richiamato elenco.
Questi passi devono essere riesaminati periodicamente con cadenza definita dall'ente segnalante privato oppure in occasione di eventi significativi individuati dallo stesso. I passi identificati dai numeri 1), 2), 3), 5) devono essere, inoltre, opportunamente documentati.
La validità delle procedure adottate per realizzare i controlli selezionati deve essere verificata per valutarne la coerenza con le politiche aziendali di sicurezza e vagliarne l'adeguatezza tecnica. Le procedure in oggetto devono, inoltre, essere documentate in modo che risultino chiaramente le responsabilità e i principali ruoli delle funzioni e dei soggetti coinvolti. Il sistema informativo della CAI deve essere assoggettato a procedure di auditing.
I documenti sopra definiti devono essere:
prontamente disponibili;
periodicamente rivisti, coerentemente con le politiche di sicurezza dell'ente segnalante privato e immediatamente sostituiti in caso di obsolescenza;
gestiti con una procedura di controllo delle versioni.
L'ente segnalante privato è tenuto a conservare le evidenze relative all'applicazione dei controlli che dimostrino la conformità con i requisiti di sicurezza della CAI (per esempio: tracce di audit, autorizzazioni all'accesso logico e/o fisico, ecc.). Tali evidenze possono essere in formato cartaceo e/o elettronico, memorizzate e gestite in modo che siano prontamente disponibili e adeguatamente protette. L'ente stesso ha la responsabilità di definire e governare le procedure per identificare, gestire, conservare e distruggere tali evidenze che devono essere leggibili, identificabili e tracciabili rispetto alle attività a cui si riferiscono.
Elenco dei controlli suggeriti (i numeri identificativi corrispondono a quelli delle specifiche ISO/IEC 17799:2000(E)).
Questi controlli rappresentano un insieme minimo tratto dalle specifiche ISO/IEC 17799:2000(E). Essi non garantiscono la sicurezza della CAI, che dipende fortemente dall'ambiente tecnico e organizzativo in cui la procedura è inserita, bensì forniscono solo un insieme minimo di linee guida. Per questa ragione la maggior parte dei controlli previsti dalle specifiche ISO/IEC 17799:2000(E), pur essendo potenzialmente necessari per la sicurezza globale della procedura CAI, non sono espressamente menzionati in quanto non riguardano strettamente l'applicazione CAI ma l'intero ambiente elaborativo dell'ente segnalante privato (2). In particolare quest'ultimo deve attivare opportuni presidi finalizzati ad assicurare:
una efficace e sicura gestione operativa dei flussi informativi fra strutture centrali e periferiche dell'ente stesso;
(1) Per informazioni su tale norma ci si può rivolgere all'Ente nazionale italiano di unificazione - UNI.
(2) Per esempio: politiche e organizzazione della sicurezza, classificazione di beni e risorse, sicurezza del personale, aree sicure, sicurezza degli apparati, protezioni contro software malizioso, scambio di informazioni e software, controllo degli accessi di rete, controllo degli accessi del sistema operativo, mobile computing e telelavoro, controlli crittografici, sicurezza nei processi di sviluppo e di supporto, gestione della business continuity, aderenza alla legislazione, revisione delle politiche di sicurezza e della conformità tecnica, system audit.
una chiara definizione e separazione di ruoli e responsabilità tra gestori delle risorse informative e utilizzatori delle stesse.
Con riferimento alle sezioni remote dell'archivio, ogni ente segnalante privato è tenuto a verificare che ogni flusso informativo ricevuto dall'ente responsabile sia perfettamente congruente con le segnalazioni inviate dallo stesso ente segnalante. In caso di incongruenza dei dati l'ente segnalante privato è tenuto ad attivarsi tempestivamente presso l'ente responsabile.
Per quanto riguarda la gestione delle operazioni e delle comunicazioni si dovrebbe far riferimento ai seguenti controlli:
8.1 Procedure operative e responsabilità;
8.1.1 Procedure operative documentate;
8.1.3 Procedure per la gestione degli incidenti;
8.1.4 Separazione delle responsabilità;
8.1.5 Separazione fra le funzioni di sviluppo e produzione;
8.1.6 Gestione delle strutture esterne;
8.5 Gestione della rete;
8.5.1 Controlli di sicurezza sulla rete;
8.6 Gestione e sicurezza dei supporti di memorizzazione;
8.6.1 Gestione dei supporti informatici rimovibili;
8.6.2 Eliminazione dei supporti di memorizzazione;
8.6.3 Procedure di gestione delle informazioni.
Relativamente al controllo degli accessi si dovrebbero prendere in considerazione i seguenti controlli:
9.1 Requisiti aziendali per l'accesso al sistema;
9.1.1 Politiche per il controllo degli accessi;
9.1.1.1 Politiche ed esigenze aziendali;
9.1.1.2 Regole per il controllo degli accessi;
9.2 Gestione dell'accesso degli utenti;
9.2.1 Registrazione degli utenti;
9.2.2 Gestione dei privilegi;
9.2.3 Gestione delle password d'utente;
9.2.4 Revisione dei diritti di accesso degli utenti;
9.3 Responsabilità dell'utente;
9.3.1 Uso delle password;
9.3.2 Dispositivi dell'utente non sorvegliati;
9.5 Controllo degli accessi al sistema operativo;
9.5.4 Sistema di gestione delle password;
9.5.5 Uso dei servizi di sistema;
9.6 Controllo dell'accesso alle applicazioni;
9.6.1 Restrizione dell'accesso alle informazioni;
9.7 Monitoraggio dell'accesso e dell'uso del sistema;
9.7.1 Registrazione degli eventi;
9.7.2 Monitoraggio dell'uso del sistema;
9.7.2.1 Procedure e aree di rischio;
9.7.2.2 Fattori di rischio;
9.7.2.3 Registrazione e verifica degli eventi.
In relazione allo sviluppo e alla gestione dei sistemi si dovrebbero esaminare i seguenti controlli:
10.2 Sicurezza delle applicazioni;
10.2.1 Autenticazione dei dati in input;
10.2.2 Controllo delle elaborazioni interne;
10.2.2.1 Aree di rischio;
10.2.2.2 Controlli e verifiche;
10.5 Sicurezza dei processi di sviluppo e supporto;
10.5.1 Procedure di controllo delle modifiche.
1) Per il giorno T si intende:
nel caso di revoca di sistema conseguente a emissione di assegno senza autorizzazione, il giorno lavorativo di segnalazione della revoca all'archivio;
nel caso revoca di sistema conseguente a emissione di assegno in difetto di provvista, il sessantunesimo giorno, purché lavorativo, successivo alla scadenza del termine di presentazione al pagamento del titolo, salvo quanto previsto dal comma 3 dell'art. 9-bis della legge 15 dicembre 1990, n. 386.
2) Per il giorno T si intende il giorno in cui gli enti segnalati privati ricevono la comunicazione di furto, di smarrimento o di blocco per altri motivi, ovvero quello in cui si riscontra che un proprio correntista autorizzato a trarre assegni è stato iscritto in archivio da altro ente, ovvero si dispone una revoca aziendale.
3) Per giorno lavorativo T si intende il giorno in cui è disposta la revoca dall'utilizzo di una carta di pagamento.
4) Per giorno lavorativo T si intende il giorno in cui è disposta la revoca dall'utilizzo di una carta di pagamento.