Solo 30 giorni sono destinati alla Consultazione di Banca d’ItaliaRecepimento degli Orientamenti EBA/GL/2017/10, EBA/GL/2017/17 e delle Raccomandazioni EBA/REC/2017/03 per le banche e degli Orientamenti EBA/GL/2018/07 per le banche e gli altri prestatori di servizi di pagamento (aperta fino all’8 febbraio 2019)”, avviata il 9 gennaio e con data di chiusura 8 febbraio 2019.

Il motivo di un periodo inferiore alla prassi è legato al fatto che le disposizioni europee debbono essere recepite integralmente e offrono spazi ridotti di discrezionalità alle autorità nazionali.

Inoltre, l’EBA aveva già svolto e pubblicato in data 07 dicembre 2016 l’analisi di impatto, sulla “Payment Services Directive 2”, cui Banca d’Italia rimanda. Il report finale, dal titolo “Guidelines on major incident reporting under Directive (EU) 2015/2366 (PSD2)”, è disponibile da luglio 2017.



 

Qual è il framework regolamentare che verrebbe recepito a seguito della consultazione nazionale?

Orientamenti EBA/GL/2017/10 in materia di segnalazione dei gravi incidenti ai sensi della direttiva (UE) 2015/2366 (PSD2)

Applicabili dallo scorso 13 gennaio 2018, gli orientamenti:

  1. specificano i criteri per la classificazione dei gravi incidenti operativi o di sicurezza gravi riscontrati dai prestatori di servizi di pagamento, nonché il formato e le procedure da seguire per comunicare tali incidenti all’autorità competente dello Stato membro di origine, ai sensi dall’articolo 96, paragrafo 1, della suddetta direttiva”;
  2. indicano il modo in cui tali autorità competenti dovrebbero valutare la rilevanza dell’incidente e i dettagli delle segnalazioni di incidente”.

Per “incidente operativo o di sicurezza” si intende, come definito dall’EBA ogni “singolo evento o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti”.

Invece, il livello di gravità dovrebbe essere definito dai prestatori di servizi di pagamento distinguendo tra:

  1. uno o più criteri al «livello di impatto maggiore»,
  2. tre o più criteri al «livello di impatto minore»;

tra gli indicatori che l’EBA stessa elenca:

  • transazioni interessate: valore e numero dei pagamenti compromessi come percentuale del livello normale delle transazioni di pagamento effettuate mediante i servizi di pagamento interessati;
  • utenti del servizio di pagamento interessati: numero di utenti del servizio di pagamento interessati, sia in termini assoluti sia in percentuale del numero totale di utenti del servizio di pagamento;
  • periodo di indisponibilità del servizio: periodo di tempo in cui il servizio non è disponibile all’utente;
  • impatto economico: costi monetari associati all’incidente (sia in termini assoluti sia, se applicabile, in base all’importanza relativa dei costi);
  • alto livello di escalation interna;
  • altri prestatori di servizi di pagamento o infrastrutture connesse potenzialmente coinvolti: implicazioni sistemiche che l’incidente potrebbe avere;
  • impatto sulla reputazione: in che modo l’incidente può minare la fiducia degli utenti nei confronti del prestatore di servizi di pagamento e del mercato nel suo complesso.

Metodologie di valutazione e soglie sono definiti al’’interno dello stesso documento, in cui seguono anche le istruzioni per le segnalazioni.

Si chiede poi alle Autorità Competenti dei singoli Stati membri di valutare la rilevanza di un grave incidente operativo o di sicurezza per altre Autorità Nazionali e condividerne le informazioni, sulla base del proprio parere di esperte e dei seguenti criteri:

  1. le cause dell’incidente rientrano nell’ambito di competenza regolamentare dell’altra autorità nazionale (campo di competenza);
  2. le conseguenze dell’incidente hanno un impatto sugli obiettivi di un’altra autorità nazionale (ad esempio, la tutela della stabilità finanziaria);
  3. l’incidente interessa o potrebbe interessare gli utenti dei servizi di pagamento su larga scala;
  4. è probabile che l’incidente riceva o abbia ricevuto un’ampia copertura mediatica.



 

Gli Orientamenti EBA/GL/2017/17 “sulle misure di sicurezza per i rischi operativi e di sicurezza dei servizi di pagamento ai sensi della direttiva (UE) 2015/2366 (PSD2)”

Due definizioni in particolare vengono aggiunte rispetto agli Orientamenti EBA/GL/2017/10:

  • Il rischio di sicurezza viene definito come “il rischio derivante dall’inadeguatezza o dalla mancanza di processi interni oppure da eventi esogeni che hanno, o potrebbero avere, un effetto negativo sulla disponibilità, integrità e riservatezza dei sistemi che impiegano le tecnologie dell’informazione e della comunicazione (ICT) e/o delle informazioni utilizzate per la prestazione dei servizi di pagamento. È compreso il rischio derivante da attacchi informatici o da un livello inadeguato di sicurezza fisica”; e
  • La propensione al rischio:”Il livello complessivo e i tipi di rischio che un ente è disposto ad assumere per conseguire gli obiettivi strategici che si è prefissato, in funzione della sua capacità di tollerare il rischio in linea con il suo modello di business”.

Questi Orientamenti si concentrano maggiormente sulla Governance per la gestione dei rischi operativi e di sicurezza e quindi procedure, ruoli e responsabilità, sistemi, escalation process, gestione delle esternalizzazioni che i prestatori di servizi di pagamento debbono porre in essere per prevenire eventi di elevato impatto.

La Raccomandazioni EBA/REC/2017/03 in materia di esternalizzazione a fornitori di servizi cloud

In vigore dal primo luglio 2018, introducono un concetto di materialità del cloud in outsourcing, come abbiamo parlato nel nostro contributo “Cloud outsourcing: consultazione EBA e nuove proposte”.

La materialità deve essere valutata dagli intermediari attraverso un processo di assessment, che tenga conto dei seguenti fattori:

  • la criticità e il profilo di rischio intrinseco delle attività da esternalizzare, vale a dire se le attività sono fondamentali per la continuità delle attività dell’impresa ed i suoi obblighi verso i clienti,
  • l’impatto diretto operativo diretto delle interruzioni e dei relativi rischi legali e reputazionali,
  • l’impatto che eventuali disfunzioni dell’attività possono avere sulle prospettive di ricavo,
  • l’impatto potenziale che potrebbe avere una violazione della riservatezza o il mancato rispetto dell’integrità dei dati sulla società e sui suoi clienti.

Altri punti sono dedicati a:

  • un adeguato reporting alle autorità di vigilanza;
  • i diritti di accesso e di audit nei confronti dei servizi in outsourcing;
  • la sicurezza dei dati e dei sistemi, con l’introduzione di un approccio basato sul rischio, adeguati controlli e l’utilizzo di tecnologie di crittografia per i dati in transito, i dati in memoria ed i dati a riposo;
  • regole sulle esternalizzazioni a catena;
  • i Piani di emergenza e le strategie di uscita.

EBA/GL/2018/07, dal titolo “Guidelines on the conditions to be met to benefit from an exemption from contingency measures under Article 33(6) of Regulation (EU) 2018/389 (RTS on SCA & CSC)”

RTS sta per “regulatory technical standards” che l’EBA ha pubblicato il 23 febbraio 2017, disciplinando l’accesso a dati ed informazioni da parte dei Third Party Players, che sono:

  • account information service providers (AISPs),
  • payment information service providers (PISPs),
  • card-based payment instrument issuers (CBPIIs),
  • account servicing payment service providers (ASPSPs).

Le line guida forniscono indicazioni sui livelli di servizio, la sua disponibilità e le performance, sulla necessità di fornire statistiche alle autorità competenti, sulla realizzazione di stress test, sul modo di testare la soddisfazione dei PSP (payment service providers), sull’utilizzo delle interfacce e sulla risoluzione delle problematiche.

Come cambierebbe la Circolare 285

La Banca d’Italia intende recepire i su descritti Orientamenti EBA/GL/2017/10 e EBA/GL/2017/17, con un rinvio nei Capitoli 4 (“Sistema informativo”) e 5 (“Continuità operativa”) del Titolo IV, Parte Prima, della Circolare 285, capitoli che sono già in larga parte coerenti con il framework regolamentare comunitario.

Le Raccomandazioni EBA in materia di esternalizzazione a fornitori di servizi cloud, pubblicate il 28 marzo 2018, sono attuate mediante rinvio, nello schema di Disposizioni. Le principali modifiche su questo tema riguardano l’introduzione degli obblighi di:

  • istituire e mantenere specifici registri di tutte le attività rilevanti e non rilevanti esternalizzate a fornitori di servizi cloud, a livello individuale e di gruppo;
  • valutare i rischi connessi al paese in cui sono forniti o conservati i dati (e.g. rischi legali o rischi di elusione o mancata applicazione delle norme in materia fallimentare o in materia di protezione dei dati).

Per ciò che concerne l’ultimo documento, EBA/GL/2018/07, in attesa che si concluda il processo di traduzione nelle lingue ufficiali degli Stati membri dell’Unione Europea, la Banca d’Italia comunica che intende recepire integralmente gli Orientamenti.

Considerato che gli ASPSPs dovranno predisporre l’interfaccia dedicata e l’eventuale fall-back option entro il 14 settembre 2019, il regolatore nazionale pubblicherà una separata comunicazione agli operatori, con tempi e modalità per la presentazione dell’eventuale richiesta di esenzione dalla predisposizione della soluzione di fall-back.