Banca d’Italia ha pubblicato in data 23 luglio 2019 gli aggiornamenti delle Disposizioni di vigilanza per le banche contenute nella Circolare di Banca d’Italia n. 285/2013 (documento integrale) e delle Disposizioni di vigilanza per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL) del 17 maggio 2016 (documento integrale) al fine di attuare le novità introdotte dalla Direttiva 2015/2366/UE (PSD2).

Tra le altre cose, le modifiche recepiscono i seguenti atti di secondo livello emanati dall’Autorità Bancaria Europea (EBA):

– gli Orientamenti sulle misure di sicurezza per i rischi operativi e di sicurezza dei pagamenti (EBA/GL/2017/17);

– gli Orientamenti in materia di segnalazione dei gravi incidenti (EBA/GL/2017/10);

– gli Orientamenti sulle condizioni per beneficiare dell’esenzione dal meccanismo di emergenza a norma dell’articolo 33, par. 6, del Regolamento (UE) 2018/389 (EBA/GL/2018/07), attuativi della Direttiva 2015/2366 del Parlamento europeo e del Consiglio relativa ai servizi di pagamento nel mercato interno (PSD2);

– le Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud (EBA/REC/2017/03). Le modifiche alle Disposizioni di vigilanza per le banche sono state sottoposte a consultazione pubblica, il cui esito è stato pubblicato sul sito ufficiale di Banca d’Italia.

Gli Orientamenti dell’EBA in materia di misure di sicurezza per i rischi operativi e di sicurezza dei pagamenti definiscono i presìdi che gli intermediari che prestano servizi di pagamento adottano per attenuare e gestire i rischi operativi e di sicurezza derivanti dalla prestazione di questi servizi. Le disposizioni in materia di sistema informativo, gestione del rischio informativo e le regole in materia di sicurezza e continuità dell’attività sono oggetto di interventi di raccordo per assicurare il coordinamento con la nuova normativa e mantenere l’unitarietà della valutazione e gestione dei rischi aziendali.

Gli Orientamenti in materia di segnalazione dei gravi incidenti definiscono i criteri e la metodologia per la classificazione dei gravi incidenti di sicurezza relativi ai pagamenti. Le banche effettuano direttamente la segnalazione; non è esercitata la discrezionalità che consente agli intermediari di delegare a un terzo l’invio della comunicazione, inclusa la comunicazione in forma “aggregata”.

Gli Orientamenti sulle condizioni per beneficiare dell’esenzione del meccanismo di emergenza specificano i criteri al ricorrere dei quali i prestatori di servizi di pagamento che detengono conti accessibili online possono essere esonerati dall’obbligo di predisporre l’interfaccia di emergenza per quanto riguarda le norme tecniche per l’autenticazione forte del cliente e gli standard aperti di comunicazione; recependo Banca d’Italia tali orientamenti, sono stati introdotti i procedimenti amministrativi relativi all’esenzione dall’obbligo di predisporre l’interfaccia di fall-back e la revoca dell’esenzione dall’obbligo di predisporre l’interfaccia di fall-back, ai senti degli artt. 33, par. 6 e 7, Regolamento delegato 2018/389.

Infine, le Raccomandazioni EBA in materia di esternalizzazione a fornitori di servizi cloud integrano il quadro generale in materia di esternalizzazione e introducono presìdi specifici per i casi di esternalizzazione dei servizi in cloud computing.