Banca d’Italia ha provveduto ad aggiornare la Circolare n. 285 del 17 dicembre 2013 (documento integrale) e le  Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica (documento integrale) al fine di recepire nell’ordinamento italiano gli “Orientamenti in materia di sicurezza dei pagamenti tramite internet” emanati dall’EBA.

Per quanto riguarda gli istituti di pagamento e di moneta elettronica, nonché gli intermediari finanziari autorizzati alla prestazione di servizi di pagamento e/o di moneta elettronica, si rileva che le novità hanno lo scopo di integrare e specificare la struttura amministrativa e contabile, nonché il sistema dei controlli interni da porre in essere con particolare riferimento al sistema informativo. Occorre, quindi, adottare specifici presidi di natura fisica, logica e organizzativa con l’obiettivo di ridurre il rischio di frodi e assicurare una corretta gestione delle informazioni sensibili detenute dagli istituti. In particolare devono essere adottati:

– modalità rafforzate di verifica dell’identità del cliente (c.d. “autenticazione forte”), per l’avvio di un’operazione di pagamento, nonché per l’accesso ad informazioni sensibili, secondo gli standard stabiliti dall’Orientamento n. 7. A tale riguardo negli esiti alla consultazione viene specificato che i casi in cui è consentito non ricorrere all’autenticazione forte sono identificati direttamente dagli Orientamenti, inoltre per le carte aziendali non sono previste specifiche esenzioni.

– limiti ai tentativi di log-in/accesso ad aree riservate e alla durata delle sessioni di lavoro.

– meccanismi di monitoraggio dell’operatività, al fine di prevenire, identificare, bloccare eventuali operazioni fraudolente.

Nell’ambito dell’applicazione degli orientamenti si ricorda il principio di proporzionalità, infatti, il processo di monitoraggio per prevenire, identificare e bloccare le frodi è obbligatoria per tutti i prestatori di servizi di pagamento, ferma la possibilità per gli stessi di declinare modalità e processi secondo proporzionalità, nel rispetto dei vincoli e delle tutele accordate alla clientela dalla normativa applicabile. Inoltre anche i presidi che consentono di tracciare le transazioni e i processi di gestione del mandato elettronico devono essere adeguatamente registrati, secondo proporzionalità (inclusa la frequenza dell’analisi periodica dei “file di log”), calibrando i presidi in base alla dimensione e alla complessità del prestatori di servizi di pagamento, nonché all’effettiva esposizione ai rischi.

Si rileva, infine, che è rimessa alla valutazione dei competenti organi aziendali l’identificazione delle azioni da intraprendere a seguito dell’individuazione di una eventuale frode, sulla base della tipologia di frode accertata e della normativa applicabile alla specifica violazione.

Le Disposizioni di vigilanza entrano in vigore il giorno successivo a quello di pubblicazione in Gazzetta ufficiale (n. 127 del 1/6/2016), ossia il 3/6/2016. Gli intermediari si adeguano agli obblighi imposti entro il 30/9/2016. Inoltre le modifiche a i contratti in essere alla data di entrata in vigore delle disposizioni devono essere adeguati alla prima scadenza contrattuale. Entro il 30/10/2016 occorre trasmette a Banca d’Italia una relazione, approvata dall’organo con funzione di supervisione strategica, sugli interventi effettuati sulla struttura organizzativa e di controllo nonché sui sistemi informativi.