Edizioni On-line EDIS - La Banca Dati Quotidiana del Commercialista e del Consulente del Lavoro

MINISTERO DELL'ECONOMIA E DELLE FINANZE

DECRETO 30 aprile 2007, n. 112.

(Gazzetta Ufficiale n. 175 del 30 luglio 2007)

Regolamento di attuazione della legge 17 agosto 2005, n. 166 (12), recante: "Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento".

IL MINISTRO DELL'ECONOMIA

E DELLE FINANZE

...omissis...

ADOTTA

il seguente regolamento:

Art. 1.

Definizioni

1. Ai sensi del presente regolamento si intendono per:

a) acquirer ID: codice identificativo dell'istituto bancario che ha convenzionato l'esercente;

b) apparecchio POS: (point of sale) apparecchiatura automatica, installata presso gli esercizi commerciali, che consente il pagamento, tramite l'utilizzo di una carta, di beni acquistati o di servizi ricevuti;

c) ATM: (automated teller machine) Sportello automatico abilitato al prelievo di banconote (cash dispenser) e/o all'effettuazione di altre operazioni (self service, ecc.);

d) CAB (Codice di avviamento bancario): numero composto da 5 cifre che identifica la filiale della banca;

e) Codice ABI: numero composto da 5 cifre che identifica la banca;

f) codice PAN: (primary account number): codice identificativo univoco della carta di pagamento (sia debito che di credito);

g) codice SIA: codice identificativo della convenzione stipulata con l'esercente, assegnato dalla SIA SPA (Società fornitrice di soluzioni tecnologiche per il settore bancario e finanziario);

h) GIPAF: gruppo interdisciplinare di lavoro per la prevenzione amministrativa delle frodi sulla carte di pagamento;

i) PIN: (personal identification number) codice numerico di identificazione personale che abilita il titolare all'utilizzo della carta di pagamento;

l) terminal ID: codice identificativo univoco che contraddistingue l'apparecchio POS;

m) UCAMP: Ufficio centrale antifrode dei mezzi di pagamento.

---------

(12) Ved. Boll. Lav. e Trib. 2005, pag. 2488; I.L.P. 2005, pag. 1817.

Art. 2.

Individuazione delle società segnalanti

1. Entro 30 giorni dall'entrata in vigore del presente decreto, le società segnalanti cui all'articolo 1, comma 3, della legge, in qualità di intermediari abilitati, sono tenute a trasmettere all'UCAMP il formulario di cui all'esemplare in allegato, che costituisce parte integrante del presente decreto. Nel formulario le società indicano espressamente se gli obblighi derivanti dall'applicazione del presente decreto vengono adempiuti nonché se le facoltà dal medesimo concesse vengono esercitate:

a) direttamente;

b) da altra società segnalante appositamente delegata.

2. Le caratteristiche di conferimento dell'incarico o della delega, nel caso previsto alla lettera b) di cui al precedente comma, devono garantire l'integrità la riservatezza dei dati e delle informazioni.

3. Sulla base dei formulari pervenuti, l'UCAMP istituisce la lista nominativa delle società segnalanti le quali sono tenute, altresì, a comunicare con lo stesso mezzo le successive variazioni.

Art. 3.

Obbligo di comunicazione dei dati e delle informazioni

1. Le società segnalanti sono tenute a comunicare all'UCAMP i dati di cui all'articolo 6 [lettere a), b), c), d), e)] di seguito denominati dati, e le informazioni di cui all'articolo 7 [lettere a), b), c)], di seguito denominate informazioni, secondo i termini e le modalità stabiliti dal presente decreto.

Art. 4.

Alimentazione e accesso all'archivio informatizzato

1. I dati e le informazioni alimentano un archivio informatizzato appositamente istituito sotto la titolarità e la responsabilità dell'UCAMP ai sensi dell'articolo 1, comma 5, della legge.

2. Le società segnalanti immettono nell'archivio informatizzato i dati e le informazioni secondo quanto previsto dall'articolo 10.

3. Le stese società consultano l'archivio informatizzato secondo quanto previsto nell'articolo 11.

4. Le istruzioni tecniche per il funzionamento dell'archivio sono contenute in un manuale operativo redatto dall'UCAMP, in accordo con il Dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri. Successivamente alla pubblicazione del presente regolamento sulla Gazzetta Ufficiale, il manuale operativo viene reso noto ai partecipanti al sistema mediante pubblicazione sul sito Internet del Ministero dell'Economia e delle Finanze, nell'ambito delle ordinarie risorse di bilancio, senza nuovi o maggiori oneri per il bilancio dello Stato, nonché, ai fini di una capillare diffusione, sul sito Internet dell'Associazione bancaria italiana.

Art. 5.

Struttura dell'archivio informatizzato

1. L'archivio informatizzato è strutturato su 4 livelli:

a) il primo livello contiene la lista nominativa di cui all'articolo 2, comma 3, la descrizione delle principali tipologie di carte di pagamento, la normativa di riferimento ed ogni altro elemento di carattere divulgativo. Il contenuto del primo livello è pubblicato sull'apposito sito Internet del Ministero dell'Economia e delle Finanze;

b) il secondo livello contiene l'elaborazione dei dati statistici, in forma anonima, concernenti le frodi realizzate con le carte di pagamento ed è accessibile alle società segnalanti. L'accesso al secondo livello può essere altresì consentito ad altri enti interessati, previa autorizzazione del titolare dell'archivio;

c) il terzo livello contiene i dati ed è accessibile alle società segnalanti, secondo quanto previsto nell'articolo 11;

d) il quarto livello contiene le informazioni ed è accessibile alle società segnalanti, secondo quanto previsto nell'articolo 11.

Art. 6.

Dati

1. I dati sono composti da:

a) elementi identificativi della società segnalante e data della segnalazione;

b) elementi identificativi dei punti vendita gestiti da esercenti nei cui confronti sia stata esercitata la revoca di cui all'articolo 2, lettera a), della legge:

1) codice SIA o latro codice identificativo assegnato al punto vendita;

2) insegna;

3) ragione o denominazione sociale;

4) indirizzo;

5) località;

6) provincia;

7) codice avviamento postale;

8) numero d'iscrizione alla Camera di commercio;

9) partita IVA;

10) nominativo e codice fiscale del soggetto, o del rappresentante legale, che ha firmato la convenzione;

11) categoria merceologica;

12) terminal ID degli apparecchi POS;

13) data della convenzione;

14) data della cessazione di efficacia della convenzione;

15) causale della revoca della convenzione;

15.1) motivi di sicurezza;

15.2) esercente denunciato all'Autorità giudiziaria per condotta fraudolente;

16) estremi della denuncia presentata all'Autorità giudiziaria;

c) elementi identificativi delle transazioni di cui all'articolo 2, lettera c) della legge:

1) numero della carta;

2) data di scadenza;

3) data della transazione;

4) importo e divisa;

5) codice ABI/acquirer ID;

6) codice di autorizzazione;

7) codice PAN;

8) motivo del disconoscimento:

8.1) carta rubata;

8.2) carta smarrita;

8.3) carta contraffatta;

8.4) carta non ricevuta;

8.5) utilizzo fraudolento del codice della carta emessa;

8.6) carta utilizzata con falsa identità;

9) codice SIA o altro codice identificativo assegnato al punto vendita ove è avvenuta l'operazione;

10) insegna;

11) Terminal ID, qualora la transazione sia stata effettuata presso un terminale POS;

12) codici identificativi dello sportello automatico, qualora la transazione sia stata effettuata su circuito nazionale Bancomat;

13) estremi della denuncia presentata all'Autorità giudiziaria dal legittimo titolare della carta;

d) elementi identificativi dei punti vendita i cui esercenti abbiano stipulato contratti di rinnovo di cui all'articolo 2, lettera b), della legge:

1) codice SIA o altro codice identificativo della nuova convenzione assegnato al punto vendita;

2) insegna/e;

3) ragione o denominazione sociale;

4) indirizzo;

5) località;

6) provincia;

7) codice avviamento postale;

8) numero d'iscrizione alla Camera di commercio;

9) partita IVA;

10) nominativo e codice fiscale del soggetto, o del rappresentante legale, che ha firmato la convenzione;

11) categoria merceologica;

12) terminal ID degli apparecchi POS;

13) data della precedente revoca (se disposta dalla stessa società che segnala la nuova convenzione);

e) elementi identificativi degli sportelli automatici di cui all'articolo 2, lettera d), della legge:

1) indirizzo;

2) località;

3) provincia;

4) codice avviamento postale;

5) codice ABI;

6) CAB ATM;

7) numero ATM;

8) fornitore e modello ATM;

9) manomissione effettuata tramite:

9.1) apposizione di pannello (frontalino);

9.2) manomissione del lettore di carte per l'accesso al locale interno ove è dislocato l'ATM;

9.3) altro;

10) modalità di cattura del PIN;

10.1) microtelecamera;

10.2) telecamera o macchina fotografica, a distanza;

10.3) tastiera sovrapposta;

10.4) altro.

Art. 7.

Informazioni

1. Le informazioni sono composte da:

a) elementi identificativi della società segnalante e data della segnalazione;

b) elementi identificativi dei punti vendita sottoposti a monitoraggio:

1) codice SIA o altro codice identificativo assegnato al punto vendita;

2) insegna;

3) ragione o denominazione sociale;

4) indirizzo;

5) località;

6) provincia;

7) codice avviamento postale;

8) numero d'iscrizione alla Camera di commercio;

9) partita IVA;

10) nominativo e codice fiscale del soggetto, o del rappresentante legale, che ha firmato la convenzione;

11) categoria merceologica;

12) terminal ID degli apparecchi POS;

13) motivo del monitoraggio;

13.1) raggiungimento del parametro di cui all'articolo 8, lettera a), punto 1);

13.2) raggiungimento del parametro di cui all'articolo 8, lettera a), punto 2);

13.3) raggiungimento del parametro di cui all'articolo 8, lettera a), punto 3);

c) elementi identificativi delle carte di pagamento sottoposte a monitoraggio:

1) numero della carta;

2) data di scadenza;

3) data, importo e divisa delle operazioni;

4) codice PAN;

5) codice ABI/acquirer ID;

6) autorizzazioni concesse (numero autorizzazione);

7) autorizzazioni negate;

8) codice SIA o altro codice identificativo assegnato al punto vendita;

9) insegna;

10) categoria merceologica;

11) terminal ID degli apparecchi POS;

12) motivo del monitoraggio;

12.1) raggiungimento del parametro di cui all'articolo 8, lettera b), punto 1);

12.2) raggiungimento del parametro di cui all'articolo 8, lettera b), punto 2);

12.3) raggiungimento del parametro di cui all'articolo 8, lettera b), punto 3);

Art. 8.

Rischio di frode

1. Si configura il rischio di frode di cui all'articolo 3, comma 1 della legge, quando viene raggiunto uno dei seguenti parametri:

a) con riferimento ai punti vendita di cui all'articolo 7, lettera b):

1) 5 o più richieste di autorizzazione con carte diverse, rifiutate nelle 24 ore, presso un medesimo punto vendita;

2) 3 o più richieste di autorizzazione sulla stessa carta, effettuate nelle 24 ore, presso un medesimo punto vendita;

3) richiesta di autorizzazione, approvata o rifiutata, che superi del 150% l'importo medio delle operazioni effettuate con carte di pagamento, nei 3 mesi precedenti, presso il medesimo punto di vendita;

b) riguardo alle carte di pagamento sottoposte a monitoraggio di cui all'articolo 7, lettera c):

1) 7 o più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento;

2) 1 ovvero più richieste di autorizzazione che nelle 24 ore esauriscano l'importo totale del plafond della carta di pagamento;

3) 2 o più richieste di autorizzazione provenienti da Stati diversi, effettuate, con la stessa carta, nell'arco di 60 minuti.

Art. 9.

Periodo di monitoraggio

1. La società segnalante notifica al titolare dell'archivio l'apertura del periodo di monitoraggio, nel momento in cui viene raggiunto uno dei parametri di cui all'articolo 8. Tale periodo non può superare i 15 giorni per le informazioni relative agli esercenti e le 72 ore per le informazioni relative alle carte di pagamento.

2. Relativamente alle informazioni di cui all'articolo 7, lettera b), la società segnalante comunica all'UCAMP l'esito del monitoraggio in termini di "revoca dell'esercizio convenzionato" o di "conclusione del monitoraggio senza ulteriori provvedimenti". Sulla base di tale comunicazione, l'UCAMP riqualifica come dato ai sensi dell'articolo 6, lettera b), le informazioni relative all'avvenuta revoca dell'esercizio, ovvero provvede alla loro cancellazione.

3. Relativamente alle informazioni di cui all'articolo 7, lettera c), la società segnalante comunica all'UCAMP l'esito dell'accertamento in termini di "transazione non riconosciuta dal titolare della carta di pagamento", o di "conclusione del monitoraggio senza ulteriori provvedimenti". Sulla base di tale comunicazione, l'UCAMP riqualifica come dato ai sensi dell'articolo 6, lettera c), le informazioni relative alla transazione non riconosciuta, ovvero provvede alla loro cancellazione.

4. In caso di mancata segnalazione circa la conclusione del monitoraggio, decorsi i termini di cui al comma 1, l'UCAMP provvede d'ufficio alla cancellazione delle informazioni.

Art. 10.

Modalità e termini di immissione dei dati

e delle informazioni nell'archivio

1. Le società segnalanti assicurano l'esattezza e la completezza dei dati e delle informazioni che alimentano l'archivio informatizzato.

2. I dati di cui all'articolo 6 sono immessi, per via telematica, attraverso l'utilizzo delle reti delle Pubbliche amministrazioni e delle società segnalanti, nell'archivio informatizzato non appena disponibili e comunque non oltre il secondo giorno lavorativo successivo a quello della loro acquisizione da parte della società segnalante.

3. I provvedimenti dell'Autorità giudiziaria o del Garante per la protezione dei dati personali che dispongono la sospensione ovvero la cancellazione temporanea dei dati immessi nell'archivio informatizzato sono eseguiti dalla società che ha originato la segnalazione o, d'ufficio, dall'UCAMP. In tal caso i dati immessi non sono più consultabili e la loro traccia viene conservata nell'archivio informatizzato al solo fine di consentire l'eventuale riattivazione della segnalazione.

4. Le informazioni di cui all'articolo 7 sono immesse, per via telematica, nell'archivio informatizzato immediatamente dopo l'apertura del periodo di monitoraggio ovvero non appena disponibili e comunque non oltre il primo giorno lavorativo successivo a quello della loro acquisizione da parte della società segnalante.

5. L'UCAMP verifica la completezza dei dati e delle informazioni immessi e, in caso di riscontro positivo, provvede alla loro convalida.

Art. 11.

Consultazione dei dati e delle informazioni

1. La consultazione dei dati da parte delle società segnalanti non richiede la preventiva autorizzazione da parte dell'UCAMP.

2. La consultazione delle informazioni da parte delle società segnalanti richiede la preventiva autorizzazione da parte dell'UCAMP. Tale autorizzazione è rilasciata di volta in volta a quelle società che ne fanno espressa richiesta e che risultano aver comunicato, con regolarità e completezza, le informazioni di cui all'articolo 7.

Art. 12.

Controllo sul corretto funzionamento dell'archivio

1. L'UCAMP, nell'esercizio delle funzioni di titolare del trattamento, sovrintende al corretto funzionamento dell'archivio e all'osservanza delle disposizioni che regolano le modalità di trasmissione dei dati e delle informazioni.

Art. 13.

Decorrenza e permanenza dell'iscrizione dei dati

1. I dati di cui all'articolo 6 sono comunicati al titolare dell'archivio entro 180 giorni dall'entrata in vigore del presente regolamento e restano iscritti nell'archivio informatizzato per 3 anni.

Art. 14.

Gruppo di lavoro

1. Il GIPAF, di cui all'articolo 1 della legge, è composto da esperti in materia di carte di pagamento ed è formato da 2 rappresentanti, di cui un titolare ed un supplente, delle seguenti amministrazioni, istituti ed organi: Ministero dell'Economia e delle Finanze (UCAMP), Ministero dell'Interno, Ministero della Giustizia, Ministero dello Sviluppo Economico, Ministro per le Riforme e le Innovazioni nella Pubblica Amministrazione, Banca d'Italia.

2. Ai lavori del GIPAF partecipano altresì esperti delle Forze di polizia, designati dall'Ufficio di coordinamento e pianificazione delle Forze di polizia del Ministero dell'Interno, dell'Associazione bancaria italiana e delle società segnalanti. Possono essere inoltre invitati a partecipare ai lavori esperti di altre società, intermediari finanziari, enti, organismi, anche internazionali, nonchè Pubbliche amministrazioni. Il Consiglio nazionale dei consumatori e degli utenti può richiedere, in qualsiasi momento, di essere ascoltato dal GIPAF, ai sensi dell'articolo 7, comma 6, della legge.

3. Le riunioni del GIPAF sono presiedute dal direttore dell'UCAMP.

4. Il GIPAF si riunisce, di norma, 4 volte l'anno.

5. Per la partecipazione ai lavori del GIPAF non è dovuto alcun compenso nè rimborso spese a qualsiasi titolo spettante.

Art. 15.

Scambio di dati con la Banca d'Italia

1. In attuazione di quanto previsto nell'articolo 5, comma 1, della legge, l'UCAMP consulta i dati sulle carte di pagamento rubate o smarrite mediante procedure telematiche compatibili con le caratteristiche tecniche dell'archivio di cui all'articolo 36 del decreto legislativo 30 dicembre 1999, n. 507 (13).

2. Le richieste relative alle aggregazioni fra i dati contenuti nell'archivio informatizzato sono definite di volta in volta d'intesa tra la Banca d'Italia e l'UCAMP.

---------

(13) Ved. Boll. Lav. e Trib. 2000, pag. 661.

Art. 16.

Accesso ai dati ed alle informazioni

da parte del Dipartimento della pubblica sicurezza

del Ministero dell'Interno e delle Forze di polizia

1. Il Dipartimento della pubblica sicurezza e le Forze di polizia di cui all'articolo 7, comma 2, della legge, accedono ai dati ed alle informazioni contenuti nell'archivio informatizzato, attraverso un collegamento tra il predetto archivio ed il Centro elaborazione dati del Ministero dell'Interno, di cui all'articolo 8 della legge 1 aprile 1981, n. 121 (14). Il collegamento deve rispondere a procedure telematiche compatibili con le caratteristiche tecniche del predetto Centro e dello stesso archivio e nel rispetto degli standard previsti dal Sistema pubblico di connettività, secondo le intese fra l'UCAMP e il Dipartimento di pubblica sicurezza, e deve essere realizzato nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

2. Eventuali risultati di specifico interesse e gli elementi conoscitivi di cui all'articolo 3, comma 3, della legge, diversi dai dati e dalle informazioni di cui al comma precedente, derivanti dalla gestione dell'archivio informatizzato, utili ai fini dell'analisi dei fenomeni criminali e di cooperazione, anche internazionale, di polizia, finalizzati alla prevenzione e repressione dei reati commessi mediante carte di credito o altri mezzi di pagamento, sono comunicati dall'UCAMP al Dipartimento della pubblica sicurezza - Direzione centrale della polizia criminale, anche d'iniziativa, ovvero su richiesta del GIPAF, secondo modalità da stabilirsi previe intese tra l'UCAMP e la predetta Direzione centrale.

---------

(14) Ved. Boll. Lav. e Trib. 1987, pag. 692.

Art. 17.

Competenze ed organizzazione dell'UCAMP

1. L'Ufficio centrale antifrode dei mezzi di pagamento svolge i seguenti compiti:

a) analisi e monitoraggio dei dati tecnici e statistici e delle informazioni concernenti la falsificazione dell'euro, per le finalità di cui al Regolamento (CE) n. 1338/2001 del Consiglio del 21 giugno 2001 e per le valutazioni dell'impatto economico; raccordo con le autorità nazionali ed estere competenti in materia di falsificazione dell'euro;

b) prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento e sugli strumenti attraverso i quali viene erogato il credito al consumo;

c) promozione e coordinamento di iniziative di formazione, comunitarie e nazionali; sulla falsificazione dell'euro; formazione specialistica agli operatori per la prevenzione delle frodi sulle carte di pagamento e sugli strumenti attraverso i quali viene erogato il credito al consumo.

2. Ai soli fini organizzativi e senza ulteriori oneri e con l'utilizzo di risorse umane, finanziarie e strumentali già previste a legislazione vigente, l'Ufficio centrale antifrode dei mezzi di pagamento si articola nelle seguenti aree: euro; carte di pagamento; credito al consumo; formazione.

3. Alle dipendenze funzionali del direttore dell'Ufficio centrale antifrode dei mezzi di pagamento opera personale della Guardia di finanza, a cui è preposto un ufficiale.

Art. 18.

Assegnazione del personale all'UCAMP

1. Il personale di cui all'articolo 1, comma 6, della legge, eventualmente assegnato all'UCAMP, è assoggettato ad un percorso formativo della durata minima di 5 giorni. La formazione riguarda materie di carattere prevalentemente tecnico e specialistico oggetto dell'attività istituzionale dell'Ufficio. I corsi di formazione sono organizzati nell'ambito dell'ordinaria programmazione dei percorsi formativi dell'Amministrazione, senza oneri aggiuntivi per il bilancio dello Stato.

Art. 19.

Disposizioni transitorie e finali

1. Al fine di costituire un archivio storico, le società segnalanti comunicano i dati relativi ai punti vendita di cui all'articolo 6, lettera b), riguardanti gli anni 2005, 2006 e 2007 entro 180 giorni dalla data di entrata in vigore del presente regolamento.

2. Le disposizioni riguardanti le informazioni si applicano decorsi 12 mesi dalla data di entrata in vigore del presente regolamento.

3. Ai fini dell'attuazione del comma 2 dell'articolo 1 della legge, l'UCAMP, sentito il GIPAF, provvede ad identificare eventuali ulteriori tipologie di carte di pagamento a spendibilità generalizzata, emesse da intermediari abilitati, da assoggettare al sistema di prevenzione previsto dalla legge.

4. Al fine di consentire un più efficace contrasto alle frodi sulle carte di pagamento, l'UCAMP promuove, nell'ambito del GIPAF, appositi approfondimenti atti ad adottare ogni iniziativa diretta a favorire l'inserimento della riproduzione fotografica nelle carte di pagamento ovvero di altra modalità equivalente volta a consentirne la riconducibilità al titolare.

Art. 20.

Entrata in vigore

1. Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Roma, 30 aprile 2007

Registrato alla Corte dei conti il 19-7-2007

Ufficio di controllo sui Ministeri economico-finanziari, registro n. 4 Economia e finanze, foglio n. 249

Allegato ...omissis...