FAQ - Istituti di pagamento

Go to the english version Cerca nel sito

Attività esercitabili e regime applicabile

Quali servizi di pagamento può offrire un IP?

Si tratta dei servizi elencati all'art. 1, comma 2, lett. h-septies.1), TUB (e ripresi dall'Allegato I alla Direttiva (UE) n. 2366/2015, c.d. PSD2) e nello specifico:

  1. servizi che permettono di depositare il contante su un conto di pagamento nonché tutte le operazioni richieste per la gestione di un conto di pagamento;
  2. servizi che permettono prelievi in contante da un conto di pagamento nonché tutte le operazioni richieste per la gestione di un conto di pagamento;
  3. esecuzione di operazioni di pagamento, incluso il trasferimento di fondi su un conto di pagamento presso il prestatore di servizi di pagamento dell'utilizzatore o presso un altro prestatore di servizi di pagamento:
    • esecuzione di addebiti diretti, inclusi gli addebiti diretti una tantum;
    • esecuzione di operazioni di pagamento mediante carte di pagamento o dispositivi analoghi;
    • esecuzione di bonifici, inclusi gli ordini permanenti;
  4. esecuzione di operazioni di pagamento quando i fondi rientrano in una linea di credito accordata ad un utilizzatore di servizi di pagamento:
    • esecuzione di addebiti diretti, inclusi gli addebiti diretti una tantum;
    • esecuzione di operazioni di pagamento mediante carte di pagamento o dispositivi analoghi;
    • esecuzione di bonifici, inclusi gli ordini permanenti;
  5. emissione di strumenti di pagamento e/o convenzionamento di operazioni di pagamento;
  6. rimessa di denaro;
  7. servizio di disposizione di ordini di pagamento (PIS);
  8. servizio di informazione sui conti (AIS).

Quale autorizzazione occorre richiedere per prestare l'attività di rimessa di denaro (o "money transfer")?

Per rimessa di denaro o "money transfer" si intende il servizio di trasferimento effettuato senza far transitare i fondi su rapporti di conto intestati all'ordinante o al beneficiario.

L'attività di rimessa di denaro può essere svolta da banche, IMEL o da IP autorizzati alla prestazione del servizio di cui al punto n. 6 all'art. 1, comma 2, lett. h-septies.1), TUB. Tali intermediari possono avvalersi di una rete distributiva di agenti, persone fisiche o giuridiche, che offrono, esclusivamente, il servizio di rimessa di denaro. Gli agenti devono essere iscritti nell'elenco tenuto dall'Organismo degli Agenti e dei Mediatori (OAM) e possedere specifici requisiti.

Cosa devono fare gli IP per svolgere anche altre attività imprenditoriali, oltre alla prestazione dei servizi di pagamento?

In questo caso, gli IP, definititi come c.d. ibridi commerciali, costituiscono un patrimonio destinato unico per la prestazione dei servizi di pagamento e le relative attività accessorie e strumentali. A tale patrimonio destinato si applica quanto previsto dall'art. 114-terdecies TUB.

Nel caso in cui l'IP presti esclusivamente il servizio di AIS assieme ad altre attività imprenditoriali, non è richiesta la costituzione di un patrimonio destinato. La Banca d'Italia valuterà natura e caratteristiche delle attività diverse, per verificarne la connessione con l'attività riservata e, più in generale, la coerenza complessiva del piano di attività e potrà anche richiedere alla società maggiori presidi a livello organizzativo affinché lo svolgimento dell'attività riservata sia adeguatamente presidiato dagli organi competenti.

Qual è il regime di vigilanza per gli IP?

Gli IP sono sottoposti a un regime di vigilanza prudenziale, finalizzato a perseguire la salvaguardia della sana e prudente gestione, il mantenimento del regolare funzionamento, dell'affidabilità e dell'efficienza del sistema dei pagamenti, la tutela degli utenti.

I controlli sono esercitati dalla Banca d'Italia nel rispetto della natura imprenditoriale dei soggetti vigilati, i quali determinano in autonomia strategie, modelli organizzativi e politiche di investimento nell'ambito di un sistema di regole generali di natura prudenziale.

L'azione di controllo della Banca d'Italia è svolta attraverso analisi e interventi finalizzati a individuare tempestivamente segnali di potenziali anomalie negli assetti tecnico-organizzativi e a sollecitarne la rimozione mediante appropriate misure correttive. Sono previsti controlli documentali - basati sulla raccolta, l'elaborazione e l'analisi sistematica di un complesso di informazioni di natura statistica, contabile e amministrativa - e controlli ispettivi presso gli intermediari, diretti a verificare qualità e correttezza dei dati trasmessi e ad approfondire la conoscenza di aspetti organizzativi e gestionali. L'attività ispettiva è graduata in funzione di caratteristiche, dimensioni e complessità dell'intermediario controllato ed è focalizzata sui rischi rilevanti, sulla governance e i controlli interni.

Il controllo riguarda tutti gli aspetti dell'operatività e si focalizza sulla coerenza degli assetti organizzativi, sulla qualità della gestione e del controllo dei rischi, sull'adeguatezza del patrimonio a fronteggiare eventuali perdite, sulla trasparenza e sulla correttezza nei confronti della clientela.

Autorizzazione

Esiste un form per la presentazione dell'istanza?

L'istanza ha forma libera: nelle Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica sono indicati i documenti da allegare e sono proposti gli schemi di programma di attività, di descrizione dei servizi di pagamento e di relazione sulla struttura organizzativa.

Quali sono i documenti da allegare all'istanza?

Le informazioni e i documenti da trasmettere con l'istanza di autorizzazione sono indicati nelle Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica e sono, di norma, i seguenti:

  • atto costitutivo e statuto;
  • programma di attività e relazione sulla struttura organizzativa;
  • elenco dei partecipanti diretti e indiretti al capitale, con l'indicazione delle azioni possedute; per le partecipazioni indirette, il soggetto per il cui tramite la partecipazione è detenuta;
  • documentazione attestante il possesso dei requisiti previsti in capo ai partecipanti qualificati diretti e indiretti;
  • mappa del gruppo di appartenenza;
  • attestazione del versamento del capitale nella misura minima prevista dalle disposizioni applicabili, rilasciata dalla direzione generale della banca presso la quale il versamento è stato effettuato;
  • informazioni circa la provenienza delle somme con le quali viene sottoscritto il capitale dell'IP;
  • documentazione attestante il possesso dei requisiti di idoneità degli esponenti aziendali nonché l'insussistenza dell'incompatibilità di cui all'articolo 36 del D.L. n. 201/2011 (c.d. divieto di interlocking);
  • documentazione attestante l'adozione di una o più misure di tutela dei fondi degli utenti dei servizi di pagamento;
  • nel caso di prestazione dei servizi di disposizione di ordini di pagamento - PIS e/o di informazione sui conti - AIS, la documentazione che attesti il possesso di una polizza di assicurazione della responsabilità civile o analoga forma di garanzia per i danni arrecati nella prestazione dei servizi, nonché le modalità con cui è stato calcolato il relativo importo, che devono essere conformi a quanto stabilito dagli Orientamenti dell'EBA (EBA/GL/2017/08).

In base alla situazione concreta e al modello di business scelto dall'intermediario può essere necessario produrre ulteriore documentazione utile a supportare le valutazioni istruttorie (per es. la perizia redatta in caso di conferimenti in natura).

La documentazione indicata alle lett. d), g) e h), deve avere data non anteriore ai 6 mesi da quella di presentazione della domanda di autorizzazione.

Nello statuto cosa deve indicare la clausola relativa all'oggetto sociale?

La clausola relativa all'oggetto sociale deve indicare i servizi di pagamento che l'IP intende effettivamente svolgere. L'oggetto sociale non dovrà invece contenere riferimenti ad attività finanziarie non esercitate o che l'IP non intende esercitare nell'arco temporale considerato nel programma di attività.

Cosa valuta la Banca d'Italia in relazione all'assetto proprietario di un IP?

Nella valutazione delle iniziative di costituzione la Banca d'Italia presta particolare attenzione ai profili della solidità finanziaria e della qualità dei partecipanti al fine di assicurare l'adeguata capacità di fronteggiare i rischi della fase di avvio dell'attività e, in caso di crisi, di minimizzare i costi connessi alla dispersione di valore aziendale.

A questo fine, la Banca d'Italia valuta la qualità dei titolari di partecipazioni qualificate al capitale dell'intermediario (cioè coloro che detengano almeno il 10% delle azioni o dei diritti di voto ovvero sono in grado di esercitare una influenza notevole) e la solidità finanziaria del progetto sulla base dei seguenti criteri: la reputazione del partecipante qualificato; l'onorabilità, la correttezza, la professionalità e la competenza di coloro che, a seguito dell'acquisizione, svolgeranno funzioni di amministrazione e direzione nell'intermediario; la solidità finanziaria del partecipante qualificato; la capacità dell'intermediario di rispettare a seguito dell'acquisizione della partecipazione le disposizioni che ne regolano l'attività; l'idoneità della struttura del gruppo del partecipante qualificato a consentire l'esercizio efficace della vigilanza; la mancanza di un fondato sospetto che l'acquisizione sia connessa ad operazioni di riciclaggio o di finanziamento del terrorismo. Le valutazioni sono condotte in linea con le previsioni dell'art. 19 TUB e del Provvedimento della Banca d'Italia del 22.7.2022.

La valutazione dell'assetto proprietario non dà luogo ad una decisione distinta in materia di partecipazioni qualificate e neppure segue gli aspetti procedurali previsti dalla normativa di riferimento, ma confluisce nell'istruttoria sulla autorizzazione per l'accesso al mercato.

La verifica è effettuata sulla base delle informazioni e dei documenti prodotti ai sensi del Provvedimento della Banca d'Italia del 26.10.2021.

Cosa valuta la Banca d'Italia in relazione all'assetto di governance di un IP?

La Banca d'Italia valuta la struttura di governance dell'IP per verificare che essa sia in grado di assicurare il governo dei rischi cui l'intermediario sarà esposto, sia coerente con l'attività e le dimensioni prospettate, sia chiara nell'allocazione dei compiti tra i diversi organi aziendali e nei rapporti con gli azionisti.

Con riferimento agli esponenti aziendali, viene valutata l'idoneità allo svolgimento dell'incarico dei soggetti che svolgono funzioni di amministrazione, direzione e controllo (cd. fit and proper); l'idoneità costituisce, infatti, un presidio fondamentale per assicurare un governo societario improntato a criteri di sana e prudente gestione. A tal fine, gli esponenti devono possedere requisiti di professionalità, onorabilità e indipendenza e soddisfare criteri di competenza e correttezza.

La disciplina dei requisiti di idoneità è contenuta nell'art. 26 TUB e nel D.M. n. 169/2020.

La responsabilità di individuare esponenti idonei fa capo all'intermediario, che deve anche garantire che i requisiti e i criteri siano rispettati non solo al momento della nomina dell'esponente, ma per tutta la durata dell'incarico.

Gli esponenti aziendali devono inoltre rispettare il divieto di interlocking directorship previsto dall'art. 36 del D.L. n. 201/2011.

Cosa deve indicare il programma di attività?

Il contenuto del programma di attività è indicato nelle Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica. Il documento, redatto dagli amministratori avendo riguardo alla complessità operativa, dimensionale e organizzativa dell'intermediario, nonché alla natura specifica dell'attività svolta ("principio di proporzionalità"), deve indicare almeno:

  • la descrizione delle linee di sviluppo dell'operatività;
  • la relazione previsionale sui profili tecnici e di adeguatezza patrimoniale (business plan);
  • la relazione sulla struttura organizzativa;
  • la descrizione dei servizi di pagamento, dell'attività di emissione della moneta elettronica e delle relative caratteristiche e delle misure adottate per tutelare i fondi ricevuti dalla clientela.

Quale misure sono previste in materia di tutela dei fondi dei clienti?

In base al TUB, le somme ricevute dall'IP in relazione alla prestazione dei servizi di pagamento da 1 a 6 di cui all'art. 1, comma 2, lett. h-septies.1) TUB sono investite secondo le modalità stabilite nelle Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica. Tali somme costituiscono patrimonio distinto a tutti gli effetti da quello dell'IP e su tale patrimonio non sono ammesse azioni dei creditori dell'IP o nell'interesse degli stessi, né quelle dei creditori dell'eventuale soggetto presso il quale le somme di denaro sono depositate.

Gli IP predispongono e conservano apposite evidenze contabili:

  • distintamente, per ciascun cliente, dei fondi ricevuti in relazione e ai servizi di pagamento offerti;
  • delle attività in cui le somme ricevute sono state investite.

Queste evidenze indicano, fra l'altro, le banche depositarie delle somme di denaro ricevute dai clienti e i depositari degli strumenti finanziari in cui sono eventualmente investite le somme di denaro ricevute dai clienti, nonché i soggetti abilitati ad operare su questi conti. Le evidenze sono aggiornate in via continuativa e con tempestività e sono regolarmente riconciliate con gli estratti conto prodotti dai depositari.

Quali valutazioni vengono effettuate dalla Banca d'Italia in relazione al programma di attività?

Il programma di attività viene valutato dalla Banca d'Italia per verificarne: a) la sostenibilità attuale e prospettica, tenendo conto degli investimenti necessari per avviare l'attività e dei volumi operativi che l'intermediario si propone di raggiungere; b) il rispetto da parte dell'intermediario di tutti i requisiti patrimoniali e di liquidità sin dall'avvio dell'operatività e per tutto il periodo previsionale.

La Banca d'Italia può richiedere agli azionisti dichiarazioni di impegno a sostenere finanziariamente la società qualora sia necessario per lo sviluppo delle attività o in caso di difficoltà.

Cosa deve indicare la relazione sulla struttura organizzativa?

La relazione sulla struttura organizzativa, redatta secondo lo schema contenuto nelle Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica, deve indicare almeno:

  • composizione, ruolo e funzionamento degli organi aziendali;
  • composizione e ruolo dei singoli Comitati, ove presenti;
  • organigramma con indicazione del numero di risorse allocate presso ciascuna unità organizzativa.

Con riferimento alla descrizione del sistema dei controlli interni e di gestione dei rischi, la documentazione trasmessa dovrà indicare, per ciascuna funzione di controllo:

  • ruoli, responsabilità e linee di riporto gerarchiche;
  • competenze dei capi delle unità funzionali;
  • numero di persone allocate presso ciascuna unità.

L'organizzazione aziendale e il sistema dei controlli interni vengono valutati per verificarne l'efficacia e la coerenza rispetto alla complessità operativa e le dimensioni dell'intermediario.

Con riferimento al sistema informativo e al piano di continuità aziendale, andranno descritti i sistemi di backup e di disaster recovery; andrà inoltre, indicato il responsabile dell'IT, con una descrizione del suo ruolo, delle sue responsabilità e delle sue competenze professionali.

Il sistema IT deve assicurare la corretta operatività dell'intermediario e l'adempimento delle segnalazioni periodiche di vigilanza. In particolare, il sistema IT deve assicurare che:

  • l'IP sia in grado di monitorare e gestire incidenti relativi alla sicurezza IT;
  • in caso di terminazione dei servizi di pagamento, tutte le transazioni pendenti vengano eseguite;
  • l'accesso ai dati di pagamento sensibili dei clienti sia ristretto e costantemente monitorato.

In caso di esternalizzazione di funzioni aziendali (processi, servizi o attività) a provider esterni occorre fornire le informazioni necessarie a valutare, tra l'altro, che la soluzione adottata non comprometta la capacità dell'intermediario di rispettare gli obblighi previsti dalla normativa di riferimento; non alteri il rapporto con la propria clientela; non pregiudichi la qualità del sistema dei controlli interni e non ostacoli l'attività di vigilanza. Sul punto di rinvia alla FAQ specifica.

Quali informazioni devono essere trasmesse in caso di esternalizzazione di funzioni aziendali?

Gli IP possono ricorrere alla esternalizzazione di funzioni aziendali (processi, servizi o attività), anche di quelle importanti (necessarie per lo svolgimento dell'operatività principale) a provider esterni a condizione che la soluzione adottata non metta a repentaglio la capacità dell'IP di rispettare gli obblighi previsti dalla normativa di riferimento; non alteri il rapporto con la propria clientela; non pregiudichi la qualità del sistema dei controlli interni e non ostacoli la vigilanza.

Le disposizioni di vigilanza richiedono che essi adottino una specifica politica aziendale per assicurare il corretto svolgimento delle funzioni esternalizzate da parte del fornitore, il buon funzionamento del sistema dei controlli interni e il monitoraggio continuo dell'attività svolta dal fornitore di servizi. Per gli IP, inoltre, specificano gli obblighi a loro carico in caso di esternalizzazione di funzioni operative relative ai servizi di pagamento, all'emissione di moneta elettronica o importanti.

In caso di esternalizzazione, pertanto, l'istanza andrà integrata, in linea con gli Orientamenti EBA/GL/2019/02 in materia, con le seguenti informazioni:

  • una descrizione sintetica delle attività oggetto di esternalizzazione;
  • l'indicazione dei provider individuati, unita alla valutazione per le sole funzioni operative importanti esternalizzate effettuata dall'organo amministrativo in merito all'adeguatezza quali-quantitativa del fornitore del servizio, anche considerato il complesso degli incarichi eventualmente rivestiti presso altri intermediari;
  • il documento di policy aziendale in materia di esternalizzazione che, in linea con il principio di proporzionalità, stabilisca almeno: i) il processo decisionale per esternalizzare funzioni aziendali; ii) il contenuto minimo dei contratti di outsourcing e i livelli di servizio attesi delle attività esternalizzate; iii) le modalità di controllo delle funzioni esternalizzate; iv) i flussi informativi interni volti ad assicurare la piena conoscenza e governabilità dei fattori di rischio relativi alle funzioni esternalizzate; v) i piani di emergenza in caso di non corretto svolgimento delle funzioni esternalizzate da parte del fornitore di servizi;
  • una sintesi dell'accordo di esternalizzazione delle funzioni operative importanti da cui risultino i principali diritti ed obblighi; i livelli di servizio attesi, espressi in termini oggettivi e misurabili, nonché le informazioni necessarie per la verifica del loro rispetto; gli eventuali conflitti di interesse e i relativi presidi di mitigazione; la durata dell'accordo e le modalità di rinnovo nonché gli impegni reciproci connessi con l'interruzione del rapporto;
  • una descrizione delle misure adottate, anche di tipo organizzativo, per assicurare la verifica dell'operato degli outsourcers. Occorre anche indicare le risorse destinate ad assumere il ruolo di referente interno per i servizi esternalizzati, il cui profilo professionale deve essere in linea con l'incarico ricoperto.

Gli IP che ricorrono all'esternalizzazione di funzioni aziendali presidiano i rischi derivanti dalle scelte effettuate, mantenendo la capacità di controllo e la responsabilità sulle attività esternalizzate nonché le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessità, il loro svolgimento. Resta ferma, in ogni caso, la responsabilità degli organi aziendali e del responsabile della funzione esternalizzata per il corretto svolgimento dei compiti esternalizzati.

Nell'ambito del procedimento di autorizzazione la Banca d'Italia può disporre specifiche verifiche nei confronti della società istante?

La Banca d'Italia può disporre una verifica in ordine alla funzionalità complessiva della struttura aziendale nonché all'esistenza e all'ammontare del patrimonio della società istante. A tal fine, la Banca d'Italia può disporre l'accesso di propri ispettori oppure richiedere una perizia a soggetti terzi. Con riferimento al tipo di attività svolto dalla società, è anche possibile indicare ulteriori aspetti che devono formare oggetto della perizia e di cui deve essere dato conto nella relazione.

Le società già esistenti possono presentare istanza di iscrizione nell'albo degli IP?

Le società già esistenti che intendono prestare servizi di pagamento adottano la delibera con la quale viene modificato l'oggetto sociale e sono apportate le altre modifiche statutarie necessarie. La domanda di autorizzazione all'attività è inviata dopo l'approvazione della delibera di modifica dell'atto costitutivo e prima che di tale atto venga effettuata l'iscrizione nel registro delle imprese.

A quali condizioni si verifica la decadenza dall'autorizzazione di un IP?

L'IP decade dall'autorizzazione rilasciata se:

  • vi rinuncia espressamente entro 12 mesi dal rilascio della stessa;
  • non ha iniziato a operare entro 12 mesi dal rilascio dell'autorizzazione.

In presenza di giustificati motivi, su richiesta dell'IP interessato presentata prima della scadenza del termine, può essere consentito un limitato periodo di proroga, di norma non superiore a 6 mesi.

Intervenuta la decadenza, la Banca d'Italia, senza ulteriori formalità, cancella l'IP dal relativo albo. La società provvede alla modifica dell'oggetto sociale.

A quali condizioni si verifica la revoca dell'autorizzazione di un IP?

Fermi restando i casi di revoca consentiti dall'ordinamento, la Banca d'Italia revoca l'autorizzazione a un IP e lo cancella dall'albo qualora accerti che l'IP non soddisfa più le condizioni previste per la concessione dell'autorizzazione o non ha svolto l'attività per un periodo continuativo superiore a 6 mesi.

La revoca dell'autorizzazione è effettuata secondo le modalità di cui all'art. 113-ter TUB qualora vi siano somme di denaro ricevute dai clienti ancora registrate nei conti di pagamento ovvero ricevute a fronte della moneta elettronica emessa, fondi ricevuti dagli utenti di servizi di pagamento ancora da regolare o soggetti ai requisiti di tutela previsti dalle disposizioni, nonché attivi derivanti dall'esercizio dell'attività di concessione di finanziamenti.

Intervenuta la revoca, l'IP modifica l'oggetto sociale oppure dispone la liquidazione.

Servizi PIS e AIS

Quali deroghe sono previste per gli IP che prestano esclusivamente i servizi di disposizione di ordini di pagamento - PIS e/o di informazione sui conti - AIS?

Agli IP che intendono prestare esclusivamente il servizio di AIS non si applicano:

  • la disciplina in materia di capitale minimo iniziale;
  • la disciplina in materia di assetto proprietario;
  • le norme sulla tutela dei fondi della clientela;
  • le norme sulla disciplina prudenziale.

Agli IP che prestano il servizio di PIS (in via esclusiva o congiuntamente a quello di AIS) non si applicano le norme sulla tutela dei fondi della clientela e quelle sulla disciplina prudenziale.

Quali caratteristiche deve avere la polizza di assicurazione della responsabilità civile (o analoga forma di garanzia) da sottoscrivere per la prestazione dei servizi di disposizione di ordini di pagamento - PIS e/o di informazione sui conti - AIS?

Gli IP che intendono richiedere la prestazione dei servizi di pagamento PIS e/o AIS devono presentare la documentazione comprovante il possesso di una polizza di assicurazione della responsabilità civile (o analoga forma di garanzia) per i danni arrecati nell'esercizio dell'attività. Le caratteristiche essenziali che dovrà avere la polizza sono indicate negli Orientamenti EBA/GL/2017/08. È fondamentale che l'oggetto della polizza indichi espressamente i rischi citati nell'Orientamento 1.2, lettere (a), (b) e (c).

Insieme alla documentazione relativa alla polizza dovrà essere trasmessa anche la documentazione attestante che le modalità con cui è stato calcolato il relativo importo sono conformi a quanto stabilito dagli Orientamenti dell'EBA (EBA/GL/2017/08), ossia il tool di calcolo predisposto dall'EBA per calcolare l'importo minimo della polizza compilato con le stime della società (coerenti con quanto previsto nel programma di attività).

I prestatori del servizio di informazione sui conti (AISP) possono adottare soluzioni di governance semplificate, come ad esempio l'amministratore unico o il revisore unico?

I prestatori del servizio AIS, per quanto destinatari di una disciplina semplificata, sono istituti di pagamento e come tali devono osservare le disposizioni in tema di governance previste per intermediari della specie. Per tale ragione, dovranno prevedere organi amministrativi e di controllo di tipo collegiale.

Gli IP che prestano i servizi di PIS e/o AIS sono obbligati al rispetto della disciplina dell'antiriciclaggio, anche se non intermediano flussi monetari?

Gli IP che esercitano esclusivamente i servizi di PIS e/o AIS rientrano nella categoria degli istituti di pagamento e sono pertanto tra i destinatari della normativa antiriciclaggio. Pertanto, come previsto dalle Disposizioni di Vigilanza per istituti di pagamento e di moneta elettronica, devono illustrare in sede autorizzativa i presidi organizzativi e di controllo in materia.

A chi ci si può rivolgere per ottenere un certificato e-IDAS?

Nel contesto dell'open banking, questi certificati sono necessari alle c.d. Terze Parti (Third Party Providers - TPP, le terze parti autorizzate alla prestazione dei servizi di disposizione di ordini di pagamento e/o di informazione sui conti) per identificarsi e accedere alle interfacce rese disponibili dagli operatori che detengono i conti cui si accede. Per ottenere i certificati e-IDAS occorre rivolgersi ad un prestatore di servizi fiduciari qualificato (Qualified Trust Service Providers - QTSP).

Qualora l'IP presti il servizio di informazione sui conti - AIS può condividere i dati con quarte parti?

In base ai chiarimenti forniti dall'EBA (Q&A dell'EBA) l'IP può trasmettere le informazioni PSD2/Open Banking a "quarte parti" (società che - anche se non in possesso di specifica autorizzazione alla prestazione del servizio AIS - intendono sfruttare i dati dei clienti dell'IP per la prestazione di servizi a valore aggiunto) predisponendo un'informativa al correntista chiara esplicita e raccogliendo un apposito consenso.

Cosa devono fare i prestatori di servizi di pagamento che detengono conti accessibili online per consentire alle c.d. Terze Parti (Third Party Providers o TPP) di prestare la loro attività?

I prestatori di servizi di pagamento che detengono conti accessibili online devono consentire alle terze parti (Third Party Providers o TPP) di svolgere la propria attività, accedendo alle informazioni necessarie. Ciò è possibile attraverso l'adattamento di interfacce già disponibili ai clienti ovvero attraverso la realizzazione di un'interfaccia online dedicata. In questo secondo caso, la normativa (Regolamento delegato (UE) n. 389/2018) impone di assicurare alle terze parti l'accesso ai conti anche attraverso un meccanismo di emergenza (c.d. soluzione di fall back), da utilizzare in caso di indisponibilità o di prestazioni inadeguate dell'interfaccia dedicata.

La Banca d'Italia può esentare i prestatori di servizi di pagamento che detengono conti accessibili online dall'obbligo di realizzare l'interfaccia di fall-back a determinate condizioni previste dal citato Regolamento. A tal fine occorre presentare un'apposita istanza - anche in fase di richiesta di autorizzazione - seguendo le istruzioni pubblicate sul sito.