WEBINAR / 16 Aprile
Il Regolamento europeo sui bonifici istantanei


Nuovi adempimenti per le banche/PSP

ZOOM MEETING Offerte per iscrizioni entro il 28/03

WEBINAR / 16 Aprile
Il Regolamento europeo sui bonifici istantanei. Nuovi adempimenti per le banche/PSP
www.dirittobancario.it
Approfondimenti

La disciplina degli AISP nelle nuove disposizioni di vigilanza della Banca d’Italia

29 Luglio 2019

Matteo Catenacci e Paolo Sanna, FiveLex Studio Legale

Di cosa si parla in questo articolo

Introduzione

Con il provvedimento del 23 luglio 2019 la Banca d’Italia ha dato attuazione alla Direttiva (UE) 2015/2366 (c.d. PSD2) emanando le nuove disposizioni di vigilanza per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL), che modificano e integrano quelle precedentemente in vigore di cui al provvedimento del 17 maggio 2016 (nel seguito il “Provvedimento”).

Come illustrato dalla stessa Autorità nell’ambito della consultazione che ha preceduto l’emanazione del Provvedimento, fra le novità introdotte vengono in rilievo, fra l’altro, le disposizioni in materia di:

  • autorizzazione: il contenuto del programma di attività da presentare in fase autorizzativa è stato arricchito e integrato con informazioni di dettaglio e aggiornato in conformità ai nuovi requisiti introdotti dalla PSD2;
  • fondi propri: si prevede l’applicazione a IP e IMEL della definizione di fondi propri introdotta per banche e imprese di investimento dal Regolamento (UE) n. 575/2013 (“CRR”), con alcuni adattamenti, con l’obiettivo di accrescere la qualità e il livello minimo regolamentare degli stessi, imponendo criteri più rigorosi per l’inclusione dei vari strumenti nel capitale regolamentare e armonizzando il trattamento delle deduzioni;
  • organizzazione e controlli interni: vengono rafforzati i presidi organizzativi di cui IP e IMEL devono dotarsi per garantire un più efficace presidio dei rischi, in particolar modo di quelli relativi alla sicurezza dei pagamenti, prevedendosi che tali soggetti si dotino di una politica per il governo dei rischi di sicurezza, procedure per la gestione ed il controllo di questi rischi, sistemi per la prevenzione e il monitoraggio degli incidenti di sicurezza e delle frodi nonché procedure per l’archiviazione, il monitoraggio, la tracciabilità e la limitazione dell’accesso ai dati sensibili relativi ai pagamenti. Sono previsti, inoltre, oneri di comunicazione relativi a incidenti operativi e o relativi alla sicurezza, ai sensi degli “Orientamenti dell’EBA in materia di segnalazione dei gravi incidenti” [1];
  • operatività degli istituti italiani all’estero e degli istituti esteri in Italia: viene aggiornato e integrato il contenuto delle informazioni che gli istituti italiani forniscono alla Banca d’Italia quando intendono operare all’estero. Per gli operatori UE che intendono prestare in Italia servizi di pagamento per il tramite di agenti è previsto l’obbligo di designazione di un punto di contatto centrale.

Tra le novità più rilevanti introdotte dal Provvedimento rientra sicuramente la nuova regolamentazione di dettaglio del servizio di disposizione di ordini di pagamento (payment initiation service) [2] e del servizio di informazione sui conti (account information service), e dei relativi prestatori.

Il presente contributo intende focalizzarsi sulla disciplina del servizio di informazione sui conti (nel seguito “AIS”) e dei soggetti che lo prestano (c.d. account information service provider, nel seguito “AISP”).

Il servizio di informazione sui conti (AIS)

Ai sensi del D.lgs. 11/2010, l’AIS è il servizio online che fornisce informazioni relativamente a uno o più conti di pagamento detenuti dall’utente di servizi di pagamento presso un altro prestatore di servizi di pagamento o presso più prestatori di servizi di pagamento.

Il servizio fornito dall’AISP consente, quindi, a un soggetto che intrattenga uno o più rapporti contrattuali legati alla prestazione di servizi di pagamento, di ottenere un quadro generale della sua situazione finanziaria in un dato momento.

Gli AISP, nati grazie alle possibilità offerte dallo sviluppo tecnologico in ambito finanziario, sono stati oggetto di regolazione in ambito PSD2 con l’obiettivo di “garantire ai consumatori una protezione adeguata relativamente ai dati di pagamento e contabili nonché la certezza giuridica legata allo status di prestatore di servizi di informazione sui conti” [3].

L’AIS si configura quale servizio di pagamento ai sensi del Testo Unico Bancario (TUB) e, pertanto, ai fini della prestazione del servizio, è necessario l’ottenimento di una specifica autorizzazione, come previsto dalle norme di rango primario in attuazione della PSD2.

In particolare, l’art. 114-sexies del TUB, prevede che la prestazione di servizi di pagamento sia riservata alle banche, agli IMEL e agli IP. Inoltre, ai sensi dell’art. 106, co. 2, del TUB, gli intermediari finanziari possono emettere moneta elettronica e prestare servizi di pagamento a condizione che siano a ciò autorizzati ai sensi dell’art. 114-quinquies, co. 4, e iscritti nel relativo albo, oppure prestare solo servizi di pagamento a condizione che siano a ciò autorizzati ai sensi dell’art. 114-novies, co. 4, e iscritti nel relativo albo.

È inoltre prevista la possibilità per gli operatori di prestare il solo AIS. I soggetti che operino esclusivamente quali AISP dovranno richiedere di essere iscritti, ai sensi dell’art. 114-septies, co. 2-bis, del TUB, in una sezione speciale dell’albo degli IP, al ricorrere di determinate condizioni e subordinatamente alla stipula di una polizza di assicurazione della responsabilità civile o analoga garanzia per i danni arrecati nello svolgimento dell’attività.

Il Provvedimento disciplina in dettaglio il procedimento di iscrizione all’albo per gli AISP e gli ulteriori requisiti che gli stessi devono possedere per poter operare.

Il procedimento

Con riferimento al procedimento autorizzativo, è previsto un espresso regime derogatorio per i soggetti che intendono prestare esclusivamente l’AIS.

La domanda alla Banca d’Italia è soggetta ad una procedura analoga a quella ordinaria, ma con una riduzione degli elementi da valutare in tale sede, in considerazione delle peculiarità del servizio. Pertanto, è previsto che:

  • non si applichi la disciplina in materia di capitale minimo iniziale; lo stesso sarà pertanto soggetto alle regole ordinarie del particolare tipo societario prescelto per lo svolgimento dell’attività:
    i) 50.000 euro nel caso di AISP costituito in forma di società per azioni o in accomandita per azioni;
    ii) 10.000 euro nel caso di AISP costituita in forma di società a responsabilità limitata [4];
    iii) non determinato in un ammontare prestabilito nel caso di AISP costituito in forma di società cooperativa;
  • non si applichi la disciplina in materia di assetto proprietario, in termini di possesso e comprova dei requisiti previsti, per rinvio, dall’art. 19 del TUB in materia di partecipazioni nelle banche da parte dei partecipanti qualificati al capitale [5]
  • il programma di attività non debba includere le informazioni sulle misure adottate per tutelare i fondi ricevuti dalla clientela.

Si segnala, inoltre, che gli AISP sono soggetti ad ulteriori deroghe rispetto alla disciplina applicabile agli altri soggetti che operano nell’ambito dei servizi di pagamento:

  • non sono tenuti all’adozione di sistemi e procedure finalizzati alla registrazione e conservazione dei dati statistici relativi alle frodi e,
  • non sono soggetti alle norme sulla disciplina prudenziale (fondi propri e requisiti patrimoniali) previste dal Provvedimento.

Pertanto, il procedimento autorizzativo per la prestazione del solo AIS prevede, in sintesi, che il soggetto interessato presenti un’apposita domanda alla Banca d’Italia ai fini del rilascio dell’autorizzazione. Il soggetto istante può essere:

  1. il soggetto, persona fisica o giuridica, che intende costituire in Italia un AISP,
  2. la società già esistente che intende essere autorizzata in Italia come AISP, ovvero
  3. l’IP che intende variare il contenuto dell’autorizzazione.

A tale riguardo, il Provvedimento precisa che, nel caso sub (i), la domanda di autorizzazione alla Banca d’Italia debba essere inoltrata “dopo la stipula dell’atto costitutivo e prima di dare corso al procedimento di iscrizione nel registro delle imprese”, mentre nei casi sub (ii) e (iii) la domanda di autorizzazione è inoltrata “dopo l’approvazione della delibera di modifica dell’oggetto sociale indicato in statuto e prima che di tale modifica venga richiesta l’iscrizione del registro delle imprese”. Per le società già esistenti sono altresì previsti ulteriori requisiti in materia di programma di attività ed esistenza del patrimonio e funzionalità aziendale.

Nel corso del procedimento viene valutata, fra l’altro, la sussistenza dei seguenti presupposti:

  • adozione della forma di società per azioni, di società in accomandita per azioni, di società a responsabilità limitata o di società cooperativa;
  • presenza della sede legale e della direzione generale in Italia, ove deve essere svolta almeno una parte dell’attività avente a oggetto l’AIS;
  • presentazione, unitamente all’atto costitutivo e allo statuto, di un programma di attività, che deve, fra l’altro, indicare le linee di sviluppo dell’attività e contenere un business plan, una relazione sulla struttura organizzativa e la descrizione dell’AIS prestato (in termini di contrattualizzazione, accesso ai conti di pagamento nonché autenticazione e consenso);
  • possesso da parte dei soggetti che svolgono funzioni di amministrazione, direzione e controllo nell’AISP dei requisiti di idoneità, previsti, per rinvio, dall’art. 26 del TUB in materia di esponenti aziendali delle banche [6];
  • stipula di una polizza di assicurazione della responsabilità civile o analoga forma di garanzia per i danni arrecati nell’esercizio dell’AIS [7];
  • insussistenza di impedimenti a un esercizio efficace delle funzioni di vigilanza con riferimento (i) al gruppo di appartenenza dell’AISP o (ii) a eventuali stretti legami tra l’AISP, o i soggetti del suo gruppo di appartenenza, e altri soggetti.

Rilascio dell’autorizzazione e iscrizione all’albo

La Banca d’Italia – in base agli esiti delle verifiche effettuate circa la sussistenza delle condizioni per l’autorizzazione e tenuto conto dell’esigenza di assicurare la sana e prudente gestione dell’AISP e il regolare funzionamento del sistema dei pagamenti – rilascia o nega l’autorizzazione entro 90 giorni dalla data di ricevimento della domanda, corredata della richiesta documentazione.

L’AISP inoltra alla Banca d’Italia il certificato che attesta la data di iscrizione nel registro delle imprese. La Banca d’Italia iscrive quindi l’AISP all’albo di cui all’art. 114-septies del TUB, indicando anche gli agenti di cui lo stesso intende servirsi e i dati identificativi della polizza assicurativa o della analoga garanzia. Successivamente all’iscrizione all’albo, l’AISP comunica alla Banca d’Italia l’avvio della propria operatività.

Organizzazione amministrativa e contabile e controlli interni

Gli AISP – al pari degli altri IP – applicano le disposizioni in materia di organizzazione e controlli interni contenute nel Provvedimento in maniera proporzionata alla dimensione e alla complessità dell’attività svolta nonché alla tipologia e alla gamma dei servizi prestati. Non esiste, quindi, alcuna esenzione “soggettiva” riferita agli AISP con riguardo all’organizzazione e controlli interni.

Gli AISP devono controllare e valutare con regolarità l’adeguatezza, l’efficacia e l’applicazione di tali requisiti organizzativi e adottano le misure adeguate a rimediare a eventuali carenze.

Il collegio sindacale informa tempestivamente la Banca d’Italia di tutti gli atti o fatti, di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una irregolarità nella gestione o una violazione delle norme che disciplinano l’attività dell’AISP.

Negli allegati A e C del Provvedimento si definiscono i requisiti, di carattere minimo, a cui il sistema di governo, dei controlli interni e i sistemi informativi si devono uniformare, in termini di ruolo degli organi aziendali, tipologie di controlli, funzioni aziendali di controllo e sistemi informativi e rischio di sicurezza.

L’estensione dell’autorizzazione

Il Provvedimento prevede due casistiche di estensione dell’autorizzazione:

  1. IP che chiedono l’autorizzazione anche come AISP.
    Con l’emanazione del Provvedimento oltre all’inizio dell’operatività da parte degli AISP “puri”, è ragionevole prevedere che parte degli IP già autorizzati alla prestazione di servizi di pagamento “classici” richieda l’estensione dell’autorizzazione al fine di poter prestare anche il nuovo AIS.
    Il Provvedimento reca una apposita disciplina, prevedendo un procedimento di variazione dell’autorizzazione fondato su un meccanismo di silenzio assenso di 60 giorni [8], in base al quale l’IP deve comunicare alla Banca d’Italia la propria intenzione di prestare l’AIS, corredandola con le necessarie informazioni aggiuntive rispetto a quelle già fornite in sede di prima autorizzazione.
    In particolare, tali soggetti, oltre a includere un nuovo programma di attività aggiornato, dovranno trasmettere la documentazione attestante il possesso della polizza assicurativa o analoga forma di garanzia e che le modalità con cui è stato calcolato l’importo minimo della garanzia siano conformi a quanto previsto dai citati Orientamenti EBA sui criteri per stabilire l’importo minimo dell’assicurazione per la responsabilità civile professionale o analoga garanzia.
    Peraltro, è possibile interrogarsi sull’opportunità di un tale adempimento, se si considera il fatto che la previsione di una polizza assicurativa può avere senso se applicata ai soggetti che prestano esclusivamente l’AIS, dato che gli stessi non sono soggetti – come detto – alla disciplina in materia di fondi propri. Diversamente è a dirsi invece per gli IP che prestano anche altri servizi, che invece sono, in virtù di ciò, obbligati a dotarsi di fondi propri in misura sufficiente e con i quali potrebbero essere in effetti coperti i rischi di danno eventualmente prodotti nell’ambito della prestazione del servizio in esame.
  2. AISP che chiedono l’estensione dell’autorizzazione ad altri servizi di pagamento.
    Il Provvedimento, infine, prevede anche un regime di variazione dell’autorizzazione per l’AISP che intenda prestare, in aggiunta, ulteriori servizi di pagamento. Al riguardo, è previsto, in particolare, che l’AISPdebba presentare un’apposita domanda di autorizzazione alla Banca d’Italia; alla domanda, soggetta ai requisiti sopra descritti, possono non essere allegati documenti relativi ad elementi che sono già in possesso dell’Autorità.

Decadenza e revoca dell’autorizzazione

L’AISP decade dall’autorizzazione rilasciata se vi rinuncia espressamente entro 12 mesi dal rilascio della stessa e comunque prima di aver avviato l’operatività ovvero se non se ne serve entro 12 mesi dall’iscrizione all’albo [9].

Fermi restando i casi di revoca di cui all’art. 113-ter del TUB [10], la Banca d’Italia revoca l’autorizzazione a un’AISP e lo cancella dall’albo quando non soddisfa più le condizioni previste per la concessione dell’autorizzazione o ha cessato la prestazione dell’attività per un periodo continuativo superiore a 6 mesi.

Altre disposizioni

Il Provvedimento contiene altre disposizioni di interesse:

  1. Operatività transfrontaliera.
    L’AISP autorizzato in Italia può prestare l’AIS anche in altri Stati UE attraverso l’esercizio della libertà di stabilimento (art. 114-decies, co. 1, del TUB) ovvero avvalendosi della libera prestazione di servizi (art. 114-decies, co. 3, del TUB). Inoltre, può prestare l’AIS in Stati terzi, con o senza stabilimento (art. 114-decies, co. 5, del TUB) ovvero avvalersi di agenti per la promozione e la conclusione di contratti per la prestazione di servizi di pagamento (art. 128-quater, co. 1 e 6, del TUB).
    In tutti i casi è necessaria una comunicazione alla Banca d’Italia, salvo per l’ampliamento dell’operatività in Paesi non-UE, in cui è necessaria l’autorizzazione della Banca d’Italia.
    La decisione di operare all’estero è assunta dal consiglio di amministrazione.
    Il Provvedimento prevede anche il regime applicabile agli IP UE che intendano prestare in Italia l’IS, attraverso l’esercizio del diritto di stabilimento o in regime di libera prestazione di servizi, anche mediante l’impiego di agenti. Tale operatività deve essere preceduta da una notifica all’autorità competente dello Stato d’origine.
  2. AISP che svolgono altre attività.
    Agli AISP non si applicano le norme del TUB che prevedono che gli IP che svolgono anche attività imprenditoriali diverse dalla prestazione di servizi di pagamento costituiscano per la prestazione dei servizi di pagamento un patrimonio destinato ovvero, laddove richiesto dalla Banca d’Italia, una società separata per la prestazione dei servizi di pagamento. Con la conseguenza che gli AISP possono esercitare liberamente anche altre attività imprenditoriali, nel rispetto degli eventuali limiti derivanti dalla riserva di legge.
    Infine, è prevista la disciplina relativa alla vigilanza informativa e ispettiva, integralmente applicabile anche agli AISP.

 

[1] EBA/GL/2017/10.

[2] Il servizio che dispone l’ordine di pagamento su richiesta dell’utente di servizi di pagamento relativamente a un conto di pagamento detenuto presso un altro prestatore di servizi di pagamento.

[3] Considerando 28 della Direttiva PSD2.

[4] Le società a responsabilità limitata semplificate possono avere un capitale minimo anche di 1 euro.

[5] Inoltre, una volta costituito l’AISP, coloro che intendano acquisirvi direttamente o indirettamente una partecipazione qualificata non saranno soggetti alle disposizioni del Provvedimento relative agli obblighi di comunicazione.

[6] Ferma la procedura di verifica e comunicazione alla Banca d’Italia prevista al Capitolo III, Sezione IV del Provvedimento, ai sensi dell’art. 114-undecies, co. 1-bis, del TUB, non si applicano i criteri di competenza e di adeguata composizione dell’organo nonché i limiti di cumulo di incarichi.

[7] In conformità a quanto previsto dagli Orientamenti dell’EBA sui criteri per stabilire l’importo minimo dell’assicurazione per la responsabilità civile professionale o analoga garanzia a norma della PSD2 (EBA/GL/2017/08).

Il Provvedimento precisa che il possesso della polizza o di una analoga garanzia valida ed efficace è condizione per l’esercizio dell’attività (pena la revoca dell’autorizzazione).

L’AISP deve inoltre monitorare nel continuo la validità e l’efficacia della copertura e comunicare tempestivamente alla Banca d’Italia eventuali variazioni, incluse quelle che possono incidere sulla sua validità ed efficacia, nonché il rinnovo o sostituzione della stessa alla scadenza.

[8] In particolare, entro tale termine la Banca d’Italia può avviare un procedimento amministrativo d’ufficio di divieto, da concludersi entro 90 giorni.

[9] Prima della scadenza di tale termine, l’AISP può chiedere alla Banca d’Italia, in presenza di giustificate e sopravvenute motivazioni, un periodo di proroga di norma non superiore a 6 mesi.

[10] Si tratta di irregolarità eccezionalmente gravi nell’amministrazione, violazioni eccezionalmente gravi delle disposizioni legislative, amministrative o statutarie, perdite del patrimonio di eccezionale gravità ovvero se la revoca sia richiesta su istanza motivata degli organi amministrativi, dall’assemblea straordinaria, dai commissari della Banca d’Italia o dai liquidatori.

Di cosa si parla in questo articolo

WEBINAR / 27 marzo
I servizi finanziari conclusi a distanza alla luce della Direttiva (UE) 2023/2673
ZOOM MEETING Offerte per iscrizioni entro il 13/03

WEBINAR / 16 Aprile
Il Regolamento europeo sui bonifici istantanei


Nuovi adempimenti per le banche/PSP

ZOOM MEETING Offerte per iscrizioni entro il 28/03
Iscriviti alla nostra Newsletter