DECRETO 30 Aprile 2007, n. 112 - Regolamento di attuazione della legge 17 agosto 2005, n. 166, recante 'Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento'.

IL MINISTRO DELL'ECONOMIA E DELLE FINANZE

Vista la legge 17 agosto 2005, n. 166, recante l'istituzione di un sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento, di seguito denominata "legge";

Visto l'articolo 7, comma 1, della legge che prevede di darvi attuazione con apposito decreto del Ministro, entro due mesi dalla sua entrata in vigore;

Visto il decreto legislativo 30 giugno 2003, n. 196, concernente il codice in materia di protezione dei dati personali;

Udito il parere del Consiglio di Stato, espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 19 marzo 2007;

Vista la nota del 19 giugno 2007 con la quale, ai sensi dell'articolo 17, comma 3, della legge n. 400 del 23 agosto 1988, lo schema di regolamento e' stato comunicato al Presidente del Consiglio dei Ministri;

Sentito il Garante per la protezione dei dati personali;

Sentite le organizzazioni sindacali maggiormente rappresentative;

di concerto con i Ministri dell'interno, della giustizia, dello sviluppo economico, per le riforme e le innovazioni nella pubblica amministrazione;

previo esame congiunto con la Banca d'Italia;

A d o t t a il seguente regolamento:

Art. 1.

Definizioni

1. Ai sensi del presente regolamento si intendono per:

   1. Acquirer ID: codice identificativo dell'Istituto bancario che ha convenzionato l'esercente;

   2. Apparecchio POS: (point of sale) apparecchiatura automatica, installata presso gli esercizi commerciali, che consente il pagamento, tramite l'utilizzo di una carta, di beni acquistati o di servizi ricevuti;

   3. Atm: (automated teller machine) Sportello automatico abilitato al prelievo di banconote (cash dispenser) e/o all'effettuazione di altre operazioni (self service, ecc.);

   4. CAB (codice di avviamento bancario): numero composto da cinque cifre che identifica la filiale della banca;

   5. Codice ABI: numero composto da cinque cifre che identifica la banca;

   6. Codice PAN (primary account number): codice identificativo univoco della carta di pagamento (sia di debito che di credito);

   7. Codice SIA: codice identificativo della convenzione stipulata con l'esercente, assegnato dalla SIA S.p.a. (societa' fornitrice di soluzioni tecnologiche per il settore bancario e finanziario);

   8. GIPAF: gruppo interdisciplinare di lavoro per la prevenzione amministrativa delle frodi sulle carte di pagamento;

   9. PIN: (personal identification number) codice numerico di identificazione personale che abilita il titolare all'utilizzo della carta di pagamento;

   12. Terminal ID: codice identificativo univoco che contraddistingue l'apparecchio POS;

   13. UCAMP: Ufficio centrale antifrode dei mezzi di pagamento.

   Avvertenza:

   Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico dalle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'effica cia degli atti legislativi qui trascritti.

   Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle Comunita' europee (GUCE).

   Note alle premesse:

   - L'art. 7, comma 1 della legge 17 agosto 2005, n. 166, recante: �Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento� pubblicata nella Gazzetta

   Ufficiale del 22 agosto 2005, n. 194, e' il seguente:

   �Art. 7 (Termini, modalita' e condizioni per la gestione del sistema di prevenzione). - 1. Con apposito decreto del Ministro dell'economia e delle finanze, da adottare, entro due mesi dalla data di entrata in vigore della presente legge, di concerto con i Ministri dell'interno, della giustizia, delle attivita' produttive, per l'innovazione e le tecnologie, e previo esame congiunto con la Banca d'Italia, sono precisate le competenze e l'organizzazione dell'Ufficio centrale antifrode dei mezzi di pagamento, sono stabiliti i criteri di individuazione delle societa' segnalanti e sono specificate le singole voci da comunicare a titolo di dati di cui all'art. 2 e di informazioni di cui all'art. 3.�.

   - Il decreto legislativo 30 giugno 2003, n. 196, recante: �Codice in materia di protezione dei dati personali� e' pubblicato nella Gazzetta Ufficiale 29 luglio

   2003, n. 174, supplemento ordinario.

   - Il testo del comma 3 dell'art. 17 della legge

   23 agosto 1988, n. 400, recante: �Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei

   Ministri, pubblicata nella Gazzetta Ufficiale del

   12 settembre 1988, n. 214, supplemento ordinario e' il seguente:

   �3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge.

   I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.�.

   Art. 2.

   Individuazione delle societa' segnalanti

1. Entro trenta giorni dalla entrata in vigore del presente decreto, le societa' segnalanti cui all'articolo 1, comma 3, della legge, in qualita' di intermediari abilitati, sono tenute a trasmettere all'UCAMP il formulario di cui all'esemplare in allegato, che costituisce parte integrante del presente decreto. Nel formulario le societa' indicano espressamente se gli obblighi derivanti dall'applicazione del presente decreto vengono adempiuti nonche' se le facolta' dal medesimo concesse vengono esercitate:

   1. direttamente;

   2. da altra societa' segnalante appositamente delegata.

2. Le caratteristiche di conferimento dell'incarico o della delega, nel caso previsto alla lettera b) di cui al precedente comma, devono garantire l'integrita' e la riservatezza dei dati e delle informazioni.

3. Sulla base dei formulari pervenuti, l'UCAMP istituisce la lista nominativa delle societa' segnalanti le quali sono tenute, altresi', a comunicare con lo stesso mezzo le successive variazioni.

   Nota all'art. 2:

   - Il testo dell'art. 1 della citata legge n. 166 del

   2005, e' il seguente:

   �Art. 1 (Sistema di prevenzione). - 1. E' istituito presso il Ministero dell'economia e delle finanze un sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento.

2. Con il termine "carte di pagamento" si intendono quei documenti che si identificano con le carte di credito e le carte di debito e con le altre carte definite nella normativa di attuazione.

3. Partecipano al sistema di prevenzione, sul piano amministrativo, delle frodi sulle carte di pagamento, le societa', le banche e gli intermediari finanziari che emettono carte di pagamento e gestiscono reti commerciali di accettazione di dette carte, di seguito denominati

   "societa' segnalanti", individuati nel decreto del Ministro dell'economia e delle finanze di cui all'art. 7.

4. Le societa' segnalanti comunicano al Ministero dell'economia e delle finanze i dati e le informazioni di cui agli articoli 2 e 3. I dati e le informazioni alimentano un apposito archivio informatizzato.

5. Titolare dell'archivio informatizzato e responsabile della sua gestione e' l'Ufficio centrale antifrode dei mezzi di pagamento del Ministero dell'economia e delle finanze che, nell'ambito del Dipartimento del tesoro, esercita funzioni di competenza statale in materia di prevenzione, sul piano amministrativo, delle frodi sui mezzi di pagamento, e che puo' designare anche ulteriori soggetti responsabili ai sensi dell'art. 29 del decreto legislativo 30 giugno 2003, n. 196.

6. Il personale di cui all'art. 9 del decreto-legge

   15 aprile 2002, n. 63, convertito, con modificazioni, dalla legge 15 giugno 2002, n. 112, puo' essere assegnato all'Ufficio centrale antifrode dei mezzi di pagamento.

7. Nell'ambito del sistema di prevenzione opera, senza nuovi o maggiori oneri per il bilancio dello Stato, un gruppo di lavoro, con funzioni consultive, per la trattazione delle problematiche di settore.

8. Il sistema di prevenzione di cui alla presente legge si informa ai principi e alla disciplina previsti dall'ordinamento comunitario.�.

   Art. 3.

   Obbligo di comunicazione dei dati e delle informazioni

1. Le societa' segnalanti sono tenute a comunicare all'UCAMP i dati di cui all'articolo 6 (lettere a, b, c, d, e), di seguito denominati Dati, e le informazioni di cui all'articolo 7 (lettere a, b, c), di seguito denominate Informazioni, secondo i termini e le modalita' stabiliti dal presente decreto.

   Art. 4.

   Alimentazione e accesso all'archivio informatizzato

   1. I Dati e le informazioni alimentano un archivio informatizzato appositamente istituito sotto la titolarita' e la responsabilita' dell'UCAMP ai sensi dell'articolo 1, comma 5, della legge.

2. Le societa' segnalanti immettono nell'archivio informatizzato i dati e le informazioni secondo quanto previsto nell'articolo 10.

3. Le stesse societa' consultano l'archivio informatizzato secondo quanto previsto nell'articolo 11.

4. Le istruzioni tecniche per il funzionamento dell'archivio sono contenute in un manuale operativo redatto dall'UCAMP, in accordo con il Dipartimento per l'innovazione e le tecnologie della Presidenza del Consiglio dei Ministri. Successivamente alla pubblicazione...