|
HOME PRIVILEGIA NE IRROGANTO di Mauro Novelli Documentazione Inserito il 26-4-2007 |
|||
|
|||
|
Italia
Oggi 26-4-2007 Firmato il regolamento contro le truffe. Carte di credito sotto osservazione al
massimo per 72 ore. Bancomat, parte l'archivio antifrodi di Antonella Gorret Monitorate le richieste di pagamento
anomale o frequenti Il governo scalda i motori per prevenire le frodi su
bancomat, carte di credito e revolving. E ai nastri, infatti, l'archivio
informatico presso il ministero dell'economia che raccoglierà
i dati relativi alle transazioni non riconosciute dai titolari, ai punti
vendita a cui è stata revocata o rinnovata la
concessione che regola la negoziazione di carte, e agli sportelli automatici
manomessi. Il regolamento attuativo della legge n. 166 del 2005 che istituisce un sistema di prevenzione delle frodi sulle
carte di pagamento è stato firmato martedì scorso dal ministro
dell'economia, Tommaso Padoa-Schioppa, ed è in attesa del concerto
degli altri dicasteri competenti per approdare in Gazzetta Ufficiale. Il
provvedimento aveva ricevuto il via libera del Consiglio di stato a fine
marzo (si veda ItaliaOggi del 29/3/2007).Nel
database che sarà gestito dall'Ucamp,
l'Ufficio centrale antifrode dei mezzi di pagamento (da istituire), dovranno
essere inviate anche le informazioni sui punti vendita e sulle carte di
pagamento sottoposte a monitoraggio nel caso in cui si configuri il rischio
di frode. A essere soggetti all'obbligo di invio di
dati e informazioni per via telematica sono le società, le banche e
gli intermediari finanziari che emettono carte di pagamento e gestiscono le
reti commerciali di accettazione, e che sono tenute a compilare il formulario
allegato al regolamento e inviarlo entro 30 giorni dall'entrata in vigore del
decreto stesso all'Ufficio centrale antifrode dei mezzi di pagamento. Sulla
base dei formulari pervenuti, infatti, l'Ucamp
istituirà la lista dei nominativi delle società che sono tenute
a far pervenire dati e informazioni nell'archivio.
Entro 190 giorni dall'entrata in vigore del provvedimento, i soggetti
obbligati all'invio dei dati (che resteranno nel data base per tre anni) sono
tenuti ad adempiere all'obbligo. Dopodiché
partirà il monitoraggio sugli sportelli e sugli esercizi a rischio. E,
in caso di frode, le società emettitrici,
che avranno libero accesso all'archivio che loro stesse contribuiranno a
creare, potranno sciogliere la convenzione per i pagamenti per le carte.
Anche il dipartimento di pubblica sicurezza e le Forze di polizia potranno
accedere ai dati dell'archivio. Il provvedimento stabilisce che si configura
il rischio di frode quando nello stesso punto
vendita, nel corso di 24 ore, siano state rifiutate almeno cinque
autorizzazioni con carte diverse; o risultino, sempre nel corso di 24 ore,
tre o più richieste di autorizzazioni con la stessa carta o una
richiesta di autorizzazione superi del 150% l'importo medio delle operazioni
effettuate nei tre mesi precedenti. Il bollino rosso scatta
invece per le carte di pagamento nel caso di 7 o più richieste di
autorizzazione arrivino in 24 ore per una stessa carta; una o più
richieste in 24 ore esauriscono il plafond disponibile; due o più
richieste di autorizzazione provenienti da stati diversi, effettuate con la
stessa carta nell'arco di 60 minuti. Il regolamento prevede, inoltre,
che il monitoraggio per i punti vendita non potrà superare i 15 giorni
per i punti vendita e le 72 ore per le carte di pagamento. Al termine, la
società emettritrice potrà comunicare
all'Ucamp la revoca della convenzione con
l'esercizio, in caso di frode di un punto vendita; o che l'operazione non
è stata riconosciuta dal titolare, nel caso in cui la frode abbia
riguardato la carta di pagamento. Le istruzioni tecniche per il funzionamento
dell'archivio, i cui dati sono consultabili anche dal dipartimento di
pubblica sicurezza e dalle Forze di polizia, saranno contenute in un manuale
operativo che le società intermediarie potranno scaricare dai siti del
mineconomia e dell'Abi (l'Associazione
bancaria italiana). ItaliaOggi pubblica il
testo Regolamento del ministero dell'economia
di attuazione della legge 17 agosto 2005 n. 166 recante 'Istituzione di un sistema di prevenzione delle frodi sulle
carte di credito' Articolo 1(Definizioni)1. Ai sensi del
presente regolamento si intendono per:A) codice Sia:
codice identificativo della convenzione stipulata con l'esercente, assegnato
dalla Sia spa (società fornitrice di
soluzioni tecnologiche per il settore bancario e finanziario);B) apparecchio Pos: (point of sale)
apparecchiatura automatica collocata presso gli esercizi commerciali,
mediante la quale i soggetti abilitati possono effettuare, con l'utilizzo di
una carta e la digitazione di un codice di identificazione personale, il
pagamento dei beni acquistati o dei servizi ricevuti;C) terminal id: codice identificativo univoco che contraddistingue
l'apparecchio Pos;D) codice Abi: è un
numero composto da cinque cifre e rappresenta l'istituto di credito. Ogni banca
possiede un codice che viene assegnato
dall'Associazione bancaria italiana (Abi);E) acquirer
Id: codice identificativo dell'istituto bancario
che ha convenzionato l'esercente;F) codice Pan: (primary
account number) numero della carta di credito;G) Atm: (automatic teller machine) sportello
automatico per operazioni bancomat;H) Cab: (codice
di avviamento bancario) è un numero composto da cinque cifre e
identifica la filiale dell'istituto di credito o lo sportello Atm;I) Pin: (personal identification
number) è un codice numerico di
identificazione personale che abilita il titolare all'utilizzo della carta di
pagamento. Articolo 2(Individuazione delle
società segnalanti)1. Entro 30 giorni dall'entrata in vigore del
presente decreto, le società segnalanti di cui all'articolo 1, comma
3, della legge, in qualità di intermediari abilitati, sono tenute a
trasmettere all'Ufficio centrale antifrode dei mezzi di pagamento (Ucamp) il formulario di cui all'esemplare in allegato,
che costituisce parte integrante del presente decreto. Nel formulario le
società indicano espressamente se gli obblighi derivanti
dall'applicazione del presente decreto vengono
adempiuti nonché se le facoltà dal medesimo concesse vengono
esercitate: a) direttamente; b) da altra società segnalante
appositamente delegata.2. Le caratteristiche di
conferimento dell'incarico o della delega, nel caso previsto alla lettera b)
di cui al precedente comma, devono garantire l'integrità e la
riservatezza dei dati e delle informazioni.3. Sulla
base dei formulari pervenuti, l'Ucamp istituisce la
lista nominativa delle società segnalanti le quali sono tenute, altresì,
a comunicare con lo stesso mezzo le successive variazioni. Articolo 3(Obbligo di comunicazione dei
dati e delle informazioni)1. Le società segnalanti sono tenute a
comunicare all'Ucamp i dati di
cui all'articolo 6 (lettere A, B, C, D, E), di seguito denominati
dati, e le informazioni di cui all'articolo 7 (lettere A, B, C), di seguito
denominate informazioni, secondo i termini e le modalità stabiliti dal
presente decreto. Articolo 4 (Alimentazione e accesso
all'archivio informatizzato)1. I dati e le informazioni alimentano un
archivio informatizzato appositamente istituito sotto la titolarità e
la responsabilità dell'Ucamp ai sensi
dell'articolo 1, comma 5, della legge.2.
Le società segnalanti immettono nell'archivio informatizzato i dati e
le informazioni secondo quanto previsto nell'articolo 10.3. Le stesse
società consultano l'archivio informatizzato secondo quanto previsto
nell'articolo 11.4. Le istruzioni tecniche per il funzionamento dell'archivio
sono contenute in un manuale operativo redatto dall'Ucamp,
in accordo con il ministero per le riforme e le innovazioni nella pubblica
amministrazione. Successivamente alla pubblicazione del presente regolamento
sulla Gazzetta Ufficiale, il manuale operativo viene
reso noto ai partecipanti al sistema mediante pubblicazione sul sito internet
del ministero dell'economia e delle finanze, nell'ambito delle ordinarie
risorse di bilancio, senza nuovi o maggiori oneri per il bilancio dello
stato, nonché, ai fini di una capillare diffusione, sul sito internet dell'Associazione
bancaria italiana. Articolo 5(Struttura dell'archivio
informatizzato) Articolo 6(Dati)1. I dati sono composti da:A) elementi identificativi della società
segnalante e data della segnalazione;B) elementi identificativi dei punti
vendita gestiti da esercenti nei cui confronti sia stata esercitata la revoca
di cui all'art. 2, lett. a), della legge:1) codice Sia identificativo della
convenzione stipulata con l'esercente (di seguito: convenzione) o altro
codice identificativo assegnato al punto vendita;2) insegna;3) ragione o
denominazione sociale;4) indirizzo;5) località;6) provincia;7) codice
avviamento postale;8) numero d'iscrizione alla camera di commercio;9) partita
Iva;10) nominativo e codice fiscale del soggetto, o del rappresentante
legale, che ha firmato la convenzione;11) categoria merceologica;12) codice o
codici identificativi (terminal Id) degli
apparecchi Pos (point of
sale);13) data della convenzione;14) data della cessazione di efficacia della
convenzione;15) causale della revoca della convenzione:a) motivi di
sicurezza;b)esercente denunciato all'autorità giudiziaria per condotte
fraudolente; 16) estremi della denuncia presentata all'autorità
giudiziaria.C) elementi identificativi delle
transazioni non riconosciute dai titolari delle carte di pagamento di cui
all'art. 2, lett. c), della legge:1) numero della carta;2) data di
scadenza;3) data della transazione;4) importo e divisa;5) codice Abi/ acquirer Id;6) codice di
autorizzazione;7) codice Pan;8) motivo del disconoscimento:a) carta rubata;b)
carta smarrita;c) carta contraffatta;d) carta non ricevuta;e) utilizzo
fraudolento del codice carta emessa;f) carta utilizzata con falsa
identità;9) codice Sia identificativo della convenzione o altro codice
identificativo assegnato al punto vendita ove è avvenuta
l'operazione;10) insegna;11) codice identificativo dell'apparecchio (terminal
Id), qualora la transazione sia stata effettuata
presso un terminale Pos;12) codici identificativi
dello sportello automatico, qualora la transazione sia stata effettuata su
circuito nazionale Bancomat;13) estremi della denuncia presentata
all'autorità giudiziaria dal legittimo titolare della carta;D)
elementi identificativi dei punti vendita i cui esercenti abbiano stipulato
contratti di rinnovo di cui all'articolo 2, lettera b), della legge:1) codice
Sia identificativo della nuova convenzione o altro codice identificativo
assegnato al punto vendita;2) insegna/e;3) ragione o denominazione sociale;4)
indirizzo;5) località;6) provincia;7) codice avviamento postale;8)
numero d'iscrizione alla camera di commercio;9) partita Iva;10) nominativo e
codice fiscale del soggetto, o del rappresentante legale, che ha firmato la
convenzione;11) categoria merceologica;12) codice o codici identificativi
(terminal Id) degli apparecchi Pos
(point of sale);13) data della precedente revoca (se
disposta dalla stessa società che segnala la nuova convenzione);E)
elementi identificativi degli sportelli automatici di cui all'articolo 2,
lettera d), della legge:1) indirizzo;2) località;3) provincia;4)
codice avviamento postale;5) codice Abi;6) Cab
Atm;7) numero Atm;8)
fornitore e modello Atm;9) manomissione effettuata
tramite:a) apposizione di pannello (frontalino);b) manomissione del lettore
di carte per l'accesso al locale interno ove è dislocato l'Atm;c) altro;10) modalità di cattura del PIN:a) microtelecamera;b) telecamera o macchina fotografica, a
distanza;c) tastiera sovrapposta;d) altro. Articolo 7(Informazioni)1. Le
informazioni sono composte da:A) elementi
identificativi della società segnalante e data della segnalazione;B)
elementi identificativi dei punti vendita sottoposti a monitoraggio:1) codice
Sia identificativo della convenzione o altro codice identificativo assegnato
al punto vendita;2) insegna;3) ragione o denominazione sociale;4)
indirizzo;5) località;6) provincia;7) codice avviamento postale;8)
numero d'iscrizione alla camera di commercio;9) partita Iva;10) nominativo e
codice fiscale del soggetto, o del rappresentante legale, che ha firmato la
convenzione;11) categoria merceologica;12) codice o codici identificativi
(terminal Id) degli apparecchi Pos
(point of sale);13) motivo del monitoraggio:a)
raggiungimento del parametro di cui all'art. 8 lettera A);b) raggiungimento
del parametro di cui all'art. 8 lettera B);c) raggiungimento del parametro di
cui all'art. 8 lettera C);C) elementi identificativi delle carte di pagamento
sottoposte a monitoraggio:1) numero della carta;2) data di scadenza;3) data,
importo e divisa delle operazioni;4) codice Pan;5) codice Abi/acquirer Id;6) autorizzazioni
concesse (numero autorizzazione);7) autorizzazioni negate;8) codice Sia
identificativo della convenzione o altro codice identificativo assegnato al
punto vendita;9) insegna;10) categoria merceologica;11) codice o codici
identificativi (terminal Id) degli apparecchi Pos (point of sale);12) motivo
del monitoraggio:a) raggiungimento del parametro di cui all'art 8 lettera
D);b) raggiungimento del parametro di cui all'art. 8 lettera E);c)
raggiungimento del parametro di cui all'art. 8 lettera F). Articolo 8(Rischio di frode)1. Si
configura il rischio di frode di cui all'articolo 3, comma 1 della legge,
quando viene raggiunto uno dei seguenti parametri:
con riferimento ai punti vendita di cui all'articolo 7 lettera B):A) cinque o
più richieste di autorizzazione con carte diverse, rifiutate nelle 24
ore, presso un medesimo punto vendita;B) tre o più richieste di
autorizzazione sulla stessa carta, effettuate nelle 24 ore, presso un
medesimo punto vendita; C) richiesta di autorizzazione, approvata o
rifiutata, che superi del 150% l'importo medio delle operazioni effettuate
con carte di pagamento, nei tre mesi precedenti, presso il medesimo punto di
vendita;riguardo alle carte di pagamento sottoposte a monitoraggio di cui
all'articolo 7 lettera C):D) sette o più richieste di autorizzazione
nelle 24 ore per una stessa carta di pagamento;E) una ovvero più
richieste di autorizzazione che nelle 24 ore esauriscano l'importo totale del
plafond della carta di pagamento;F) due o più richieste di
autorizzazione provenienti da stati diversi, effettuate, con la stessa carta,
nell'arco di 60 minuti. Articolo 9 (Periodo di monitoraggio)1. La
società segnalante notifica al titolare dell'archivio l'apertura del
periodo di monitoraggio, nel momento in cui viene
raggiunto uno dei parametri di cui all'articolo 8. Tale periodo non
può superare i 15 giorni per le informazioni relative agli esercenti e
le 71 ore per le informazioni relative alle carte di pagamento.2. Relativamente alle informazioni di cui all'articolo
7, lettera B), la società segnalante comunica all'Ucamp
l'esito del monitoraggio in termini di 'revoca dell'esercizio convenzionato'
o di 'conclusione del monitoraggio senza ulteriori provvedimenti'.
Sulla base di tale comunicazione, l'Ucamp
riqualifica come dato ai sensi dell'articolo 6, lett. B), le informazioni
relative alla avvenuta revoca dell'esercizio, ovvero provvede alla loro
cancellazione. 3. Relativamente alle informazioni di cui
all'articolo 7, lettera C), la società segnalante comunica all'Ucamp l'esito dell'accertamento in termini di
'transazione non riconosciuta dal titolare della carta di pagamento',
o di 'conclusione del monitoraggio senza ulteriori provvedimenti'.
Sulla base di tale comunicazione, l'Ucamp
riqualifica come Dato ai sensi dell'articolo 6, lettera C), le informazioni
relative alla transazione non riconosciuta, ovvero provvede alla loro
cancellazione.4. In caso di mancata segnalazione
circa la conclusione del monitoraggio, decorsi i termini di cui al comma Articolo 10(Modalità e termini di
immissione dei dati e delle informazioni nell'archivio)1. Le società
segnalanti assicurano l'esattezza e la completezza dei dati e delle
informazioni che alimentano l'archivio informatizzato. 2. I dati di cui
all'articolo 6 sono immessi, per via telematica, attraverso l'utilizzo delle
reti delle pubbliche amministrazioni e delle società segnalanti,
nell'archivio informatizzato non appena disponibili e comunque non oltre il
secondo giorno lavorativo successivo a quello della loro acquisizione da parte
della società segnalante.3. I provvedimenti
dell'autorità giudiziaria o del garante per la protezione dei dati
personali che dispongono la sospensione ovvero la cancellazione temporanea
dei dati immessi nell'archivio informatizzato sono eseguiti dalla società
che ha originato la segnalazione o, d'ufficio, dall'Ucamp.
In tal caso i dati immessi non sono più consultabili e la loro traccia
viene conservata nell'archivio informatizzato al
solo fine di consentire l'eventuale riattivazione della segnalazione. 4. Le
informazioni di cui all'art.7 sono immesse, per via
telematica, nell'archivio informatizzato immediatamente dopo l'apertura del
periodo di monitoraggio ovvero non appena disponibili e comunque non oltre il
primo giorno lavorativo successivo a quello della loro acquisizione da parte
della società segnalante.5. L'Ucamp verifica la completezza dei dati e delle
informazioni immessi e, in caso di riscontro positivo, provvede alla loro
convalida. Articolo 11(Consultazione dei datie delle informazioni)1. La consultazione dei dati da
parte delle società segnalanti non richiede la preventiva
autorizzazione da parte dell'Ucamp.2.
La consultazione delle informazioni da parte delle società segnalanti
richiede la preventiva autorizzazione da parte dell'Ucamp.
Tale autorizzazione è rilasciata di volta in volta a quelle
società che ne fanno espressa richiesta e che risultano aver
comunicato, con regolarità e completezza, le informazioni di cui
all'art. 7. Articolo 12(Controllo sul corretto
funzionamento dell'archivio) Articolo 13(Decorrenza e permanenza
dell'iscrizione dei dati)1. I dati di cui all'articolo 6 sono comunicati al
titolare dell'archivio entro 190 giorni dall'entrata in vigore del presente
regolamento e restano iscritti nell'archivio informatizzato per tre anni. Articolo 14(Gruppo di lavoro)1. Il gruppo
interdisciplinare di lavoro per la prevenzione amministrativa delle frodi
sulle carte di pagamento, di seguito denominato Gipaf,
di cui all'articolo 1 della legge, è composto da
esperti in materia di carte di pagamento ed è formato da due
rappresentanti, di cui un titolare e un supplente, delle seguenti
amministrazioni, istituti ed organi: ministero dell'economia e delle finanze
(Ucamp), ministero dell'interno, ministero della
giustizia, ministero dello sviluppo economico, ministero per le riforme e le
innovazioni nella pubblica amministrazione, Banca d'Italia.2. Ai lavori del Gipaf
partecipano altresì esperti delle forze di polizia, designati
dall'ufficio di coordinamento e pianificazione delle forze di polizia del
ministero dell'interno, dell'Associazione bancaria italiana e delle
società segnalanti. Possono essere inoltre invitati a partecipare ai
lavori esperti di altre società, intermediari finanziari, enti,
organismi, anche internazionali, nonché pubbliche amministrazioni. Il
consiglio nazionale dei consumatori e degli utenti può richiedere, in
qualsiasi momento, di essere ascoltato dal Gipaf,
ai sensi dell'art. 7, comma 6 della legge.3. Le
riunioni del Gipaf sono presiedute dal direttore
dell'Ucamp.4. Il Gipaf si
riunisce, di norma, quattro volte l'anno.5. Per la
partecipazione ai lavori del Gipaf non è dovuto alcun compenso né rimborso spese a
qualsiasi titolo spettante. Articolo 15(Scambio di dati con la Banca
d'Italia) Articolo 16 (Accesso ai dati ed alle
informazioni da parte del dipartimento della pubblica sicurezza del ministero dell'interno e delle forze di polizia)1. Il
dipartimento della pubblica sicurezza e le forze di polizia di cui
all'articolo 7, comma 2, della legge, accedono ai dati ed alle informazioni
contenuti nell'archivio informatizzato, attraverso un collegamento tra il
predetto archivio ed il Centro elaborazione dati (Ced)
del ministero dell'interno, di cui all'articolo 8
della legge 1° aprile 1981, n. 121. Il collegamento deve rispondere a
procedure telematiche compatibili con le caratteristiche tecniche del
predetto Centro e dello stesso archivio e nel rispetto degli standard
previsti dal sistema pubblico di connettività,
secondo le intese fra l'Ucamp e il dipartimento di
pubblica sicurezza, e deve essere realizzato nell'ambito delle risorse umane,
strumentali e finanziarie disponibili a legislazione vigente. 2. Eventuali
risultati di specifico interesse e gli elementi conoscitivi di cui
all'articolo 3, comma 3, della legge, diversi dai dati e dalle informazioni
di cui al comma precedente, derivanti dalla gestione dell'archivio informatizzato,
utili ai fini dell'analisi dei fenomeni criminali e di cooperazione, anche
internazionale, di polizia, finalizzati alla prevenzione e repressione dei
reati commessi mediante carte di credito o altri mezzi di pagamento, sono
comunicati dall'Ucamp al dipartimento della
pubblica sicurezza, Direzione centrale della polizia criminale -, anche
d'iniziativa, ovvero su richiesta del gruppo di
lavoro (Gipaf), secondo modalità da
stabilirsi previe intese tra l'Ucamp e la predetta
direzione centrale.1 – Articolo 17 (Competenze ed organizzazione
dell'Ucamp) Articolo 18(Assegnazione del personale
all'Ucamp)1. Il personale di cui all'articolo 1,
comma 6, della legge, eventualmente assegnato all'Ucamp,
è assoggettato ad un percorso formativo della durata minima di cinque
giorni. La formazione riguarda materie di carattere prevalentemente tecnico e
specialistico oggetto dell'attività istituzionale dell'ufficio. I
corsi di formazione sono organizzati nell'ambito dell'ordinaria
programmazione dei percorsi formativi dell'amministrazione,
senza oneri aggiuntivi per il bilancio dello stato. Articolo 19(Disposizioni transitorie e
finali)1. Al fine di costituire un archivio storico, le società
segnalanti comunicano i dati relativi ai punti vendita di cui all'articolo 6,
lettera B), riguardanti gli anni 2005, 2006 e 2007 entro 180 giorni dalla
data di entrata in vigore del presente regolamento.2.
Le disposizioni riguardanti le informazioni si applicano decorsi 12 mesi dalla
data di entrata in vigore del presente regolamento.3.
Ai fini dell'attuazione del secondo comma dell'articolo 1 della legge, l'Ucamp, sentito il Gipaf,
provvede ad identificare eventuali ulteriori tipologie di carte di pagamento
a spendibilità generalizzata, emesse da intermediari abilitati, da
assoggettare al sistema di prevenzione previsto dalla legge.4. Al fine di consentire un più efficace
contrasto alle frodi sulle carte di pagamento, l'Ucamp
promuove, nell'ambito del Gipaf, appositi
approfondimenti atti ad adottare ogni iniziativa
diretta a favorire l'inserimento della riproduzione fotografica nelle carte
di pagamento ovvero di altra modalità equivalente volta a consentirne
la riconducibilità al titolare. Articolo 20(Entrata in vigore)1. Il
presente decreto, munito del sigillo dello stato, sarà inserito nella
Raccolta ufficiale degli atti normativi della repubblica italiana. è fatto obbligo a chiunque spetti di osservarlo e
di farlo osservare. |