Gli istituti di pagamento

Cosa sono gli istituti di pagamento?

Gli istituti di pagamento costituiscono una categoria di soggetti vigilati dalla Banca d’Italia talvolta poco conosciuta ai più. Si tratta di entità autorizzate alla prestazione di uno o più servizi di pagamento, i quali, semplificando un po’, si può dire abbiano ricevuto la loro prima organica regolamentazione nella direttiva PSD1, poi sostituita dalla direttiva PSD2.

 

La regolamentazione

La regolamentazione degli istituti di pagamento in Italia è ora principalmente recepita nel Testo Unico Bancario (TUB), cui si affiancano un certo numero di regolamenti attuativi e le Istruzioni di vigilanza e altri provvedimenti emanati dalla Banca d’Italia.

Sebbene i testi sopra citati costituiscano un’ottima base per comprendere le norme alla base di queste entità, siamo di fronte senza dubbio a un complesso normativo molto corposo e suddivisa in tanti provvedimenti che può spesso apparire difficile da padroneggiare.

 

Il processo autorizzativo

Il processo autorizzativo di un istituto di pagamento, in sé lineare, è reso complesso dalla necessità di fornire alla Vigilanza informazioni dettagliate e accurate da raccogliersi in un articolato programma di attività.
Requisiti specifici sono richiesti in capo ai soci dell’istituto e in capo a coloro che svolgono funzioni di amministrazione, direzione e controllo.
Qualche semplificazione organizzativa e autorizzativa è prevista solo per gli istituti che intendano prestare i servizi di disposizione di ordini di pagamento (PIS, payment initiation services) o di informazione sui conti (AIS, account information services).

GDPR e la nuova normativa in materia di Whistleblowing

Il 15 luglio entra in vigore la nuova normativa in materia di whistleblowing con i relativi adempimenti GDPR.

L’obiettivo del legislatore è garantire una maggiore tutela per coloro che segnalano comportamenti illeciti, sia nel settore pubblico che in quello privato, che danneggiano l’interesse pubblico o l’integrità dell’amministrazione o dell’ente privato in ambito lavorativo.

Allo stesso tempo, sono state introdotte importanti novità in materia di privacy per proteggere i segnalanti e gestire correttamente il processo di segnalazione e i rischi ad esso connessi.

Ambito di applicazione

Le imprese del settore privato che dovranno adeguarsi alla nuova disciplina sono quelle che:

  • hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

Si precisa che le imprese che hanno impiegato nell’ultimo anno una media di 249 lavoratori subordinati avranno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi obblighi e adottare adeguati canali di segnalazione interna, oltre all’adozione di una serie di adempimenti GDPR.

Adempimenti GDPR

Con particolare riferimento agli adempimenti in materia di data protection, spicca quello relativo alle modalità di conservazione dei dati personali dei soggetti coinvolti nella segnalazione (segnalanti, persone coinvolte nella segnalazione o facilitatori) nel rispetto del “principio di minimizzazione dei dati” (art. 5 GDPR).

I soggetti incaricati di ricevere le segnalazioni dovranno infatti eliminare immediatamente tutti i dati non utili alla segnalazione ai sensi dell’art. 13, comma 2 decreto whistleblowing.

Nella pratica, se la segnalazione viene fatta oralmente, sarà necessario il consenso del segnalante per la trascrizione o la redazione del verbale da parte del personale addetto a riceverla. Il segnalante potrà verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

Per quanto riguarda il canale di segnalazione da adottare, saranno i titolari del trattamento che dovranno individuare, in anticipo, adeguate misure tecniche e organizzative per mitigare il rischio per i diritti e le libertà dei soggetti interessati nel rispetto del principio privacy by design (art.25 GDPR).

Nell’iter di selezione del fornitore del servizio di segnalazione e/o del prodotto tecnologico si dovrà valutare il rispetto dei requisiti di sicurezza prescritti dalla normativa (art. 32 GDPR).

A tal proposito sarà quindi obbligatorio effettuare la cosiddetta DPIA (valutazione di impatto) del sistema di segnalazione interna, già in fase di progettazione del relativo disegno organizzativo (art. 35 GDPR).

L’obbiettivo della normativa è proprio quello di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato (art. 25 GDPR).

Qualora la gestione delle segnalazioni avvenga in maniera condivisa (per quanto attiene alle risorse per il ricevimento e la gestione della segnalazione) dovranno essere conclusi accordi di contitolarità tra i diversi titolari del trattamento coinvolti (art. 26 GDPR).

Una volta adottato il sistema di segnalazione, anche l’elenco delle nomine a responsabile esterno (ovvero colui che tratta i dati personali per conto del titolare del trattamento) dovrà essere aggiornato e in questo caso dovranno sottoscrivere i cosiddetti DPA (data protection agreement) (art. 28 GDPR) anche:

  • il fornitore del sistema informatico del canale di segnalazione;
  • l’ADS (amministratore di sistema) o
  • il fornitore dell’eventuale piattaforma per la gestione delle segnalazioni.

Tra le nomine non bisogna dimenticare anche quella del “referente del titolare del trattamento” a favore di tutti i soggetti incaricati dal titolare di ricevere e gestire le segnalazioni interne alla realtà aziendale (art. 29 GDPR).

Infine, sarà necessario aggiungere uno specifico trattamento relativo alla procedura di whistleblowing nel relativo registro dei trattamenti (art. 30 GDPR), senza dimenticare di predisporre e pubblicare anche un’informativa dedicata o eventualmente integrando quella già in essere. (art. 12 GDPR).

dati trattati devono essere conservati solo per il tempo strettamente necessario al relativo trattamento sempre nel rispetto del principio di minimizzazione dei dati, e comunque non oltre il termine di 5 anni a decorrere dalla comunicazione dell’esito finale della procedura di segnalazione (articoli 5 e 12 GDPR).

Il nuovo regime sanzionatorio

Abbiamo anticipato che i soggetti destinatari della normativa sono tenuti ad adeguarsi entro il 15 luglio 2023 o al più tardi entro e non oltre il 17 dicembre 2023 agli obblighi a loro imposti.

Senza considerare altri profili responsabilità (civile, penale, amministrativa, contabile), il decreto whistleblowing ha infatti previsto sanzioni rigorose per coloro che non si adeguano alle prescrizioni imposte dalla legge.

L’organismo preposto a irrogarle (ANAC) potrà erogare sanzioni quando le imprese abbiano commesso ritorsioni nei confronti dei soggetti segnalanti o quando:

  • abbiano ostacolato o tentato di ostacolare la segnalazione o violato l’obbligo di riservatezza;
  • hanno omesso di istituire canali di segnalazione;
  • hanno omesso di adottare procedure per l’effettuazione e la gestione delle segnalazioni;
  • l’adozione o la loro implementazione non è stata conforme alla normativa;
  • hanno omesso di svolgere l’attività di verifica e analisi delle segnalazioni ricevute.

In tutti questi casi, l’ANAC può irrogare fino a 50.000 euro di sanzioni in caso di violazione.

Qualora la violazione riguardi l’identità del segnalante la sanzione potrà arrivare a 2.500 euro.

Considerazioni finali

Da una prima analisi del decreto whistleblowing, si evince come la norma sia stata pensata in stretta connessione con quella in materia di GDPR. La norma va rispettata sia sotto il profilo della riservatezza dei dati sia per i numerosi adempimenti da adottare per trattare correttamente le informazioni selezionate e raccolte.

In quest’ottica si ricorda che gli illeciti in materia di privacy sono stati ricompresi all’interno dell’elenco delle fattispecie che potranno essere oggetto di segnalazione.

Si auspica quindi che anche grazie al nuovo decreto whistleblowing si diffonda una maggiore consapevolezza in materia di data protection e conseguente volontà di miglioramento della cultura della privacy compliance su tutto il territorio nazionale.