L’Autorita’ bancaria europea (Eba) ha pubblicato le linee guida finali riviste sulla segnalazione di incidenti rilevanti ai sensi della direttiva sui servizi di pagamento, che semplificano il processo e i modelli di segnalazione, si concentrano sugli incidenti con un impatto significativo sui prestatori di servizi di pagamento e migliorano la significativita’ delle informazioni da segnalare. Si applicheranno dal 1° gennaio 2022. I prestatori di servizi di pagamento sono tenuti a segnalare all’autorita’ competente nello Stato membro di origine i principali incidenti operativi o di sicurezza che hanno o potrebbero avere un impatto negativo sulla fornitura di servizi di pagamento. La revisione ha riguardato alcuni dei criteri di classificazione originali e introduce un nuovo criterio sulla violazione della sicurezza della rete o dei sistemi informativi che, a seguito del ‘feedback della consultazione pubblica, e’ stato ristretto nel campo di applicazione da “violazione delle misure di sicurezza” , come originariamente proposto. Questo nuovo criterio si concentra sulle azioni dolose che hanno compromesso la rete o i sistemi informativi relativi alla fornitura di servizi di pagamento e consentirebbe la segnalazione di ulteriori incidenti di sicurezza che sarebbero di interesse per le autorita’ di vigilanza.
Per ridurre l’onere di segnalazione per i fornitori di servizi di pagamento, l’Eba ha eliminato le fasi non necessarie dal processo di segnalazione e ha concesso piu’ tempo per la presentazione della relazione finale. Inoltre ha semplificato e ottimizzato il modello di segnalazione standardizzato. Si stima che queste modifiche si traducano in una riduzione degli incidenti segnalabili di oltre il 10% e che facilitino i prestatori di servizi di pagamento nella segnalazione di incidenti gravi.
L’Eba ha anche pubblicato l’elenco aggiornato delle regole di convalida negli standard tecnici di attuazione sulle segnalazioni di vigilanza, evidenziando quelle che sono state disattivate per inesattezza o per innescare problemi informatici. Le autorita’ competenti in tutta la Ue sono informate che i dati presentati non dovrebbero essere formalmente convalidati rispetto all’insieme di regole disattivate.
