Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Lo scorso 17 febbraio è stato pubblicato sulla Gazzetta Ufficiale il Decreto del 13 gennaio 2022 emesso dal Ministero dell’Economia e delle Finanze (“MEF”), che stabilisce le modalità con cui i prestatori di servizi relativi all’utilizzo di valuta virtuale1 e i prestatori di servizi di portafoglio digitale2 saranno tenuti a comunicare la propria attività all’Organismo Agenti e Mediatori (“OAM”).

La comunicazione all’OAM

Il Decreto subordina ora l’esercizio dei servizi relativi all’utilizzo di valuta virtuale3 e dei servizi di portafoglio digitale ai soggetti che siano iscritti nella sezione speciale del registro pubblico informatizzato, tenuto dall’OAM ai sensi dell’art. 17-bis, comma 1, del D.lgs. 141/2010 s.m.i.

A sua volta, detta iscrizione è subordinata al possesso dei requisiti di cui all’art. 17-bis, comma 2, del D.lgs. 141/2010 s.m.i.4, che regola l’attività di cambiavalute.

Come si è detto, la comunicazione costituirà condizione essenziale per l’esercizio legale dell’attività da parte dei suddetti prestatori.

Tale obbligo verrà assolto tramite comunicazione all’OAM, “ai fini dell’efficiente popolamento della sezione speciale del registro” (art. 3, comma 2 del Decreto).

Si noti che l’obbligo si applicherà anche ai prestatori che già svolgono attività in Italia (anche online) e che sono in possesso dei requisiti di cui al già menzionato art. 17-bis. Tali soggetti dovranno effettuare la comunicazione all’OAM entro sessanta giorni dalla data di avvio della sezione speciale del registro (attualmente fissata per il 2 giugno 2022).

Ai sensi dell’art. 3 del Decreto, i prestatori comunicheranno la loro attività utilizzando l’apposito servizio presente nell’area privata dedicata del portale dell’OAM, il cui accesso è consentito previa registrazione al portale.

La comunicazione dovrà contenere tutte le informazioni dettagliate nel comma 4 del summenzionato art. 35 e verrà poi vagliata dall’OAM che, verificata la regolarità e completezza della stessa, entro quindici giorni disporrà ovvero negherà l’iscrizione nella sezione speciale del registro.

Le informazioni da trasmettere periodicamente all’OAM

Una volta effettuata l’iscrizione, i prestatori saranno altresì tenuti a trasmettere all’OAM – sempre per via telematica – i dati relativi alle operazioni effettuate sul territorio italiano.

In particolare, l’art. 5 del Decreto prevede che i prestatori debbano comunicare:

• i dati identificativi del cliente, come riportati nell’Allegato 1 del Decreto; nonché
• i dati sintetici relativi all’operatività complessiva di ciascun prestatore di servizi relativi, sempre ai sensi dell’Allegato 1.

La trasmissione dovrà avvenire con cadenza trimestrale (entro il quindicesimo giorno del mese successivo al trimestre), secondo le modalità tecniche stabilite dall’OAM.

Tenuta del registro e trattamento dei dati

L’art. 4 del Decreto stabilisce che l’OAM curerà, in qualità di titolare del trattamento, la chiarezza, la completezza e l’accessibilità al pubblico dei dati riportati nella sezione speciale del registro.

Entro sessanta giorni dall’entrata in vigore del Decreto, l’OAM dovrà adottare – sentito il Garante privacy – gli atti attuativi idonei a definire misure tecniche e organizzative ai sensi dell’art. 32 del Regolamento UE 2016/679, nonché a definire i tempi massimi di conservazione dei dati.

A tale proposito, si noti che l’art. 5 del Decreto, al comma 3, prevede che l’OAM conservi i dati trasmessi per un periodo di dieci anni, assicurando la predisposizione di idonei sistemi di salvataggio, di sicurezza e di recupero dei dati.

Ariella Fonsi

1 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce a terzi, a titolo professionale, anche on-line, servizi funzionali all’utilizzo, allo scambio, alla conservazione di valuta virtuale e alla loro conversione da ovvero in valute aventi corso legale o in rappresentazioni digitali di valore, ivi comprese quelle convertibili in altre valute virtuali nonche’ i servizi di emissione, offerta, trasferimento e compensazione e ogni altro servizio funzionale all’acquisizione, alla negoziazione o all’intermediazione nello scambio delle medesime valute” (art. 1, comma 1, lett. b) del Decreto).

2 “Ogni persona fisica o soggetto diverso da persona fisica che fornisce, a terzi, a titolo professionale, anche on-line, servizi di salvaguardia di chiavi crittografiche private per conto dei propri clienti, al fine di detenere, memorizzare e trasferire valute virtuali” (art. 1, comma 1, lett. c) del Decreto).

3 “La rappresentazione digitale di valore, non emessa né garantita da una banca centrale o da un’autorità pubblica, non necessariamente collegata a una valuta avente corso legale, utilizzata come mezzo di scambio per l’acquisto di beni e servizi o per finalità di investimento e trasferita, archiviata e negoziata elettronicamente” (art. 1, comma 1, lett. f) del Decreto).

4 Segnatamente, “L’iscrizione nel registro di cui al comma 1, e’ subordinata al ricorrere dei seguenti requisiti:

a) per le persone fisiche: cittadinanza italiana o di uno Stato dell’Unione europea ovvero di Stato diverso secondo le disposizioni dell’articolo 2 del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, e domicilio nel territorio della Repubblica;

b) per i soggetti diversi dalle persone fisiche: sede legale e amministrativa o, per i soggetti comunitari, stabile organizzazione nel territorio della Repubblica” (art. 17-bis, D.lgs 141/2010, comma 2).

5 Segnatamente, “a) per le persone fisiche: 1) il cognome e il nome; 2) il luogo e la data di nascita; 3) la cittadinanza; 4) il codice fiscale, ove assegnato; 5) gli estremi del documento di identificazione; 6) la residenza anagrafica nonche’ il domicilio, se diverso dalla residenza; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto;

b) per i soggetti diversi dalle persone fisiche: 1) la denominazione sociale; 2) la natura giuridica del soggetto; 3) il codice fiscale/partita IVA, ove assegnato; 4) la sede legale e, se diversa dalla sede legale, la sede amministrativa; 5) per i soggetti con sede legale in altro Stato membro dell’Unione europea, la sede della stabile organizzazione nel territorio della Repubblica; 6) il cognome, il nome, il luogo e la data di nascita, il codice fiscale, ove assegnato, e gli estremi del documento di identificazione del legale rappresentante; 7) un indirizzo di posta elettronica certificata per le comunicazioni tra il prestatore e l’OAM; 8) l’indicazione della tipologia di attivita’ svolta in qualita’ di prestatore di servizi relativi all’utilizzo di valuta virtuale e/o di prestatore di servizi di portafoglio digitale; 9) l’indicazione della tipologia di servizio prestato tra quelli elencati nell’allegato 2 del presente decreto, che ne costituisce parte integrante; 10) le modalita’ di svolgimento del servizio, con l’indicazione del numero e dell’indirizzo dei punti fisici di operativita’, ivi compresi gli eventuali sportelli automatici (ATM), e/o dell’operativita’ on-line con l’indicazione dell’indirizzo web tramite il quale il servizio e’ svolto”.

L'articolo Criptovalute: il MEF istituisce presso l’OAM una sezione speciale per i prestatori di valuta virtuale e servizi di portafoglio digitale proviene da E-Lex.

Linee Guida 04/2021 sui Codici di condotta come strumenti per i trasferimenti

L’European Data Protection Board ha approvato a seguito di consultazione pubblica la versione definitiva delle Linee Guida 4/2021 sui codici di condotta come strumenti per i trasferimenti verso paesi terzi o organizzazioni internazionali.

edpb.europa.eu/our-work-tools/…

Una svolta per le leggi sulla privacy in Israele

Riconosciuto in tutto il mondo come un importante hub tecnologico, Israele è sede di centinaia di grandi società tecnologiche multinazionali che gestiscono sostanziali attività locali di ricerca e sviluppo, vendita e gestione. È l’incubatore di migliaia di startup, decine delle quali sono unicorni quotati in borsa.

chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/viewer.html?pdfurl=https%3A%2F%2Fwww.gov.il%2FBlobFolder%2Flegalinfo%2Flegislation%2Fen%2FProtectionofPrivacyLaw57411981unofficialtranslatio.pdf&clen=165944&chunk=true

L’app Premise con sede in California accusata di aiutare l’esercito russo

L’applicazione mobile con sede Premise sta sollevando problemi di sicurezza. In Ucraina, i gig worker hanno raccolto dati, in particolare foto di determinate località, per un progetto di ricerca finanziato dal Dipartimento della Difesa degli Stati Uniti. La scorsa settimana però sono stati accusati di essere agenti russi che utilizzano l’app per attacchi militari mirati. Il CEO di Premise Maury Blackman, respingendo le accuse, ha affermato che i contributori hanno raccolto dati pubblicamente accessibili, la potenziale vendita di dati viene divulgata.

nbcnews.com/news/us-news/mobil…

guidoscorza.it/privacy-daily-9…

⚠CALL FOR TRAINEES⚠
Apply today and work in the field of GDPR litigation and enforcement: noyb.eu/en/traineeship
Any open questions? We asked Maria to tell you about her traineeship here at noyb.eu/@noybeu.rss:

mastodon.social/@noybeu/107921…

Intervista Arturo Di Corinto a Rainews24

ospite di Rainews24 per parlare dell’allarme lanciato dall’ACN di cui avevo scritto subito per La Repubblica

Nell’intervista abbiamo parlato della guerra cibernetica che complica il conflitto militare Russo-ucraino. Ecco perchè:

a) Tutti i giorni ci sono attacchi informatici verso l’Italia, ma stavolta volume, contesto e target sono particolari ed è bene parlarne.
b) è importante infatti secondo me sollecitare una maggiore riflessione su quello che sta accadendo a ogni livello sociale, dal reparto contabilità delle aziende, al front office degli ospedali;
c) alzare il livello di allerta è poi il motivo per cui Agenzia per la Cybersicurezza Nazionale ha diramato l’allarme che è arrivato ai media potenziandone il reach: lo scopo era la sensibilizzazione. E io ritengo che i media servano esattamente a questo, a creare #awareness e conoscenza;
d) l’allarme era TLP: amber e poi diventato white, quindi era giusto scriverne e parlarne.

Trasferimento dati in Russia e Ucraina

L’autorità norvegese per la protezione dei dati, Datatilsynet, ha esortato le organizzazioni a rivalutare le basi legali utilizzate per i trasferimenti di dati in Russia e Ucraina. La revisione è stata avviata da quella che il DPA ha ritenuto una “situazione modificata della politica di sicurezza” in relazione alla guerra in corso tra Russia e Ucraina. Datatilsynet ha affermato che ci sono potenzialmente diversi motivi per cui le organizzazioni norvegesi si trasferiscono in entrambi i paesi, inclusa “l'”esternalizzazione” dei servizi ai responsabili del trattamento dei dati”.

datatilsynet.no/aktuelt/aktuel…

Privacy e sicurezza per il trattamento dei big data nel settore finanziario

L’analisi dei big data nel settore finanziario di tutto il mondo è diventata sempre più cruciale per migliorare l’efficienza aziendale, ridurre i costi operativi e affrontare sfide aziendali di lunga data. Il termine big data è stato coniato all’inizio degli anni ’90 e, come suggerisce il nome, è “big”. Non solo in termini di dimensioni, ma anche in termini di velocità di generazione e diversità, motivo per cui gli algoritmi informatici tradizionali spesso non sono in grado di elaborare i big data con la stessa efficienza dei dati convenzionali.

iapp.org/news/a/privacy-and-se…

Ucraina: cronache dal fronte cyber

L’analisi di Carola Frediani prendendo spunto da uno dei tumultuosi canali e gruppi Telegram dell’IT Army che è stato messo in piedi dal governo ucraino per organizzare la controffensiva cyber e informativa contro la Russia. In questo specifico canale (56mila iscritti) dedicato ai DDoS, gli obiettivi da colpire si susseguono con quella metodicità enunciata nell’esempio (con riferimento ironico a Putin) all’inizio.

analisidifesa.it/2022/03/ucrai…

guidoscorza.it/privacy-daily-8…