1. Il presente decreto, adottato ai sensi dell'art. 5, comma 2-septies del decreto legislativo del 7 marzo 2005, n. 82, definisce le regole tecniche del servizio di fatturazione automatica di cui al comma 2-sexies del medesimo articolo, relativamente alla parte sulla fatturazione elettronica.

1. Ai fini del presente decreto si intendono per:

a) «acquirer»: il prestatore di servizi di pagamento titolare di un contratto di convenzionamento con l'esercente per l'accettazione e il trattamento di pagamenti elettronici che comportano un trasferimento di fondi all'esercente stesso;

b) «anagrafe tributaria»: la banca dati di cui al decreto del Presidente della Repubblica del 29 settembre 1973, n. 605, ad esclusione della sezione di cui all'art. 7, comma 6, del medesimo decreto n. 605 del 1973, relativa all'archivio dei rapporti con gli operatori finanziari;

c) «app IO»: l'applicazione sviluppata dalla società ai sensi dell'art. 8, comma 3 del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, tramite cui il cessionario/committente può registrare gli strumenti di pagamento che intende utilizzare con il servizio di fatturazione automatica;

d) «ATM»: dispositivo utilizzabile autonomamente dalla clientela che, tramite l'utilizzo di una carta bancaria o di altri mezzi, distribuisce banconote in euro al pubblico con addebito sul conto bancario o consente di effettuare altre operazioni collegate a un rapporto bancario o a una carta di pagamento;

e) «carta prepagata»: lo strumento di pagamento su cui è caricata moneta elettronica, quale definita all'art. 2, paragrafo 1, numero 2, della direttiva 2009/110/CE, munito di IBAN e ricaricabile anche tramite conto corrente;

f) «Codice dell'amministrazione digitale» o «CAD»: il decreto legislativo del 7 marzo 2005, n. 82;

g) «compratore»: il soggetto persona fisica che effettua materialmente l'acquisto di beni o servizi in qualità di legale rappresentante, o in nome e per conto, del cessionario/committente e che, talvolta, può coincidere con quest'ultimo;

h) «cessionario»: il soggetto, persona fisica o giuridica, cessionario o committente, che aderisce al Sistema PagoPA - Fatturazione automatica al fine di richiedere attraverso il sistema stesso, l'emissione della fattura per gli acquisti effettuati in suo nome o per suo conto, dal compratore;

i) «esercente»: il soggetto, persona fisica o giuridica, cedente/prestatore che svolge attività di impresa o che esercita un'arte o una professione ed effettua la cessione di beni o prestazione di servizi, che aderisce al Sistema PagoPA - Fatturazione automatica e, tramite la stessa, emette la fattura;

j) «fornitore di servizi di fatturazione elettronica»: il soggetto che aderisce al Sistema PagoPA - Fatturazione automatica e genera, nell'interesse dell'esercente, in base a un contratto di fornitura, la fattura elettronica trasmessa al Sistema di interscambio (SDI);

k) «hash»: funzione matematica che genera, a partire da un'evidenza informatica, un'impronta in modo tale che risulti di fatto impossibile a partire da questa, ricostruire l'evidenza informatica originaria e generare impronte uguali a partire da evidenze informatiche differenti;

l) «issuer»: la persona giuridica che emette lo strumento di pagamento utilizzato dal compratore;

m) «circuito Pagobancomat»: il circuito domestico di carte di debito emesse dalle singole banche italiane aderenti attraverso la società Bancomat S.p.a.;

n) «primary account number» o «PAN»: il numero identificativo di una carta di debito o di credito associato alla stessa fin dalla sua emissione;

o) «payment card industry data security standard» o «PCI DSS»: gli standard di sicurezza dei sistemi informativi relativi agli strumenti di pagamento sviluppati dal Payment Card Industry Security Standard Council;

p) «Sistema PagoPA - Fatturazione automatica» o «Sistema»: il sistema di raccolta delle transazioni di pagamento per la fatturazione automatica sviluppato ai sensi del presente decreto dalla società nell'ambito della piattaforma tecnologica di cui all'art. 5, comma 2, del CAD;

q) «point of sale» o «POS»: l'apparato fisico installato presso gli esercenti titolari di almeno un contratto con un acquirer per l'accettazione di strumenti di pagamento digitali;

r) «servizio di fatturazione automatica» o «servizio»: il servizio erogato dalla società per il tramite del Sistema;

s) «Sistema di interscambio» o «SDI»: il sistema di cui all'art. 1, commi 211 e 212, della legge 24 dicembre 2007, n. 244, gestito dall'Agenzia delle entrate ai sensi del decreto del Ministro dell'economia e delle finanze del 7 marzo 2008, pubblicato nella Gazzetta Ufficiale n. 103 del 3 maggio 2008;

t) «società»: la società PagoPA S.p.a., costituita ai sensi dell'art. 8, comma 2, del decreto-legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12 e che gestisce, ai sensi del medesimo articolo, la piattaforma di cui all'art. 5, comma 2, del CAD;

u) «transazione rilevante»: una transazione avvenuta tra compratore e esercente.

1. La società realizza, nell'ambito della piattaforma di cui all'art. 5, comma 2, del CAD, il sistema e le funzionalità necessarie a garantire la fornitura del servizio di fatturazione automatica di cui al presente decreto.

2. Le soluzioni tecnologiche adottate ai sensi del comma 1 consentono il raggiungimento dei seguenti obiettivi:

a) la realizzazione di un sistema centralizzato che semplifica lo scambio di informazioni fra i soggetti coinvolti in una transazione commerciale che prevede l'emissione della fattura elettronica, così favorendo la diffusione del sistema e dei servizi di fatturazione elettronica da parte di professionisti e micro-imprese presso piccoli o medi esercenti che possono riscontrare difficoltà nell'utilizzo dei relativi servizi;

b) la realizzazione di un sistema fruibile a richiesta anche da parte di coloro che effettuano acquisti al di fuori dell'esercizio dell'attività di impresa, dell'esercizio di un'arte o di una professione;

c) l'incentivazione della digitalizzazione dei pagamenti tramite l'utilizzo di carte e strumenti di pagamento tracciabili presso esercenti residenti o stabiliti nel territorio dello Stato;

d) la possibilità di sfruttare l'evoluzione delle tecnologie già in uso, quali, tra le altre, l'adeguamento dei sistemi di cassa.

3. Lo sviluppo delle tecnologie necessarie alle integrazioni di cui al comma 1 avviene nel rispetto dei seguenti principi:

a) disponibilità: il sistema realizzato ha impatti minimi sull'esperienza dei processi di pagamento e garantisce ad ogni cittadino l'accesso in qualsiasi momento alle informazioni relative alle transazioni effettuate;

b) correttezza: durante la raccolta e l'elaborazione delle transazioni, il sistema assicura la correttezza e l'affidabilità del trattamento delle informazioni, limitando il salvataggio all'insieme minimo di informazioni necessario al funzionamento del sistema stesso;

c) efficienza e auto-sostenibilità: le soluzioni tecnologiche implementate garantiscono le funzionalità di cui al presente decreto e un'esperienza utente adeguata, nonchè rispettano criteri di efficienza economica tali da permettere l'auto sostenibilità nella gestione del sistema e del servizio;

d) sicurezza e protezione dei dati personali: le soluzioni implementate rispettano la normativa in materia di protezione dei dati personali e, in particolare, i principi di privacy by default e by design, ivi inclusi gli aspetti relativi alla sicurezza dei dati e delle informazioni processate, con la predisposizione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che la soluzione comporta.

4. La copertura dei costi di esercizio della società per le attività derivanti dalla gestione del sistema e del servizio sono assicurati anche dai ricavi derivanti dai corrispettivi richiesti a fronte dei servizi resi.

1. Il servizio di fatturazione automatica di cui al presente decreto si applica alle operazioni di pagamento effettuate presso POS presenti sul territorio nazionale, effettuate mediante l'utilizzo di carte di debito, carte di credito, carte prepagate, ivi inclusi gli strumenti di pagamento di cui all'art. 2, comma 2, lettera m), del decreto legislativo 27 gennaio 2010, n. 11, nonchè tramite applicazioni che consentono di effettuare bonifici di pagamento o tramite altri sistemi di pagamento messi a disposizione presso punti vendita presenti sul territorio nazionale.

2. Sono escluse dall'ambito di applicazione del presente decreto le transazioni di pagamento effettuate presso ATM.

1. Salvo quanto previsto dal comma 2 per gli acquirer, l'adesione al servizio è su base volontaria per tutti i soggetti coinvolti e presuppone una fase di registrazione al servizio che si effettua come segue:

a) gli esercenti che intendono beneficiare del servizio si registrano al Sistema, fornendo i propri dati anagrafici e gli altri dati necessari al funzionamento del Sistema, ivi inclusi quelli necessari per identificare il proprio acquirer e per identificare lo stesso esercente presso il fornitore di servizi di fatturazione elettronica, scelti tra quelli aderenti al servizio;

b) i fornitori di servizi di fatturazione elettronica aderiscono al Sistema stipulando un accordo con la società ed integrando i propri sistemi informativi con la stessa;

c) i cessionari che intendono beneficiare del servizio registrano, nell'App IO o nei sistemi messi a disposizione dal proprio issuer, uno o più strumenti di pagamento di cui intendono avvalersi per usufruire del servizio, indicando anche gli estremi della propria partita IVA ovvero del proprio codice fiscale. Il Sistema, attraverso le metodologie tecniche comunicate dall'Agenzia delle entrate alla società, verifica che la partita IVA e il codice fiscale siano esistenti, validi ed attivi al momento della registrazione. Quando il cessionario registra una carta di debito abilitata al circuito PagoBancomat, mediante il codice fiscale dello stesso, la società ottiene dal gestore del circuito PagoBancomat gli estremi identificativi della carta di debito in uso al cessionario.

2. Gli acquirer hanno l'obbligo di integrare i propri sistemi tecnologici con il Sistema, previa stipula di un accordo con la società, per la trasmissione dei dati relativi alle transazioni di pagamento per il funzionamento del Sistema, comprese quelle gestite internamente (c.d. modalità on-us) ed incluse le operazioni di storno o riaccredito.

1. La soluzione tecnologica adottata per il servizio di fatturazione automatica garantisce le seguenti funzionalità:

a) il cessionario, tramite l'App IO o altro portale dedicato (home banking e/o mobile banking) messo a disposizione dal proprio issuer, memorizza (una tantum, con possibilità di modifica o revoca) in modo sicuro i propri strumenti di pagamento, abbinandoli alla propria partita IVA o al proprio codice fiscale;

b) l'esercente si iscrive al servizio (una tantum, con possibilità di modifica o cancellazione), direttamente o tramite soggetti terzi, tra i quali l'acquirer o il fornitore di servizi di fatturazione elettronica;

c) il compratore, al momento dell'acquisto e fermi restando gli obblighi previsti dalla legislazione vigente in tema di fatturazione, chiede all'esercente la fattura per i pagamenti selezionati, in nome e per conto del cessionario;

d) l'esercente invia alla società, utilizzando i protocolli messi a disposizione dal proprio sistema di cassa, i seguenti dati:

1) identificativo della transazione;

2) elementi della fattura;

e) l'acquirer giornalmente, previa verifica dell'adesione del cessionario, sulla base del PAN, fornito in sede di registrazione di cui alla lettera a), opportunamente protetto mediante una funzione crittografica non reversibile, e sulla base della lista di identificativi delle transazioni effettuate nella giornata e per le quali sia stata richiesta la fattura, entrambi messi a disposizione dalla società, individua e restituisce alla società i dati di cui alla seguente lettera f);

f) al termine dell'operazione di cui alla lettera e), l'acquirer trasmette alla società i seguenti dati, relativi unicamente ai cessionari che hanno effettuato la registrazione:

1) hash del PAN dello strumento di pagamento;

2) per ognuna delle transazioni per le quali è stata richiesta la fattura, gli estremi della transazione inviata e presente anche sul sistema cassa, ovvero i dati contenuti nella ricevuta elaborata dal POS anche in forma cartacea, tra cui:

a) il timestamp della transazione di pagamento;

b) l'importo della transazione espresso in euro;

c) il tipo di operazione (se di pagamento o di storno);

d) un identificativo univoco (quale, tra gli altri, STAN o RRN) che colleghi le fasi dell'operazione di pagamento;

e) conferma, storno;

f) la categoria merceologica dell'esercente;

g) l'identificativo univoco del merchant;

g) il Sistema, attraverso le metodologie tecniche comunicate dall'Agenzia delle entrate alla società, verifica che la partita IVA e il codice fiscale del cessionario nonchè la partita IVA dell'esercente siano ancora esistenti, validi ed attivi al momento dell'acquisto;

h) il Sistema invia i dati anagrafici del cessionario e dell'esercente e quelli relativi ai beni o servizi acquistati al fornitore di servizi di fatturazione elettronica dell'esercente, ai fini della generazione della fattura da trasmettere al Sistema di interscambio (SDI);

i) il cessionario riceve la notifica, attraverso l'App IO o altro portale dedicato messo a disposizione dal proprio issuer, relativa alla disponibilità di transazioni per le quali è stata richiesta la fattura;

j) il cessionario e l'esercente possono visualizzare la fattura direttamente sui servizi messi a disposizione dall'Agenzia dell'entrate o, se del caso, tramite i servizi messi a disposizione dal proprio fornitore di servizi di fatturazione elettronica;

k) nell'ipotesi in cui le verifiche di cui alla lettera g) del presente comma diano esito negativo, la società comunica all'esercente che non è stato possibile procedere alla generazione della fattura.

1. La società tratta i dati raccolti tramite l'App IO, o altro portale dedicato messo a disposizione dall'issuer, e trattati nell'ambito del Sistema, in qualità di titolare del trattamento, esclusivamente per le finalità di cui al presente decreto. La società è altresì titolare del trattamento effettuato per la messa a disposizione ai cessionari dei dati di cui all'art. 6, comma 1, lettera i), del presente decreto, nonchè per le verifiche di cui agli articoli 5, comma 1, lettera c), e 6, comma 1, lettera g), da attuarsi secondo le modalità previste dalla apposita convenzione con l'Agenzia delle entrate, sottoscritta e allegata alla valutazione di impatto di cui al comma 6 del presente articolo.

2. La società è designata responsabile dagli esercenti, ai sensi dell'art. 28 del regolamento UE 2016/679, per i trattamenti effettuati per conto degli stessi nell'ambito del servizio di fatturazione automatica di cui al presente decreto.

3. Gli issuer sono designati responsabili dalla società, ai sensi dell'art. 28 del regolamento UE 2016/679, per i trattamenti effettuati, in virtù di un'apposita convenzione, per lo svolgimento delle attività ad essi affidate ai sensi del precedente art. 6, comma 1, lettera i), del presente decreto.

4. Al fine di individuare le transazioni rilevanti, è fatto obbligo agli acquirer, previa messa a disposizione da parte della società dei dati relativi alle registrazioni dei cessionari e agli identificativi delle transazioni effettuate per le quali sia stata richiesta la fattura, di comunicare alla società i dati necessari a tal fine. L'attività di comunicazione è svolta dagli acquirer in qualità di titolari del trattamento, nel rispetto degli obblighi di sicurezza previsti dalla normativa rilevante nonchè dagli standard di settore. E' fatto divieto agli acquirer di utilizzare i dati relativi alle registrazioni dei cessionari forniti dalla società per finalità non strettamente necessarie all'espletamento dei propri compiti ai sensi del presente decreto. Gli acquirer tengono aggiornati i dati ricevuti dalla società e li cancellano automaticamente non appena non più necessari all'espletamento delle attività di cui al presente decreto, secondo le modalità individuate nella valutazione di impatto di cui al comma 6 del presente articolo. In sede di prima applicazione, gli acquirer possono demandare lo svolgimento di talune delle attività previste dal presente decreto alla società stessa, che le svolgerà previa designazione come responsabile del trattamento ai sensi dell'art. 28 del regolamento UE 2016/679, come dettagliate nella valutazione di impatto di cui al comma 6 che segue.

5. Il trattamento dei dati avviene nel rispetto delle misure e degli obblighi imposti dal regolamento UE 2016/679 e dal decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni.

6. La società effettua, prima del trattamento, la valutazione di impatto ai sensi dell'art. 35 del regolamento (UE) 2016/679 e la sottopone alla verifica preventiva del Garante per la protezione dei dati personali.

7. Nella valutazione di impatto sono indicate, inter alia, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonchè a tutela dei diritti e delle libertà degli interessati. Nella valutazione, sono altresì disciplinati i tempi e le modalità di conservazione dei dati trattati ai sensi del presente decreto, assicurando che gli stessi siano conservati solo per il tempo necessario all'erogazione del servizio.

1. Le disposizioni di cui al presente decreto sono interpretate nel senso di consentire l'adeguamento del Sistema all'evolversi delle tecnologie e del quadro normativo di riferimento.

1. La società implementa la soluzione tecnologica rispondente alle regole tecniche di funzionamento e dei processi di cui al presente decreto secondo le best practice di settore, curandone gli aspetti tecnologici di dettaglio e fornendo indicazioni operative per la messa in produzione del Sistema, nel rispetto e nei limiti di cui al presente decreto e degli eventuali indirizzi forniti dalla Presidenza del Consiglio dei ministri.

Il presente decreto è inviato ai competenti organi di controllo ed è efficace dalla data della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 12 dicembre 2020

Il Ministro per l'innovazione tecnologica e la digitalizzazione

PISANO

Il Ministro dell'economia e delle finanze

GUALTIERI

Registrato alla Corte dei conti il 18 gennaio 2021

Ufficio di controllo sugli atti della Presidenza del Consiglio, del Ministero della giustizia e del Ministero degli affari esteri, reg. n. 101