REGOLAMENTO DI ESECUZIONE (UE) 2022/1504 DELLA COMMISSIONE, 6 aprile 2022
G.U.U.E. 12 settembre 2022, n. L 235
Regolamento recante modalità di applicazione del regolamento (UE) n. 904/2010 del Consiglio per quanto riguarda l'istituzione di un sistema elettronico centrale di informazioni sui pagamenti (CESOP) per combattere le frodi in materia di IVA.
Note sull'entrata in vigore e sull'applicabilità
Entrata in vigore il: 2 ottobre 2022
Applicabile dal: 1° gennaio 2024
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) n. 904/2010 del Consiglio, del 7 ottobre 2010, relativo alla cooperazione amministrativa e alla lotta contro la frode in materia d'imposta sul valore aggiunto (1), in particolare l'articolo 24 sexies,
considerando quanto segue:
1) La direttiva 2006/112/CE del Consiglio (2), modificata dalla direttiva (UE) 2020/284 (3), introduce obblighi di comunicazione per i prestatori di servizi di pagamento a decorrere dal 1° gennaio 2024. A decorrere da tale data i prestatori di servizi di pagamento che sono stabiliti o forniscono servizi di pagamento nell'Unione europea sono tenuti a conservare determinata documentazione relativa ai pagamenti transfrontalieri effettuati da pagatori negli Stati membri e talune informazioni relative ai beneficiari e a trasmettere tale documentazione agli Stati membri ai fini della lotta contro la frode in materia di imposta sul valore aggiunto (IVA).
2) A norma del regolamento (UE) n. 904/2010, modificato dal regolamento (UE) 2020/283 (4), gli Stati membri sono tenuti a trasmettere tale documentazione a un sistema elettronico centrale di informazioni sui pagamenti («CESOP»), che deve essere sviluppato, mantenuto, ospitato e gestito dal punto di vista tecnico dalla Commissione.
3) Per garantire il corretto funzionamento del CESOP e a norma dell'articolo 24 sexies, lettera a), del regolamento (UE) n. 904/2010, è necessario adottare le misure tecniche per l'istituzione del CESOP. Tali misure dovrebbero prevedere le funzionalità del CESOP necessarie per lo sviluppo delle capacità del sistema descritte all'articolo 24 quater del regolamento (UE) n. 904/2010. Le misure dovrebbero inoltre garantire una facilità d'uso ottimale fornendo strumenti di ricerca e visualizzazione nel CESOP. Il CESOP dovrebbe inoltre agevolare lo scambio di informazioni tra i funzionari di collegamento di Eurofisc consentendo loro di scambiare informazioni sulle frodi IVA in modo rapido e sicuro direttamente nel CESOP. E' inoltre opportuno stabilire le misure che la Commissione dovrebbe adottare per mantenere il CESOP dopo la sua entrata in funzione al fine di garantire le norme di qualità operativa dell'infrastruttura informatica del CESOP e delle sue funzionalità, nonché gli aggiornamenti richiesti ove necessario per gestire gli incidenti del sistema tra la Commissione e gli Stati membri.
4) Mentre gli Stati membri, in quanto titolari del trattamento del CESOP, sono responsabili della sua gestione, la Commissione ha una serie di responsabilità limitate alla gestione tecnica del sistema in quanto organo ospitante e responsabile del trattamento, a norma dell'articolo 24 sexies, lettera b), del regolamento (UE) n. 904/2010. Queste dovrebbero comprendere i compiti tecnici necessari per la gestione quotidiana del CESOP, quali la registrazione dei funzionari di collegamento di Eurofisc che accedono al CESOP, la registrazione dei prestatori di servizi di pagamento che hanno trasmesso i dati agli Stati membri, l'istituzione di adeguate misure organizzative di sicurezza per il CESOP, nonché la fornitura della formazione e del sostegno necessari affinché i funzionari di collegamento di Eurofisc utilizzino efficacemente il sistema.
5) A norma dell'articolo 24 ter, paragrafo 1, lettera b), del regolamento (UE) n. 904/2010, gli Stati membri sono tenuti a trasmettere i dati al CESOP in un formato comune. E' opportuno definire i dati che i prestatori di servizi di pagamento sono tenuti a comunicare nel formato di un documento XML. Al fine di garantire l'operabilità generale tra i sistemi elettronici nazionali e il CESOP a norma dell'articolo 24 ter, paragrafo 3, del regolamento (UE) n. 904/2010, gli Stati membri dovrebbero verificare che i dati trasmessi dai prestatori di servizi di pagamento includano i dati obbligatori e sintatticamente corretti a norma dell'articolo 243 quinquies della direttiva 2006/112/CE, in quanto il CESOP può funzionare solo se i dati obbligatori sono correttamente registrati nel sistema.
6) Gli Stati membri dovrebbero designare i funzionari di collegamento di Eurofisc che avranno accesso al CESOP e informare la Commissione della loro decisione. A tale riguardo la Commissione dovrebbe fornire a tali funzionari un identificativo unico per accedere al CESOP e tenere un elenco di tutti i funzionari di collegamento di Eurofisc che hanno accesso al CESOP sulla base delle informazioni ricevute dagli Stati membri.
7) A norma dell'articolo 24 sexies, lettera g), del regolamento (UE) n. 904/2010, la Commissione è tenuta a stabilire le procedure atte a garantire che le opportune misure di sicurezza tecniche e organizzative per lo sviluppo e il funzionamento del CESOP siano applicate. Diversi aspetti di sicurezza delle componenti centrali del CESOP dipendono anche dall'attuazione di misure di sicurezza nazionali, quali misure di controllo della sicurezza dei dati trasmessi e misure volte a garantire che solo il funzionario di collegamento di Eurofisc munito di un identificativo unico valido possa accedere al CESOP. Gli Stati membri dovrebbero pertanto fornire alla Commissione informazioni sulle proprie misure di sicurezza. Gli Stati membri e la Commissione dovrebbero tenersi reciprocamente informati sulle misure di sicurezza adottate e sulla necessità di eventuali aggiornamenti di tali misure.
8) Il trattamento dei dati personali a norma del presente regolamento e le responsabilità degli Stati membri e della Commissione sono soggetti alle norme stabilite nel regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (5) e nel regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (6). A norma dell'articolo 24 sexies, lettera h), del regolamento (UE) n. 904/2010, è opportuno stabilire i ruoli e le responsabilità degli Stati membri e della Commissione per quanto riguarda la titolarità del trattamento nell'ambito del CESOP. Gli Stati membri dovrebbero essere considerati congiuntamente titolari del trattamento nell'ambito del CESOP in quanto decidono sui mezzi del trattamento e dell'uso dei dati nel CESOP. La Commissione dovrebbe essere considerata responsabile del trattamento in quanto agisce per conto degli Stati membri nello svolgimento di tutti i suoi compiti.
9) Il presente regolamento dovrebbe applicarsi solo a decorrere dal 1° gennaio 2024 per allinearsi con l'applicazione del regolamento (UE) 2020/283 e della direttiva (UE) 2020/284.
10) Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 2 febbraio 2022.
11) Le misure di cui al presente regolamento sono conformi al parere del comitato permanente per la cooperazione amministrativa,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
GU L 268 del 12.10.2010.
Direttiva 2006/112/CE del Consiglio, del 28 novembre 2006, relativa al sistema comune d'imposta sul valore aggiunto (GU L 347 dell'11.12.2006).
Direttiva (UE) 2020/284 del Consiglio, del 18 febbraio 2020, che modifica la direttiva 2006/112/CE per quanto riguarda l'introduzione di taluni obblighi per i prestatori di servizi di pagamento (GU L 62 del 2.3.2020).
Regolamento (UE) 2020/283 del Consiglio, del 18 febbraio 2020, che modifica il regolamento (UE) n. 904/2010 per quanto riguarda misure di rafforzamento della cooperazione amministrativa per lottare contro la frode in materia di IVA (GU L 62 del 2.3.2020).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018).
Misure tecniche per l'istituzione e il mantenimento del CESOP
1. La Commissione elabora misure tecniche per l'istituzione del CESOP con le seguenti funzionalità:
a) ricevere i dati sui pagamenti trasmessi dagli Stati membri;
b) conservare in modo sicuro i dati sui pagamenti per un periodo massimo di cinque anni a decorrere dalla fine dell'anno civile in cui gli Stati membri hanno trasmesso le informazioni al sistema;
c) pulire i dati sui pagamenti da eventuali anomalie ed errori, comprese duplicazioni dello stesso pagamento;
d) aggregare i dati sui pagamenti relativi a ciascun beneficiario;
e) consentire la ricerca e la visualizzazione dei dati sui pagamenti nel CESOP;
f) analizzare e svolgere controlli incrociati dei dati sui pagamenti con i dati conservati e scambiati a norma dell'articolo 17, paragrafo 1, lettere a), b), d), e) ed f), e dell'articolo 33, paragrafo 2, lettera b), del regolamento (UE) n. 904/2010:
g) eseguire analisi automatiche e segnalare beneficiari sospetti;
h) consentire ai funzionari di collegamento di Eurofisc di effettuare controlli e analisi non automatici;
i) elaborare relazioni sui risultati delle analisi e dei controlli effettuati dal CESOP e dai funzionari di collegamento di Eurofisc;
j) fornire ai funzionari di collegamento di Eurofisc un'infrastruttura di gestione per il controllo dell'accesso degli utenti;
k) consentire ai funzionari di collegamento di Eurofisc di scambiare direttamente nel CESOP informazioni relative alle indagini sulle frodi transfrontaliere all'IVA e all'individuazione di tali frodi;
l) fornire agli Stati membri l'infrastruttura tecnica per la gestione dei diritti di accesso dei rispettivi funzionari di collegamento di Eurofisc.
2. Ai fini del mantenimento del CESOP la Commissione svolge i seguenti compiti:
a) garantire che il CESOP e le sue funzionalità siano operativi;
b) eseguire interventi di manutenzione al di fuori dell'orario di lavoro;
c) fornire gli aggiornamenti tecnici necessari per il corretto funzionamento e il miglioramento del CESOP;
d) risolvere i problemi tecnici.
Compiti della Commissione inerenti alla gestione del CESOP sul piano tecnico
Ai fini della gestione del CESOP sul piano tecnico la Commissione svolge i seguenti compiti:
a) conservare e aggiornare l'elenco dei funzionari di collegamento di Eurofisc che hanno accesso al CESOP e del loro identificativo personale unico dell'utente a norma dell'articolo 5;
b) attuare le misure di sicurezza organizzative e tecniche di cui all'articolo 6;
c) costituire, conservare e tenere un elenco dei prestatori di servizi di pagamento che hanno comunicato dati a norma dell'articolo 24 ter, paragrafo 1, del regolamento (UE) n. 904/2010, sulla base dei dati forniti dagli Stati membri;
d) fornire ai funzionari di collegamento di Eurofisc che hanno accesso al CESOP accesso automatizzato all'elenco tenuto a norma della lettera c);
e) fornire assistenza tecnica ai funzionari di collegamento di Eurofisc quando utilizzano il CESOP;
f) impartire formazione ai funzionari di collegamento di Eurofisc sull'uso del CESOP.
Connessione e interoperabilità generale tra il CESOP e i sistemi elettronici nazionali
1. Gli Stati membri adottano tutte le misure necessarie per garantire che i sistemi elettronici nazionali per la raccolta delle informazioni sui pagamenti istituiti a norma dell'articolo 24 ter, paragrafo 2, del regolamento (UE) n. 904/2010 siano operativi e possano raccogliere le informazioni sui pagamenti a norma dell'articolo 24 ter, paragrafo 1, di tale regolamento.
2. Gli Stati membri trasmettono al CESOP solo le informazioni sui pagamenti complete in tutti i campi obbligatori a norma dell'articolo 243 quinquies della direttiva 2006/112/CE e conformi ai requisiti di cui all'allegato del presente regolamento.
3. La Commissione garantisce l'interoperabilità tra il CESOP e i sistemi elettronici nazionali di cui al paragrafo 1.
Formulario elettronico standard
Il formulario elettronico standard di cui all'articolo 24 ter, paragrafo 1, lettera b), del regolamento (UE) n. 904/2010 è presentato in un formato XML standardizzato conformemente alla tabella dei dati di cui all'allegato del presente regolamento.
Modalità pratiche relative ai funzionari di collegamento di Eurofisc che avranno accesso al CESOP
1. Gli Stati membri designano i funzionari di collegamento di Eurofisc che avranno accesso al CESOP e comunicano i loro nomi e indirizzi di posta elettronica alla Commissione.
2. Gli Stati membri informano la Commissione di qualsiasi modifica nelle informazioni fornite a norma del paragrafo 1, compresi cambiamenti dei funzionari di collegamento di Eurofisc designati, tempestivamente e comunque entro 30 giorni di calendario dalla data del cambiamento.
3. La Commissione fornisce immediatamente ai funzionari di collegamento di Eurofisc di cui al paragrafo 1 un identificativo personale unico dell'utente per accedere al CESOP.
Procedure per le misure di sicurezza tecniche e organizzative finalizzate allo sviluppo e al funzionamento del CESOP
1. Gli Stati membri forniscono alla Commissione informazioni sull'applicazione delle proprie misure di sicurezza a livello nazionale e su ogni aggiornamento delle stesse.
Tali informazioni comprendono dettagli sulle misure adottate per garantire che solo i funzionari di collegamento di Eurofisc di cui all'articolo 5 abbiano accesso al CESOP e dettagli sulle misure adottate per garantire la cifratura dei dati trasmessi dagli Stati membri.
2. Entro il 30 aprile di ogni anno a decorrere dall'anno successivo alla data di applicazione del presente regolamento la Commissione informa gli Stati membri delle misure adottate per la sicurezza del CESOP.
Tali informazioni comprendono almeno i seguenti elementi:
a) gli incidenti di sicurezza verificatisi nel corso dell'anno precedente e le modalità della loro risoluzione;
b) dettagli sulle misure di sicurezza adottate o sulle modifiche apportate alle misure di sicurezza esistenti;
c) una valutazione delle misure di sicurezza esistenti e il parere della Commissione in merito all'eventuale necessità di modificare tali misure.
Ruoli e responsabilità dei titolari del trattamento e del responsabile del trattamento
1. Gli Stati membri sono congiuntamente titolari del trattamento, quali definiti all'articolo 4, punto 7), del regolamento (UE) 2016/679, del CESOP. Le responsabilità dei titolari del trattamento del CESOP sono stabilite in un accordo tra detti titolari che stabilisce le norme per l'esercizio dei diritti dell'interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del regolamento (UE) 2016/679.
Gli Stati membri sono responsabili di quanto segue:
a) elaborare le specifiche tecniche del CESOP e, se necessario, adeguarle, affinché la Commissione sia in grado di:
a) istituire e mantenere il CESOP a norma dell'articolo 1 del presente regolamento;
b) gestire il CESOP sul piano tecnico a norma dell'articolo 2 del presente regolamento;
c) garantire l'interoperabilità dei sistemi elettronici nazionali di cui all'articolo 24 ter del regolamento (UE) n. 904/2010 e del CESOP a norma dell'articolo 3, paragrafo 3, del presente regolamento;
d) adottare le misure di sicurezza di cui all'articolo 6, paragrafo 2, primo comma, del presente regolamento;
b) stabilire le norme e le procedure per la selezione dei funzionari di collegamento di Eurofisc che avranno accesso al CESOP;
c) rispondere alle richieste degli interessati in merito all'esercizio dei diritti di cui al capo III del regolamento (UE) 2016/679.
2. La Commissione è responsabile del trattamento quale definito all'articolo 3, punto 12), del regolamento (UE) 2018/1725, del CESOP.
La Commissione:
a) tratta i dati personali per conto degli Stati membri su loro istruzione e conserva la documentazione relativa a tali istruzioni;
b) garantisce la riservatezza dei dati personali trattati a norma del presente regolamento;
c) fornisce l'infrastruttura tecnica necessaria affinché gli Stati membri rispondano alle richieste di cui al paragrafo 1, lettera c);
d) assiste gli Stati membri nell'adempimento degli obblighi di cui agli articoli da 33 a 41 del regolamento (UE) 2016/679;
e) garantisce la cancellazione di tutti i dati personali conservati nel CESOP conformemente all'articolo 24 quater, paragrafo 2, del regolamento (UE) n. 904/2010;
f) mette a disposizione degli Stati membri tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consente e contribuisce agli audit, comprese le ispezioni, condotti dagli Stati membri o da un altro revisore incaricato dagli Stati membri, nel pieno rispetto del protocollo (n. 7) del trattato sul funzionamento dell'Unione europea sui privilegi e sulle immunità dell'Unione europea.
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere dal 1° gennaio 2024.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 6 aprile 2022
Per la Commissione
La presidente
URSULA VON DER LEYEN
ALLEGATO
Formulario elettronico per la trasmissione dei dati
| Casella n. | Denominazione del dato | articolo 243 quinquies | Descrizione | Esempio di formato | Obbligatorio | Controlli effettuati alla trasmissione al CESOP |
| 1 | BIC/codice identificativo del prestatore di servizi di pagamento che effettua la comunicazione | paragrafo 1, lettera a) | BIC quale definito all'articolo 2, punto 16, del regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio [1] o altro codice identificativo d'azienda che individui, senza ambiguità, il prestatore di servizi di pagamento | BIC del prestatore di servizi di pagamento che fornisce i dati. | Sì | Presenza, controllo sintattico del BIC |
| 2 | Nome del beneficiario | paragrafo 1, lettera b) | Tutte le denominazioni del beneficiario disponibili nei registri dei prestatori di servizi di pagamento, compresa la sede legale e la ragione sociale. | Nome dell'operatore che accetta la carta, nome dell'esercente, nome del creditore. | Sì | Presenza |
| 3 | IVA/cif del beneficiario | paragrafo 1, lettera c) | Numero di identificazione IVA e/o altro numero di codice fiscale nazionale del beneficiario. | Facoltativo Obbligatorio | Controllo sintattico dei numeri IVA rilasciati dagli Stati membri dell'UE | |
| 4 | Identificativo del conto del beneficiario | paragrafo 1, lettera d) | IBAN quale definito all'articolo 2, punto 15, del regolamento (UE) n. 260/2012 o, se non disponibile, altro identificativo che individui, senza ambiguità, il beneficiario e ne fornisca la localizzazione; | IBAN, identificativo dell'operatore che accetta la carta, identificativo dell'esercente, identificativo del conto elettronico. | Sì quando i fondi sono trasferiti su un conto di pagamento del beneficiario | Presenza, controllo sintattico dell'IBAN |
| 5 | BIC/codice identificativo del prestatore di servizi di pagamento del beneficiario | paragrafo 1, lettera e) | BIC o altro codice identificativo d'azienda che individui, senza ambiguità, il prestatore di servizi di pagamento che agisce per conto del beneficiario e ne fornisca la localizzazione qualora il beneficiario riceva fondi senza disporre di un conto di pagamento. | BIC | Solo quando il beneficiario riceve fondi senza disporre di un conto di pagamento | Presenza, controllo sintattico del BIC |
| 6 | Indirizzo del beneficiario | paragrafo 1, lettera f) | Tutti gli indirizzi del beneficiario disponibili nei registri dei prestatori di servizi di pagamento (sede legale, indirizzo commerciale, indirizzo del magazzino). | Via dell'operatore che accetta la carta, indirizzo dell'esercente, indirizzo del titolare del conto. | Facoltativo Obbligatorio | |
| 7 | Rimborso | paragrafo 1, lettera h) | Qualsiasi riferimento del fatto che l'operazione è un rimborso e collegamento con l'operazione precedente segnalata. | Se applicabile | Presenza | |
| 8 | Data/ora | paragrafo 2, lettera a) | La data e l'ora di esecuzione dell'operazione di pagamento o del rimborso di pagamento. | Data di acquisto, data di esecuzione e data di creazione dell'operazione. | Sì | Presenza, controllo sintattico |
| 9 | Importo | paragrafo 2, lettera b) | Importo dell'operazione di pagamento o del rimborso di pagamento. | Sì | Presenza | |
| 10 | Valuta | paragrafo 2, lettera b) | Valuta dell'operazione di pagamento o del rimborso di pagamento. | Sì | Presenza, controllo sintattico del codice valuta | |
| 11 | Stato membro di origine del pagamento | paragrafo 2, lettera c) | Stato membro di origine del pagamento ricevuto dal beneficiario. | Codice del paese pagatore | Se l'operazione è un pagamento | Presenza, controllo sintattico del codice paese |
| 12 | Stato membro di destinazione del rimborso | paragrafo 2, lettera c) | Stato membro di destinazione del rimborso. | Codice paese del beneficiario del rimborso. | Se l'operazione è un rimborso ai sensi della casella 7 | Presenza, controllo sintattico del codice paese |
| 13 | Informazioni sulla localizzazione del pagatore | paragrafo 2, lettera c) | Indicazione delle informazioni utilizzate per determinare l'origine del pagamento o la destinazione del rimborso. I dettagli delle informazioni non sono trasmessi per evitare l'identificazione del pagatore. |
I prestatori di servizi di pagamento indicano che la localizzazione è stata dedotta da - IBAN del pagatore, - intervallo di BIN del titolare della carta, - altro. L'identificativo (numero IBAN, numero BIN, indirizzo) non deve mai essere trasmesso. |
Sì | Presenza |
| 14 | Codice identificativo dell'operazione | paragrafo 2, lettera d) | Ogni riferimento che individui, senza ambiguità, l'operazione di pagamento. | Riferimento acquirente, identificativo dell'operazione. | Sì | Presenza |
| 15 | Presenza fisica | paragrafo 2, lettera e) | Qualsiasi riferimento che indichi la presenza del pagatore nei locali dell'esercente quando dispone il pagamento. | Modo di entrata nel punto di vendita (POS) | Se applicabile | Presenza |
__________
[1] Regolamento (UE) n. 260/2012 del Parlamento europeo e del Consiglio, del 14 marzo 2012, che stabilisce i requisiti tecnici e commerciali per i bonifici e gli addebiti diretti in euro e che modifica il regolamento (CE) n. 924/2009 (GU L 94 del 30.3.2012).