Sintesi Articolo 38
L’Autorità di Sorveglianza Capofila ha l’autorità per condurre indagini su fornitori di servizi di terze parti TIC critici al fine di garantire che essi rispettino le normative. Ciò include l’esame di documenti, l’ottenimento di copie, la convocazione di rappresentanti per spiegazioni, l’intervista ad altre parti e la richiesta di registri di comunicazione. Le indagini sono condotte da ufficiali autorizzati, i quali devono presentare un’autorizzazione scritta che dettaglia la portata e lo scopo dell’indagine, nonché le possibili sanzioni per la mancata conformità. L’Autorità di Sorveglianza Capofila deve informare in anticipo le entità finanziarie e gli enti di vigilanza pertinenti riguardo all’indagine.
- Per adempiere i propri compiti ai sensi del presente regolamento, l’autorità di sorveglianza capofila, coadiuvata dal gruppo di esaminatori congiunto di cui all’articolo 40, paragrafo 1, può, se necessario, svolgere le indagini sui fornitori terzi critici di servizi TIC.
- L’autorità di sorveglianza capofila ha il potere di:
- a) esaminare registri, dati, procedure e qualsiasi altro materiale pertinente per l’esecuzione dei compiti di sua competenza, su qualsiasi forma di supporto;
- b) fare od ottenere copie certificate o estratti di tali registri, dati, procedure documentate e di ogni altro materiale;
- c) convocare rappresentanti del fornitore terzo critico di servizi TIC e chiedere loro spiegazioni scritte od orali su fatti o documenti relativi all’oggetto e alle finalità dell’indagine e registrarne le risposte;
- d) interpellare persone fisiche o giuridiche consenzienti allo scopo di raccogliere informazioni pertinenti all’oggetto dell’indagine;
- e) richiedere la documentazione relativa al traffico telefonico e al traffico dati.
- I funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila allo svolgimento dell’indagine di cui al paragrafo 1 esercitano i loro poteri dietro esibizione di un’autorizzazione scritta che specifichi l’oggetto e le finalità dell’indagine. Tale autorizzazione indica anche la penalità di mora, di cui all’articolo 35, paragrafo 6, qualora i registri, i dati, le procedure documentate o qualsiasi altro materiale richiesto, oppure le risposte alle domande poste ai rappresentanti del fornitore terzo di servizi TIC, siano incompleti o non siano forniti affatto.
- I rappresentanti dei fornitori terzi critici di servizi TIC sono tenuti a sottoporsi alle indagini sulla base di una decisione dell’autorità di sorveglianza capofila. La decisione specifica l’oggetto e le finalità dell’indagine nonché le penalità di mora di cui all’articolo 35, paragrafo 6, i mezzi di ricorso disponibili ai sensi dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010 e il diritto di ricorso dinanzi alla Corte di giustizia avverso la decisione.
- In tempo utile prima dell’avvio dell’indagine, l’autorità di sorveglianza capofila informa le autorità competenti delle entità finanziarie che si avvalgono dei servizi TIC del fornitore terzo critico di servizi TIC in questione in merito all’indagine prevista e all’identità delle persone autorizzate. L’autorità di sorveglianza capofila comunica alla rete di sorveglianza comune tutte le informazioni trasmesse a norma del primo comma.