Art. 1 - Definizioni

Art. 1 - Definizioni

I termini e le espressioni utilizzati in maiuscolo nel presente regolamento contrat- tuale, ove non altrimenti definiti all’interno del medesimo, avranno il significato di seguito indicato:

“Ambiente”: hardware e/o software di pertinenza dell’Esercente, strumentali al

funzionamento del Servizio Gateway di Pagamento.

“APP”: applicazione software dell’Esercente dedicata ai dispositivi di tipo mobile, quali smartphone o tablet.

“Autenticazione forte”: un’autenticazione basata sull’uso di due o più elemen- ti, classificati nelle categorie della conoscenza (qualcosa che solo l’utente cono- sce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tu- telare la riservatezza dei dati di autenticazione.

“Banca”: la banca indicata nella Domanda di Adesione E-COMMERCE XPAY con la quale (i) l’Esercente ha in essere il Conto Corrente e con la quale (ii) la Società, regola i flussi finanziari fra la Società medesima e l’Esercente in esecuzione del Contratto.

“Carta/e”: xx/x xxxxx/x xx xxxxxxxxx, xxxxxxxxxxxxxx/x xxx/x xxxxxxx/x xxx/x Circuito/i individuato/i ai sensi dell’Art. 5, accettata/e dall’Esercente per l’acqui- sto di beni e/o servizi da parte del Titolare, e da cui risulta/ano (se del caso, a seconda della tipologia di prodotto) il nome, il cognome e la firma del Titolare; “Carta/e di Credito”: la/e Carta/e che abilita/no il Titolare, in base a un rapporto contrattuale con l’emittente, a effettuare acquisti di beni o servizi presso gli Eser- centi, con pagamento differito.

“Circuito/i”: il/i circuito/i il cui marchio è indicato sulle Carte.

“Conto Corrente”: il conto corrente indicato nella Domanda di Adesione E-COMMERCE XPAY e sul quale l’Esercente dà disposizione affinché vengano regolati i flussi finanziari fra l’Esercente medesimo e la Società, in esecuzione del Contratto.

“Contratto”: l’accordo tra le Parti per il convenzionamento dell’Esercente all’ac- cettazione delle Carte secondo le regole del Circuito di riferimento, accompa- gnata dalla gestione dei relativi flussi finanziari e dall’erogazione e la gestione, da parte della Società, del Servizio di Gateway di pagamento, che si compone dei documenti indicati all’art. 2.2.

“Documento di Sintesi”: il documento che riporta, in maniera personalizza- ta, le condizioni in vigore relative al Servizio, incluse quelle economiche, e più precisamente il documento denominato per esteso “Documento di Sintesi E-COMMERCE XPAY”.

“Documento/i di Vendita”: memoria/e di spesa, ricevuta/e, o qualsiasi altro documento equivalente, attestante/i un acquisto di beni o servizi da parte del Titolare presso l’Esercente, e relativo/i ad una Transazione.

“Esercente/i”: il/i punto/i vendita e il/i fornitore/i, virtuale/i, convenzionato/i con la Società ed aderente/i al/i Circuito/i, e presso il/i quale/i è possibile acqui- stare beni e/o servizi utilizzando la Carta, ed individuabile/i dal/i marchio/i che contraddistingue/ono il/i Circuito/i.

“Estratto Conto”: il rendiconto periodico reso disponibile all’Esercente da par- te della Società e di cui all’Art. 19.

“Interchange Fee” (commissione interbancaria): la commissione corrisposta da Xxxx all’emittente della carta per l’utilizzo della stessa presso gli Esercenti con- venzionati.

“Oneri di Circuito”: i costi che la Società deve sostenere nei confronti dei Cir-

cuiti Internazionali.

“Marchio”: nome, termine, segno o combinazione di questi, in forma materiale o digitale, in grado di indicare il Circuito di appartenenza della Carta utilizzata per l’operazione di pagamento;

“Operazione di pagamento”: l’attività di versare o trasferire fondi, posta in es- sere indipendentemente da eventuali obblighi sottostanti tra Titolare, Esercente e Società.

“Ordine di pagamento”: qualsiasi istruzione data dall’Esercente alla Società con la quale viene chiesta l’esecuzione di un’Operazione di pagamento.

“Parti”: congiuntamente, la Società e l’Esercente.

“PCI-DSS”: lo Standard di sicurezza per la protezione dei dati per i soggetti che operano con carte dei circuiti a maggiore diffusione (es. VISA e Mastercard) reso disponibile sul portale Nexi;

“Portale Esercente”: strumento (denominato Enterprise o Nexi Business) dedi- cato agli esercenti dotati di POS o Gateway e-commerce, che consente di moni- torare le transazioni e di prendere visione di tutte le comunicazioni inviate dalla Società, nonché attivare eventuali servizi proposti. Il portale di riferimento sarà indicato nella comunicazione di cui all’art. 3.

“Programma Protection Plus”: Il programma previsto da Nexi Payments SpA per supportare l’Esercente negli adempimenti richiesti dallo standard PCI-DSS in materia di protezione dei dati in modo da ottemperare agli obblighi imposti dai Circuiti e per i quali la Società è ritenuta responsabile. Il programma consiste in: una piattaforma applicativa, uno strumento semplificato per la compilazione del questionario, in un servizio di supporto specialistico dedicato e un’area dedicata alla formazione.

“XPAY” (Gateway di pagamento): il sistema elettronico utilizzato dagli Eser- centi che consente di concludere Transazioni di Commercio Elettronico me- diante utilizzo delle Carte previo rilascio della relativa autorizzazione. “Regolamento”: il presente Regolamento E-COMMERCE XPAY.

“Servizio”: Il Servizio E-Commerce XPay è l’insieme delle attività svolte da Nexi

relative.

Al Convenzionamento dell’Esercente finalizzato all’accettazione via Internet tra- mite il Gateway di pagamento XPay di carte di pagamento per la vendita di beni e/o servizi.

All’intermediazione dei flussi finanziari relativi all’accettazione delle carte nel ri- spetto delle modalità ed alle condizioni indicate nel presente contratto. “Servizio Clienti”: il servizio di assistenza della Società (i cui riferimenti sono riportati sul Foglio Informativo Esercenti Nexi), messo a disposizione dell’E- sercente, che consente di usufruire dei servizi, automatici e con operatore, in- clusi quelli regolamentati dal Contratto, di volta in volta disponibili e resi noti all’Esercente e tramite il quale l’Esercente stesso può ricevere assistenza su tutte le domande, le richieste di aiuto, le notifiche di anomalie o le questioni riguar- danti il servizio di acquiring, anche in materia di sicurezza.

“Società”: Nexi Payments SpA, con sede in Xxxxx Xxxxxxxx x. 00 - 00000 - Xxxxxx, iscritta all’Albo degli Istituti di Pagamento di cui all’art.114- septies del Testo Unico Bancario al n. 32875.7 e soggetta ai controlli della Banca d’Italia. “Supporto Durevole”: qualsiasi strumento che permette all’Esercente di me- morizzare informazioni a lui dirette, in modo che possano essere agevolmente recuperate durante un periodo di tempo adeguato ai fini cui sono destinate le informazioni stesse, e che consenta la riproduzione immutata delle informazioni (ad esempio, comunicazione via e-mail).

“Titolare/i”: il/i soggetto/i legittimato/i ad utilizzare la Carta. “Transazione/i”: operazione/i di acquisto di beni o servizi posta/e in essere dal Titolare mediante utilizzo della Carta quale strumento di pagamento all’Esercen- te del relativo importo.

“Transazione/i via Internet”: la/e Transazione/i effettuata/e tramite il canale internet e mediante XPay.

“Verifica PCI-DSS”: questionario, conforme agli standard PCI-DSS, compilato autonomamente dall’Esercente e relativo certificato forniti annualmente a Nexi.

Art. 2 - Oggetto del Contratto

2.1 Il Contratto ha per oggetto:

il convenzionamento dell’Esercente all’accettazione tramite Internet in paga- mento delle Carte, nonché la regolamentazione del Servizio reso dalla Società; l’erogazione e la gestione, da parte della Società, del Servizio di Gateway di paga- mento per vendite via web (di seguito “Servizio XPay”)

Il Contratto impegna l’Esercente a fornire merci e/o servizi al Titolare della Carta, e la Società al pagamento all’Esercente dell’importo relativo alle Transazioni, il tutto nel rispetto delle modalità ed alle condizioni di seguito indicate.

2.2 Il Contratto si compone del presente “Regolamento E-COMMERCE XPAY” che contiene le condizioni generali di contratto, e dei seguenti documenti allegati, che ne costituiscono parte integrante e sostanziale:

a) il Documento di Sintesi, che costituisce il frontespizio del Contratto;

b) il modulo denominato “Domanda di Adesione E-COMMERCE XPAY”;

c) il documento denominato “Informativa in materia di trattamento dei dati perso-

nali E-COMMERCE XPAY”;

d) il documento denominato “Specifiche tecniche di integrazione con il servizio di Gateway di pagamento” (disponibile sul sito).

e) il documento denominato “Sicurezza dei dati”, disponibile anche sul Sito

Internet.

Inoltre, qualora l’Esercente richieda il convenzionamento ad uno o più servizi ac- cessori e collegati ai sensi del successivo Art. 23 (i “Servizi Collegati”), il/i relativo/i regolamento/i è/sono da intendersi parte integrante e sostanziale del Contratto, costituendone un’appendice.

Art. 3 - Conclusione e durata del Contratto

3.1 La richiesta di convenzionamento, contenuta nella Domanda di Adesione E-COMMERCE XPAY, costituisce la proposta contrattuale dell’Esercente. La richie-

Nexi Payments SpA • Xxxxx Xxxxxxxx 00, 00000 Xxxxxx • T. +39 02.3488.1 • F. x00 00.0000.0000 • Reg. Imprese Milano, Monza Brianza e Lodi, C.F. 04107060966 • Membro del Gruppo IVA Nexi P.IVA 10542790968 • REA Milano 1725898 • Capitale Sociale € 76.445.207,40 i.v. • Albo IMEL art. 114-quater del D. Lgs. 385/1993 n. 32875.7 • Società soggetta all’attività di direzione e coordinamento di Nexi SpA

sta si considera accettata dalla Società e il Contratto si considera, pertanto, perfe- zionato nel momento della ricezione da parte dell’Esercente della comunicazione scritta di accettazione della Società, con la quale quest’ultima comunica, tra l’altro, il relativo codice identificativo.

3.2 Ai fini della conclusione del Contratto, l’Esercente deve essere titolare di Conto Corrente, presso una Banca, sul quale sono regolati i flussi finanziari tra l’Esercente e la Società in esecuzione del Contratto medesimo.

3.3 L’attivazione del Servizio richiede la connessione delle apparecchiature infor- matiche dell’Esercente ai sistemi informativi di Nexi e l’abilitazione del medesimo all’utilizzo del Servizio. Le modalità operative di attivazione e utilizzo del Servizio XPay sono descritte nella “Specifiche tecniche di integrazione con il servizio di Ga- teway di pagamento”, pubblicata, nella versione di volta in volta vigente, nel Portale Esercenti del Sito Internet della Società.

3.4 Il Contratto ha durata indeterminata.

Art. 4 - Richiesta di autorizzazione e modalità di negoziazione delle Transa- zioni via Internet

4.1 Per ogni Transazione via Internet, l’Esercente deve ottenere, quale che ne sia l’importo, l’autorizzazione dalla Società.

4.2 Al fine di non incorrere in responsabilità dell’Esercente nei confronti dei Circuiti, la Transazione via Internet dovrà riportare la stessa data dell’autorizzazione concessa.

4.3 L’Esercente si impegna ad adottare soluzioni che permettano alla Società di eseguire l’Autenticazione Forte dei Titolari. La Società si riserva la possibilità di valu- tare caso per caso misure di autenticazione alternative per categorie di operazioni considerate a basso rischio.

4.4 L’Esercente si impegna inoltre a separare chiaramente, nel proprio sito, i pro- cessi relativi ai pagamenti da quelli inerenti gli acquisti, onde rendere più agevole ai propri clienti identificare quando comunicano con Xxxx e non con l’Esercente”.

4.5 L’Esercente si impegna, se non diversamente comunicato da Xxxx, a richiedere sempre al Titolare della Carta il codice di sicurezza CV2 (codice di tre cifre riportato sul retro della Carta) e ad inoltrarlo alla Società unitamente alla richiesta di autoriz- zazione e/o richiedere gli altri metodi di Autenticazione Forte del Titolare, di volta in volta, previsti.

L’Esercente si impegna inoltre a rendere accessibile il codice CV2 solo al personale addetto alla richiesta di autorizzazione e a distruggerlo subito dopo l’effettuazione della medesima, adeguando in tal senso le proprie procedure (modulistica, proces- si organizzativi, ecc.). Qualora l’Esercente, per modalità tecnico-operative proprie debba conservare anche per un breve periodo tale codice, è obbligato ad attenersi a quanto indicato nel documento “Standard di Sicurezza sui Dati” previsto dai Circu- iti, consultabile sul Sito Internet della Società, nonché richiedibile al Servizio Clienti. Inoltre, l’Esercente dovrà comunque adottare nella propria infrastruttura tecnologi- ca/informatica, misure di sicurezza idonee ad evitare il furto dei dati sensibili relativi ai pagamenti. In caso di inosservanza degli obblighi previsti nel presente par. 4.4 re- lativi al trattamento dei dati dei Titolari, l’Esercente dovrà corrispondere le sanzioni previste all’art. 21 del Regolamento Esercenti Nexi.

4.6 È fatto assoluto divieto all’Esercente di accettare le Carte per la vendita dei beni e/o servizi espressamente indicati dai Circuiti e consultabili sul sito Internet della società (xxxxxxxxx.xxxx.xx) e/o di natura tale da ledere l’immagine della società o da recare offesa al pubblico, e ciò a insindacabile giudizio della società. La società si riserva la facoltà di addebitare all’Esercente eventuali sanzioni e/o multe applicate dai Circuiti per la non osservanza dei divieti nell’accettazione di carte per i beni e/o servizi sopra indicati, oltre che di rivalersi sull’Esercente per eventuali danni di im- magine ad essa arrecati.

4.7 L’Esercente, ottenuta l’autorizzazione, dovrà far pervenire alla Società tutti i dati relativi alle Transazioni via Internet entro 5 (cinque) giorni dalla data della loro effettuazione.

Gli importi relativi alle Transazioni via Internet contabilizzate oltre il quinto giorno dalla data della loro effettuazione, saranno comunque elaborati e accreditati dalla Società all’Esercente salvo buon fine.

Art. 5 - Caratteristiche delle Carte

5.1 Le Carte che l’Esercente deve accettare sono:

a. le Carte contrassegnate dai marchi dei Circuiti i cui campi sono valorizzati nella Domanda di Adesione E-COMMERCE XPAY;

b. eventuali ulteriori Carte comunicate all’Esercente ai sensi del successivo Art. 22.

5.2 L’Esercente, per le sole Carte emesse in EEA, avrà facoltà di limitare l’accettazio- ne solo a particolari categorie di Carte per ciascun Marchio.

Per usufruire di tale possibilità, l’Esercente dovrà:

registrarsi come “limited acceptance merchant” seguendo le indicazioni riporta- te sul Sito Internet della Società o richiedibili al Servizio Clienti;

indicare, per ogni Marchio, quali categorie di Carte intende accettare;

Sarà esclusivo onere dell’Esercente verificare, prima di effettuare la Transazione, che la Carta presentata appartenga ad una delle categorie dallo stesso indicate.

Art. 6 - Accettazione delle Carte

La Carta deve essere accettata dall’Esercente a condizione che:

6.1 sia utilizzata per l’acquisto di beni e/o servizi che costituiscono oggetto della sua attività;

6.2 sia contrassegnata da uno dei marchi di cui al precedente art. 5.

Art. 7 - Obblighi dell’Esercente

L’Esercente deve:

a. accettare la Carta anche per importi di minima entità ed in qualunque periodo dell’anno, adottando e aggiornando le procedure di sicurezza e autenticazione, anche forte del Titolare, richieste ai sensi delle disposizioni vigenti;

b. astenersi dall’applicare commissioni aggiuntive per i Titolari che utilizzano le Car- te quale mezzo di pagamento per concludere le Transazioni; tali commissioni, ove applicate, in quanto contrarie alle vigenti disposizioni normative e regola- mentari in materia verranno riaddebitate all’Esercente da parte della Società, fermo restando quanto previsto al successivo Art. 24;

c. accettare la restituzione o la sostituzione di beni e/o servizi già forniti al Titolare con gli stessi criteri generalmente adottati per la propria clientela;

d. accettare la Carta solo per i beni e/o servizi che costituiscono oggetto della pro- pria attività con esclusione di qualunque corresponsione di differenze e/o antici- pi di denaro contante o equivalente;

e. astenersi dal frazionare le operazioni di vendita in più Transazioni Via Internet e/o in più Documenti di Vendita;

x. xxxxxxxsi dal reiterare richieste di autorizzazioni, sulla stessa Carta e per importi decrescenti, a seguito di mancata autorizzazione per l’importo originale dell’o- perazione di vendita;

g. esporre per tutta la durata del presente Contratto, in modo evidente sul sito i loghi e gli altri eventuali materiali relativi esclusivamente alle categorie e marchi di Carte accettate, forniti dalla Società;

h. mantenere riservate nei confronti di terzi le clausole economiche del Contratto;

i. conservare, nel caso in cui la merce acquistata debba essere prodotta o spedita, la prova dell’avvenuta consegna o spedizione della merce dopo aver concordato per iscritto con il Titolare le modalità di spedizione e consegna;

j. consentire che il suo nominativo sia inserito gratuitamente in guide, elenchi e pubblicazioni curate dalla Società o dai Circuiti, esonerando la stessa da ogni re- sponsabilità derivante da errori o inesattezze;

k. segnalare immediatamente per iscritto alla Società la cessazione dell’attività, la cessione dell’azienda, variazioni in genere della proprietà o della gestione della stessa, variazioni nella natura dell’attività svolta, nonché ogni variazione di altri dati indicati nella Domanda di Adesione E-COMMERCE XPAY, assumendo a suo carico ogni conseguenza che possa derivare dall’omissione o dal ritardo di tale segnalazione;

l. istruire adeguatamente il proprio personale addetto alle vendite circa le modalità di esecuzione del Contratto affinché la Carta sia accettata prontamente e corret- tamente;

m. riconoscere alla Società le commissioni previste dal Contratto, nella misura in- dicata nel Documento di Sintesi; indipendentemente dalla modalità di accetta- zione della Carta, richiedere lo storno dell’importo della Transazione, a valere sulla stessa Carta utilizzata per la Transazione stessa, qualora accolga la richiesta del Titolare, di restituzione della merce, ovvero in caso di mancata utilizzazione, totale o parziale, del servizio. Non è infatti ammessa la restituzione dell’importo della Transazione al Titolare, tramite denaro contante o equipollenti;

n. cooperare con le attività di indagine della Società e/o delle competenti autorità (giudiziaria, di polizia, di vigilanza) qualora si verificassero gravi incidenti relativi alla sicurezza dei pagamenti, comprese le violazioni dei dati, ed in ogni caso utile al fine di garantire un corretto svolgimento del Servizio;

o. per quanto possibile e applicabile, non conservare i dati sensibili relativi ai paga- menti effettuati; attuare opportune misure di sicurezza nella propria infrastruttu- ra IT al fine di evitare il furto dei dati sensibili relativi ai pagamenti, secondo quan- to indicato Standard di Sicurezza previsti dai Circuiti Internazionali (disponibili sul sito di Nexi), qualora l’esercente tratti (per esempio conservi, elabori o trasmetta) tali dati (a titolo esemplificativo e non esaustivo: numero Carta, data scadenza della Carta e CV2 della Carta.

p. consentire alla Società di effettuare verifiche, nei modi e nei tempi che verranno concordati fra le parti, in relazione alle misure di sicurezza adottate dall’esercente riguardo al punto precedente.

q. supportare soluzioni che permettano all’emittente di eseguire l’autenticazione forte del titolare della carta per le transazioni effettuate con carta via Internet

r. separare chiaramente i processi relativi ai pagamenti da quelli inerenti il negozio

online;

s. di essere titolare del sito o della pagina web il cui indirizzo Internet è indicato nel Modulo di Adesione E-COMMERCE XPAY, e che in caso di cessione, vendita o comunque trasferimento ad altri del proprio dominio egli ne darà immediata- mente notizia alla Società;

t. l’Esercente dichiara e garantisce che le i beni e/o servizi esposti sul proprio sito non appartengono alle categorie espressamente vietate dai circuiti (consultabili sul sito xxxxxxxxx.xxxx.xx), e che non siano di natura tale da ledere l’immagine della so- cietà o da recare offesa al pubblico, e ciò ad insindacabile giudizio della Società;

u. L’Esercente assicura altresì che nel proprio sito internet vengono illustrati con chiarezza la descrizione dei beni e dei servizi offerti, le condizioni di vendita, le condizioni di consegna e di rimborso, la politica sulla privacy relativa ai dati personali, i termini relativi ai metodi di sicurezza delle Transazioni via Internet adottati, ogni altro elemento richiesto dal Codice del Consumo nonché più in generale ogni altra informazione rilevante richiesta dalla legge e dalla regola- mentazione di tempo in tempo vigente;

v. osservare scrupolosamente la vigente normativa in materia di commercio elet- tronico e di contratti a distanza (D.Lgs. 206/2005 e successive modifiche e inte- grazioni), ivi compresi tutti gli adempimenti di carattere fiscale e tributario, non- ché tutti gli obblighi previsti dalla vigente normativa in materia di protezione dei dati personali (D.Lgs. 196/2003 e successive modifiche ed integrazioni).

w. procedere, per ciascun punto vendita alla compilazione annuale del questionario reso disponibile dalla Societài sui vari canali di contatto (portale, app) che con- sente di generare il certificato ufficiale previsto dallo standard PCI-DSS per auto- certificare lo stato di conformità dell’Esercente, salvo per le categorie esentate che sono esplicitamente indicate nel Documento di Sintesi;

x. nel caso in cui l’Esercente non si avvalga dell’assistenza della Società per la com- pilazione del questionario previsto dagli standard PCI-DSS, rendere disponibile alla Società, per ciascun punto vendita, fisico o e-commerce, l’autocertificazione di conformità, nei modi ed entro i termini indicati nel Documento di Sintesi.

Art. 8 - Obblighi dell’Esercente in relazione alle Transazioni Via Internet

8.1 L’Esercente dovrà conservare, per il tempo previsto dalle vigenti disposizioni di legge e, comunque, per almeno 13 (tredici) mesi dalla data della Transazione via Internet, i seguenti dati e/o documenti relativi a ciascuna Transazione:

a. dati del Titolare: nome e cognome (ovvero azienda cui fa capo il Titolare per le Carte di tipo aziendale), indirizzo completo di CAP, telefono, fax, e-mail, codice fiscale;

b. importo, data e ora della Transazione;

c. numero e data di scadenza della Carta, ove presenti;

d. numero e data dell’autorizzazione;

e. copia della conferma relativa alla Transazione via Internet inviata al Titolare;

f. fattura relativa alla merce e/o al servizio reso, ovvero documentazione attestante la mancata consegna della merce e/o mancata prestazione del servizio.

8.2 Qualora i beni e/o servizi ordinati debbano essere spediti e/o prestati ad una persona diversa dal Titolare e/o ad un indirizzo diverso da quello indicato nella Tran- sazione quale residenza e/o domicilio del Titolare stesso, l’Esercente dovrà conser- vare, in aggiunta a quanto indicato al precedente par. 6.1, anche i seguenti dati relati- vi al destinatario di detti beni e/o servizi: a) nome e cognome; b) indirizzo completo di CAP; c) e-mail (per servizi on-line).

8.3 Nel caso di spedizioni di merci tramite posta o corriere l’Esercente dovrà con- servare per almeno 13 (tredici) mesi la prova dell’avvenuta consegna della merce al Titolare della Carta. In ogni caso, l’Esercente è obbligato a conservare tali dati/ documenti nel rispetto degli Standard di Sicurezza sui Dati previsti dai Circuiti, e consultabili nel Sito Internet della Società, oltre che richiedibili al Servizio Clienti.

8.4 Fermo restando ed in aggiunta a quanto previsto dall’art. 7, lett. n), nel caso in cui l’Esercente conservi, elabori o trasmetta i dati sensibili relativi ai pagamenti, lo stesso è tenuto a cooperare con la Società e con i competenti organismi di ese- cuzione della legge qualora si verificassero gravi incidenti relativi alla sicurezza dei pagamenti, comprese le violazioni dei dati.

8.5 Fermo restando ed in aggiunta a quanto previsto dall’articolo 4.5, nel caso in cui l’Esercente memorizzi, elabori o trasmetta i dati sensibili relativi ai pagamenti (cd. Dati delle carte), lo stesso è tenuto ad attuare e mantenere misure di sicurez- za in conformità a quanto previsto dagli standard PCI DSS per la propria categoria di appartenenza. In ogni caso l’Esercente dovrà attuare misure di sicurezza in linea con i seguenti requisiti, al fine di limitare il rischio di furto dei dati sensibili relativi ai pagamenti attraverso i propri sistemi:

Prestare particolare attenzione all’adeguata separazione dei compiti e dei ruoli nei diversi ambienti della tecnologia dell’informazione (IT) (ad esempio ambienti di sviluppo, collaudo e produzione) e alla corretta applicazione del principio del “privilegio minimo” quale base per una sana gestione delle identità digitali e degli accessi;

Disporre di soluzioni di sicurezza adeguate per proteggere reti, siti web, siste- mi, basi dati e canali di comunicazione contro attacchi o abusi, come, a titolo esemplificativo, software antivirus aggiornati, firewall, principi di sviluppo sicuro, meccanismi di cifratura etc.;

Disabilitare ogni funzionalità superflua all’interno dei sistemi informatici ed elimi- nare le vulnerabilità riscontrate attraverso specifiche attività di test;

Garantire l’adozione di meccanismi di cifratura, mascheramento o tokenizzazio- ne per i dati sensibili relativi ai pagamenti che vengono trasmessi attraverso reti non-private o memorizzati all’interno di basi dati;

Avvalersi di processi idonei per monitorare, tenere traccia e limitare l’accesso a:

i) dati sensibili relativi ai pagamenti e ii) risorse critiche, logiche e fisiche, quali reti, sistemi, basi dati, moduli di sicurezza etc. e creare, manutenere ed analizzare registri e procedimenti di tracciabilità dei dati;

Assicurare che il principio di “data minimization” sia una componente essenziale delle funzionalità di base: la raccolta, la trasmissione, l’elaborazione, la memoriz- zazione e/o l’archiviazione e la visualizzazione dei dati sensibili relativi ai paga- menti dovrebbero essere manutenute ad un livello minimo;

Sottoporre i servizi di pagamento via internet a test periodici al fine di garantire la loro sicurezza. Tutte le modifiche devono essere oggetto di un processo formale di gestione dei cambiamenti che garantisca che i cambiamenti stessi siano cor- rettamente pianificati, sottoposti a test, documentati e autorizzati. Sulla base dei cambiamenti effettuati e delle minacce riscontrate, i test devono essere ripetuti regolarmente e comprendere scenari di attacco pertinenti e noti;

Sottoporre a verifica interna periodica le misure di sicurezza e il funzionamento dei servizi di pagamento via internet per garantire la loro robustezza ed efficacia. La frequenza e l’oggetto di tali controlli devono essere attinenti e proporzionali ai rischi per la sicurezza implicati. I controlli in questione devono essere svolti da soggetti terzi certificati e riconosciuti dal Council PCI;

Mantenere regolamenti e documentazione specifica in merito alle regole di ge- stione dei dati sensibili relativi ai pagamenti. Qualora l’Esercente esternalizzi fun- zioni relative al trattamento dei dati sensibili delle carte, il relativo contratto dovrà includere disposizioni che prevedano il rispetto di misure di sicurezza in linea con i requisiti sopra riportati. La categoria di appartenenza dell’Esercente ai fini degli standard PCI DSS viene individuata all’atto della sottoscrizione della domanda di adesione in funzione del volume annuale delle transazioni dichiarate dall’eser- cente stesso e della tipologia di canale di vendita utilizzato. La Società si riserva il diritto di: i) verificare periodicamente la categoria di appartenenza dell’Esercente e l’effettiva implementazione delle relative misure di sicurezza, ferma l’applica- zione – in caso di inadempimento – della clausola risolutiva di cui all’art. 24; ii) comunicare all’Esercente eventuali variazioni o conferme della categoria di ap- partenenza, assegnando un termine congruo per l’adeguamento e l’adozione delle relative misure di sicurezza. L’Esercente si impegna pertanto a garantire la possibilità per il personale incaricato della Società – ivi compresi eventuali col- laboratori e/o consulenti esterni – di accedere, nell’espletamento delle proprie funzioni, ai sistemi e alle infrastrutture IT, nonché agli uffici dell’Esercente stesso o di eventuali fornitori (outsourcers) per verificare l’attuazione delle misure di sicurezza di cui al presente articolo.

8.6 In caso di richiesta, l’Esercente dovrà trasmettere alla Società le informazioni e i dati di cui al presente articolo, nonché la relativa documentazione, entro e non oltre 7 (sette) giorni dalla data di ricezione della richiesta stessa, utilizzando il Portale Esercenti sul Sito Internet della Società.

8.7 L’esercente si impegna ad inserire sul proprio sito internet il logo della Società, nonché eventuali link al Sito Internet della Società, secondo le specifiche tecniche che verranno indicate dalla Società medesima.

8.8 L’Esercente si impegna, altresì, a pubblicare sul proprio sito internet un contat- to di assistenza e-mail o telefonico.

Art. 9 - Obblighi dell’Esercente in relazione al Gateway di pagamento XPay

L’Esercente dichiara e garantisce, sotto la propria responsabilità:

di utilizzare una Struttura Tecnica per i servizi di connettività su Internet (di segui- to “Struttura Tecnica”) che dispone di adeguate infrastrutture tecniche ed attua le necessarie procedure operative per collegare al Gateway di pagamento XPay le strutture commerciali dell’Esercente medesimo;

che la Struttura Tecnica utilizzata dispone di tutti i necessari accorgimenti di pro- tezione volti ad inibire l’accesso al Gateway di pagamento XPay ad utenti non autorizzati;

di verificare che la Struttura Tecnica rispetti integralmente le istruzioni tecniche e le procedure operative fornite dalla Società;

di non manomettere né effettuare interventi sul software utilizzato per l’eroga- zione del Gateway di pagamento XPay;

di utilizzare il Gateway di pagamento XPay in conformità alle istruzioni di volta in volta ricevute dalla Società;

di custodire, mantenere segrete nonché utilizzare correttamente le chiavi di si- curezza descritte nella “Specifiche tecniche di integrazione con il servizio di Ga- teway di pagamento”, di cui al precedente art. 3.3, restando responsabile di ogni conseguenza dannosa che possa derivare dall’uso illecito delle medesime;

di richiedere immediatamente il blocco del Gateway di pagamento XPay chia- mando la Società, nel caso di smarrimento o sottrazione delle chiavi di sicurezza; di rispettare le norme tecniche contenute nella “Specifiche tecniche di integra- zione con il servizio di Gateway di pagamento”, L’Esercente, inoltre, si assume

ogni responsabilità in merito alla sicurezza e al funzionamento del sistema ope- rativo, dell’hardware e del software utilizzati, rimanendo comunque responsabile di eventuale perdita o danneggiamento dei dati relativi agli ordini, alla clientela, ai pagamenti nonché di ogni altro dato inerente alle Transazioni effettuate.

Art. 10 - Accredito dell’importo relativo alle Transazioni Via Internet L’Esercente riconosce che sull’importo di ogni Transazione Via Internet spetterà alla Società una commissione nella misura indicata nel Documento di Sintesi, autoriz- zandone sin d’ora irrevocabilmente l’addebito sul Conto Corrente, cosi come indi- cato sulla Domanda di Adesione E-COMMERCE XPAY, secondo una la modalità POS netto: la Società provvederà ad accreditare il Conto Corrente dell’Esercente per un importo pari all’ammontare delle Transazioni Via Internet al netto delle commissioni applicate e di ogni altro importo il cui addebito sul Conto Corrente dell’Esercente non è mai andato a buon fine.

Art. 11 - Settore merceologico dell’Esercente

11.1 L’Esercente dichiara sin d’ora che le Transazioni via Internet da lui concluse ri- entreranno esclusivamente nel settore merceologico indicato nella “Domanda di Adesione E-COMMERCE XPAY”, e relativamente al quale ha ottenuto le necessarie autorizzazioni amministrative.

11.2 Conseguentemente, l’Esercente si impegna sin d’ora a dare immediata comu- nicazione scritta alla Società di ogni modifica che dovesse intervenire a tal riguardo.

Art. 12 - Sospensione e rifiuto degli Ordini di pagamento – Rimborso

12.1 La Società si riserva la facoltà di sospendere, in qualsiasi momento l’esecuzio- ne di uno o più Ordini di pagamento, e ciò allo scopo di poter controllare che le Transazioni siano state effettivamente e regolarmente eseguite, nel pieno rispetto di quanto previsto dal Contratto in presenza di un giustificato motivo. La comunica- zione di sospensione dell’esecuzione di un Ordine di pagamento ha effetto imme- diato e può essere fatta anche mediante semplice comunicazione verbale. Qualora la Società comunichi la sospensione dell’esecuzione di un Ordine di pagamento, l’Esercente si impegna a fornire alla Società medesima ogni notizia e informazione sulle Transazioni, nonché a consentire alla Società ogni possibile controllo anche in ordine alla documentazione fiscale relativa alle singole Transazioni effettuate.

12.2 Fermo restando quanto previsto ai successivi Art. 22 e Art. 23, la Società ha comunque il diritto: (i) di rifiutare di eseguire un Ordine di pagamento relativo a Transazioni concluse senza l’osservanza degli obblighi e delle procedure di cui al Contratto, ovvero (ii) al rimborso, anche nell’interesse di terzi, degli importi già ac- creditati sul Conto Corrente dell’Esercente relativi ad Ordini di pagamento già ese- guiti, nel caso di Transazioni che risultassero concluse in violazione degli obblighi e delle procedure di cui al Contratto da parte dell’Esercente, addebitando in questo caso di propria iniziativa il Conto Corrente dell’Esercente medesimo, in qualunque momento e senza obbligo di preavviso e/o formalità.

12.3 In tutti i casi di cui al presente articolo la Società comunica all’Esercente il ri- fiuto di eseguire un Ordine di pagamento e (ovvero la sospensione della relativa esecuzione), ove possibile, le relative motivazioni, nonché la procedura per correg- xxxx eventuali errori materiali che abbiano causato il rifiuto imputabili all’Esercente medesimo. La Società effettua la comunicazione via Internet e/o la sospensione, ovvero per telefono, o via e-mail, con la massima sollecitudine e, in ogni caso, entro i termini previsti per l’esecuzione dell’Operazione di pagamento, salvo che tale in- formazione non debba essere fornita in quanto in contrasto con obiettivi di ordine pubblico o di pubblica sicurezza, individuati ai sensi dell’articolo 126 del decreto le- gislativo 1° settembre 1993, n. 385, o ricorrano giustificati motivi ostativi in base alle disposizioni in materia di contrasto del riciclaggio e del finanziamento del terrori- smo, di legge o di regolamento.

12.4 Qualora il rifiuto dell’Ordine di pagamento sia obiettivamente giustificato, le Parti concordano che la Società può addebitare spese ragionevoli per la comunica- zione all’Esercente, nella misura indicata nel Documento di Sintesi.

12.5 Un Ordine di pagamento di cui sia stata rifiutata l’esecuzione per motivi obiet- tivamente giustificati non è considerato ricevuto dalla Società.

Art. 13 - Contestazioni e reclami – Responsabilità dell’Esercente

13.1 Ogni responsabilità per eventuali contestazioni, controversie o reclami del Ti- tolare relativi alla fornitura di merci e/o servizi, è ad esclusivo carico dell’Esercente.

13.2 In ogni caso, qualora il Titolare abbia formulato - entro i termini ed alle con- dizioni previsti dalla legge e dalle norme del Circuito - la contestazione relativa ad una Transazione non autorizzata, non eseguita o eseguita in modo inesatto otte- nendone la rettifica e/o il rimborso da parte dell’emittente della Carta in conformità a quanto disciplinato nel contratto concluso con l’emittente medesimo per il rila- scio della Carta, la Società avrà diritto, a sua volta, di riaddebitare il Conto Corrente dell’Esercente per l’importo relativo alla Transazione già accreditato, e successiva- mente contestato dal Titolare, fatti salvi i casi di dolo o colpa grave della Società nell’adempimento degli obblighi di cui al Contratto.

13.3 Ogni responsabilità per eventuali contestazioni, controversie o reclami del Ti- tolare relativi alla fornitura di merci e/o servizi ovvero al contenuto del sito internet dell’Esercente è ad esclusivo carico dell’Esercente.

13.4 In caso di contestazione di una Transazione non autorizzata da parte del Ti- tolare, salvo i casi espressamente previsti dai Circuiti, l’Esercente sarà esonerato da qualsiasi responsabilità solo qualora la Transazione sia stata effettuata dall’Esercente medesimo nel rispetto - oltre che delle disposizioni contenute nel presente Rego- lamento - di tutte le istruzioni e le regole vigenti dei Programmi di Autenticazione. Le sopraccitate istruzioni e regole di volta in volta vigenti sono pubblicate e consul- tabili nel Sito Internet della Società.

13.5 Qualora l’Esercente non operi nel rispetto del presente Regolamento e delle regole vigenti nei Programmi di Autenticazione, la Società avrà diritto di rivalersi nei confronti dell’Esercente medesimo, che avrà l’obbligo di rimborsare alla Società l’in- tero Importo delle Transazioni oggetto di contestazioni da parte dei Titolari, anche ai sensi dell’art. 62 del Codice del Consumo, fatti salvi i casi di dolo o colpa grave del- la Società nell’adempimento degli obblighi di cui al Contratto. La Società si riserva il diritto di revocare il convenzionamento a fronte di violazioni particolarmente gravi del presente accordo.

13.6 L’Esercente, appartenente alle categorie merceologiche definite ad alto ri- schio dai Circuiti, consultabili sul Sito Internet della Società, si impegna a riconosce- re ai Circuiti un canone annuo per ciascun punto vendita attivato, pari all’importo indicato nel Documento di Sintesi E-COMMERCE XPAY, richiesto dai Circuiti stessi per la gestione dei controlli sulle commercializzazioni elettroniche. La Società si im- pegna, per tali Esercenti, a effettuare le verifiche richieste e a iscriverli negli archivi dei Circuiti come richiesto dai medesimi.

13.7 La Società si riserva la facoltà di addebitare all’Esercente eventuali sanzioni e/o multe applicate dai Circuiti alla Società stessa per irregolarità commesse dall’Eser- cente a causa della mancata osservanza delle norme previste nel presente Regola- mento e nei Programmi di Autenticazione. La Società si riserva il diritto di revocare il convenzionamento a fronte di violazioni particolarmente gravi del presente ac- cordo e/o che abbiano effetto sulla propria capacità di assicurare la conformità alle norme a cui è soggetta.

Art. 14 - Data Valuta

La data valuta di accredito dell’importo delle Transazioni e quella di addebito delle commissioni sono riportate nel Documento di Sintesi.

Art. 15 - Operazioni di pagamento non eseguite o tardive

15.1 L’Esercente che viene a conoscenza di Operazioni di pagamento non esegui- te , tardive o non correttamente eseguite, ha il diritto di ottenerne la rettifica solo se comunica senza indugio tale circostanza alla Società chiamando il Servizio Clienti, ovvero tramite i servizi attivi sul Sito Internet della Società di cui al successivo Art. 16 e confermando poi tale richiesta di rettifica alla Società mediante comunicazione scritta a mezzo lettera raccomandata A.R., e-mail, fax o equivalente. La comunicazione deve essere, in ogni caso, effettuata entro 13 (tredici) mesi dalla data di accredito.

15.2 Il termine di 13 (tredici) mesi non opera se la Società ha omesso di fornire o mettere a disposizione le informazioni relative all’Operazione di pagamento secon- do quanto previsto dalle applicabili disposizioni in materia di trasparenza delle con- dizioni e di requisiti informativi per le Operazioni di pagamento di tempo in tempo vigenti.

15.3 Nel caso in cui la Società riconosca di essere responsabile della mancata, ine- satta o tardiva esecuzione dell’Ordine di pagamento, essa provvede senza indugio a mettere a disposizione dell’Esercente l’importo dell’Operazione di pagamento, che sarà registrato nel primo Estratto Conto utile.

Art. 16 - Sospensioni ed interruzioni temporanee del Servizio

16.1 Il Servizio è erogato ventiquattro ore al giorno, tutti i giorni, compresi i festi-

vi. È tuttavia facoltà di Xxxx sospenderne l’erogazione, con preavviso di tre giorni, informandone l’Esercente mediante comunicazione e-mail all’indirizzo indicato dal medesimo, qualora la sospensione risultasse necessaria o opportuna per ragioni di sicurezza ovvero per apportare modifiche al Sistema. La Società ha facoltà di sospen- dere e/o limitare l’operatività del Servizio, in tutto o in parte, in qualsiasi momento e con efficacia immediata, in caso di forza maggiore o in presenza di un giustificato motivo connesso a insolvenza dell’Esercente, il peggioramento del merito creditizio, l’accertamento di protesti, l’esistenza di sequestri civili e/o penali e/o di procedimenti di ingiunzione a carico dell’Esercente, imprese connesse e ad esponenti/soci, oppu- re a gravi ragioni tecniche e/o motivi di sicurezza, ivi incluso il caso in cui l’Esercente non adempia agli obblighi di cui all’art. 10, lettere u) e v).

La Società provvederà ad informare l’Esercente, tramite Portale esercente o agli in- dirizzi/recapiti indicati nella Domanda di Adesione o a quelli eventualmente forniti in seguito dall’Esercente medesimo, in relazione a eventuali rischi di frode o altri abusi che dovesse riscontrare.

16.2 La Società non è in ogni caso responsabile delle interruzioni del Servizio o dei

malfunzionamenti del Sistema, anche solo momentanei, dovute a cause ad essa

non imputabili o interventi non autorizzati dell’Esercente sul proprio sito Internet o eventi di forza maggiore (tra le quali si indicano, a titolo esemplificativo, quelle dovute a difficoltà ed impossibilità di comunicazioni, a interruzioni nell’erogazione dell’energia elettrica, a scioperi anche del personale di altri soggetti da essa incari- cati o a fatti di terzi), caso fortuito e, in genere, a ogni impedimento od ostacolo che non possa essere superato con l’ordinaria diligenza. Tuttavia, la Società si impegna ad intervenire nel più breve tempo possibile, al fine di ripristinare l’erogazione del Servizio. Pertanto, l’Esercente rinuncia a far valere presso la Società qualsiasi ecce- zione relativa a quanto sopra.

Art. 17 - Circostanze anormali e imprevedibili

Fatto salvo ed in aggiunta a quanto previsto al precedente Art. 15, la responsabilità della Società, prevista ai sensi del Contratto, non si estende alle ipotesi di caso fortu- ito o forza maggiore e ai casi in cui la Società abbia agito in conformità con i vincoli derivanti da altri obblighi di legge.

Xxxx non potrà essere ritenuta responsabile per danni, responsabilità e/o richieste di risarcimento derivanti dall’esecuzione del presente Regolamento ovvero dall’ero- gazione del Servizio a meno che tali danni, responsabilità e richieste di risarcimento non siano riconducibili a dolo o colpa grave della stessa. Nexi rimarrà altresì com- pletamente estranea a qualsiasi contestazione o controversia relativa alla fornitura di merci e/o servizi che possa sorgere tra l’Esercente e la propria clientela, In nes- sun caso Xxxx potrà essere ritenuta responsabile per danni che l’Esercente o terzi possano subire, ivi incluse le perdite di dati, in conseguenza di errori od omissioni derivanti da un non corretto funzionamento del Servizio dovuto ad errati interventi tecnici sul sito dell’Esercente medesimo.

Il servizio offerto da Xxxx nella negoziazione di transazioni relative agli strumen- ti di pagamento opzionali come AMEX, DINERS, PAYPAL e KLARNA PAGA ORA (SOFORT) e Amazon PAY è esclusivamente di ordine tecnico. Le responsabilità e gli obblighi amministrativi e legali sono regolati da contratti dedicati tra le Società che offrono tali strumenti e l’esercente.

Art. 18 - Servizi online sul Portale Esercente

18.1 L’Esercente , tramite Autenticazione Forte, richiesta nel rispetto della norma- tiva vigente, potrà prender visione di tutte le comunicazioni, variazioni ed informa- zioni relative al presente Contratto sul Portale Esercente (per maggiori dettagli si veda l’art. 31). Inoltre, sul Portale Esercente l’Esercente potrà prender visione del proprio estratto conto mensile (salvo che non abbia richiesto la versione cartacea come previsto dall’art. 31.3).

18.2 L’Esercente autorizza sin da ora la Società ad attivare ed implementare, a pro- pria discrezione, l’elenco dei servizi e delle funzioni disponibili sul Portale Esercente, che saranno utilizzabili dall’Esercente con la decorrenza ed alle condizioni di volta in volta resi noti dalla Società.

Art. 19 - Comunicazioni periodiche e informazioni successive alle Transazioni

19.1 Non è prevista la produzione periodica di documentazione cartacea. La Socie- tà, se nel mese di riferimento sono state effettuate Transazioni, produce e mette a disposizione dell’Esercente, su Supporto Durevole come di seguito meglio specifi- cato e gratuitamente, un Estratto Conto, con periodicità mensile, che riporta il det- taglio della posizione finanziaria dell’Esercente e in particolar modo, il riepilogo delle Operazioni di pagamento effettuate nel periodo di riferimento, le movimentazioni e le somme a qualsiasi titolo registrate a debito/credito di quest’ultimo, il saldo debito- re/creditore, l’importo delle commissioni di cui all’Art. 7, l’importo delle Interchange Fee, l’importo degli oneri di Circuito e l’importo delle Operazioni di pagamento.

19.2 Fatto salvo ed in aggiunta a quanto sopra, la Società provvede a mette re a di- sposizione dell’Esercente, su Supporto Durevole almeno una volta all’anno, un do- cumento (il “Documento di Sintesi Annuale”) che riporta, in maniera personalizzata, tutte le condizioni in vigore relative al Servizio ed evidenzia le eventuali modifiche intercorse. Il Documento di Sintesi Annuale potrà non essere prodotto (i) qualora il Servizio non sia stato commercializzato unitamente al Conto Corrente o (ii) in caso di mancata variazione delle condizioni economiche rispetto alla comunicazione precedente.

19.3 L’Estratto Conto e il Documento di Sintesi Annuale, o il Documento di Sintesi aggiornato nel caso di cui al punto (ii) del precedente comma, vengono pubblicati sul Portale Esercenti unitamente ad un riepilogo che per ogni singola Transazione effettuata nel mese di riferimento riporta:

i) il riferimento che consente all’Esercente di identificare la Transazione;

ii) l’importo della Transazione nella valuta in cui avviene l’accredito sul Conto Cor- rente;

iii) l’indicazione distinta degli importi delle commissioni di cui all’Art. 7 della Inter- change Fee e degli Oneri di Circuito. Al fine di prendere visione e di conservare tali documenti, l’Esercente si obbliga ad accedere al Portale Esercenti almeno una volta al mese. L’Esercente ha inoltre la facoltà di chiedere, in qualunque momento, la produzione e l’invio dell’Estratto Conto, del Documento di Sintesi Annuale e del riepilogo delle Transazioni effettuate nel mese di riferimento in

formato cartaceo, a fronte del pagamento del corrispettivo indicato nel Docu- mento di Sintesi. La relativa richiesta deve essere effettuata contattando telefo- nicamente il Servizio Clienti.

19.4 Trascorsi 60 (sessanta) giorni dalla data ricezione della comunicazione ovvero dalla pubblicazione sul Portale Esercenti, senza che sia pervenuto alla Società un re- clamo specifico per iscritto all’indirizzo di cui al successivo art. 31, l’Estratto Conto si intenderà senz’altro approvato dall’Esercente, con pieno effetto riguardo a tutti gli elementi che hanno concorso a formare la risultanza del documento. Resta in ogni caso salvo il diritto dell’Esercente di contestare eventuali Operazioni di pagamento non eseguite, tardive o non correttamente eseguite nei termini ed alle condizioni di cui al precedente art. 13.

19.5 Relativamente alle comunicazioni di cui al presente articolo, l’Esercente ha inoltre la facoltà di chiedere, in qualunque momento, la produzione e l’invio di ul- teriori informazioni o più frequenti oppure la trasmissione in formato cartaceo, a fronte del pagamento del corrispettivo indicato nel Documento di Sintesi. La rela- tiva richiesta deve essere effettuata contattando telefonicamente il Servizio Clienti.

Art. 20 - Trattamento dei dati dei Titolari

20.1 L’Esercente si impegna a custodire con la massima diligenza professionale i dati dei Titolari delle Carte ed a trattarli nel rispetto degli obblighi previsti dalla vigente normativa in materia di trattamento e protezione dei dati personali nonché dallo standard PCI-DSS, consultabile sul portale Nexi, per quanto applicabile in funzione della relativa categoria di appartenenza.

La categoria di appartenenza dell’Esercente ai fini degli standard PCI DSS viene indi- viduata all’atto della sottoscrizione della Domanda di Adesione in funzione del vo- lume annuale delle transazioni dichiarato dall’Esercente stesso e dei servizi attivabili come indicati all’interno dei moduli di richiesta.

La Società si riserva il diritto di: i) verificare annualmente la categoria di appartenenza dell’Esercente e l’effettiva implementazione delle relative misure per la protezio- ne dei dati a fini PCI-DSS, ferma l’applicazione – in caso di inadempimento – della clausola risolutiva di cui all’art. 24; (ii) comunicare all’Esercente eventuali variazioni o conferme della categoria di appartenenza, assegnando un termine congruo per l’adeguamento e l’adozione delle relative misure di protezione di dati.

20.2 L’Esercente si impegna a trattare tali dati in maniera lecita, sicura, riservata e limitatamente alle finalità connesse al Contratto.

20.3 I dati dei Titolari delle Carte non possono essere trasmessi, salvo per eventuali esigenze di carattere giudiziario, a terze parti diverse dalla Società e/o da soggetti dalle stesse designati. La trasmissione dei dati ai soggetti autorizzati deve essere comunque effettuata in modo sicuro.

20.4 In caso di uso illecito dei dati, anche da parte di terzi, derivante dal manca- to rispetto di quanto previsto dal Contratto, l’Esercente è soggetto al pagamento delle sanzioni previste dalla normativa vigente, ivi comprese le sanzioni e le penali previste dalle norme dei Circuiti. La Società si riserva il diritto di rivalersi nei confronti dell’Esercente per ogni conseguenza pregiudizievole.

20.5 La Società mette a disposizione dell’Esercente, a fronte del pagamento dei corrispettivi indicati sul Documento di Sintesi, sul proprio portale e su eventuali ul- teriori canali di contatto (es. app mobile) un questionario finalizzato all’autocertifi- cazione del livello di conformità allo standard PCI-DSS. La Società fornirà assistenza per la compilazione del questionario. L’Esercente si obbliga alla corretta compila- zione del questionario almeno una volta per ogni anno solare (validità 12 mesi). L’ottenimento del certificato di conformità agli standard PCI-DSS, anche nella mo- dalità “Verifica PCI-DSS”, garantisce l’Esercente dall’applicazione delle sanzioni pre- viste dalle norme dei Circuiti per il periodo di validità del certificato.

Tale garanzia viene meno al verificarsi di uno o più dei seguenti eventi: scadenza del certificato;

non corrispondenza al vero di quanto dichiarato dall’Esercente nel questionario che consente di generare il certificato ufficiale previsto dallo standard PCI-DSS; uso illecito da parte dell’Esercente dei dati relativi alle carte di pagamento ogni altra motivazione non attinente allo standard PCI-DSS e direttamente imputabile all’Esercente.

L’Esercente si impegna pertanto a garantire la possibilità al personale incaricato del- la Società – ivi compresi eventuali collaboratori e/o consulenti esterni - di accedere, previa comunicazione scritta con 15 giorni di preavviso, ai sistemi ed alle infrastrut- ture IT, nonché agli uffici dell’Esercente stesso o di eventuali fornitori (outsourcers) per verificare l’attuazione delle misure di protezione dei dati previste dallo standard PCI-DSS, consultabile sul Portale Esercenti.

La Società si riserva il diritto di rivalersi nei confronti dell’Esercente per ogni con- seguenza pregiudizievole connessa o derivante dall’eventuale inosservanza delle disposizioni che precedono.

Art. 21 - Dati informativi riguardanti l’Esercente

21.1 L’Esercente, anche per il periodo successivo alla vigenza del Contratto, accon- sente che il suo nominativo ed i suoi dati identificativi vengano inseriti in un elenco comune formato da società emittenti carte di credito, relativo agli esercizi presso

i quali sono state negoziate carte rubate, smarrite, contraffatte o falsificate o co- munque da chiunque utilizzate con modalità e per scopi non conformi alle finalità del Contratto, nonché qualora versi in condizioni che denotino le sue incapacità ad adempiere regolarmente alle proprie obbligazioni, esonerando la Società stessa, fatti salvi i casi di dolo o colpa grave, da ogni responsabilità derivante da errori o ine- sattezze nella trasmissione o elaborazione dei dati in esso riportati e senza obbligo di comunicazione di tale inserimento.

21.2 La Società è tenuta a rispettare la normativa antiriciclaggio e di contrasto al finanziamento del terrorismo pertanto si riserva la facoltà di contattare l’Esercente nel corso del rapporto, richiedendo allo stesso tutte le informazioni necessarie al fine di adempiere agli obblighi normativi ed alle obbligazioni in materia di controllo constante, ai sensi dell’art. 18 del D.Lgs 231/2007 e s.m.i.

Art.22 - Estensione del Contratto ad altre Carte

22.1 Fatto salvo quanto previsto al precedente art. 5, in aggiunta alle Carte contras- segnate dai marchi dei Circuiti il cui campo è compilato nella Domanda di Adesione Esercenti Nexi, la Società potrà proporre all’Esercente per iscritto e l’Esercente si impegna ad accettare con le stesse modalità descritte nel Contratto, salvo quanto previsto all’art. 25.1, eventuali ulteriori Carte, precisandone di volta in volta deno- minazione, marchio, Circuito, condizioni economiche (inclusa la Commissione di Acquiring), funzionalità e caratteristiche. Inoltre, in considerazione del Circuito della Carta proposta dalla Società ai sensi del presente art. 22, la Società stessa si riserva la facoltà, per ragioni tecniche o di altra natura, di individuare un prestatore di servizi di pagamento terzo, autorizzato alla prestazione del servizio di convenzionamento di operazioni di pagamento ed in grado di fornire il servizio di acquiring con riferi- mento alla Carta proposta dalla Società ai sensi del presente articolo, proponendo all’Esercente la sottoscrizione del relativo contratto per la prestazione del servizio di acquiring con tale prestatore di servizi di pagamento terzo.

22.2 Ove la Carta proposta dalla Società ai sensi del presente art. 22 preveda con- dizioni economiche peggiorative rispetto alle condizioni economiche massime applicate alle Carte contrassegnate dai marchi dei Circuiti il cui campo è compilato nella Domanda di Adesione Esercenti Nexi, la proposta di tale ulteriore Carta verrà effettuata dalla Società ai sensi dell’art. 27. Ove invece le condizioni economiche di tale ulteriore Carta siano migliorative o uguali rispetto alle condizioni economiche massime applicate alle Carte contrassegnate dai marchi dei Circuiti il cui campo è compilato nella Domanda di Adesione Esercenti Nexi, la proposta di tale ulteriore Carta verrà effettuata dalla Società con efficacia immediata ai sensi dell’art. 31.5.

Art. 23 - Servizi Collegati

Al Servizio, su richiesta dell’esecente, possono essere collegati eventuali servizi accessori. Tali servizi saranno oggetto di specifica regolamentazione, sottoscritta separatamente, che formerà parte integrante e sostanziale del Contratto, costi- tuendone un’appendice.

Art. 24 - Clausola risolutiva espressa

24.1 La Società può dichiarare risolto il Contratto, ai sensi dell’art. 1456 c.c., nelle seguenti ipotesi: i) mancata osservanza da parte dell’Esercente degli obblighi di cui ad Art. 6 (Accettazione delle Carte), Art. 7 (Obblighi dell’Esercente), Art. 8 (Obblighi dell’Esercente in relazione a Transazioni Via Internet), Art. 9 (Obblighi dell’Esercen- te in relazione al Servizio XPay), Art. 13 (Contestazioni e reclami – Responsabilità dell’Esercente), Art. 20 (Trattamento dei dati dei Titolari), Art. 31 (Comunicazioni all’Esercente e variazione dei dati); ii) chiusura del Conto Corrente; iii) accertamen- to di protesti cambiari, di sequestri, di decreti ingiuntivi o di azioni esecutive a carico dell’Esercente; iv) infedele dichiarazione dei dati dell’Esercente e/o dei punti vendi- ta resi al momento della sottoscrizione della Domanda di Adesione E-COMMERCE XPAY; v) esponga o venda mediante il proprio sito internet prodotti di natura tale da poter recare nocumento all’immagine della Società o atti a recare offesa al pubbli- co, e ciò ad insindacabile giudizio della Società, ferma restando la possibilità per la Società di rivalersi sull’Esercente per eventuali danni di immagine; vi) il sospetto di utilizzi fraudolenti, non autorizzati o contrari alla disciplina in materia di antiriciclag- gio e finanziamento al terrorismo; vii) inadempimento degli obblighi previsti dalla disciplina in materia di antiriciclaggio e finanziamento al terrorismo; viii) individua- zione di anomalie e incongruenze emerse nell’ambito degli adempimenti in materia di adeguata verifica ai sensi del D.Lgs. 231/2007.

24.2 La Società invia all’Esercente la comunicazione di risoluzione del Contratto in forma scritta, su supporto cartaceo a mezzo raccomandata A.R. o con le modalità di cui all’Art. 00.Xx caso di risoluzione del Contratto l’Esercente non può compiere ulte- riori Transazioni con le Carte e deve provvedere entro il termine di 30 (trenta) giorni dalla data di ricevimento da parte dell’Esercente della comunicazione di risoluzione del Contratto al pagamento, in unica soluzione, di ogni ragione di credito vantata dalla Società nei suoi confronti, ed in particolare delle commissioni inerenti alle Transazioni effettuate fino alla data della risoluzione, oltre che a restituire alla Società tutto il ma- teriale da quest’ultima fornitogli, nonché rimuovere le vetrofanie relative al servizio.

Art. 25 - Recesso delle Parti

25.1 Recesso dell’Esercente

L’Esercente ha facoltà di recedere dall’intero Contratto, (anche relativamente ad uno solo o a più punti vendita), ovvero da uno o più singoli Servizi Collegati al Contratto, in qualsiasi momento, senza preavviso, senza penalità e senza spese, mediante comunicazione scritta a mezzo raccomandata A.R. da inviare alla Socie- tà, agli indirizzi/recapiti indicati nel successivo art. 32 o a mezzo PEC all’indirizzo xxxxxxx.xxxxxxxx@xxx.xxxx.xx. Il recesso si considera efficace dal momento in cui la Società ne viene a conoscenza.

25.2 Recesso della Società

La Società può recedere dall’intero Contratto, ovvero da uno o più singoli Servizi Collegati al Contratto, con preavviso di 2 (due) mesi e senza nessun onere a carico dell’Esercente, dandone comunicazione in forma scritta all’Esercente, su supporto cartaceo a mezzo raccomandata A.R. o con le modalità di cui all’Art. 30. Il reces- so si considera efficace trascorsa la durata del periodo di preavviso a decorrere dal momento in cui l’Esercente viene a conoscenza dell’esercizio del recesso da parte della Società.

25.3 Diritti ed obblighi dell’Esercente in tutti i casi di recesso dal Contratto A decorrere dalla data di cessazione degli effetti giuridici del Contratto, anche ai sensi degli artt. 24.1 e 24.2 di cui sopra, l’Esercente non potrà compiere ulteriori Transazioni via Internet e dovrà restituire immediatamente alla Società tutto il ma- teriale operativo o pubblicitario da quest’ultima fornitogli, oltre che eliminare dal proprio sito Internet ogni riferimento alla Società e al convenzionamento di cui al presente Regolamento. L’Esercente resta inoltre obbligato al pagamento degli im- porti di cui al successivo Art. 29.

Entro 60 (sessanta) giorni dall’efficacia del recesso, la Società fornisce all’Esercente la rendicontazione finale comprensiva di ogni ragione di credito vantata dalla So- cietà nei suoi confronti ai sensi del presente Regolamento, e in particolare l’importo delle commissioni inerenti alle Transazioni via Internet effettuate fino alla data di risoluzione del rapporto; se pagate anticipatamente, esse sono rimborsate in ma- niera proporzionale. Entro i successivi 30 (trenta) giorni, l’Esercente provvede al pa- gamento, in un’unica soluzione, degli importi risultanti dalla rendicontazione finale. In caso di addebito di spese periodiche, queste saranno dovute dall’Esercente solo in misura proporzionale per il periodo precedente al recesso e, se pagate anticipa- tamente, esse sono rimborsate in maniera proporzionale.

25.4 Ulteriori effetti del recesso dal Contratto

In tutti i casi di recesso dall’intero Contratto, inoltre, il recesso si estende anche ad eventuali Servizi Collegati al Contratto, anche in deroga alle condizioni e ai termini eventualmente previsti dalla normativa di settore.

Art. 26 - Servizi Collegati al Contratto

I diritti e gli obblighi dell’Esercente in caso di esercizio del diritto di recesso da sin- goli Servizi Collegati al Contratto da parte dell’Esercente medesimo o della Società, sono disciplinati dai singoli regolamenti applicabili al servizio medesimo.

Art. 27 - Modifiche al Contratto

27.1 Ogni modifica unilaterale del Contratto o delle condizioni ed informazioni ad esso relative è proposta e comunicata dalla Società, con preavviso minimo di alme- no 2 (due) mesi rispetto alla data prevista per la sua applicazione. La proposta di mo- difica unilaterale si ritiene accettata dall’Esercente a meno che questo non comuni- chi alla Società, prima della data prevista per l’applicazione della modifica, che non intende accettarla. In questo caso, l’Esercente ha diritto di recedere dal Contratto, senza spese, con comunicazione da inviare alla Società con le modalità e gli effetti di cui all’Art. 24, entro e non oltre la data prevista per l’applicazione della modifica.

27.2 Le comunicazioni di modifica di cui al presente articolo dovranno essere ef- fettuate con le modalità di cui all’Art. 31. Tutte le comunicazioni di modifica indiche- ranno espressamente la formula “Proposta di modifica unilaterale del Contratto”.

Art. 28 - Diritto ad ottenere copia del Contratto e del Documento di Sintesi L’Esercente ha il diritto di ottenere, su sua richiesta, in ogni momento e gratuita- mente, copia completa del Contratto e del Documento di Sintesi aggiornato.

Art. 29 - Tempi massimi di chiusura del Contratto

Entro 60 (sessanta) giorni dalla data di efficacia del recesso così come stabilita dal precedente Art. 24, la Società fornisce all’Esercente la rendicontazione finale com- prensiva di ogni ragione di credito vantata dalla Società nei suoi confronti, e in par- ticolare l’importo delle commissioni inerenti alle Transazioni effettuate fino alla data di efficacia del recesso; se pagate anticipatamente, esse sono rimborsate in maniera proporzionale. Entro i successivi 30 (trenta) giorni l’Esercente provvede al paga- mento, in un’unica soluzione, degli importi risultanti dalla rendicontazione finale.

Art. 30 - Cessione del Contratto/credito

La Società potrà cedere in ogni momento a terzi il Contratto o i diritti da esso deri- vanti, con le relative garanzie, dandone comunicazione scritta all’Esercente, ai sensi

di legge, all’indirizzo indicato nella Domanda di Adesione E-COMMERCE XPAY o a quello successivamente comunicato ai sensi del successivo Art. 31, senza che ciò comporti la diminuzione della tutela degli interessi dell’Esercente.

Art. 31 - Comunicazioni all’Esercente e variazione dei dati

31.1 Tutte le comunicazioni inerenti al Contratto, salvo diverso specifico accordo per iscritto della Società e dell’Esercente, sono effettuate in lingua italiana.

31.2 Se non è escluso dalla legge o dal Contratto, tutte le comunicazioni per le qua- li è richiesta la forma scritta, in conformità con la normativa applicabile di volta in volta vigente, si intendono assolte tramite l’invio su supporto durevole all’indirizzo email indicato dall’Esercente nella Domanda Di Adesione Esercenti Nexi, o al diverso indirizzo successivamente indicato. Tali comunicazioni potranno comunque essere reperite dall’Esercente all’interno dell’apposita area prevista sulla Portale esercenti. In alcuni casi residuali, la Società può avvalersi di diverse modalità di comunicazione a distanza, quali ad esempio le chiamate senza l’intervento di un operatore median- te dispositivo automatico. Fermo restando il rispetto delle disposizioni in materia di protezione dei dati personali, le comunicazioni telefoniche tra la Società e l’Esercen- te possono essere registrate.

31.3 Fermo restando quanto previsto dal precedente art. 19 in merito alla rendicon- tazione periodica, l’Esercente può chiedere che le comunicazioni di cui al Contratto gli siano fornite in forma scritta a mezzo posta, a fronte del pagamento del corrispet- tivo indicato nel Documento di Sintesi, ove previsto.

32 - Comunicazioni alla Società

32.1 L’invio di comunicazioni per iscritto alla Società dovrà essere effettuato dall’E- sercente al seguente indirizzo: Nexi Payments SpA, Xxxxx Xxxxxxxx x. 00, 00000, Xxxxxx.

32.2 Per le comunicazioni e i servizi diretti al Servizio Clienti, nonché in tutti gli altri casi in cui il Contratto prevede l’utilizzo di canali di comunicazione alternativi (tele- fono, fax, e-mail, ecc.), l’Esercente dovrà utilizzare gli indirizzi/ recapiti indicati nel Foglio Informativo E-COMMERCE XPAY.

33 - Reclami ricorsi e conciliazioni

33.1 L’Esercente può presentare reclami alla Società con comunicazione scritta, tra- mite i seguenti canali:

– sito xxx.xxxx.xx nella sezione Reclami, compilando il Form reclami “esercenti”

– xxx xxx xx x. 00/0000.0000

– via email all’indirizzo: x.xxxxxxxxxxxx@xxxx.xx

– con PEC (Posta Elettronica Certificata) all’indirizzo: reclami.nexipayments@pec.

xxxx.xx

– a mezzo posta ordinaria, raccomandata A.R. o posta prioritaria ai seguenti reca- piti: Nexi Payments – Claims Management- Xxxxx Xxxxxxxx x. 00, 00000, Xxxxxx.

Per maggiori dettagli in merito alle modalità di gestione dei reclami, si rimanda alla sezione Reclami del sito xxx.xxxx.xx.

È considerato valido il reclamo che contiene gli estremi di chi lo propone, i motivi del reclamo, la firma o analogo elemento che consenta di identificare con certezza l’Esercente.

33.2 La Società darà riscontro al reclamo entro 15 (quindici) giornate operative dalla sua ricezione, indicando, in caso di accoglimento, i tempi previsti per risolvere il pro- blema. Qualora la società venga a trovare nell’impossibilità di rispondere al reclamo entro le tempistiche sovra indicate, potrà sottoporre all’Esercente una risposta inter- locutoria dettagliando le ragioni che hanno determinato l’impossibilità a rispondere entro le 15 (quindici) giornate operative. Le circostanze che hanno determinato l’im- possibilità a rispondere entro 15 (quindici) giornate operative non devono, in ogni caso, essere dovute a volontà o negligenza della società.

Nei casi di risposta interlocutoria, la società dovrà comunque fornire una risposta definitiva al reclamo entro 35 (trentacinque) giornate operative.

Se la Società non risponde al reclamo nei termini stabiliti oppure il reclamo non è accolto o se non è comunque soddisfatto della risposta, l’Esercente può rivolger- si all’Arbitro Bancario Finanziario (“ABF”) nei casi espressamente previsti nella Guida pratica all’Arbitro Bancario Finanziario.

33.3 Per conoscere condizioni e modalità per rivolgersi all’ABF l’Esercente può con- sultare l’apposita “Guida” disponibile sul sito Internet della Società, nonché presso le filiali di Banca d’Italia aperte al pubblico oppure consultare direttamente il sito xxx.xxxxxxxxxxxxxxxxxxxxxxxxxx.xx.

La Guida in formato elettronico potrà essere richiesta dal Titolare/Esercente contat- tando il Servizio Clienti.

33.4 In alternativa all’ABF o per le questioni che esulano la sua competenza così come sopra delineata, l’Esercente può presentare, anche in assenza di preventivo reclamo alla Società, domanda di mediazione finalizzata alla conciliazione presso uno degli organismi di mediazione autorizzati ai sensi di legge (Decreto Legislativo 4 marzo 2010, n. 28). In ogni caso, l’esperimento di tale procedimento di mediazione è condizione di procedibilità dell’eventuale domanda giudiziale.

33.5 In aggiunta a quanto sopra, in caso di violazione da parte della Società delle re- gole di condotta che riguardano la prestazione dei servizi di pagamento, l’Esercente può presentare un esposto alla Banca d’Italia (ai sensi dell’art. 39 del D.lgs. 11/2010). In caso di grave inosservanza degli obblighi assunti dalla Società in relazione alla pre- stazione dei servizi di pagamento, saranno applicabili sanzioni amministrative pecu- niarie nei confronti dei soggetti che svolgono funzioni di amministrazione, direzione nonché dei soggetti che svolgono funzioni di controllo per mancata vigilanza sull’os- servanza degli obblighi in questione, nella misura di volta in volta prevista ai sensi di legge (ai sensi del Titolo VIII del Testo Unico Bancario e dell’art. 32 del D. Lgs. 11/2010).

34 - Lingua del Contratto, legge applicabile e foro competente

34.1 Il Contratto è redatto in lingua italiana e regolato dalla legge italiana.

34.2 Per qualsiasi controversia sulla validità, efficacia, interpretazione ed esecuzione del Contratto sarà competente, in via esclusiva, il Foro di Milano.

35 - Controlli

La Società è soggetta ai controlli esercitati da Banca d’Italia, con sede in Xxx Xxxxx- xxxx x. 00, 00000, Xxxx.