In breve
Con il 34° aggiornamento della Circolare n. 285 del 17 dicembre 2013 (la "Circolare 285"), pubblicato il 23 settembre 2020, la Banca d’Italia ha dato attuazione, tra gli altri, agli Orientamenti dell’EBA in materia di outsourcing emanati dall’Autorità Bancaria Europea il 25 febbraio 2019 (gli "Orientamenti").
Gli Orientamenti, che impongono ai soggetti vigilati di dotarsi di solidi presidi di governo dei processi di esternalizzazione e che mirano a stabilire un quadro armonizzato per gli accordi di outsourcing, si applicano alle banche, alle imprese di investimento, agli istituti di pagamento e agli istituti di moneta elettronica, nonché alle stesse Autorità di vigilanza.
In particolare, le novellate disposizioni si applicano a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire dal 24 settembre 2020.
Fino al 31 dicembre 2021 è previsto un regime transitorio nel corso del quale le banche sono chiamate a dare completa attuazione agli Orientamenti, completando il registro delle attività esternalizzate con la documentazione di tutti gli accordi di esternalizzazione esistenti, e adeguando le proprie procedure interne e i contratti già esistenti alle nuove norme.
È invece ancora formalmente da modificare la disciplina in materia di esternalizzazione applicabile alle SIM, agli istituti di pagamento e agli istituti di moneta elettronica al fine di recepire gli Orientamenti.
Le principali novità
Una delle maggiori novità nell’attuazione degli Orientamenti è da identificarsi nel nuovo regime di informativa preventiva da trasmettersi all’Autorità di vigilanza con riguardo all'esternalizzazione di funzioni aziendali essenziali o importanti, che allinea la prassi nazionale a quelle degli altri Paesi europei.
In particolare, in linea con quanto previsto dagli Orientamenti, le banche sono tenute a inviare all’Autorità di vigilanza una sintetica informativa (che deve contenere informazioni generali che le banche devono inserire nel registro delle esternalizzazioni), prima di avviare l’esternalizzazione – lasciando alle banche comunque la facoltà di avviare un confronto con la vigilanza per le esternalizzazioni più rilevanti e/o innovative – senza che ciò possa più determinare la possibilità di avviare un procedimento amministrativo di divieto dell’esternalizzazione.
In altri termini, decade la facoltà per l’Autorità di avviare un procedimento di divieto nei 60 giorni successivi alla notifica, rinviando la fase di controllo, su base continuativa, alle attività di analisi sugli intermediari (ad esempio, nell’ambito dello SREP) e alla vigilanza ispettiva.
Con riguardo alle esternalizzazioni del sistema informativo – o di sue componenti critiche – la comunicazione preventiva da inviare all'Autorità di vigilanza deve inoltre recare:
Le nuove regole in materia di esternalizzazione introducono inoltre specifici obblighi tra cui:
Inoltre, in aggiunta all’obbligo di comunicazione preventiva all’Autorità di vigilanza prima di dare corso all’esternalizzazione di funzioni essenziali o importanti, le nuove norme introducono un obbligo di notifica anche quando un’attività già esternalizzata è riclassificata dall’intermediario come funzione essenziale o importante.
In tale contesto, al fine di garantire la piena attuazione degli Orientamenti, assume particolare rilevanza la (necessaria) definizione di solidi presidi di governo finalizzati, tra gli altri, a disciplinare la fase che attiene alla c.d. scelta del fornitore di servizi, la quale deve necessariamente avvenire all'esito di uno specifico processo di due diligence, nonché a definire le metodologie e le procedure di valutazione del rischio legale connesso ai processi di esternalizzazione.
La scelta del fornitore, infatti, si deve basare su una preliminare analisi documentata, sull'individuazione del rischio sotteso alle risorse e ai servizi da esternalizzare e sulla conseguente valutazione dei rischi associati ai possibili fornitori. A livello di processo, ad esempio, e per ciascuna funzione/attività da esternalizzare, occorrerebbe stabilire quali requisiti devono essere valutati ex ante (i.e. come criteri di "eleggibilità" del fornitore) e quali devono invece essere verificati ex post, anche sulla base di idonei presidi contrattuali/organizzativi concretamente adottati.
Parimenti, la corretta individuazione e gestione dei rischi legali assume rilevanza in tutte le fasi dei processi di esternalizzazione, dalla fase di progettazione e definizione del progetto, sino all'eventuale sostituzione del fornitore o re-internalizzazione dell'attività o della funzione.
Coerentemente, la metodologia e la procedura di valutazione del rischio legale deve essere implementata – e documentalmente formalizzata – con riferimento a tutte le fasi delle operazioni di outsourcing.
Impatti e possibili azioni da intraprendere
Alla luce delle novellate disposizioni, le banche sono chiamate a:
Per qualsiasi esigenza di chiarimento o di assistenza in merito a quanto precede, i nostri professionisti sono a Vostra completa disposizione.