Circolare Banca d'Italia n. 285 del 17 dicembre 2013: attuazione degli Orientamenti EBA in materia di esternalizzazione

In breve

Con il 34° aggiornamento della Circolare n. 285 del 17 dicembre 2013 (la "Circolare 285"), pubblicato il 23 settembre 2020, la Banca d’Italia ha dato attuazione, tra gli altri, agli Orientamenti dell’EBA in materia di outsourcing emanati dall’Autorità Bancaria Europea il 25 febbraio 2019 (gli "Orientamenti").

Gli Orientamenti, che impongono ai soggetti vigilati di dotarsi di solidi presidi di governo dei processi di esternalizzazione e che mirano a stabilire un quadro armonizzato per gli accordi di outsourcing, si applicano alle banche, alle imprese di investimento, agli istituti di pagamento e agli istituti di moneta elettronica, nonché alle stesse Autorità di vigilanza.

In particolare, le novellate disposizioni si applicano a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire dal 24 settembre 2020.

Fino al 31 dicembre 2021 è previsto un regime transitorio nel corso del quale le banche sono chiamate a dare completa attuazione agli Orientamenti, completando il registro delle attività esternalizzate con la documentazione di tutti gli accordi di esternalizzazione esistenti, e adeguando le proprie procedure interne e i contratti già esistenti alle nuove norme.

È invece ancora formalmente da modificare la disciplina in materia di esternalizzazione applicabile alle SIM, agli istituti di pagamento e agli istituti di moneta elettronica al fine di recepire gli Orientamenti.

Le principali novità

Una delle maggiori novità nell’attuazione degli Orientamenti è da identificarsi nel nuovo regime di informativa preventiva da trasmettersi all’Autorità di vigilanza con riguardo all'esternalizzazione di funzioni aziendali essenziali o importanti, che allinea la prassi nazionale a quelle degli altri Paesi europei.

In particolare, in linea con quanto previsto dagli Orientamenti, le banche sono tenute a inviare all’Autorità di vigilanza una sintetica informativa (che deve contenere informazioni generali che le banche devono inserire nel registro delle esternalizzazioni), prima di avviare l’esternalizzazione – lasciando alle banche comunque la facoltà di avviare un confronto con la vigilanza per le esternalizzazioni più rilevanti e/o innovative – senza che ciò possa più determinare la possibilità di avviare un procedimento amministrativo di divieto dell’esternalizzazione.

In altri termini, decade la facoltà per l’Autorità di avviare un procedimento di divieto nei 60 giorni successivi alla notifica, rinviando la fase di controllo, su base continuativa, alle attività di analisi sugli intermediari (ad esempio, nell’ambito dello SREP) e alla vigilanza ispettiva.

Con riguardo alle esternalizzazioni del sistema informativo – o di sue componenti critiche – la comunicazione preventiva da inviare all'Autorità di vigilanza deve inoltre recare:

1. i risultati della valutazione dei rischi dell’accordo di esternalizzazione condotta dalla banca; e
2. una descrizione delle strategie d’uscita (exit strategies), delle strategie di esternalizzazione della banca, del modello di riferimento per il sistema informativo come modificato dall’esternalizzazione e dei processi di funzionamento dei servizi esternalizzati, con particolare riguardo alle modalità con cui sono garantiti i requisiti disciplinati dalla medesima Circolare 285.

Le nuove regole in materia di esternalizzazione introducono inoltre specifici obblighi tra cui:

1. la tenuta di un registro aggiornato delle attività esternalizzate;
2. la valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione;
3. l’inserimento nei contratti di outsourcing di clausole dettagliate su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.

Inoltre, in aggiunta all’obbligo di comunicazione preventiva all’Autorità di vigilanza prima di dare corso all’esternalizzazione di funzioni essenziali o importanti, le nuove norme introducono un obbligo di notifica anche quando un’attività già esternalizzata è riclassificata dall’intermediario come funzione essenziale o importante.

In tale contesto, al fine di garantire la piena attuazione degli Orientamenti, assume particolare rilevanza la (necessaria) definizione di solidi presidi di governo finalizzati, tra gli altri, a disciplinare la fase che attiene alla c.d. scelta del fornitore di servizi, la quale deve necessariamente avvenire all'esito di uno specifico processo di due diligence, nonché a definire le metodologie e le procedure di valutazione del rischio legale connesso ai processi di esternalizzazione.

La scelta del fornitore, infatti, si deve basare su una preliminare analisi documentata, sull'individuazione del rischio sotteso alle risorse e ai servizi da esternalizzare e sulla conseguente valutazione dei rischi associati ai possibili fornitori. A livello di processo, ad esempio, e per ciascuna funzione/attività da esternalizzare, occorrerebbe stabilire quali requisiti devono essere valutati ex ante (i.e. come criteri di "eleggibilità" del fornitore) e quali devono invece essere verificati ex post, anche sulla base di idonei presidi contrattuali/organizzativi concretamente adottati.

Parimenti, la corretta individuazione e gestione dei rischi legali assume rilevanza in tutte le fasi dei processi di esternalizzazione, dalla fase di progettazione e definizione del progetto, sino all'eventuale sostituzione del fornitore o re-internalizzazione dell'attività o della funzione.

Coerentemente, la metodologia e la procedura di valutazione del rischio legale deve essere implementata – e documentalmente formalizzata – con riferimento a tutte le fasi delle operazioni di outsourcing.

Impatti e possibili azioni da intraprendere

Alla luce delle novellate disposizioni, le banche sono chiamate a:

• applicare a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire dal 24 settembre 2020 la disciplina dettata dagli Orientamenti;
• completare il registro delle attività esternalizzate con la documentazione di tutti gli accordi di esternalizzazione esistenti;
• adeguare i contratti già esistenti alle nuove norme;
• esaminare – e se del caso adeguare – la propria politica sull'esternalizzazione e le ulteriori procedure interne in materia, al fine di assicurarne la conformità agli Orientamenti, nonché
• adeguare – o formalizzare ex novo – il processo di due diligence dei fornitori di servizi e la metodologia e la procedura di valutazione del rischio legale connesso ai processi di esternalizzazione.

Per qualsiasi esigenza di chiarimento o di assistenza in merito a quanto precede, i nostri professionisti sono a Vostra completa disposizione.