Di Antonio Pezzuto, ex Dirigente della Banca d’Italia

 

Il 25 febbraio 2019 l’European Banking Authority (EBA) ha pubblicato, al termine del periodo consultazione, la versione definitiva delle “Guidelines on outsourcing arrangements” in materia di esternalizzazione di funzioni operative “essenziali o importanti”[1]. Le linee guida mirano a realizzare una maggiore armonizzazione degli accordi di outsourcing stipulati da tutti gli intermediari bancari e finanziari rientranti nel perimetro di azione dell’EBA.

Gli Orientamenti sono rivolti alle autorità competenti, agli enti creditizi e alle imprese di investimento di cui all’art. 4, paragrafo 1, del Regolamento (UE) 575/2013, agli istituti di pagamento di cui all’art. 4, paragrafo 4, della Direttiva 2015/2366/UE e agli istituti di moneta elettronica di cui all’art. 2, paragrafo 1, della Direttiva 2009/110/CE[2]. Si applicano dal 30 settembre 2019 per tutti gli accordi conclusi, soggetti a revisione o a modifica in tale data o successivamente alla stessa data, con l’eccezione della parte riguardante l’esternalizzazione di funzioni oggetto di autorizzazione a fornitori stabiliti in paesi terzi (paragrafo 63, lettera b), la cui applicabilità è prevista dal 31 dicembre 2021.

Gli enti e gli istituti di pagamento sono tenuti a completare e integrare la documentazione relativa agli accordi di esternalizzazione a far tempo dal primo rinnovo di ogni accordo esistente e comunque non oltre il 31 dicembre 2021. Qualora la revisione degli accordi non sia stata conclusa entro quest’ultima data, gli enti e gli istituti di pagamento dovranno darne notizia all’autorità competente.

Dal 30 settembre 2019 sono contestualmente abrogate le linee guida CEBS sull’outsourcing del 2006, che erano destinate esclusivamente alle banche, e le Raccomandazioni EBA in materia di esternalizzazione a fornitori di servizi cloud[3] che sono confluiti nel documento in esame.

Le linee guida constano di 5 Titoli: applicazione a livello di gruppo e sistemi di tutela istituzionale; valutazione degli accordi di esternalizzazione; quadro di governance; processo di esternalizzazione; orientamenti in materia di esternalizzazione indirizzati alle autorità competenti.

 

Titolo I

Si declina il principio di proporzionalità secondo cui i dispositivi di governance, compresi quelli relativi all’esternalizzazione, siano coerenti con il profilo di rischio individuale, con la natura e il modello di dell’ente o dell’istituto di pagamento, nonché con la portata e la complessità dell’attività svolta. Si stabilisce inoltre che, nell’applicazione dei precetti contenuti nelle linee guida dell’EBA, gli enti e gli istituti di pagamento dovranno tenere in considerazione la complessità delle funzioni esternalizzate, i rischi derivanti dall’accordo di outsourcing, l’essenzialità o l’importanza della funzione esternalizzata e l’impatto potenziale dell’esternalizzazione sulla continuità operativa.

Qualora l’esternalizzazione avvenga nell’ambito dello stesso gruppo di appartenenza, l’ente o l’istituto di pagamento dovrà garantire che la selezione del fornitore di servizi si fondi su elementi oggettivi e che l’accordo sia stato concluso alle normali condizioni di mercato.

 

Titolo II

Spetta agli enti e agli istituti di pagamento valutare se un accordo con un soggetto terzo rientri nella definizione di esternalizzazione. In tale valutazione si dovrà infatti tenere conto se la funzione esternalizzata (o parte di essa): i) viene svolta dal terzo su base ricorrente o permanente; e se ii) ricadrebbe, in linea di principio, nell’ambito delle attività normalmente svolte dall’ente o dall’istituto di pagamento. Non sarebbero da considerare come esternalizzazione: i) una funzione che, per legge, deve essere svolta da un fornitore di servizi (ad esempio, la revisione legale dei conti); ii) i servizi di informazione sui mercati (ad esempio, le informazioni rese dalle agenzie di rating); iii) le infrastrutture di rete globali (ad esempio, Visa e MasterCard); iv) gli accordi di compensazione e regolamento tra organismi di compensazione, controparti centrali e istituti di regolamento e loro membri; v) le infrastrutture globali di messaggistica finanziaria soggette alla vigilanza delle pertinenti autorità; vi) i servizi bancari di corrispondenza; e vi) l’acquisizione di servizi che altrimenti non sarebbero forniti dall’ente o dall’istituto di pagamento (ad esempio, la consulenza di un professionista).

Le linee guida in commento chiariscono che una funzione è da considerarsi essenziale o importante, quando: i) la sua inadeguata esecuzione potrebbe compromettere gravemente: 1) il rispetto nel continuo delle condizioni minime dell’autorizzazione ottenuta; e 2) i risultati finanziari oppure la solidità o la continuità delle attività bancarie e dei servizi di pagamento; ii) sono esternalizzati compiti operativi delle funzioni di controllo interno; e iii) l’ente o gli istituti di pagamento manifestano l’intenzione di esternalizzare le funzioni relative ad attività bancarie o i servizi di pagamento che richiedono l’autorizzazione di un’autorità competente.

Nel valutare se un accordo di esternalizzazione riguarda una funzione essenziale o importante, gli enti e gli istituti di pagamento dovranno considerare, oltre all’esito della valutazione del rischio, una serie di fattori tra cui: i) il potenziale impatto che un’interruzione della funzione esternalizzata o la mancata prestazione del servizio ai livelli di servizio concordati su base continuativa da parte del fornitore potrebbe avere sulla propria solidità e sostenibilità finanziaria a breve e a lungo termine, sulla propria continuità operativa e sui rischi reputazionali e operativi; ii) l’impatto potenziale dell’accordo di esternalizzazione sulla propria capacità di individuare, monitorare e gestire tutti i rischi nonché di rispettare le previsioni di legge e gli obblighi normativi; iii) l’impatto potenziale sui servizi forniti alla clientela, sulle dimensioni e la complessità di qualsiasi area operativa interessata; e iv) la possibilità di trasferire l’accordo di esternalizzazione proposto a un altro provider.

 

Titolo III

Si ravvisa la necessità che, nell’ambito del sistema generale dei controlli interni, gli enti e gli istituti di pagamento pongano in essere adeguati dispositivi di governance e rischio, vale a dire meccanismi atti a identificare, valutare e gestire i rischi derivanti dalla stipula di accordi con soggetti terzi, a prescindere dal fatto che tali accordi abbiano per oggetto l’esternalizzazione di funzioni aziendali.

Le linee guida chiariscono che l’esternalizzazione di alcune funzioni non determina in ogni caso il venir meno della responsabilità dell’Organo di amministrazione. Detto Organo è infatti in ogni momento pienamente responsabile dell’assetto organizzativo interno, dell’identificazione, valutazione e gestione dei conflitti di interesse, della definizione di strategie e di politiche aziendali (ad esempio, modello di business e propensione al rischio), di vigilanza sulla gestione corrente, compresa la gestione dei rischi legati all’esternalizzazione. A tal fine, si richiede agli enti e agli istituti di pagamento di: i) attribuire in modo chiaro le responsabilità per le attività di documentazione, gestione e controllo degli accordi esternalizzazione; ii) stanziare risorse sufficienti ad assicurare il pieno rispetto degli obblighi normativi; e iii) istituire una funzione di outsourcing o individuare tra le persone che occupano posizioni apicali un senior staff member che risponda direttamente all’Organo di amministrazione e che sia responsabile della gestione e supervisione dei rischi connessi con gli accordi stipulati.

In caso di esternalizzazione, gli enti e gli istituti di pagamento dovranno: i) prendere e attuare decisioni anche in relazione alle attività e alle funzioni esternalizzate; ii) garantire l’ordinato svolgimento delle proprie attività e dei servizi bancari e di pagamento resi alla clientela; iii) individuare, monitorare, gestire e mitigare i rischi connessi con gli accordi esternalizzazione, sia attuali che prospettici, anche con riferimento ai rischi ICT; iv) porre in essere disposizioni adeguate in materia di riservatezza dei dati e di altre informazioni; v) prevedere adeguati flussi informativi con i fornitori di servizi; e vi) mantenere, per le funzioni esternalizzate, su base continuativa e nell’ambito di un ragionevole lasso di tempo, la capacità di trasferire la funzione a fornitori di servizi alternativi, di reintegrare la funzione oppure di sospendere le attività operative che dipendono dalla funzione esternalizzata.

Si attribuisce all’Organo di amministrazione il compito di approvare, rivedere e aggiornare, una “policy di outsourcing”, curandone l’attuazione, che delinei le principali fasi del ciclo di vita dell’accordo di esternalizzazione e definisca i principi guida, le responsabilità e le attività rilevanti relative alla gestione delle esternalizzazioni. Il documento, da redigere in forma scritta, deve indicare: i) i ruoli e le connesse responsabilità dell’Organo di gestione; ii) le attività propedeutiche alla sottoscrizione degli accordi di outsourcing; iii) le modalità di implementazione, monitoraggio e gestione degli accordi; iv) le modalità di tenuta di un registro contenente aggiornate informazioni in merito agli accordi di outsourcing in essere, distinguendo tra esternalizzazione di funzioni essenziali o importanti e altri accordi di esternalizzazione[4]; v) le linee guida per la definizione delle strategie di uscita (exit strategies) e dei processi di risoluzione dei contratti.

Si sottolinea l’importanza che gli enti e gli istituti di pagamento provvedano inoltre a:

1. individuare, valutare e gestire i conflitti di interesse che potrebbero insorgere con i fornitori di servizi, specie nell’ambito delle ipotesi di esternalizzazione infragruppo.
2. predisporre, mantenere e testare periodicamente piani di continuità operativa (business continuity plan), al fine di limitare le perdite in caso di grave interruzione dell’attività;

• assicurare che, tra le attività della funzione di audit interno, rientri, seguendo un approccio basato sul rischio, la revisione indipendente delle attività esternalizzate.

Con riferimento al punto sub i), le linee guida stabiliscono che, in caso di esternalizzazione a un fornitore di servizi appartenente a un gruppo o che è membro di un sistema di tutela istituzionale o è controllato dall’ente dall’istituto di pagamento, dal gruppo o dagli affiliati a un sistema di tutela istituzionale, le condizioni del servizio esternalizzato dovranno essere fissate in base a normali condizioni di mercato.

Riguardo al punto sub ii), si precisa che il piano dovrà anche tenere conto delle conseguenze derivanti da un’eventuale insolvenza dei fornitori di servizi e dei rischi politici che potrebbero manifestarsi nel paese del fornitore.

Per quanto riguarda infine il punto sub iii), si specifica che la funzione di audit interno dovrà quantomeno accertare: 1) che il quadro di riferimento dell’ente o dell’istituto di pagamento per l’esternalizzazione sia attuato correttamente ed efficacemente e sia coerente con le leggi e le normative applicabili, con la strategia di rischio e con le decisioni assunte dall’Organo di amministrazione; 2) l’adeguatezza, la qualità e l’efficacia della valutazione dell’essenzialità o dell’importanza delle funzioni, nonché dei rischi per gli accordi di esternalizzazione; 3) l’appropriato coinvolgimento degli organi aziendali; e 4) la corretta gestione degli accordi.

 

Titolo IV

Il processo di esternalizzazione si articola in 4 fasi: analisi preventiva dell’accordo di outsourcing; sottoscrizione dell’accordo; controllo delle funzioni esternalizzate; strategie di uscita dagli accordi.

La prima fase prevede che gli enti e gli istituti di pagamento, prima della formalizzazione dell’accordo:

1. valutino se esso riguarda una funzione essenziale o importante e se le condizioni di vigilanza per l’esternalizzazione siano soddisfatte. Le modalità di tale valutazione variano a seconda se un fornitore di servizi è situato in uno Stato membro o in un paese terzo. Nel primo caso è sufficiente che sia soddisfatta una delle seguenti condizioni, ossia che il fornitore è registrato o autorizzato a svolgere attività bancaria o servizi di pagamento oppure è altrimenti autorizzato a svolgere tali attività o servizi di pagamento conformemente alla normativa applicabile in materia. Nel secondo caso è invece necessario che siano soddisfatte tutte e tre le seguenti condizioni: 1) il fornitore è registrato o autorizzato a svolgere tali attività o servizi di pagamento nel paese terzo ed è vigilato dall’autorità di quest’ultimo paese; 2) esiste un accordo di cooperazione tra le autorità di vigilanza dell’ente e quelle del fornitore; 3) l’accordo di cui al punto sub 2) dovrà assicurare che le autorità competenti siano quanto meno in grado di ottenere, su richiesta, le informazioni necessarie allo svolgimento dei propri compiti di vigilanza, avere accesso a dati e notizie rilevanti per l’esercizio dei poteri di supervisione, ricevere informazioni dall’autorità di vigilanza del paese terzo per indagare su presunte violazioni normative;
2. individuino e valutino l’impatto potenziale degli accordi di esternalizzazione in termini di rischio operativo, di concentrazione, reputazionale, legale e quello legato alla sub-esternalizzazione. La valutazione dovrà includere scenari di possibili eventi di rischio, compresi quelli che comportano un rischio operativo di elevata gravità;

• effettuino una adeguata due diligence sul fornitore dei servizi. Gli elementi da prendere in considerazione per lo svolgimento di tale attività sono, tra gli altri, la reputazione commerciale del provider, le sue capacità professionali, risorse umane, informatiche e finanziarie di cui dispone, la struttura organizzativa e proprietaria e il modello di business.

La seconda fase consiste nella formalizzazione dell’accordo di outsourcing, mediante la stipula di un contratto scritto. A tal fine, l’accordo dovrà contenere: una descrizione chiara della funzione esternalizzata; la data di inizio e di fine dell’accordo; una clausola che indichi se è consentita la sub-esternalizzazione di una funzione essenziale o importante o di parti sostanziali di essa[5]; la normativa che disciplina il contratto; gli obblighi finanziari delle parti; i luoghi in cui sarà svolta la funzione esternalizzata e/o in cui saranno conservati e trattati i relativi dati; il diritto dell’ente o dell’istituto di pagamento di effettuare un monitoraggio costante delle performance del fornitore di servizi; gli obblighi di reportistica del fornitore; i requisiti per l’attuazione e la verifica dei piani di emergenza dell’impresa; l’obbligo dell’outsourcer di cooperare con le autorità competenti e le autorità di risoluzione dell’ente o dell’istituto di pagamento; i diritti di cessazione[6].

La terza fase disciplina il monitoraggio dell’attività del fornitore di servizi su base continuativa secondo un approccio risk based, con particolare attenzione all’esternalizzazione di funzioni essenziali o importanti. Gli enti e gli istituti di pagamento dovranno pertanto: i) aggiornare la propria valutazione dei rischi, dandone periodicamente notizia all’Organo di amministrazione; ii) assicurare che gli accordi di esternalizzazione soddisfino adeguati standard quantitativi e qualitativi; iii) adottare misure correttive qualora emergano carenze nell’esecuzione della funzione esternalizzata.

La quarta e ultima fase prevede che gli enti e gli istituti di pagamento si dotino di una strategia di uscita (exit strategy) dall’accordo di outsourcing per tutte le esternalizzazioni di funzioni essenziali o importanti, nei casi di scadenza dell’accordo, di dissesto del provider, di deterioramento qualitativo dei servizi forniti o di insorgenza di rischi rilevanti per lo svolgimento adeguato e continuativo della funzione. L’obiettivo è di garantire l’uscita da ogni accordo di outsourcing, senza un’interruzione delle attività operative e senza pregiudicare la continuità e la qualità dei servizi resi alla clientela. A tal fine, si richiede agli enti e agli istituti di pagamento di: i) sviluppare e attuare piani di uscita (exit plans) completi, documentati e sufficientemente testati (ad esempio, effettuando un’analisi dei costi potenziali, degli impatti previsti, delle implicazioni in termini di risorse e tempistiche per il trasferimento dei servizi esternalizzati a un altro provider); e ii) individuare soluzioni alternative e sviluppare piani di transizione (transition plans) per permettere il trasferimento delle funzioni esternalizzate e dei dati da un provider all’altro o di re-internalizzare la funzione in modo ordinato.

 

 Titolo V

Alle autorità di vigilanza si attribuisce il compito di verificare se gli enti e gli istituti di pagamento abbiano assicurato, nell’ambito dei rispettivi accordi di outsourcing, che i fornitori di servizi sono obbligati a concedere all’autorità competente e all’ente o all’istituto di pagamento in questione diritti di audit e di accesso ai locali in cui opera il provider.

L’azione di supervisione nei confronti degli outsourcers si sviluppa attraverso: i) l’analisi dei rischi di esternalizzazione degli enti, da effettuare nel contesto SREP e, relativamente agli istituti di pagamento, nell’ambito di altri processi di vigilanza (richieste ad hoc, ispezioni in loco, ecc.); ii) l’esame delle informazioni annotate nel registro; e iii) la richiesta di informazioni dettagliate sugli accordi di esternalizzazione, anche se la funzione in questione non è considerata essenziale o importante.

Inoltre, seguendo un approccio basato sul rischio, le autorità competenti saranno chiamate a valutare se gli enti e gli istituti di pagamento:

• monitorano e gestiscono in modo adeguato gli accordi di esternalizzazione di funzioni essenziali o importanti;
• dispongano di risorse sufficienti per svolgere efficacemente i compiti di cui al punto precedente;
• individuano e gestiscono tutti i rischi cui sono o sarebbero esposti;
• identificano, valutano e gestiscono adeguatamente i conflitti di interesse che potrebbero insorgere tra l’ente e il fornitore di servizi.

Infine, qualora siano riscontrate debolezze nei dispositivi di governance o gravi violazioni normative, le autorità competenti potranno adottare misure appropriate che possono prevedere la limitazione dell’esternalizzazione di funzioni o la restrizione del perimetro delle funzioni esternalizzate o l’obbligo di porre termine a uno o più contratti di outsourcing.

L’adeguamento alle indicazioni fornite dall’EBA in materia di outsourcing (implementazione del registro, valutazione dei rischi, gestione dei conflitti di interesse, istituzione della funzione di audit interno, ecc.) implica un aumento degli oneri di compliance, che difficilmente potrà essere sopportato dagli intermediari di minori dimensioni. Di qui l’esigenza che ogni decisione in merito all’opportunità di far ricorso all’esternalizzazione di alcune delle funzioni aziendali sia attentamente ponderata e accompagnata da una accurata e approfondita analisi dei connessi costi e benefici.

 

Note:

[1] Tale locuzione si basa sull’espressione utilizzata nella Direttiva 2014/65/UE (MiFID II) e nel Regolamento delegato (UE) 2017/565 che integra la MiFID II, e viene impiegata solo a fini di esternalizzazione.

[2] Gli Orientamenti si applicano anche a livello sub-consolidato e consolidato, tenendo conto del perimetro di consolidamento prudenziale. A tal fine, le imprese madri dell’UE o l’impresa madre di uno Stato membro dovrebbero assicurare che i dispositivi, i processi e i meccanismi di governance delle loro filiazioni, inclusi gli istituti di pagamento, siano coerenti, ben integrati e adeguati ad assicurare l’effettiva applicazione degli orientamenti a tutti i livelli.

[3] Sono tali i servizi forniti tramite cloud compunting, ossia un modello che consente l’accesso in rete diffuso, conveniente e su richiesta a un gruppo condiviso di risorse elettroniche configurabili che possono essere forniti e messi a disposizione rapidamente con minimo impegno gestionale o interazione con il fornitore del servizio.

[4] Il registro dovrà contenere una serie di informazioni per ciascun accordo sottoscritto, tra cui la data di inizio e di scadenza del contratto, una breve descrizione della funzione esternalizzata, il nome del fornitore di servizi e l’indirizzo legale, il paese o i paesi in cui sarà prestato il servizio, la natura della funzione esternalizzata e una breve sintesi dei motivi per cui detta funzione è considerata essenziale o importante, la data dell’ultima valutazione dell’essenzialità o importanza della funzione esternalizzata. Per l’esternalizzazione di funzioni essenziali o importanti, nel registro andranno indicate informazioni aggiuntive, tra cui la data dell’ultima valutazione dei rischi e una breve sintesi dei principali risultati, l’organo che ha approvato l’accordo di outsourcing, le date delle ultime verifiche di audit e di quelle eventualmente in programma.

[5] In caso affermativo, l’accordo dovrà specificare, tra l’altro, le tipologie di attività che sono escluse dalla sub-esternalizzazione e l’obbligo dell’outsourcer di controllare i servizi che ha sub-appaltato per assicurare che le condizioni pattuite con l’ente siano rispettate nel continuo.

[6] Si consente espressamente all’ente o all’istituto di pagamento di porre termine al contratto di outsourcing anche nei casi in cui: i) il provider violi disposizioni legislative, regolamentari e contrattuali; ii) vengano individuati impedimenti in grado di alterare l’esecuzione della funzione esternalizzata; iii) siano apportate modifiche rilevanti che incidono sull’accordo; iv) emergano carenze nella gestione e nella sicurezza dei dati o delle informazioni riservate.

Rivista di Diritto Bancario Tidona - Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.