di Nunzia RUSSO

In data 28 luglio 2022 la Banca d’Italia ha avviato una consultazione pubblica riguardante la proposta della nuova rilevazione in materia di esternalizzazione delle funzioni aziendali, con particolare focus per quelle ritenute essenziali e rilevanti (cd. FEI).

Infatti, il sistema bancario e finanziario ricorrendo all’esternalizzazione di molteplici funzioni aziendali, potrebbe essere esposto a nuovi rischi per i quali è necessario un adeguato presidio per rispondere agli obiettivi di:

• rafforzare il controllo sull’operato dei fornitori di servizi;
• sviluppare tempestivamente piani che assicurino la continuità operativa in caso di indisponibilità dei service provider;
• proteggere e garantire la riservatezza dei dati specialmente quando il fornitore è ubicato al di fuori della UE (es. cloud service provider);
• contrastare il fenomeno degli «enti fantasma», ribadendo il principio che non può essere esternalizzata la responsabilità della gestione dell’Ente, garantendo che l’Ente sia dotato di risorse sufficienti per assicurare la gestione compresa la supervisione e la gestione delle funzioni esternalizzate.

Ma cosa si intende per esternalizzazione?

Un accordo di qualsiasi forma tra un ente ed un fornitore di servizi, in base al quale quest’ultimo svolge un processo, un servizio o un’attività (ossia una «funzione») che sarebbe altrimenti svolto/a dall’ente.

Spetta agli enti valutare se un accordo con un soggetto terzo rientri nella definizione di esternalizzazione e ricordo che non sono esternalizzabili le funzioni di attività di revisione legale dei conti, acquisto di beni e servizi, infrastrutture di rete e acquisto di beni e servizi (Guidelines EBA, art. 28).

Qual è la normativa al riguardo?

In materia L’EBA ha pubblicato in data 26/02/2019 delle Guidelines il documento contenente gli “Orientamenti in materia di esternalizzazione” che specificano i dispositivi di governance interna, tra cui una rigorosa gestione dei rischi, che Istituti devono attuare quando esternalizzano le proprie funzioni.

A livello nazionale, gli Orientamenti EBA sono stati attuati dalla Banca d’Italia mediante la pubblicazione del 34° aggiornamento alle proprie Disposizioni di vigilanza per le banche, adottate con Circolare n. 285 del 17 dicembre 2013.

Attualmente l’esternalizzazione ricopre sempre di più un posto di rilievo quale mezzo di veloce accesso alle nuove tecnologie (digitalizzazione e fintech) in risposta alla pressione sui margini reddituali legati ai modelli tradizionali di business.

La nuova rilevazione che la Banca d’Italia intende raccogliere, risulta essere complementare a quella condotta dalla BCE nell’ambito del Meccanismo di Vigilanza Unico per la raccolta delle informazioni sui contratti di esternalizzazione delle Banche e dei Gruppi Significativi. L’integrazione dei dati raccolti a livello europeo e nazionale consentirà di fornire uno scenario di rischio completo fornito al fenomeno delle esternalizzazioni in Italia.

Le nuove regole in materia di esternalizzazione introducono specifici obblighi per gli intermediari, tra cui la tenuta di un registro aggiornato delle attività esternalizzate, la valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione, l’inserimento nei contratti di outsourcing di clausole dettagliate su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.

Le disposizioni si applicano a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire dal 30 settembre 2019. Gli enti e gli istituti di pagamento sono tenuti a completare e integrare la documentazione relativa agli accordi di esternalizzazione a far tempo dal primo rinnovo di ogni accordo esistente e comunque non oltre il 31 dicembre 2022.

Le banche, entro la fine del 2022, hanno completato il registro delle attività esternalizzate con la documentazione di tutti gli accordi di esternalizzazione esistenti (ad eccezione degli accordi di esternalizzazione a fornitori di servizi cloud, per i quali il registro è già applicabile) e adeguano i contratti già esistenti alle nuove norme.

I controlli sulle esternalizzazioni sono svolti dall’autorità di vigilanza nel corso delle attività di analisi sugli intermediari (ad esempio, nell’ambito dello SREP, Supervisory Review and Evaluation Process).

La prima rilevazione avrà data contabile 31 dicembre 2022 e sarà effettuata entro il 31 marzo 2023.

Ma quali enti sono obbligati ad effettuare questa segnalazione?

• Banche e gruppi bancari meno significativi
• Intermediari finanziari e gruppi finanziari iscritti all’albo previsto dall’art. 106 TUB
• SIM e gruppi di società d’investimento
• Istituto di pagamento e istituti di moneta elettronica
• Società di gestione del risparmio
• SICAV e SICAF che gestiscono direttamente il proprio patrimonio

Sono esclusi dalla rilevazione, per i quali i dati sono raccolti direttamente dalla BCE:

• Gli operatori del microcredito
• Le succursali italiane di banche estere
• I gruppi, gli enti significativi, gli intermediari non bancari che appartengono a gruppi significativi

Ma cosa si intende per Funzione Essenziale o Importante (cd “Critical or important functions” o FEI)?

1. Quando la sua inadeguata esecuzione potrebbe compromettere gravemente:
   • Il rispetto nel continuo delle condizioni minime dell’autorizzazione;
   • i risultati finanziari;
   • la solidità o la continuità delle attività bancarie e dei servizi di pagamento.
2. Riguarda funzioni relative ad attività sottoposte a riserva di legge, nella misura in cui la presentazione di tali attività richiede l’autorizzazione da parte di un’autorità di vigilanza.
3. Riguarda compiti operativi delle funzioni aziendali di controllo, a meno che la valutazione dell’essenzialità e dell’importanza della funzione svolta dall’ente creditizio non stabilisca che la mancata o inadeguata esecuzione di questi compiti operativi non avrebbe impatti negativi sull’efficacia delle funzioni aziendali di controllo.

Quindi per l’ente, l’esternalizzazione non solo è un contratto, ma è soprattutto un procedimento che, come tale, si articolata in varie fasi: istruttoria, valutazione, approvazione, gestione e controllo della funzione esternalizzata.

In termini di accountability, l’esternalizzazione non può mai comportare la delega delle responsabilità dell’organo di amministrazione: quest’ultimo rimane infatti, in ogni momento, pienamente responsabile in merito all’organizzazione interna, alla definizione delle strategie e delle politiche.

Infatti, ferma restando la piena responsabilità del rispetto di tutti gli obblighi normativi in capo allo stesso, compete all’organo di amministrazione quanto meno:

1. l’approvazione, revisione e aggiornamento della policy;
2. l’individuazione della funzione a cui assegnare la responsabilità della gestione e della supervisione dei rischi connessi all’esternalizzazione;
3. l’approvazione delle esternalizzazioni essenziali o importanti;
4. l’approvazione della relazione annuale della funzione di internal audit relativa ai controlli svolti sulle funzioni esternalizzate.

Inoltre, gli enti si devono dotare di una strategia di uscita (exit strategy) dall’accordo di outsourcing per tutte le esternalizzazioni di FUNZIONI ESSENZIALI O IMPORTANTI, nei casi di:

• scadenza dell’accordo;
• dissesto del provider;
• deterioramento qualitativo dei servizi forniti;
• insorgenza di rischi rilevanti per lo svolgimento adeguato e continuativo della funzione.

L’obiettivo è di garantire l’uscita da ogni accordo di outsourcing, senza un’interruzione delle attività operative e senza pregiudicare la continuità e la qualità dei servizi resi alla clientela.

Non si è trattato l’argomento in modo esaustivo ma si è voluta dare una panoramica date le novità segnaletiche introdotte da Banca d’Italia negli ultimi tempi. Sicuramente è un argomento che negli ultimi anni ha subito diverse variazioni e ricevuto un importante focalizzazione da parte dell’ Autorità nazionale e continuerà a esserlo negli anni a seguire.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

Banca d’Italia, Nuova rilevazione in materia di esternalizzazione di funzioni aziendali, 28 luglio 2022

Banca d’Italia, Circolare n. 285 del 17 dicembre 2013 «Disposizioni di Vigilanza per le banche» – 34° aggiornamento –

EBA, Orientamenti in materia di esternalizzazione, 25 febbraio 2019

Slide ”Esternalizzazione” del dottor Donato Varani dello studio legale Annunziata & Conso

L’esternalizzazione nel regime EBA: profili organizzativi e di responsabilità, DirittoBancario, 2021