Segnalazioni
Segnalazioni inerenti a materiali, tematiche e questioni, recenti e di particolare rilevanza, trattate dallo Studio e di specifico interesse per gli operatori.
L’esternalizzazione di attività e società bancarie
Ottobre 2019
Il 30 settembre 2019 sono entrate in vigore le nuove Linee Guida dell’Autorità Bancaria Europea (ABE) sugli accordi di esternalizzazione, pubblicate lo scorso 25 febbraio (e tradotte nelle lingue ufficiali dell’Unione Europea nel giugno scorso), che si applicano a tutti gli accordi di esternalizzazione conclusi, rivisti o modificati da tale data. È ivi inoltre prescritto che l’adeguamento dei contratti di esternalizzazione esistenti dovrà avvenire alla prima data di rinnovo e comunque entro il 31 dicembre 2021.
Tali Orientamenti abrogano e sostituiscono gli orientamenti in tema di esternalizzazione pubblicati nel 2006 dal Comitato delle Autorità Europee di Vigilanza Bancaria (CEBS), diretti ai soli enti creditizi, e le raccomandazioni dell’ABE in materia di esternalizzazione a fornitori di servizi cloud del 2017 e mirano a stabilire un quadro maggiormente armonizzato per gli accordi di esternalizzazione di tutti gli enti creditizi e imprese di investimento, gli istituti di pagamento e gli istituti di moneta elettronica. In quest’ottica, le Linee Guida sono state emanate in espresso coordinamento con la più recente normativa di settore, tra cui la CRD IV, la PSD II, MiFID II e la BRRD.
Tra le principali novità introdotte dalle nuove Linee Guida si annoverano:
• l’individuazione uniforme di una funzione essenziale o importante, in riferimento a (i) situazioni in cui un’anomalia comprometterebbe gravemente il rispetto nel continuo delle condizioni della autorizzazione dell’ente o degli obblighi previsti dalla normativa di settore (CRD IV, CRR, MiFID II, PSD II e EMD), i risultati finanziari o la solidità o la continuità delle attività bancarie o dei servizi di pagamento svolti; (ii) situazioni di esternalizzazione di compiti operativi delle funzioni di controllo interno; (iii) situazioni di esternalizzazione di funzioni relative ad attività bancarie o a servizi di pagamento in misura tale da richiedere l’autorizzazione di un’autorità competente;
• la previsione di un quadro di governance interna che consenta un “sistema olistico” di gestione dei rischi – tenendo conto del principio di proporzionalità e, quindi, in coerenza con la natura e dimensione dell’ente e lo specifico modello di business – mediante l’adozione di una policy di esternalizzazione che preveda, inter alia, la creazione e tenuta di un registro degli accordi di esternalizzazione (se del caso, a livello consolidato o subconsolidato) e la previsione di strategie d’uscita in caso di estenalizzazione di funzioni essenziali o importanti;
• l’istituzionalizzazione di un processo di esternalizzazione, che si sostanzia in una fase preliminare di analisi di scenario in relazione all’impatto potenziale degli accordi di esternalizzazione in termini di rischi operativi (tra i quali i rischi di concentrazione e i rischi associati alla sub-esternalizzazione, i rischi legali, ICT, di conformità e reputazionali) e di due diligence sui fornitori, in una fase contrattuale e, da ultimo, in una fase continuativa di monitoraggio della performance dei fornitori stessi;
• l’estensione dell’elenco dettagliato dei requisiti minimi di un accordo di esternalizzazione di funzioni essenziali o importanti tra i quali si ricordano qui, inter alia, (i) il chiaro riferimento ai poteri dell’autorità nazionale di risoluzione ai sensi della BRRD; (ii) il diritto illimitato degli enti e delle autorità competenti di ispezionare e sottoporre a verifiche di audit il fornitore; e (iii) i diritti dell’ente di porre termine al contratto, facilitando quindi il trasferimento della funzione esternalizzata a un altro fornitore di servizi o la sua reintegrazione all’interno dell’ente, per evitare contratti eccessivamente “blindati” a favore del fornitore, oltre che il rischio di concentrazione e, conseguentemente, di stabilità per il sistema finanziario nel suo complesso.
Il tema dell’esternalizzazione di funzioni rilevanti e talvolta strategiche comporta, quindi, non trascurabili profili di adeguata normazione contrattuale ed interna e di responsabilità, sia per l’ente esternalizzatore sia per l’outsourcer.