Segnalazioni
Segnalazioni inerenti a materiali, tematiche e questioni, recenti e di particolare rilevanza, trattate dallo Studio e di specifico interesse per gli operatori.
Nuove disposizioni di Banca d’Italia in materia di esternalizzazione
Ottobre 2020
Con il 34° aggiornamento della Circolare di Banca d’Italia n. 285 del 17 dicembre 2013 “Disposizioni in materia di Vigilanza per le banche”, pubblicato il 23 settembre 2020, è stata data attuazione, inter alia, agli Orientamenti dall’Autorità Bancaria Europea in materia di esternalizzazione del 25 febbraio 2019 (“Orientamenti”), che mirano a stabilire un quadro maggiormente armonizzato per gli accordi di esternalizzazione di tutti gli intermediari vigilati.
Gli Orientamenti sono stati recepiti nella citata Circolare, conformemente a quanto previsto nella comunicazione di Banca d’Italia del 17 luglio 2019, secondo il modello degli “atti aventi natura normativa”, attraverso un rinvio integrale agli stessi, divenendo quindi vincolanti per i destinatari.
Sono stati introdotti specifici obblighi per le banche, tra i quali:
– la tenuta di un registro aggiornato delle attività esternalizzate;
– la valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione;
– l’inserimento negli accordi di esternalizzazione di clausole specifiche su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.
Sono previste talune novità in tema di notifiche e procedimenti correlati all’esternalizzazione di funzioni aziendali essenziali e importanti. In particolare:
– le banche sono tenute ad una comunicazione preventiva all’Autorità di Vigilanza che deve intervenire dopo l’approvazione da parte dei competenti organi e prima di dare corso all’attività di esternalizzazione;
– l’obbligo di notifica all’Autorità di Vigilanza sussiste anche qualora la funzione esternalizzata sia stata successivamente qualificata come funzione essenziale o importante;
– è comunque facoltà delle banche dare avvio ad un confronto preliminare con l’Autorità di Vigilanza sui progetti di esternalizzazione più rilevanti e/o innovativi, prima di conferire l’incarico;
– è venuta meno, in un’ottica di semplificazione della normativa e in linea con quanto previsto negli Orientamenti, la facoltà per l’Autorità di Vigilanza di avviare una procedura di divieto di esternalizzazione nei sessanta giorni successivi alla notifica.
Infine, sono state rimosse le restrizioni previste dalla previgente normativa all’esternalizzazione dei compiti operativi delle funzioni aziendali di controllo all’esterno del gruppo bancario, ora ammessa nel rispetto del principio di proporzionalità.
Con particolare riferimento all’esternalizzazione dei sistemi informativi, le misure di attenuazione dei rischi del fornitore di servizi devono essere coerenti con il quadro di riferimento per la gestione del rischio ICT e di sicurezza della banca; inoltre, viene chiarito il contenuto dell’informativa da rendere all’Autorità di Vigilanza e viene previsto che nella relazione annuale relativa ai controlli svolti sulle funzioni esternalizzate al di fuori del gruppo si dia conto, tra l’altro, delle iniziative di esternalizzazione che sono stato oggetto di informazione preventiva, nonché dei principali servizi ICT forniti da terze parti che non assumono la qualifica di esternalizzazione.
La nuova disciplina è entrata in vigore il 24 settembre 2020 e si applica a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire da tale data; le banche sono quindi tenute a completare il registro delle esternalizzazioni e ad adeguare i contratti in essere entro la fine del 2021.