Con il 34° aggiornamento della Circolare 285/2013, pubblicato il 23 settembre 2020, la Banca d’Italia ha dato attuazione, tra l’altro, agli Orientamenti dell’EBA in materia di outsourcing emanati dall’Autorità europea il 25 febbraio 2019.
Gli Orientamenti che mirano a stabilire un quadro armonizzato per gli accordi di outsourcing, si applicano alle banche, alle imprese di investimento, agli istituti di pagamento e agli istituti di moneta elettronica nonché alle stesse Autorità di vigilanza.
La modifica alla Circolare 285/2013 è entrata in vigore oggi, 24 settembre 2020, e le nuove regole in materia di outsourcing si applicano agli accordi di esternalizzazione conclusi, rinnovati o modificati a partire da tale data.
Fino al 31.12.2021 è previsto un regime transitorio nel corso del quale le banche sono chiamate a dare completa attuazione agli orientamenti, istituendo il registro delle attività esternalizzate e adeguando i contratti già esistenti alle nuove norme. L’esternalizzazione di funzioni essenziali o importanti afferenti attività bancarie o servizi di pagamento soggetti ad autorizzazione a fornitori di Paesi terzi possono essere effettuate in assenza di un accordo di cooperazione tra le autorità di vigilanza fino al 31.12.2021 (cfr. oltre). Le comunicazioni preventive sui progetti di esternalizzazione di funzioni operative importanti presentate prima dell’entrata in vigore del 34° aggiornamento, continuano ad essere processate secondo le precedenti regole.
Gli Orientamenti sono stati recepiti nella citata Circolare, in linea con quanto previsto nella comunicazione della Banca d’Italia del 17.7.2019, attraverso un rinvio integrale delle disposizioni di vigilanza agli stessi secondo lo schema degli “atti di natura normativa”, divenendo quindi
vincolati per i destinatari.
Una delle maggiori novità nell’attuazione degli Orientamenti è da identificarsi nel nuovo regime di informativa all’Autorità dell’esternalizzazione di funzioni aziendali essenziali o importanti che allinea la prassi nazionale a quelle degli altri Paesi europei.
In particolare, in linea con quanto previsto dagli Orientamenti EBA, le banche inviano all’Autorità di vigilanza una sintetica informativa (che deve contenere informazioni generali che le banche devono inserire nel registro delle esternalizzazioni), prima di avviare l’esternalizzazione, lasciando alle banche comunque la facoltà di avviare un confronto con la vigilanza per le esternalizzazioni più rilevanti e/o innovative. Decade quindi la facoltà per l’Autorità di avviare un procedimento di divieto nei 60 giorni successivi alla notifica.
I controlli sulle esternalizzazioni quindi vengono spostati nella fase on-going nell’ambito dello SREP e della vigilanza ispettiva che, in relazione alle novità introdotte dagli Orientamenti possono, in relazione alle previsioni contenute nei contratti, interessare direttamente anche i service provider.
Oltre a quanto sopra menzionato, tra le novità contenute negli Orientamenti vi sono l’obbligo di predisporre un registro delle attività esternalizzate, la valutazione del rischio di concentrazione relativo ai fornitori in tutte le fasi dell’esternalizzazione, l’obbligo di inserire nei contratti di esternalizzazione diritti di accesso e di audit anche da parte delle Autorità di vigilanza, sicurezza e integrità dei dati, strategie di uscita e continuità operativa. L’esternalizzazione a fornitori di servizi di Paesi terzi di attività bancarie o di servizi di pagamento soggetti ad autorizzazione è subordinata all’esistenza di accordi di cooperazione con le Autorità che vigilano su tali fornitori. E’ sempre ammessa infine, l’esternalizzazione delle funzioni aziendali di controllo al di fuori del gruppo.
Con l’occasione, la Banca d’Italia ha apportato alcuni affinamenti al capitolo sul sistema dei controlli interni al fine di assicurarne l’allineamento con gli Orientamenti EBA sulla Governance (EBA/GL/2017/11) concernenti il processo di approvazione di nuovi prodotti, il parere preventivo
del responsabile della funzione di controllo del rischio sulle operazioni di maggior rilievo, i sistemi interni di whistleblowing.
Rimangono da modificare la disciplina in materia di esternalizzazione applicabile alle SIM agli IP e agli IMEL al fine di recepire gli Orientamenti EBA.
