In data 1° giugno 2023, la Banca d’Italia ha emanato il Provvedimento del 31 maggio 2023 contenente disposizioni per la segnalazione in materia di esternalizzazione (il “Provvedimento”) al quale sono allegate le relative “Istruzioni per la segnalazione in materia di esternalizzazione di funzioni aziendali per gli intermediari vigilati” (le “Istruzioni”) e lo schema della segnalazione.
Il Provvedimento introduce una nuova segnalazione volta a permettere all’Autorità di raccogliere – in modo strutturato – informazioni di dettaglio sui contratti di esternalizzazione di funzioni aziendali stipulati dagli intermediari vigilati, sui fornitori di servizi e su eventuali rapporti di sub-esternalizzazione.
L’esigenza di introdurre tale segnalazione nasce dai rischi cui il sistema bancario e finanziario è esposto a causa del crescente ricorso all’esternalizzazione, nonché dall’elevato livello di innovazione tecnologica dei servizi prestati (i.e. cloud computing) o da situazioni di concentrazione dei fornitori di servizi. Il Provvedimento si colloca in un composito framework normativo volto a garantire, da un lato, che i soggetti vigilati si dotino di adeguati presidi e meccanismi di attenuazione dei rischi nel caso di definizione di contratti di outsourcing [1] , e, dall’altro, il corretto esercizio dell’attività di vigilanza da parte delle Autorità attraverso la raccolta di dati e informazioni che permettano l’analisi e il monitoraggio del fenomeno delle esternalizzazioni.
Il Provvedimento si applica su base individuale, a (a) banche italiane meno significative, (b) intermediari finanziari iscritti all’albo previsto dall’art. 106 TUB, incluse le società fiduciarie iscritte nella sezione separata del medesimo albo, (c) istituti di pagamento, (d) istituti di moneta elettronica, (e) società di gestione del risparmio, (f) SICAV e SICAF che gestiscono direttamente i propri patrimoni, (g) SIM di classe 2 e 3; (h) fornitori specializzati di servizi di crowdfunding, ossia i fornitori di servizi di crowdfunding ai sensi dell’art. 2 (1)(e) del Regolamento (UE) 2020/1503 diversi da banche, SIM, IP, IMEL e intermediari finanziari ex art. 106 del TUB; (i) succursali italiane di banche comunitarie e succursali di imprese di investimento comunitarie autorizzate come
depositari, limitatamente alle esternalizzazioni di funzioni strumentali all’attività di depositario – ivi incluse le attività operative e di controllo svolte dalla casa madre europea in favore della succursale – qualora non già segnalate nella rilevazione BCE, nonché (j) Patrimonio Bancoposta, anche in relazione ai contratti di esternalizzazione stipulati da Poste Italiane S.p.A. per conto della medesima e agli affidamenti disciplinati dalle Disposizioni di Vigilanza di cui alla Circolare n. 285/2013 (Parte Quarta, Capitolo 1) [2] .
Il Provvedimento si applica invece, su base consolidata, (a) alle capogruppo di gruppi bancari meno significativi iscritti nell’albo previsto dall’art. 64 TUB, (b) alle capogruppo di gruppi finanziari iscritti nell’albo previsto dall’art. 106 TUB e (c) alle imprese madri nell’UE di gruppi di imprese di investimento iscritte all’albo previsto dall’art. 11 TUF [3] .
Ai sensi delle Istruzioni, formano oggetto di segnalazione, in particolare, il contratto di esternalizzazione, le informazioni sugli intermediari vigilati firmatari degli accordi e, ove diversi, sugli intermediari che utilizzano i servizi prestati dai fornitori (c.d. utilizzatori), sui fornitori di servizi ai quali lo svolgimento delle funzioni aziendali è affidato e sugli eventuali subfornitori, ove presenti. Al riguardo, agli intermediari è richiesto di fornire sempre – salvo diversamente indicato nelle Istruzioni– le seguenti informazioni:
- per tutti gli accordi di esternalizzazione, informazioni di dettaglio su alcune previsioni dei contratti (i.e. durata, termini di rinnovo e di preavviso, costo), firmatari e utilizzatori dei contratti, fornitori di servizi, tipologia e caratteristiche della funzione esternalizzata (i.e. la categoria dell’attività esternalizzata e la data in cui, se del caso, ne è stata valutata l’essenzialità e l’importanza) nonché, per i servizi erogati in modalità cloud computing, il modello di cloud utilizzato e il provider cloud;
- per gli accordi di esternalizzazione di funzioni essenziali o importanti (FEI) o di funzioni operative importanti (FOI), ulteriori informazioni relative, inter alia, alla motivazione per la classificazione a FEI/FOI, alla valutazione dei rischi derivanti dall’esternalizzazione della FEI/FOI, all’organo decisionale che ha deliberato l’esternalizzazione, alle verifiche di audit effettuate e pianificate, alla valutazione del livello di sostituibilità del fornitore di servizi, alla sub-esternalizzazione e agli eventuali subfornitori, al paese di erogazione dei servizi e a quello di memorizzazione dei dati.
Ai fini della segnalazione assume particolare importanza il codice Anagrafe Soggetti (“codice AS”), che andrà indicato per i fornitori e gli eventuali subfornitori, nonché per la capogruppo del gruppo di appartenenza di questi soggetti, ove presente. La disponibilità del codice AS consente di sfruttare le informazioni anagrafiche già presenti nelle basi di dati tenute dalla Banca d’Italia; ciò riduce il rischio di segnalazioni non corrette e contribuisce a contenere gli oneri segnaletici per gli intermediari. Qualora gli intermediari vigilati destinatari degli obblighi segnaletici non dispongano del codice AS dei soggetti per i quali esso è richiesto, gli intermediari sono tenuti ad attivarsi per richiedere alla Banca d’Italia il censimento di questi ultimi nell’Anagrafe Soggetti e la generazione del relativo codice.
La segnalazione andrà inviata tramite la piattaforma INFOSTAT entro il 30 aprile di ciascun anno; le informazioni ivi contenute saranno quelle relative all’esercizio precedente (i.e. informazioni al 31 dicembre dell’anno precedente a quello della segnalazione). In deroga a ciò, in sede di prima applicazione (i.e. anno 2023), il termine per l’invio dei dati alla Banca d’Italia è fissato entro il 31 dicembre 2023. I dati inviati dagli intermediari in sede di prima applicazione dovranno fare riferimento ai contratti di esternalizzazione in essere alla data del 31 dicembre 2022.
Le informazioni richieste nella rilevazione, e indicate nell’ambito delle Istruzioni, sono coerenti con i dati che gli intermediari sono tenuti a riportare nel registro delle attività esternalizzate previsto dagli “Orientamenti in materia di esternalizzazione” dell’EBA (EBA/GL/2019/02) e, limitatamente ai fornitori di servizi cloud, dagli “Orientamenti in materia di esternalizzazione ai fornitori di servizi cloud” dell’ESMA (ESMA50-164-4285). In ragione di ciò, è opportuno che tutti gli intermediari vigilati, in applicazione delle best practices di settore definite dai sopra citati orientamenti europei e a prescindere dall’obbligo o meno di dotarsene, provvedano alla tenuta di un registro delle attività esternalizzate ove registrare, tempo per tempo, le informazioni sui propri outsourcer e sui relativi contratti al fine di facilitare, di anno in anno, la compilazione della rilevazione oggetto del Provvedimento.
Pare, altresì, opportuno provvedere all’aggiornamento di policy e procedure operative relative ai processi di esternalizzazione al fine di includere la segnalazione statistica di cui al Provvedimento.
[1] A livello europeo, nel 2019 l’Autorità bancaria europea (EBA) ha emanato nuovi Orientamenti in materia di esternalizzazione, indirizzati a banche, istituti di pagamento e istituti di moneta elettronica, che mirano a introdurre un regime armonizzato riguardante tutti gli accordi di outsourcing, anche relativi ai servizi informatici e tecnologici; nel 2021 l’Autorità europea degli strumenti finanziari e dei mercati (ESMA) ha pubblicato Orientamenti in materia di esternalizzazione a fornitori di servizi cloud che si rivolgono a un ampio novero di operatori del sistema finanziario, tra cui intermediari che prestano servizi di investimento e di gestione collettiva del risparmio, e disciplinano specificamente i contratti di outsourcing relativi a servizi di cloud computing.
[2] La segnalazione su base individuale si applica agli intermediari quando non appartenenti a un gruppo bancario significativo o meno significativo iscritto all’albo previsto dall’art. 64 TUB, a un gruppo finanziario iscritto nell’albo previsto dall’art. 106 TUB o a un gruppo di imprese di investimento iscritto all’albo previsto dall’art. 11 TUF
[3] Nel caso di applicazione su base consolidata:
– la capogruppo o l’impresa madre nell’UE segnala alla Banca d’Italia soltanto i contratti di esternalizzazione sottoscritti dalla stessa e dai componenti italiani del gruppo, quando gli utilizzatori sono la capogruppo stessa e/o intermediari italiani appartenenti al gruppo. Nei casi di contratti stipulati da società strumentali italiane, la segnalazione è dovuta solo con riferimento ai contratti di esternalizzazione per i quali gli utilizzatori sono intermediari italiani appartenenti al gruppo;
– la capogruppo o l’impresa madre nell’UE invia un unico flusso segnaletico contenente le informazioni relative a sé stessa e quelle relative ai componenti italiani del gruppo;
– sono esclusi dall’obbligo segnaletico gli accordi di esternalizzazione effettuati dagli operatori del microcredito inclusi nel gruppo.
