di Davide CRESCI
Introduzione
Con il Provvedimento del 31 maggio 2023, pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 136 del 13 giugno 2023, recante “Segnalazione in materia di esternalizzazione di funzioni aziendali per gli intermediari vigilati” (di seguito, il “Provvedimento”)(1), la Banca d’Italia ha emanato le nuove disposizioni in materia di esternalizzazioni di funzioni aziendali applicabili agli intermediari vigilati, introducendo peraltro nuovi obblighi segnaletici (di seguito, la “Segnalazione”).
L’intervento del regolatore italiano prende evidentemente le mosse dal percorso già intrapreso:
- (i) nel 2019 dall’Autorità Bancaria Europea (EBA) attraverso l’emanazione degli Orientamenti in materia di esternalizzazione(2), che specificano le attribuzioni delle autorità competenti per la vigilanza sui contratti di esternalizzazione, nonché
- (ii) nel 2021 dall’Autorità Europea sugli Strumenti Finanziari e dei Mercati (ESMA) mediante gli Orientamenti in materia di esternalizzazione a fornitori di servizi cloud afferenti ai compiti delle autorità competenti per la vigilanza sui contratti di esternalizzazione di servizi cloud computing(3).
Guardando all’iter che ha preceduto l’emanazione del Provvedimento, come noto, l’Autorità ha ritenuto utile anticipare la pubblicazione dello stesso con una consultazione pubblica (che raccolto un importante interesse da parte del mercato(4)) sulle “Istruzioni di compilazione” e sullo “Schema di segnalazione”, volta a sostanziare una preliminare analisi di impatto della regolamentazione in gestazione mediante la raccolta di commenti e osservazioni da parte degli intermediari vigilati sulla nuova rilevazione e sulla documentazione a suo corredo, nonché informazioni di dettaglio sulle ulteriori derivate, anche in termini di costi da sostenere e oneri generali correlati alla predisposizione della Segnalazione.
L’esternalizzazione: opportunità e rischi. Quali valutazioni?
Studi recenti dimostrano che il fenomeno delle esternalizzazioni nell’esercizio delle attività tipiche delle imprese ha subito un notevole incremento negli ultimi anni, con particolare riferimento al settore bancario e finanziario, ove tale opzione è risultata capace di concorrere al raggiungimento di un maggiore livello di efficienza dei processi e dei presìdi anche in termini di costi da sostenere, migliorando altresì la specializzazione e la qualità dei servizi resi al mercato di riferimento.
In senso più ampio, al fine di garantire il perfezionamento dei livelli di servizi offerti e per l’effetto mantenere posizioni di mercato efficienti ed efficaci, si assiste difatti ad una costante trasformazione della gamma dei servizi prestati e dei prodotti offerti al mercato dagli intermediari vigilati, i quali spesso ricorrono al supporto prestato dalle c.d. terze parti, specie in relazione agli aspetti afferenti alle tecnologie dell’informazione e della comunicazione (c.d. “Servizi TIC”).
In siffatto contesto, l’esternalizzazione di una funzione, di un’attività o di un servizio aziendale si pone come “strumento” ideale mediante il quale gli intermediari vigilati acquisiscono competenze tecniche ed operative specializzate spesso non disponibili in house.
Il presupposto fondante la scelta di procedere all’esternalizzazione, pertanto, va individuato nella sussistenza di ragioni obiettive e funzionali all’ottimizzazione di attività e/o processi interni, nonché nella volontà di usufruire di competenze specializzate e qualificate offerte da terzi parti.
A parere di chi scrive, il razionale regolamentare che ha guidato l’attività dell’Autorità di Vigilanza nell’emanazione del Provvedimento, muoverebbe da un’azione finalizzata a raccogliere annualmente maggiori informazioni sugli accordi di outsourcing sottoscritti dagli intermediari attraverso strumenti di valutazione e monitoraggio:
- (i) del livello di concentrazione dei principali fornitori di servizi e
- (ii) del perimetro di diffusione del fenomeno della sub-esternalizzazione, quale ultimo fenomeno intaccato da attività segnaletiche di vigilanza e dei conseguenti rischi correlati al ricorso alle terze parti per lo svolgimento di funzioni, servizi e attività proprie dei deleganti.
Obiettivo ultimo del Provvedimento è pertanto quello di rafforzare il presidio di vigilanza della Banca d’Italia, al fine di assicurare la stabilità generale del mercato bancario e finanziario nella sua interezza, anche mediante la prevenzione del potenziale rischio sistematico derivante dal ricorso alla prassi dell’esternalizzazione e, per l’effetto, garantire la tutela e l’equilibrio dei mercati vigilati stessi.
Entrando brevemente nel merito, attraverso la Segnalazione, gli intermediari vigilati sono quindi tenuti a fornire informazioni di dettaglio in relazione a tutti gli accordi di esternalizzazione sottoscritti con terze parti, quali – a titolo esemplificativo e non esaustivo – la durata, i termini di rinnovo e di preavviso, i costi afferenti all’esternalizzazione, la tipologia di funzione esternalizzata.
Con riferimento ai servizi erogati tramite modelli che consentono l’accesso in rete diffuso (c.d. modalità cloud computing), gli intermediari sono altresì chiamati a fornire all’Autorità informazioni in merito al modello di cloud utilizzato dall’outsourcer e all’eventuale provider cloud, inteso quale soggetto terzo sul cui cloud è ospitata l’applicazione in uso al fornitore nell’ambito dell’esternalizzazione.
Oltre quanto sopra sinteticamente riportato, il Provvedimento prevede inoltre che nelle ipotesi di accordi di esternalizzazione aventi ad oggetto Funzioni Operative Essenziali o Importanti (c.d. FEI – FOI), gli intermediari forniscano ulteriori informazioni in merito alla motivazione sottesa alla relativa classificazione a FEI/FOI, alla valutazione dei rischi derivanti dall’esternalizzazione stessa, alla verifica circa il livello di sostituibilità del fornitore dei servizi esternalizzati, al livello di difficoltà nelle ipotesi di eventuale reinternalizzazione di quanto oggetto di esternalizzazione nonché, nelle ipotesi di sub-esternalizzazione, anche in merito agli eventuali sub-fornitori dei servizi.
A tal riguardo, preliminarmente alla manifestazione di volontà con la quale gli organi di supervisione strategica degli intermediari vigilati approvano l’esternalizzazione di una attività e/o di un servizio, gli intermediari medesimi sono tenuti a eseguire un’attenta fase di analisi (due diligence) sulle attività oggetto di outsourcing, nonché in merito alle caratteristiche dell’soggetto al quale si intende esternalizzare l’attività e/o il servizio.
Relativamente alla valutazione circa l’idoneità del fornitore ad eseguire i servizi e/o le attività oggetto di esternalizzazione, gli intermediari devono analizzare le caratteristiche dell’outsourcer stesso – tra l’altro – in punto di adeguata struttura organizzativa e possesso di abilitazioni e/o autorizzazioni necessarie ai fini dello svolgimento delle attività da esternalizzare (ove richieste), di idonea disponibilità patrimoniale e/o adeguate coperture assicurative, nonché di idonei processi di business continuity e disaster recovery.
Oltre l’esternalizzazione: i nuovi rischi emergenti
L’esternalizzazione, sebbene finalizzata a efficientare l’attuazione e l’esecuzione di specifici processi e/o attività di pertinenza degli intermediari mediante il ricorso alle terze parti, anche traguardando una figurata riduzione dei costi dell’impresa, non sottrae gli intermediari stessi dalle responsabilità proprie e dagli obblighi normativi afferenti al perimetro delle attività esternalizzate. In capo agli intermediari deleganti, infatti, continueranno a gravare le responsabilità sui servizi e/o le attività oggetto di esternalizzazione, nonché le attività di monitoraggio e di vigilanza previste dalle disposizioni normative vigenti.
Muovendo da tali concetti e con il medesimo razionale sotteso al Provvedimento, viene spontaneo indirizzare l’attenzione del lettore sulla recente evoluzione del contesto normativo che interessa gli intermediari vigilati.
Ci si riferisce, ad esempio, al Regolamento (UE) 2022/2554 del Parlamento Europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario (c.d. “Regolamento DORA”)(5). Tale Regolamento, infatti, tenuto conto del massiccio ricorso all’utilizzo delle tecnologie dell’informazione e della comunicazione nell’ambito del settore finanziario, anche (e soprattutto) prestate da fornitori terzi, interviene nel vigente framework normativo di settore proprio in considerazione delle evidenti e travolgenti trasformazioni digitali che coinvolgono l’operatività di tutti i players che operano nel mercato finanziario; elementi che, osservati complessivamente nonché in considerazione della ramificazione del settore finanziario a tutti i mercati, amplificano notevolmente l’esposizione al rischio derivante da potenziali incidenti informatici (c.d. “Rischi ICT”), potenzialmente suscettibile di coinvolgere l’intero il sistema finanziario, minandone la stabilità.
Il Regolamento DORA, attraverso il rafforzamento e l’armonizzazione della normativa applicabile,
mira ad accrescere la consapevolezza circa i Rischi ICT sulla solidità degli intermediari finanziari, anche mediante l’implementazione di mirate misure di:
- (i) governance contrattuale e societaria, nonché
- (ii) sicurezza e gestione di tali rischi e segnalazioni di incidenti.
L’obiettivo della norma, pertanto, è raggiungere un adeguato livello di mitigazione dei Rischi ICT, assicurando l’integrità degli intermediari finanziari nelle ipotesi di eventuali attacchi informatici e/o altri disallineamenti operativi derivanti dall’operatività delle terze parti in materia cyber.
Nel medesimo tracciato si inserisce l’intenzione formalizzata dalla Banca d’Italia di conformarsi agli Orientamenti dell’Autorità Bancaria Europea (EBA) sull’utilizzo di soluzioni di onboarding a distanza della clientela(6).
I citati Orientamenti, infatti, disciplinano le procedure e i controlli che gli intermediari sono tenuti ad implementare laddove adottino soluzioni per adempiere agli obblighi di identificazione a distanza della clientela, nell’ambito dei processi di adeguata verifica per finalità antiriciclaggio.
Ebbene, anche con riferimento a tale aspetto, gli Orientamenti si preoccupano di prevedere specifiche misure ICT volte a mitigare i rischi sottesi al ricorso a procedure di identificazione a distanza della clientela degli intermediari vigilati, le quali entreranno a far parte del framework dei presìdi e dei controlli di cui gli intermediari stessi dovranno dotarsi.
Da ultimo, vale la pena rappresentare anche il recente intervento del legislatore nazionale che, nell’ambito delle misure di promozione dell’inclusione finanziaria contenute del cc.dd. DDL Capitali (L. 5 marzo 2024, n. 21)(7), ha introdotto una specifica previsione in materia di educazione finanziaria, assicurativa e previdenziale con riferimento all’utilizzo delle nuove tecnologie digitali, ivi incluse quelle prestate da terze parti, in quanto nuovi strumenti utili alla gestione del denaro.
Conclusioni
Alla luce delle brevi e personali considerazioni sopra illustrate, appaiono evidenti le ragioni sottese alla scelta del regolatore di identificare un adeguato perimetro normativo a corollario del fenomeno dell’esternalizzazione, quale imprescindibile strumento degli operatori dei mercati vigilati.
A parere di chi scrive, il percorso che le Autorità, anche sovrannazionali, stanno consapevolmente tracciando per il tramite dell’evoluzioni normative cui si è fatto riferimento, è rivolto alla creazione di un quadro regolamentare orientato a garantire la stabilità del mercato di riferimento, attraverso il rafforzamento dei presìdi di vigilanza connessi al coinvolgimento delle terze parti nei processi di business degli intermediari vigilati.
Tale rafforzamento sembra attuarsi mediante la definizione di un perimetro normativo volto a identificare i “nuovi” rischi emergenti, legati al coinvolgimento delle terze parti nonché alle ulteriori innovazioni che impattano sulle attività degli intermediari vigilati.
Se è corretta tale analisi, risulta altrettanto adeguato l’intento normativo di “suggerire” ai soggetti vigilati l’adozione di opportuni strumenti di mitigazione dei Rischi ICT, facendo ricorso alle migliori pratiche di valutazione e monitoraggio degli stessi, nella consapevolezza che i mercati sono notevolmente mutevoli, l’orizzonte regolamentare viene indirizzato ad abbracciare nuovi scenari normativi, la complessità delle nuove tecnologie spinge gli intermediari a ricorrere a nuovi strumenti, l’interdipendenza economica e funzionale tra operatori e fornitori è sempre più diretta.
Il punto fermo dal quale partire resta la propensione al rischio del singolo intermediario rispetto alle specifiche attività da esternalizzare, sebbene in assenza di metodologie e prassi consolidate ma sotto la supervisione attenta della Banca d’Italia che, ad oggi, non ha fatto mancare visioni organizzative e contributi di indirizzo al mercato bancario e finanziario.
Intervento di Davide CRESCI – Compliance and Anti-Money Laundering c/o DeA Capital RE SGR S.p.A.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Provvedimento della Banca d’Italia – Segnalazione in materia di esternalizzazione di funzioni aziendali per gli intermediari vigilati.
(2) EBA/GL/2019/02 Orientamenti in materia di esternalizzazione.
(3) ESMA50-164-4285 Orientamenti in materia di esternalizzazione a fornitori di servizi cloud.
(4) Banche, SIM, Intermediari finanziari ex art. 106 TUB, Istituti di pagamento e Istituti di moneta elettronica, SGR, SICAV e SICAF che gestiscono direttamente i propri patrimoni nonché associazioni di categoria, con esclusione delle Banche e Gruppi bancari significativi, in quanto soggetti ad analoga rilevazione da parte della Banca Centrale Europea.
(5) Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario.
(6) Banca d’Italia – Nota n. 32 del 13 giugno 2023 – Attuazione degli Orientamenti dell’EBA sull’utilizzo di soluzioni di onboarding a distanza del cliente.
(7) Legge n. 21 del 5 marzo 2024, (pubblicata sulla Gazzetta Ufficiale della Repubblica Italiana del 12 marzo 2024).
