Esternalizzazione di funzioni e attività aziendali: le nuove Linee Guida dell’European Banking Authority

La versione definitiva delle Linee Guida ha tenuto conto delle “Recommendations on cloud providers” emanate dalla stessa Autorità nel dicembre 2017. In particolare, gli aspetti disciplinati all’interno di tali Recommendations nell’ambito di servizi cloud sono stati recepiti e integrati all’interno delle Linee Guida in esame le quali, infatti, prevedono altresì specifiche indicazioni relative all’esternalizzazione verso cloud service providers.^[1]

Si rileva che i destinatari delle Guidelines dovranno adeguarsi alle relative previsioni^[2] entro il 30 settembre 2019, mentre - con riferimento agli accordi di esternalizzazione già in essere - l’adeguamento è atteso alla prima data di rinnovo contrattuale (in ogni caso non oltre il 31 dicembre 2021).

Principali indicazioni dell’EBA in materia di outsourcing

Le principali indicazioni fornite dall’EBA nell’ambito delle Guidelines possono essere sintetizzate come segue:

1. Perimetro soggettivo di applicazione.

Le Linee Guida trovano applicazione nei confronti di tutte le istituzioni finanziarie soggette all’autorità dell’EBA, in particolare banche, imprese di investimento soggette alla CRD^[3], istituti di pagamento e di moneta elettronica.

2. Sistema e meccanismi di Governance.

Le Linee Guida rivolgono una particolare attenzione all’ambito connesso ai sistemi e meccanismi di governance del processo di outsourcing, con particolare riferimento alla necessità – da parte dei destinatari – di garantire la conservazione delle capacità necessarie a mantenere un presidio di controllo e monitoraggio interno in merito alla funzione oggetto di esternalizzazione.

In tale ambito, le Guidelines:

• sottolineano la rilevanza di prevedere e condurre una puntuale attività di identificazione, valutazione e gestione - da parte delle istituzioni finanziarie - dei rischi derivanti dalla stipula di accordi con parti terze, ai quali le stesse possono essere esposte;
• provvedono a individuare elementi minimi delle Politiche aziendali in materia di esternalizzazione predisposte dai destinatari (e.g. una puntuale formalizzazione delle principali fasi del processo di outsourcing e di redazione dei relativi contratti);
• richiedono ai destinatari l’implementazione di strumenti e l’esecuzione di attività volte ad evitare potenziali conflitti di interesse, specie nell’ambito delle ipotesi di esternalizzazione infragruppo (e.g. le istituzioni devono verificare e assicurare che le condizioni contrattuali siano in linea con le condizioni di mercato);
• prevedono che i destinatari elaborino un Business Continuity Plan che tenga conto, tra gli altri, di possibili eventi che mettano a repentaglio l’adeguata gestione, da parte del provider, della funzione esternalizzata, testandone periodicamente la tenuta;
• sottolineano la rilevanza, altresì, della Funzione di Internal Audit, ai fini del presidio in merito al processo di outsourcing, fornendo specifiche indicazioni circa le attività che detta Funzione è tenuta a svolgere in relazione alle attività esternalizzate (e.g. analisi indipendente in ottica risk based sulle esternalizzazioni)^[4];
• prevedono l’implementazione di un Registro, nel quale catalogare e documentare tutti gli accordi di esternalizzazione stipulati dai destinatari (cfr. punto successivo).

3. Istituzione di un Registro relativo ai contratti di outsourcing

In un’ottica di rafforzamento dei presidi in materia di monitoraggio e di tracciabilità delle funzioni/attività oggetto di esternalizzazione e dei relativi accordi contrattuali, l’EBA ha introdotto specifiche previsioni relativamente alla necessità - in capo ai destinatari - di dotarsi di un apposito Registro, finalizzato a documentare gli accordi di esternalizzazione in essere.[5]

Al riguardo, le Guidelines forniscono puntuali indicazioni (in termini di requisiti generali e contenuti minimi) che dovranno guidare i destinatari nell’implementazione e nell’aggiornamento periodico del Registro. Una parte di tali requisiti minimi (i.e. informazioni sui contratti nonché sui provider) trovano applicazione con riferimento alle attività rientranti nella definizione di “outsourcing”[6] , mentre altri rilevano relativamente all’esternalizzazione di funzioni critiche o importanti.[7]

Sono previsti inoltre specifici obblighi di informazione e messa a disposizione del Registro nei confronti delle competenti Autorità di Vigilanza.[8]

4. Attività di assessment preliminari.

nella fase preliminare all'esternalizzazione di funzioni/attività, con particolare riferimento a: (i) tipo di funzione che sarà oggetto di esternalizzazione (i.e. se funzione critica/importante o meno); (ii) possibilità di esternalizzare la funzione di volta in volta rilevante; (iii) rischi connessi alla figura del fornitore esterno (e.g. attività di due diligence, in relazione alla quale le Linee Guida forniscono ai destinatari specifici criteri e fattori da impiegare nel corso dell’analisi).

Con particolare riferimento alle attività di due diligence da svolgere sul potenziale provider, le Guidelines indirizzano i destinatari nel processo di valutazione nonché nell’individuazione degli elementi rilevanti da esaminare preliminarmente alla conclusione del contratto (e.g. relazioni professionali di lungo periodo con i fornitori che abbiano già lavorato per l’istituzione finanziaria), suggerendo, inoltre, adeguate e continue attività di monitoraggio delle performance del fornitore e - ove applicabile dei sub-fornitori - al fine di prevedere un regolare e periodico aggiornamento della valutazione dei rischi.

5. Rafforzamento del contenuto minimo dei contratti.

Le Linee Guida sottolineano l’importanza di una puntuale e chiara definizione dei diritti e degli obblighi contrattuali tra le parti nell’ambito dell’esternalizzazione di funzioni o attività.

In tale ambito, le Guidelines forniscono un’elencazione puntuale delle previsioni che i contratti di outsourcing devono almeno contenere in caso di esternalizzazione di funzioni critiche o importanti (e.g. una chiara descrizione della funzione oggetto di esternalizzazione; gli obblighi delle parti contrattuali; il livello di servizio atteso, sia da un punto di vista qualitativo sia quantitativo; il Paese in cui sarà svolta la funzione esternalizzata da parte del service provider; la possibilità di sub-esternalizzare funzioni critiche e le relative condizioni di sub-esternalizzazione; la presenza di un'eventuale copertura assicurativa a fronte di un inadempimento contrattuale; un chiaro riferimento alla Bank Recovery and Resolution Directive[9], con particolare riferimento alla descrizione delle concrete obbligazioni delle parti verso le Autorità competenti).

6. Esternalizzazione di funzioni/attività a service provider aventi sede in Paesi Terzi

L’Autorità europea, nell’ambito delle Linee Guida, dedica particolare attenzione alle casistiche di esternalizzazione di funzioni/attività a provider aventi sede in Paesi Terzi. Al riguardo, l’EBA fornisce puntuali indicazioni (criteri/elementi da tenere in considerazione) in merito alle attività di valutazione da porre in essere preliminarmente alla decisione di esternalizzare (e.g. in caso di esternalizzazione di funzioni di core business, esecuzione di una valutazione in merito alla presenza delle debite autorizzazioni in capo al potenziale provider, nonché relativamente alla presenza di un’intesa fra l’Autorità di Vigilanza connessa al destinatario esternalizzante e la competente Autorità di Vigilanza dell’outsourcer che assicuri, fra gli altri, la possibilità per la prima di accedere alle informazioni, ai dati e alle risorse necessarie ai fini dello svolgimento dei propri poteri di vigilanza anche nel Paese Terzo).

7. Meccanismi di salvaguardia e protezione

Le Linee Guida sanciscono specifici obblighi di collaborazione e sostegno in capo al provider nei confronti dell’istituzione esternalizzante, ad esempio in caso di trasferimento del servizio erogato dallo stesso provider ad altro competitor. Inoltre, al fine di evitare danni da interruzione dei servizi esternalizzati, nell’ipotesi di fallimento del fornitore e/o di deterioramento delle funzioni critiche o importanti esternalizzate, le Linee Guida richiedono alle istituzioni la puntuale elaborazione di exit strategies (i.e. piani di transizione), nonché periodiche attività di testing inerenti alle stesse.

Considerazioni

Stante quanto illustrato in precedenza, le indicazioni fornite dall’EBA nell’ambito delle Linee Guida avranno un impatto significativo per i destinatari delle stesse, imponendo una revisione/ rafforzamento del framework attualmente adottato dai destinatari.

In particolare, le istituzioni bancarie dovranno innanzitutto intervenire sulla Politica aziendale in materia di esternalizzazione di funzioni/attività aziendali e sui relativi processi sottostanti, allineando le previsioni esistenti ai principi espressi dalle Guidelines, provvedendo altresì all’implementazione del Registro relativo ai contratti di outsourcing, che comporterà la necessità di definirne e formalizzarne i contenuti, al fine di strutturare uno strumento in linea con i desiderata espressi dall’EBA.

In tale ambito, in considerazione delle nuove previsioni relative alla definizione di strategie di uscita connesse ad ogni contratto di esternalizzazione di funzioni critiche o importanti, sarà inoltre necessario eseguire accurate valutazioni sul fornitore e relativi competitor, al fine di individuare i principali rischi connessi.

Sarà inoltre necessario recepire e formalizzare, sia nei contratti di futura stipula sia nei contratti già in essere (a partire dalla prima data di rinnovo), gli elementi/requisiti minimi richiesti dall’Autorità.

Infine, è importante sottolineare come le previsioni in oggetto abbiano un impatto rilevante su quelle istituzioni finanziarie non già destinatarie di accurate e puntuali disposizioni regolamentari connesse all’ambito delle esternalizzazioni, che saranno pertanto chiamate a rafforzare sensibilmente il proprio framework interno in materia.