main page

WEBINAR

LIVE STREAMING

VIRTUAL EVENT

L’esternalizzazione: un nuovo quadro normativo armonizzato alla luce dell’adozione degli orientamenti dell’European Banking Authority – EBA

Aggiornamento della Circolare n. 285 del 17 dicembre 2013 “Disposizione di Vigilanza per le banche”.

 

  1. Premessa

La Banca d’Italia, con la recente pubblicazione del 34° aggiornamento della Circolare n. 285 del 17 dicembre 2013 “Disposizioni di Vigilanza per le banche” (di seguito, la “Circolare 285”), ha dato attuazione agli orientamenti EBA (Guidelines on outsourcing, EBA/GL/2019/02) in materia di esternalizzazione emanati il 25 febbraio 2019([1]) (di seguito, gli “Orientamenti EBA”).

Con tale aggiornamento, l’Autorità è intervenuta introducendo nuove misure applicabili agli enti creditizi che, nell’ottica di efficientare i loro processi interni e migliorare la propria struttura organizzativa, valutano l’esternalizzazione di funzioni essenziali o importanti.

In sintesi, il 34° aggiornamento della Circolare 285 è interventuto sulla disciplina in materia di esternalizzazione rinviando, al riguardo, agli Orientamenti EBA, al fine di garantire la necessaria armonizzazione in materia.  In particolare, si introducono novità con specifico riferimento: (i) all’obbligo di tenuta di un registro che tenga evidenza, nel continuo, delle attività esternalizzate; (ii) alla valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione; (iii) all’inserimento nei contratti di outsourcing di clausole dettagliate su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.

 

  1. L’ ambito di applicazione. Definizione delle funzioni essenziali e importanti

Tra le prime novità che emergono dalla lettura della nuova versione aggiornata della Circolare 285 è possibile evidenziare la modifica della definizione delle funzioni oggetto del procedimento di esternalizzazione, da funzioni operative importanti (cd. “FOI”) in funzioni essenziali e importanti (“FEI”), pur senza stravolgerne il contenuto sostanziale. Inoltre, l’Autorità di vigilanza ha ritenuto di precisare (estendendolo) l’ambito operativo delle funzioni essenziali o importanti, includendovi anche le funzioni necessarie per lo svolgimento delle “linee di operatività principale” e delle “funzioni essenziali” ai sensi dell’art. 1, comma 1, lettere hh) e bb) del d.lgs. 180/2015([2]).

 

  1. La semplificazione del procedimento amministrativo

Nel set di modifiche introdotte da Banca d’Italia per adeguarsi agli Orientamenti EBA, di particolare rilevanza è sicuramente l’abrogazione del procedimento amministrativo relativo al divieto dell’esternalizzazione di funzioni operative importanti o di controllo. Tale procedimento richiedeva una preventiva comunicazione all’Autorità di vigilanza del progetto di esternalizzazione e degli accordi tra le parti (anche se ancora in versione non esecutiva), per il quale era previsto un termine di 60 giorni dal deposito della documentazione, entro i quali l’Autorità di vigilanza avrebbe potuto avviare un’istruttoria ed emettere un simile provvedimento nei confronti della banca esternalizzante in caso di irregolarità nel processo di esternalizzazione o eventuali carenze nel rispetto della regolamentazione delineata ai sensi della Circolare 285.

Ai sensi della Circolare 285 come modificata, nelle fasi preliminari e propedeutiche all’esternalizzazione di funzioni essenziali o importanti, le banche hanno la facoltà, prima di conferire l’incarico ad enti o soggetti terzi, di avviare un confronto con l’Autorità di vigilanza competente sui progetti di esternalizzazione più rilevanti. Questo con il precipuo scopo di permettere alle banche di procedere con l’esternalizzazione delle funzioni attraverso un processo effettuato con le dovute cautele e garanzie di stabilità del servizio, a tutela delle banche stesse e della propria clientela. Tuttavia, si precisa che l’Autorità di vigilanza continua ad esercitare la propria attività di monitoraggio sui processi di esternalizzazione nell’ambito della verifica SREP e che sarà sempre ammessa, in caso di riscontrata inadeguatezza, la possibilità di avviare un procedimento sanzionatorio.

 

  1. L’obbligo di tenuta del Registro delle esternalizzazioni e Comunicazione

Come anticipato, gli Orientamenti EBA introducono nuovi obblighi tra cui particolare rilievo assume la tenuta da parte di ciascuna banca, o capogruppo bancaria, di uno specifico registro delle esternalizzazioni, da aggiornare nel continuo, che dovrà contenere le informazioni concernenti tutti gli accordi di esternalizzazione a livello della singola banca e, nel caso, a livello consolidato. Va precisato che nel registro andranno conservate le informazioni e la documentazione riguardante gli accordi di esternalizzazione cessati, nonché la documentazione di supporto per un periodo di tempo adeguato([3]).

Il registro delle esternalizzazioni, disciplinato in dettaglio negli Orientamenti EBA, deve contenere un set di informazioni secondo le indicazioni fornite al par.fo 54 (“Informazioni minime”) e al successivo par.fo 55 (“Informazioni aggiuntive”).

Le disposizioni in parola indicano tra le informazioni “minime” (§ 54) quelle, ad esempio, riguardanti il numero di riferimento per ciascun accordo di esternalizzazione, il richiamo ad una breve descrizione della funzione esternalizzata compresi i dati esternalizzati, specificando se essi siano personali o se il loro trattamento sia stato esternalizzato ad un fornitore di servizi, un campo (“sì/no”) per indicare se la funzione esternalizzata è considerata essenziale o importante. Tra le informazioni aggiuntive (§ 55) dovrebbero essere incluse nel registro, tra l’altro, la data dell’ultima valutazione dei rischi, una breve sintesi dei principali risultati.

La Circolare 285 prevede altresì uno specifico obbligo di comunicazione delle informazioni che ciascuna banca o gruppo bancario dovrà raccogliere ai fini della corretta tenuta del registro delle esternalizzazioni. Dopo che ciascuna operazione di esternalizzazione è stata approvata dai competenti organi della banca, è richiesto che vengano inviate alla Banca Centrale Europea o alla Banca d’Italia (a seconda che la banca in questione sia “significativa”([4]) o meno) le informazioni di cui al § 54 (“Informazioni minime”) che la banca o la capogruppo, nell’ipotesi di gruppo bancario che accentra la gestione del processo di esternalizzazione, avrà raccolto ed analizzato ai fini dell’apposita delibera.

Rimane sempre valido l’obbligo di comunicazione annuale all’Autorità di vigilanza, il cui termine è il 30 aprile, della relazione annuale relativa ai controlli svolti sulle funzioni essenziali o importanti esternalizzate a fornitori di servizi, alle carenze eventualmente riscontrate e alle conseguenti azioni correttive adottate.

 

  1. Il principio di proporzionalità ed ulteriori semplificazioni

Il previgente quadro regolamentare contenuto nella Circolare 285, come è noto, ammetteva un duplice regime, e limiti differenti, rispetto all’esternalizzazione delle FOI. Erano previste due diverse modalità e discipline di esternalizzazione: (i) esternalizzazione al di fuori del gruppo bancario ed (ii) esternalizzazione nel gruppo bancario.

L’aggiornamento della Circolare 285 non prevede più questa dicotomia per due ordini di motivi: in primis per allineare la disciplina nazionale a quella europea evitando possibili oneri o limitazioni applicabili solo alle banche italiane; in secundis, perché gli stessi Orientamenti EBA ammettono espressamente l’esternalizzazione delle FEI, salva l’applicazione del principio di proporzionalità.

In virtù di questa novità, l’esternalizzazione delle funzioni aziendali di controllo, o secondo il wording utilizzato dagli Orientamenti EBA le funzioni di controllo interno, che nel caso di esternalizzazione al di fuori dal gruppo bancario era limitata solo alle banche di maggiori dimensioni, adesso è ammessa per tutte le banche nel rispetto del principio di proporzionalità e dei criteri, direttamente e indirettamente, individuati negli Orientamenti EBA([5]).

 

  1. Conclusioni

Le nuove disposizioni della Circolare 285 si applicano a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire dalla data di entrata in vigore del 34° aggiornamento (23 settembre 2020).

La Banca d’Italia ha previsto un regime transitorio entro il quale gli istituti creditizi dovranno adeguarsi alle novità introdotte. Entro la fine del 2021, questi ultimi dovranno completare il registro delle attività esternalizzate di cui ai paragrafi 54 e 55 degli Orientamenti EBA con tutta la documentazione relativa agli accordi di esternalizzazione in essere, adottando le opportune rettifiche per conformarsi alle novità introdotte. Se tali modifiche non verranno effettuate entro il 31 dicembre 2021, le banche potranno darne comunicazioni alle Autorità competenti specificando il termine entro il quale si impegnano a concludere tali attività di adeguamento dei contratti (o la relativa ed eventuale uscita dai contratti di esternalizzazione in essere).

Il quadro delineato dal 34° aggiornamento della Circolare 285 è il risultato della volontà dell’Autorità di adeguare il piano regolamentare nazionale a quello europeo, assicurando la parità di trattamento tra gli appartenenti al settore che operano quotidianamente nel libero mercato comunitario. Alla luce delle novità introdotte, dunque, la disciplina in merito all’outsourcing è stata modificata in molti aspetti; in considerazione di tali novità, sarà opportuna per gli istituti di crediti un’analisi volta a verificare ed eventualmente rivedere le proprie politiche interne in materia di esternalizzazione, la struttura dei propri accordi di esternalizzazione e gli attuali accordi di esternalizzazione in essere.

A cura di Daniele Consolo e Edoardo Minnetti

([1])Consultabili su https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on +outsourcing _IT.pdf/1c9aaefc-e10d-45a6-8a51-1fb450814a29

([2]) Cfr. Circolare 285, Capitolo 3 della Sez. IV, Titolo IV della Parte I. Ai sensi del d.lgs. 180/2015, per «linee di operatività principali» si intendono “linee di operatività e servizi connessi che rappresentano fonti significative di entrate, di utili o di valore di avviamento della banca o di un gruppo di cui fa parte una banca”. Per “funzioni essenziali” si intendono “attività, servizi o operazioni la cui interruzione potrebbe compromettere la prestazione in uno o più Stati membri di servizi essenziali per il sistema economico o la stabilità finanziaria, in ragione della dimensione, della quota di mercato, delle interconnessioni esterne o interne, della complessità o dell’operatività transfrontaliera di una banca o di un gruppo, con particolare riguardo alla sostituibilità dell’attività, dei servizi o delle operazioni.”

([3]) Gli Orientamenti EBA non indicano un periodo preciso lasciando tale definizione alla legislazione vigente in ciascun Stato Membro.

([4]) Una banca è “significativa” ai sensi del Meccanismo di vigilanza unico quando soddisfa almeno uno dei seguenti criteri: (i) il valore totale delle sue attività supera i 30 miliardi di euro per un paese particolare o per l’economia dell’UE nel suo insieme; (ii) il valore totale delle sue attività supera i 5 miliardi di euro e il rapporto tra le attività transfrontaliere in più di un altro Stato membro partecipante e le attività totali è superiore al 20% o il rapporto tra le passività transfrontaliere in più di un altro Stato membro partecipante e le passività totali è superiore al 20%; (iii) ha richiesto o ricevuto finanziamenti nel quadro del Meccanismo europeo di stabilità o della European Financial Stability Facility.

([5])Cfr., al riguardo, https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/aggiornamenti/Atto-emanazione-34-agg-285.pdf Atto di emanazione – “Con l’attuazione degli Orientamenti, inoltre, sono state superate le restrizioni previste dalla previgente disciplina per l’esternalizzazione dei compiti operativi delle funzioni aziendali di controllo al di fuori del gruppo bancario, che ora è ammessa nel rispetto del principio di proporzionalità.

Facebook
Twitter
LinkedIn
Pinterest