![](https://bebeez.it/wp-content/uploads/2024/03/Varani-NEW-1-300x200.jpg)
di Donato Varani.
managing partner Refink
Le evoluzioni normative in atto nel settore dell’outsourcing di servizi a banche e intermediari finanziari potrebbero portare, in prospettiva, a un cambiamento nella struttura del mercato, ora molto frammentato, dei provider esterni di funzioni di controllo o di altre Funzioni Essenziali o Importanti (cosiddette FEI), che potrebbero essere chiamati a realizzare investimenti importanti sul fronte organizzativo e di governance e a ricercare dimensioni adeguate a sfruttare quelle che potremmo definire economie di scala nella fornitura di tali servizi.
Lo svolgimento di funzioni/servizi da parte di fornitori esterni (outsourcing) ha conosciuto, nel corso del tempo, una sempre maggiore rilevanza nel mondo finanziario sotto la spinta di variabili legate, da un lato alla maggiore efficienza nello svolgimento di servizi specialistici e, dall’altro alla rapida acquisizione di know how per l’integrazione nei processi aziendali di tecnologie innovative.
Per gli intermediari finanziari soggetti a una pervasiva regolamentazione, l’outsourcing rappresenta anche la necessità di istituire processi e controlli per la gestione dei rischi di questa peculiare forma di collaborazione da parte di soggetti esterni. Rischi che possono divenire vieppiù importanti in relazione alle attività che si vogliono esternalizzare: solo per citarne alcuni, rischio di reputazione, rischio operativo, rischio di concentrazione su un unico fornitore, rischio di continuità operativa, rischio finanziario della controparte (rischio di step up) e che spingono l’intermediario a implementare i controlli sia sugli aspetti contrattuali/assicurativi che sul servizio fornito, attraverso l’identificazione di KPI (Key Performance Indicator) e di SLA (Service Level Agreement) che il provider è tenuto a rispettare.
In parallelo all’evoluzione operativa, si assiste a un trend di sviluppo della normativa in materia di outsourcing che ha regolato il fenomeno sempre più attraverso un approccio che possiamo definire di “supervisione indiretta” da parte delle Autorità di Vigilanza sui provider che forniscono i servizi (in particolare come accennato sopra, per quelli che forniscono servizi legati alle cosiddette Funzioni Essenziali o Importanti all’ente finanziario). Ciò si sostanzia nella necessità per il soggetto che esternalizza di valutare i rischi e le caratteristiche dei servizi forniti dal provider, anche in relazione all’assetto organizzativo di quest’ultimo, sia in fase di instaurazione del rapporto sia durante la fruizione del servizio.
Da sottolineare che la normativa vigente definisce regole in materia di esternalizzazione che gli intermediari finanziari sono tenuti a rispettare mentre non implementa presidi minimali di carattere organizzativo o di governance in capo ai provider di servizi.
Ripercorrendo la recente storia delle norme in materia, si può constatare come un importante step evolutivo è rappresentato dalla pubblicazione degli Orientamenti dell’European Banking Authority sull’outsourcing (EBA/GL/2019/02), una sorta di “soft law” che sistematizza e regolamenta a livello europeo le norme che devono seguire le banche, gli IP (istituti di pagamento) e gli IMEL (istituti di moneta elettronica) e che, nella sostanza, vengono riprese quale elemento di ispirazione anche nei provvedimenti normativi europei e nazionali sull’outsourcing delle società che svolgono servizi di Investimento (sim), delle società di gestione del risparmio (sgr) e degli intermediari finanziari.
Gli Orientamenti EBA in materia di outsourcing integrano gli Orientamenti EBA in materia di Governance (EBA/GL/2017/11 del marzo 2018) e inglobano le Raccomandazioni sull’esternalizzazione a fornitori di servizi cloud della stessa Autorità pure del marzo 2018 (EBA/REC/2017/03).
Nel maggio del 2021, l’ESMA (European Securities and Markets Authority) ha emanato Orientamenti destinati ai gestori di Fondi di investimento e ad altri soggetti regolamentati, in materia di esternalizzazione a fornitori di servizi cloud (ESMA50-164-4285), che definiscono principi e cautele che gli intermediari sono chiamati ad adottare nelle attività di esternalizzazione ai citati provider, con un particolare focus all’analisi delle tipologie di cloud computing e ai profili di sicurezza informatica a queste legate.
Una importante evoluzione normativa in materia di esternalizzazione è contenuta nell’ambito del Digital Operational Resilience Act (DORA), Regolamento dell’Unione Europea che stabilisce un framework vincolante e completo riguardante la gestione del rischio nell’ambito dell’ICT (Information and Comunication Technology) per il settore finanziario dell’Unione. Il Regolamento stabilisce infatti gli standard tecnici che le entità finanziarie e i loro fornitori di servizi critici tecnologici dovranno implementare nei propri sistemi ICT entro il 17 gennaio 2025.
Il Regolamento rappresenta il superamento della frammentazione della regolamentazione europea in materia di gestione del rischio ICT degli enti finanziari europei e al contempo introduce un cambiamento di paradigma alla cosiddetta “supervisione indiretta” sopra menzionata sui provider, considerato che il Regolamento si applica anche a entità generalmente escluse dalla supervisione delle Autorità di vigilanza come ad esempio, i fornitori di servizi cloud e i data center, i servizi di rating e di data analytics e sottoponendo i fornitori ICT ritenuti “critici” dalla Commissione Europea a una sorveglianza da parte delle citate Autorità che potranno richiedere ai fornitori ICT misure di sicurezza, correzioni o imporre sanzioni a quelli non conformi alla normativa.
In Italia, le Direttive e gli Orientamenti delle Autorità europee sono stati recepiti nella regolamentazione emanata dalla Banca d’Italia o dalla Consob e la materia dell’esternalizzazione è altresì regolamentata, per gli enti finanziari, dai Regolamenti europei direttamente applicabili nell’ambito degli ordinamenti nazionali.
Come è facile notare, lo sforzo regolamentare in materia di outsourcing è stato negli ultimi anni notevole, creando peraltro una forte frammentazione delle regole in relazione alle diverse fattispecie di enti finanziari regolati e di servizi erogati. Il DORA, nell’ambito dei servizi ICT, introduce un cambio di paradigma, come sopra evidenziato, rimanendo però da capire come il diverso approccio sui provider di servizi ICT possa riflettersi sui provider di servizi diversi da quelli ICT, qualificabili come FEI.
In ambito nazionale, la Banca d’Italia ha da ultimo avviato iniziative di verifiche on site su alcuni provider di funzioni di controllo interno degli enti vigilati. L’attività intrapresa dall’Autorità potrebbe condurre a individuare degli standard organizzativi minimi (cosiddette best practices) che i provider potrebbero essere chiamati a rispettare, ma tale approccio passa necessariamente anche dall’evoluzione del framework normativo, che dovrebbe permettere alle Autorità di Vigilanza di emanare norme “positive” di regolamentazione verso soggetti che attualmente sono al di fuori del “perimetro” della cosiddetta vigilanza regolamentare e in questo senso il DORA sembra aver aperto la strada, focalizzandosi sui provider di servizi ICT.