In data 23 settembre 2020, la Banca d’Italia ha pubblicato sul proprio sito internet il 34° aggiornamento alle proprie “Disposizioni di vigilanza per le banche”, adottate con la Circolare n. 285 del 17 dicembre 2013 (di seguito, le “Disposizioni di Vigilanza”), dando attuazione alle nuove linee guida emesse dall’EBA in tema di esternalizzazione (cd. “Orientamenti in materia di esternalizzazione” del 25 febbraio 2019 – di seguito, le “Linee Guida”), le quali hanno (i) abrogato le precedenti “Linee guida in materia di outsourcing” emesse nel 2006, sul medesimo tema, dal Comitato delle Autorità Europee di Vigilanza Bancaria (cd. “Committee of European Banking Supervisors” o “CEBS”) e (ii) recepito le “Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud”, emesse nel 2018, relativamente all’esternalizzazione in ambito cloud, dall’EBA stessa.

Trattasi di un aggiornamento normativo che, a fronte di un sempre più esteso ricorso all’esternalizzazione da parte delle banche, è teso a rispondere alla crescente esigenza di armonizzazione della disciplina regolamentare nazionale a quella comunitaria, perseguendo, altresì, l’obiettivo di fornire alle banche destinatarie utili strumenti per la gestione, attraverso un approccio sempre più standardizzato, dei rischi derivanti dalla sottoscrizione di contratti di esternalizzazione.

Più nel dettaglio, le modifiche apportate dal citato intervento riformatore al previgente impianto regolamentare, con specifico riguardo alla disciplina in materia di “Sistema dei Controlli Interni” (Titolo IV, Capitolo 3, delle Disposizioni di Vigilanza) e di “Sistema Informativo” (Titolo IV, Capitolo 4, delle Disposizioni di Vigilanza), si sostanziano nelle seguenti novità:

(i) –  l’istituzione e il costante aggiornamento – fatti salvi i contratti di esternalizzazione in ambito cloud per i quali tale obbligo era già in essere  – del cd. “Registro delle attività esternalizzate”, con l’inserimento, al suo interno, di molteplici informazioni tra cui: la data di inizio e (ove applicabile) quella di rinnovo del contratto di esternalizzazione; la data di scadenza e/o i termini di preavviso per il fornitore di servizi e per la banca; una breve descrizione della funzione esternalizzata, compresi i dati oggetto di esternalizzazione; l’indicazione se la funzione esternalizzata è da considerarsi una cd. “Funzione Essenziale o Importante”  e una breve sintesi dei motivi che hanno condotto la banca a tale valutazione;

(ii) – quanto al cd. “processo di esternalizzazione”:

• l’analisi degli accordi di esternalizzazione e la valutazione dei rischi (incluso quello di concentrazione) a questi connessi (cd. “Risk Assessment”) in tutte le fasi dell’esternalizzazione (sia, cioè, in fase pre-contrattuale, sia in sede di monitoraggio nel continuo del rapporto con il fornitore);

l’inserimento nei contratti di esternalizzazione di specifiche clausole contrattuali, tra cui, laddove oggetto del contratto sia una “Funzione Essenziale o Importante”, clausole che: indichino se è consentita (o meno) la sub-esternalizzazione e, in caso affermativo, le condizioni alle quali quest’ultima è sottoposta; indichino i luoghi in cui sarà concretamente svolta l’attività esternalizzata e/o in cui saranno conservati e trattati i relativi dati; indichino i requisiti per l’attuazione e la verifica dei piani di emergenza e di continuità operativa; riconoscano in capo alla banca il diritto illimitato di controllo sull’attività svolta dal fornitore (cd. “diritto di accesso, di informazione e di audit”); pongano in capo al fornitore l’obbligo di cooperazione.

• costante con la/e Autorità di Vigilanza competente/i e con i soggetti espressamente designati per le attività di controllo, e. Funzione Internal Audit;
• la messa a punto, con riguardo all’esternalizzazione delle “Funzioni Essenziali o Importanti”, di strategie di uscita documentate e coerenti con le politiche di esternalizzazione e i piani di emergenza e di continuità operativa della banca

(iii) – con riguardo ai rapporti con l’Autorità di Vigilanza, in aggiunta alla comunicazione preventiva da effettuarsi prima di dar corso all’esternalizzazioni di una “Funzione Essenziale o Importante”, l’obbligo di notifica laddove un’attività già esternalizzata sia successivamente riclassificata come “Funzione Essenziale o Importante”;

(iv) – quanto, infine, all’esternalizzazione, al di fuori dal gruppo bancario di appartenenza, dei compiti operativi delle funzioni aziendali di controllo, sono superate le restrizioni previste dalla disciplina previgente, sicché tale esternalizzazione risulta oggi ammessa nel rispetto del principio di proporzionalità.

La descritta nuova disciplina è entrata in vigore il giorno successivo alla sua pubblicazione, ovverosia il 24 settembre 2020. A partire da tale data, esse hanno trovato applicazione per tutti i nuovi contratti di esternalizzazione, così come per quei contratti oggetto di modifica e/o rinnovo da parte delle banche destinatarie.

Quanto, invece, ai contratti di esternalizzazione già in essere, è stato garantito un regime transitorio, compreso tra il 24 settembre 2020 e il 31 dicembre 2021, nell’ambito del quale le banche sono tenute a completare il cd. “Registro delle attività esternalizzate” con la documentazione di tutti gli accordi di esternalizzazione esistenti e ad adeguare i contratti di esternalizzazione in essere alla nuova disciplina regolamentare, facendo salva la possibilità, qualora la revisione dei contratti di esternalizzazione non sia conclusa entro il 31 dicembre 2021, di darne comunicazione alla BCE o alla Banca d’Italia, indicando la data entro la quale si intende completare l’iter di adeguamento al nuovo regime e le misure previste per completare l’adeguamento o l’eventuale strategia di uscita dal contratto di esternalizzazione.

Marco delli Guanti
avvocato e consulente,
esperto in Diritto Bancario e degli Intermediari Finanziari
in particolare nelle aree Compliance, Antiriciclaggio e legale

I documenti suddetti sono consultabili ai seguenti link:

– le Disposizioni di Vigilanza, pubblicate dalla Banca d’Italia in data 23 settembre 2020, con relativo atto di emanazione:

• https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/aggiornamenti/Circ-285-Rist-int-34-agg.pdf;
• https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/aggiornamenti/Atto-emanazione-34-agg-285.pdf;

– gli “Orientamenti in materia di esternalizzazione”, pubblicati dall’EBA in data 25 febbraio 2019:

• https://eba.europa.eu/sites/default/documents/files/documents/10180/2761380/1c9aaefc-e10d-45a6-8a51-1fb450814a29/EBA%20revised%20Guidelines%20on%20outsourcing_IT.pdf.