L’outsourcing non è nuovo per il settore bancario, essendo uno strumento di gestione – utilizzato fin dagli anni ’70 – per migliorare le prestazioni e la competitività degli istituti di credito, ridurre i costi e aumentare la loro flessibilità sul mercato.

Di fronte all’emergere di nuove tecnologie – come la Fintech che è nata dalla rivoluzione digitale – gli istituti di credito e in particolare i grandi gruppi bancari hanno notevolmente sviluppato questo modo di gestione.

E hanno deciso di delegare la responsabilità operativa di processi o funzioni meno strategici (come le funzioni di supporto o di manutenzione informatica) ad operatori esterni per concentrarsi sul core business della banca.

Tuttavia, questa tendenza ad affidare una o più funzioni a prestatori di servizi esterni è molto rischiosa ed espone gli istituti di credito a diverse minacce (ciber-attacchi, frodi, riciclaggio di denaro, ecc.) che possono avere un impatto significativo sulla continuità dell’attività d’impresa.

Pertanto, per aiutare i dirigenti degli enti creditizi a definire e attuare un processo di esternalizzazione più robusto, l’EBA (European Banking Autority) ha pubblicato le sue linee guida che forniscono importanti precisazioni al riguardo.

Concepite come una tabella di marcia, le linee guida raccomandano agli enti di dotarsi di un dispositivo di governance sano ed efficace, di rafforzare i sistemi di controllo interno e di gestione dei rischi, d’individuare le funzioni critiche o importanti da esternalizzare e di definire una strategia di uscita documentata che sia conforme alla loro politica di esternalizzazione e al loro piano di continuità.

Nuovo processo d’outsourcing dell’EBA  

Le linee guida dell’EBA si inseriscono in una tendenza internazionale, osservata già da alcuni anni, volta a rafforzare i dispositivi di controllo interno e di gestione dei rischi degli istituti di credito. A tal fine, l’EBA propone un nuovo processo di esternalizzazione dei servizi articolato in quattro fasi:

  1. Fase di pre-outsourcing

Prima di concludere un accordo di esternalizzazione, gli istituti di credito devono individuare preventivamente le funzioni critiche o importanti. Sono considerate tali, le funzioni che si trovano nelle seguenti situazioni:

  • Quando l’esecuzione dei servizi è suscettibile di compromettere seriamente la capacità dell’istituto di rispettare in modo continuativo i termini della sua licenza o altri obblighi, la sua performance finanziaria o la solidità o continuità delle sue attività bancarie e di pagamento.
  • Quando i compiti operativi delle funzioni di controllo interno sono esternalizzati, a meno che la valutazione stabilisca che la mancata esecuzione della funzione esternalizzata o l’esecuzione inadeguata della funzione esternalizzata non influirebbe negativamente sull’efficacia della funzione di controllo interno.
  • Quando gli istituti intendono esternalizzare funzioni di servizi bancari o di pagamento in misura tale da richiedere l’autorizzazione di un’autorità competente.
  1. Fase di controllo del processo d’outsourcing

Gli istituti devono garantire nel loro processo di selezione e valutazione che i fornitori di servizi siano adatti a svolgere le funzioni esternalizzate. Per le funzioni critiche o importanti, gli enti devono assicurarsi che il fornitore di servizi abbia la reputazione aziendale, capacità adeguate e sufficienti, esperienza, capacità, risorse (comprese quelle umane, informatiche, finanziarie), struttura organizzativa e, se del caso, approvazione o registrazione regolamentare per svolgere la funzione critica o importante.

Durante tutto il processo di esternalizzazione, gli istituti dovrebbero identificare e valutare tutti i rischi associati all’esternalizzazione dei servizi (come i rischi legali, i rischi di concentrazione, i rischi operativi, i rischi di esternalizzazione, i rischi di continuità aziendale, i rischi di sicurezza dei dati, i rischi strategici e i rischi di immagine e reputazione), e adottare e attuare sistemi e procedure di controllo per gestirli e controllarli.

  1. Fase contrattuale

Una volta scelti i fornitori di servizi, gli istituti devono formalizzare il contratto di outsourcing e definire chiaramente gli impegni di ogni parte. In particolare, le linee guida dell’EBA stabiliscono l’elenco delle informazioni che devono essere incluse nel contratto per l’esternalizzazione di funzioni critiche o importanti. Queste disposizioni includono informazioni sulla sicurezza dei dati, la sub-esternalizzazione, gli obiettivi di performance, i diritti di accesso della funzione di audit interno, il reporting del fornitore di servizi verso l’istituto di credito, il livello di garanzia, l’obbligo del fornitore di servizi di cooperare con le autorità competenti, ecc.

Gli istituti devono anche documentare tutti gli accordi di outsourcing in atto e conservare questa documentazione in un registro per un periodo di tempo appropriato. 

  1. Fase di definizione del Piano di azione e della strategia d’exit

Un altro requisito chiave è che le istituzioni devono mettere in atto, mantenere e testare periodicamente adeguati piani di continuità d’impresa per le funzioni critiche o importanti esternalizzate.

In particolare, i piani di continuità d’impresa devono prendere in considerazione la possibilità che la qualità della fornitura della funzione critica o importante esternalizzata possa deteriorarsi in modo inaccettabile o essere carente. Devono inoltre prendere in considerazione l’impatto potenziale dell’insolvenza o altri disfunzionamenti correlati alla prestazione dei servizi esternalizzati e, se del caso, i rischi politici associati alla giurisdizione del fornitore di servizi.

Richiamo dell’ACPR

In vigore dal 30 settembre 2019, il nuovo processo di esternalizzazione dell’EBA si applica a tutti i contratti di esternalizzazione conclusi, riveduti o modificati a partire da tale data. I contratti anteriori a tale data devono invece essere resi conformi entro il 31 dicembre 2021.

Peraltro va detto che le linee guida dell’EBA devono essere lette alla luce di quelle del decreto del 25 febbraio 2021, che ha modificato gli articoli 232 e 238 del decreto del 3 novembre 2014 relativo al controllo interno delle imprese del settore bancario, dei servizi di pagamento e dei servizi soggetti alla vigilanza dell’Autorità di vigilanza prudenziale e di risoluzione (ACPR).

Recentemente, l’ACPR ha pubblicato un comunicato stampa in cui ricorda a tutte le imprese sottoposte alla sua attività di supervisione i loro obblighi in materia di esternalizzazione dei servizi[1].

L’Autorità insiste in particolare sul fatto che gli istituti che esternalizzano prestazioni essenziali restano pienamente responsabili del rispetto dell’insieme dei loro obblighi. Essi devono garantire che l’esternalizzazione di servizi essenziali o critici non comporti un indebolimento dei loro sistemi di governance, del sistema di controllo dei rischi operativi, né della continuità operativa della banca, né della capacità di controllo del supervisore.

L’esternalizzazione deve essere formalizzata mediante la conclusione di un contratto scritto tra l’istituto di credito e il suo fornitore di servizi che definisca chiaramente i diritti e gli obblighi di entrambe le parti. Inoltre, i prestatori di servizi devono conformarsi alle procedure stabilite dagli istituti di credito obbligati e consentire al responsabile della funzione d’audit interna di avere accesso a tutte le informazioni riguardanti le funzioni critiche o importanti esternalizzate, nonché a quelle relative a quelle sub-esternalizzate. Le conclusioni così formulate nel rapport di audit devono infine essere trasmesse all’ACPR.

gp@giovannellapolidoro.com

—————————————————–

[1] v. comunicato stampa dell’ACPR del 22 luglio 2021