Pubblicate le linee guida dell’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali in materia di outsourcing

A seguito della chiusura delle consultazioni pubbliche iniziate a luglio 2019, il 6 febbraio 2020 l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (“EIOPA”) ha pubblicato la versione finale delle linee guida sull’outsourcing per i fornitori di servizi in cloud.

Le guidelines, che si pongono il duplice obbiettivo di fornire una maggiore trasparenza al mercato evitando potenziali interventi normativi arbitrari e, contestualmente, promuovendo un approccio unitario da parte delle autorità di vigilanza per quanto riguarda le aspettative e i processi rilevanti in tema di cloud-sourcing, si applicheranno a tutti i contratti di cloud-sourcing stipulati o emendati dopo il primo di gennaio 2021 dalle imprese di assicurazione e riassicurazione.

Similarmente alle linee guida sull’outsourcing emanate alla fine del 2019 dall’Autorità bancaria europea applicabili agli istituti finanziari, anche il provvedimento dell’EIOPA distingue tra due forme di esternalizzazione: outsourcing generico e outsourcing di funzioni o attività operative critiche o importanti. Il nuovo testo risolve altresì alcuni degli aspetti più controversi che erano emersi a seguito della pubblicazione della prima bozza delle guidelines.

In particolare, si rimanda a quanto previsto dalla Direttiva Solvency II (Direttiva 2009/138/CE) per la definizione di outsourcing, che dovrà essere valutata alla luce della particolare funzione esternalizzata, soprattutto se effettuata su base continuativa e nell’ambito di funzioni che potrebbero essere svolte internamente dall’outsourcer, escludendo così il precedente approccio che imponeva la qualificazione di outsourcingprima facie, a tutti servizi erogati in cloud. Allo stesso modo, rientra nell’ambito di applicazione delle linee guida qualsiasi forma di esternalizzazione verso soggetti non fornitori di servizi in cloud tout court ma che si affidano, in maniera significativa, ad infrastrutture in cloud per la fornitura dei loro servizi (tramite cd. sub-outsourcing).

In aggiunta, i soggetti che esternalizzano dovranno adottare e mantenere aggiornate specifiche politiche e procedure aziendali che tengano conto di tutte le specificità e i rischi connessi all’esternalizzazione di funzioni in cloud, assicurandosi allo stesso tempo di mantenere un registro contenente tutte le informazioni relative ai contratti di outsourcing stipulati, in particolare se si tratta di funzioni critiche. Tali informazioni dovranno essere messe a disposizione delle autorità se richieste. Le linee guida impongono altresì agli outsourcer di svolgere una serie di valutazioni preventive nella scelta del fornitore dei servizi in cloud e di esercitare alcune forme di controllo successivamente alla stipulazione del contratto.

Infine, i contratti di outsourcing dovranno avere forma scritta ad substantiam e indicare in maniera chiara i rispettivi obblighi e diritti delle parti contrattuali. In particolare, in caso di esternalizzazione di funzioni critiche, le linee guida prevedono che i contratti dovranno indicare, tra gli altri, gli specifici obblighi finanziari in capo alle parti, le limitazioni contrattuali da applicare ai sub-outsourcee in caso di sub-outsourcing, il luogo di conservazione dei dati, i livelli di servizio applicabili, gli obblighi di segnalazione in capo al fornitore di servizi in cloud e i diritti di controllo ed audit dell’outsourcer.