L’Autorità europea sugli strumenti finanziari avvia le consultazioni per la redazione delle linee guida sull’outsourcing in cloud

L’ESMA avvia le consultazioni sulle linee guida per l’outsourcing di servizi in cloud da parte degli operatori del mercato finanziario

L’Autorità europea degli strumenti finanziari e dei mercati (“ESMA”) ha pubblicato un documento consultivo per la stesura delle linee guida in materia di outsourcing in cloud. Lo scopo di queste guidelines è di fornire alcune indicazioni agli operatori del mercato finanziario per identificare, affrontare e monitorare i rischi connessi all’attività di esternalizzazione di funzioni a fornitori di servizi in cloud.

Le linee guida si applicheranno ad un ampio spettro di soggetti sottoposti alla vigilanza dell’ESMA, tra cui le società di investimento, gli enti creditizi che svolgono attività o forniscono servizi di investimento, i fornitori di servizi di comunicazione di dati e gli operatori di mercato con riferimento a qualsiasi accordo di cloud-outsourcing da questi stipulato, inteso sia in termini di esternalizzazione di funzioni direttamente ad un fornitore di servizi in cloud che all’impiego di un fornitore di tali servizi nell’ambito della supply chain. Pertanto, le linee guida avranno un campo di applicazione piuttosto ampio andando a toccare in particolare le aziende che si avvalgono di piattaforme di fintech, le quali frequentemente operano tramite l’uso di tecnologia cloud.

I temi principali che vengono affrontati all’interno delle linee guida dell’ESMA sono

  1. i meccanismi di governance, documentazione, sorveglianza e monitoraggio adottati dalle imprese esternalizzanti;
  2. il processo di analisi e due diligence dei fornitori dei servizi in cloud;
  3. il contenuto minimo degli accordi di outsourcing e sub-outsourcing;
  4. la sicurezza delle informazioni;
  5. l’adozione delle strategie di uscita;
  6. i poteri di accesso e di audit esercitabili nei confronti dei cloud provider;
  7. il sub-outsourcing;
  8. gli obblighi di notifica alle autorità competenti; e
  9. la supervisione delle autorità sugli accordi di outsourcing.

Risulta interessante evidenziare come le linee guida dell’ESMA andranno ad integrarsi con guidelines emesse dall’Autorità Bancaria Europea (“EBA”) nel febbraio 2019 e dall’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (“IOPA”)  pubblicate lo scorso febbraio. Questo significa che gli enti creditizi che operano nel settore finanziario saranno assoggettati ad una disciplina composita, la quale comprenderà sia le linee guida dell’EBA che quelle dell’ESMA e, nel caso in cui tali enti facessero altresì parte di gruppi societari che operano anche nel settore delle assicurazioni, si aggiungeranno alle previsioni di cui sopra le disposizioni emanate dall’IOPA, nonché i principi applicabili in materia di outsourcing emanati dall’International Organization of Securities Commission (“IOSCO”).

Le consultazioni pubbliche si concluderanno l’1 settembre 2020 e sono rivolte alle autorità competenti, agli operatori del mercato e ai fornitori dei servizi in cloud. L’ESMA si aspetta  che le linee guida entreranno in vigore a partire dal 30 giugno 2021 e saranno applicabili con riferimento a tutti gli accordi di cloud-sourcing stipulati, rinnovati o modificati a partire da tale data.