La Banca d’Italia fornisce nuove indicazioni in materia di outsourcing

Pubblicato il nuovo aggiornamento alla Circolare 285 della Banca d’Italia recante disposizioni in materia di vigilanza per le banche.

Il 23 settembre 2020, la Banca d’Italia ha pubblicato il 34° aggiornamento della Circolare 285 del 17 Dicembre 2013 (la “Circolare 285”) recante disposizioni in materia di vigilanza per le banche che prevede rilevanti novità in materia di outsourcing.

L’obbiettivo del nuovo aggiornamento è di recepire all’interno della Circolare 285 le linee guida della Banca Centrale europea relative al processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process – SREP), adottate a seguito della crisi legata al Covid-19.

L’ultimo aggiornamento contiene alcune novità in tema di outsourcing tra le quali

  1. i) l’obbligo per le banche di tenere un registro aggiornato delle attività esternalizzate;
  2. ii) l’obbligo di eseguire una valutazione generale del rischio di concentrazione con riferimento ai fornitori di servizi durante tutte le fasi dell’outsourcing;
  • iii) l’inserimento nei contratti di outsourcing di specifiche clausole in materia di diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa;
  1. iv) l’obbligo di notificare all’autorità di sorveglianza anche eventuali riqualificazione di attività già oggetto di outsourcing come funzioni essenziali o importanti; e
  2. v) il superamento delle previgenti restrizioni in materia di outsourcing al di fuori del gruppo bancario dei compiti operativi delle funzioni aziendali di controllo, che dall’entrata in vigore del nuovo aggiornamento sarà ammessa, purché avvenga nel rispetto del principio di proporzionalità.

Per quanto riguarda l’outsourcing dei sistemi informatici (ICT), il nuovo aggiornamento alla Circolare 285 prevede che le misure di attenuazione dei rischi adottate dal fornitore informatico devono essere conformi al quadro di riferimento generale per la gestione del rischio informatico e di sicurezza della banca. Con il 34° aggiornamento, viene specificato altresì il contenuto dell’informativa che le banche devono rendere alla Banca d’Italia e alla Banca centrale europea in caso di outsourcing di sistemi informatici estendendo, al contempo, l’obbligo di comunicazione anche con riferimento ai principali fornitori di servizi informatici che non rivestono la qualifica di outsourcing.

Infine, la Banca d’Italia ha apportato alcune modifiche volte a rafforzare l’allineamento delle disposizioni di vigilanza agli Orientamenti della Banca centrale europea sulla governance interna con particolare riferimento alle disposizioni ivi contenute in materia di outsourcing, processo di approvazione dei nuovi prodotti, comunicazioni del personale, parere preventivo del responsabile della funzione di controllo dei rischi e sui sistemi interni di segnalazione delle violazioni (whistleblowing).

La nuova versione della Circolare 285 della Banca d’Italia entra in vigore immediatamente e si applica a tutti gli accordi di outsourcing conclusi, rinnovati o modificati a partire dalla data di pubblicazione. Le banche saranno pertanto tenute, entro la fine del 2021, a completare il registro delle attività esternalizzate con la documentazione di tutti gli accordi di outsourcing esistenti e ad adeguare i contratti già esistenti alle nuove norme. Qualora non sia possibile la revisione dei contratti di outsourcing di funzioni essenziali o importanti entro il 31 Dicembre 2021, le banche ne dovranno dare comunicazione alla Banca centrale europea o alla Banca d’Italia, indicando la data di adeguamento al nuovo regime, le misure previste per completare l’adeguamento o l’eventuale strategia di uscita dal contratto di outsourcing.

Sul tema è possibile leggere l’articolo “Nuove clausole per i contratti di outsourcing del settore finanziario nella proposta di legge sulla resilienza operativa digitale”.