L’ESMA pubblica le linee guida relative all’outsourcing di servizi cloud nel settore bancario e assicurativo

Le nuove linee guida dell’ESMA sull’outsourcing di servizi cloud introducono rilevanti obblighi per questa tipologia di forniture nel settore bancario e assicurativo.

L’Autorità europea sugli strumenti finanziari (“ESMA”), a seguito della consultazione pubblica avviata il 3 giugno 2020, ha pubblicato la Relazione Finale sulle Linee Guida relative all’outsourcing ai fornitori di servizi cloud. Le linee guida andranno ad integrarsi con la disciplina contenuta nelle guidelines adottate dall’EBA e dall’EIOPA per quanto attiene all’esternalizzazione nei settori bancario e assicurativo.

Le linee guida relative all’outsourcing di servizi cloud trovano applicazione rispetto ad una vasta gamma di soggetti sottoposti alla vigilanza dell’ESMA, tra i quali, le società di investimento, i gestori e depositari di fondi d’investimento alternativi, gli organismi di investimento collettivo in valori mobiliari, i fornitori di servizi di comunicazioni di dati, gli enti creditizi che svolgono attività o forniscono servizi di investimento e le agenzie di rating del credito. Lo scopo delle linee guida è di fornire alcune indicazioni per gli operatori del mercato finanziario affinché possano identificare, monitorare ed affrontare i rischi connessi all’attività di outsourcing a fornitori di servizi in cloud. In particolare, le linee guida contengono una serie di indicazioni con riferimento:

  1. ai principi di governance, la documentazione e i meccanismi di supervisione e monitoraggio dei fornitori cloud;
  2. ai procedimenti di valutazione e due diligence dei cloud provider;
  3. al contenuto minimo degli accordi di esternalizzazione e sub-esternalizzazione;
  4. alle strategie di uscita dagli accordi di outsourcing;
  5. al sub-outsourcing;
  6. ai poteri di accesso e audit nei confronti dei cloud provider;
  7. agli obblighi di notifica alle autorità competenti; e
  8. alla supervisione delle autorità sugli accordi di outsourcing.

Le linee guida si applicano a tutti quegli accordi attraverso i quali gli operatori del mercato finanziario affidano ad un fornitore di servizi in cloud, o ad un soggetto terzo che si avvale in maniera significativa di un fornitore di servizi in cloud, l’esercizio di funzioni che normalmente verrebbero svolte dallo stesso operatore finanziario. Le linee guida prevedono inoltre dei requisiti più stringenti nel caso in cui l’outsourcing abbia ad oggetto funzioni critiche o importanti ovvero funzioni la cui interruzione potrebbe materialmente comprometterebbe le capacità dell’operatore finanziario di adempiere con la normativa applicabile o potrebbe pregiudicare la sua performance finanziaria o continuità operativa.

Le linee guida entreranno in vigore a partire dal 31 luglio 2021 e si applicheranno a tutti gli accordi di outsourcing in cloud stipulati, rinnovati o modificati a partire da tale data. Per quanto riguarda gli accordi già esistenti, questi dovranno essere rivisti e modificati entro il 31 dicembre 2022.

Sullo stesso argomento, possono essere interessanti gli articoli: “L’Autorità europea sugli strumenti finanziari avvia le consultazioni per la redazione delle linee guida sull’outsourcing in cloud” e “Pubblicate le linee guida dell’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali in materia di outsourcing”.