[*] Il presente contributo è finalizzato pertanto a valutare un’ipotesi di processo che l’ente potrebbe adottare per la valutazione di una nuova fornitura secondo le previsioni delle nuove Linee guida EBA per la corretta gestione del rischio di terze parti attualmente in consultazione.
1. Il quadro giuridico
Il mondo bancario e finanziario ha vissuto negli ultimi decenni un profondo cambiamento che ha visto sempre di più focalizzare le risorse delle Banche sul mondo più strettamente core delle Società stesse; di converso, le Banche hanno iniziato sempre più massicciamente ad affidare a soggetti terzi tutte quelle attività che non potevano/volevano più svolgere internamente, soggetti terzi che nel tempo hanno saputo offrire una sempre più elevata specializzazione, mettendo a disposizione un know how e dei servizi sempre più efficienti e competitivi a costi decisamente inferiori rispetto a quelli che la Banca avrebbe dovuto sopportare in caso l’attività fosse stata svolta internamente.
Se questo è stato particolarmente evidente per il mondo ICT, complice anche l’importanza degli investimenti che gli outsourcer erano in grado di effettuare sulle proprie soluzioni tecnologiche, questo fenomeno si è realizzato anche per tutti quei servizi non ICT, dai back office ai servizi di archiviazione della documentazione sino al recupero crediti.
Se da un lato i benefici sono palesi, servizi migliori a costi più bassi, con liberazione di risorse economiche e umane da destinare alle attività strettamente bancarie, altrettanto lo sono i rischi, per le Banche così come, diretti o indiretti, per i loro clienti. Si pensi solamente ai rischi di fallimento dell’outsourcer ovvero a performance non adeguate, con conseguenti rallentamenti nei processi, avvio di difficoltose migrazioni ad altri outosourcer o addirittura di reinternalizzazione dell’attività.
Per fare fronte a tali rischi le autorità di vigilanza si sono sempre più impegnate a richiedere un solido framework di governo delle terze parti da parte delle Banche e in genere di tutti gli enti vigilati, richiedendo la predisposizione di processi articolati che imponessero un’attenta valutazione della controparte contrattuale, dei presidi contrattuali che garantissero alla Banca adeguate tutele e obblighi di monitoraggio costante, obblighi che, in ottica di proporzionalità, sono sempre stati in considerazione della rilevanza (e così della relativa rischiosità) dell’attività esternalizzata.
Volendo definire in modo sintetico l’articolato quadro giuridico che nel tempo si è dispiegato, questo risulta suddiviso principalmente in due macro-ambiti, e nello specifico da:
- Ambito ICT, in cui le regole sono quelle dettate dal Regolamento DORA e da tutti i relativi Regolamenti ad esso ancillari e attuativi, nonché dalla normativa italiana che ne ha recepito le previsioni;
- Ambito non ICT, in cui vengono in risalto gli Orientamenti in materia di esternalizzazione emanati da EBA nel 2019 in attuazione della delega conferita dalla CRD con l’articolo 74, paragrafo 3[1], recepite pedissequamente[2] nella Circolare 285/2013 di Banca d’Italia con l’aggiornamento n. 34 del 22 settembre 2020.
Se il quadro normativo per le forniture ICT risulta essere ormai delineato, per quanto attiene alle forniture non ICT risulta attualmente in aggiornamento; in data 8 luglio 2025 EBA ha, infatti, posto in consultazione il documento intitolato “Linee guida per la corretta gestione del rischio di terze parti”, (le “Linee Guida”) volto a modificare gli Orientamenti in materia di esternalizzazione del 2019 (EBA/GL/2019/02), allo scopo di allineare tali previsioni al nuovo quadro giuridico risultante post pubblicazione di DORA.
Il presente contributo è finalizzato pertanto a valutare un’ipotesi di processo che l’ente potrebbe porre in essere per la valutazione di una nuova fornitura secondo le previsioni delle nuove Linee Guida attualmente in consultazione; in tal senso il contributo seguirà alcuni assiomi che pare opportuno precisare prima di affrontare in dettaglio il tema principale:
- il contributo viene redatto sulla base del testo attualmente in Consultazione[3], senza quindi poter fare riferimento a ipotesi concrete attuali di processo;
- verranno affrontati gli step di processo che la Banca dovrebbe porre in essere per l’approvazione di una nuova fornitura rientrante nel perimetro delle Linee Guida, non soffermandosi invece su valutazioni di impostazione quali la redazione della policy o la predisposizione dei controlli.
2. Ambito di applicazione degli Orientamenti
Uno dei principali aggiornamenti apportati in occasione della versione in consultazione degli Orientamenti è l’ampliamento del proprio perimetro di applicazione; se infatti, il testo del 2019 copriva e disciplinava tutte le forniture qualificate come esternalizzazioni, il testo degli Orientamenti ora è finalizzato a disciplinare tutte le forniture non soggette alla regolamentazione dettata da DORA, come anche reso esplicito da (i) il titolo delle Linee Guida, ora titolate “EBA Draft Guidelines on the sound management of third-party risk”, in cui il riferimento alle esternalizzazioni viene ora generalizzato, e (ii) il testo delle Linee Guida, in cui si specifica che “these Guidelines only cover the use of TPSPs providing or supporting functions that are not qualified as ICT services under DORA”.
3. Il processo
A valle della premessa, in cui si è inteso fornire un quadro di sintesi e di contesto circa il nuovo provvedimento normativo posto in consultazione, si intende ora descrivere quello che potrebbe costituire l’attuazione del relativo processo.
a. Inquadramento ICT – Non ICT
In considerazione dell’entrata in vigore di DORA, la Banca dovrà porre in essere un preliminare step di processo che sappia canalizzare correttamente la fornitura in esame rispetto alla relativa tipologia, riconducendo la singola fornitura in uno dei due macro-ambiti normativi sopra indicati; la Banca dovrà quindi verificare se trattasi di fornitura di un servizio ICT o non ICT. Per poter procedere in questa opera di riconduzione, dovrà evidentemente inquadrarsi cosa si intende per fornitura di un servizio ICT; tale categoria viene definita da DORA come la fornitura avente ad oggetto “servizi digitali e di dati forniti attraverso sistemi di TIC a uno o più utenti interni o esterni su base continuativa, inclusi l’hardware come servizio e i servizi hardware, comprendenti la fornitura di assistenza tecnica mediante aggiornamenti di software e firmware da parte del fornitore dell’hardware, esclusi i servizi telefonici analogici tradizionali”[4]. Tutto ciò che verrà qualificato come fornitura ICT sarà quindi sottoposta alle disposizioni di DORA, il restante sarà sottoposto alle previsioni di cui alle Linee Guida.
Una volta avuto questo corretto indirizzamento rispetto all’ambito normativo, potrà quindi procedersi all’applicazione di tutti i presidi che la normativa richiede e che si analizzeranno in modo più dettagliato nel prosieguo.
b. Forniture escluse dall’applicazione delle Linee Guida
Per tutte quelle forniture che siano risultate rientranti nel perimetro delle Linee Guida, la Banca dovrà procedere alla relativa classificazione. Nello specifico, dovrà innanzitutto verificarsi se la fornitura costituisca un mero acquisto di un bene, operazione che, come tale, fuoriesce dal perimetro delle Linee Guida, o se la fornitura sia comunque istantanea (o di durata molto esigua), priva come tale del carattere di continuatività che la norma richiede, e non ricorrente. In tal caso, la fornitura potrà seguire il normale iter previsto dal ciclo passivo, fuoriuscendo così dal perimetro di applicazione delle Linee Guida. Parimenti dovranno escludersi tutte quelle forniture elencate al paragrafo 32 delle Linee Guida; in tale disposizione rientrano tutte quelle forniture che devono essere attivate in ossequio a un obbligo di legge (le Linee Guida menzionano il caso della revisione legale dei conti) alle utenze, come quelle telefoniche, elettriche, sino ai servizi bancari di corrispondenza e alle infrastrutture di rete globali. Se queste tipologie erano già note alle Banche, che sulla base di una norma pressochè sovrapponibile non applicavano il framework normativo sulle esternalizzazioni, pare interessante valutare la nuova formulazione di cui alla lettera f), per cui risultano escluse dall’applicazione delle Linee Guida “the acquisition of services that do not have material impact on the financial entities’ risks exposures or on their operational resilience”; tale casistica indicata dalle Linee Guida va a sostituire quanto indicato negli Orientamenti, in cui venivano esclusi quei servizi che “would otherwise not be undertaken by the institution or payment institution”. Se, a una prima lettura della norma, pare potersi sostenere come la diversa formulazione non abbia importanti riflessi operativi a livello di forniture che ne possano risultare escluse, può comunque sostenersi come tale modifica di wording espliciti ancora più chiaramente come l’elemento cardine della materia (e sulla cui base dovrà essere valutato l’aggiornamento normativo che si sta commentando) sia il rischio che la Banca assume nell’affidare a un soggetto terzo un determinato servizio; se la ratio della norma è tutelare la Banca dai rischi che tale incarico può comportare, non può che conseguirne che, in caso di incarichi privi di impatti materiali in termini di rischio, non risultano necessari specifici presidi, risultandone in conclusione la logica esclusione dal perimetro delle Linee Guida.
c. Classificazione delle forniture
Laddove la fornitura non possa così dirsi esclusa dall’applicazione delle Linee Guida, la Banca sarà chiamata a classificare la fornitura; nello specifico, dovrà determinarsi se la stessa possa dirsi come una funzione essenziale o importante. Se il quadro normativo precedente divideva le esternalizzazioni in una sostanziale bipartizione, e in particolare tra funzioni essenziali o importanti e mere esternalizzazioni, le nuove Linee Guida sembrano optare per un mero renaming, pur rimanendo la suddivisione in due macro-categorie delle forniture in (i) funzioni critiche o importanti (le “critical or important functions”) e (ii) gli accordi con terze parti (i “third party arrangements”)[5]. Rimanendo sostanzialmente allineata al precedente testo delle Linee Guida, EBA prevede che le forniture possano essere classificate come critiche laddove un eventuale situazione di interruzione (a vario titolo) nell’erogazione del servizio possa compromettere la continuità dell’attività della Banca stessa, impattare sui risultati finanziari o ancora incidere sulle condizioni sulla cui la stessa è stata autorizzata a svolgere l’attività bancaria. Per quanto riguarda l’attività delle funzioni di controllo, le previsioni restano sostanzialmente immutate, e anche il riferimento alla valutazione dei rischi che devono essere valutati sembra procedere in una situazione di quasi invarianza. Si veda, infatti, come la nuova previsione di chiusura prevista dal paragrafo 37, lettera b, romanino v, delle Linee Guida faccia generico riferimento a tutti i rischi rilevati; in allineamento con la generale attenzione posta dalle autorità di vigilanza al tema, l’EBA ha voluto specificare come tra questi rischi debba rientrare anche quello ESG, in evidente collegamento con gli “Orientamenti sulla gestione dei rischi ambientali, sociali e di governance (rischi ESG)” pubblicati da EBA a gennaio 2025.
d. Conflitti di interessi
Nell’ambito della fornitura che si intende attivare, la Banca dovrà valutare se siano sussistenti situazioni capaci di determinare conflitti di interesse. Rispetto a questo requisito normativo, dovrà innanzitutto valutarsi il corretto rispetto della normativa italiana in tema, e in particolare se il fornitore rientri nel perimetro dei soggetti collegati ai sensi della Circolare 285/2013 di Banca d’Italia o se questo possa essere qualificato come una controparte nei cui confronti dover applicare lo specifico iter deliberativo previsto dall’articolo 136 TUB.
Laddove poi il fornitore sia una società appartenente al Gruppo, come potrebbe darsi laddove questa sia una società strumentale, le Linee Guida richiedono che le condizioni a cui il servizio dovrà essere pattuito siano quelle di mercato, non potendo quindi la Banca ottenere il servizio a condizioni contrattuali difformi[6] rispetto a quelle generalmente applicate da altri fornitori dello stesso servizio in considerazione della specifica controparte. La Vigilanza vuole quindi evitare che la Banca, facendo leva sull’esistenza di meccanismi societari, possa ridurre le tutele contrattuali di cui la Banca si sarebbe dovuta avvalere con qualsiasi altro fornitore.
e. Due diligence
Rispetto al fornitore individuato, la Banca dovrà porre in essere una complessiva attività di due diligence che non potrà limitarsi a una mera analisi circa la solidità economico-finanziaria dello stesso, dovendo ad esempio focalizzarsi su (i) la catena partecipativa nonché su (ii) eventuali rapporti contrattuali pregressi già intrattenuti tra Banca e fornitore stesso. Laddove, poi, la funzione sia qualificata come essenziale o importante, tale verifica dovrà avere uno spettro più ampio, dovendo avere a riguardo la sussistenza di controlli interni da parte dell’ente per una corretta gestione dei rischi operativi, la disponibilità di adeguate risorse per lo svolgimento della funzione esternalizzata nonché elementi reputazionali. Con riguardo a tale ultimo elemento, la Banca, oltre a richiedere al fornitore di conformarsi al proprio Codice Etico, potrà, anche attraverso clausole contrattuali ad hoc, valorizzare le proprie disposizioni del Modello 231, obbligando la propria controparte ad adottare comportamenti che siano coerenti con i propri principi. Con particolare riferimento all’esternalizzazione di funzioni essenziali o importanti, infatti, in cui il fornitore partecipa attivamente a processi che potrebbero qualificarsi come sensibili rispetto ad alcuno dei reati presupposto previsti dal D. Lgs. 231/2001, attraverso tale clausola la Banca potrebbe ottenere il doppio beneficio di tutelarsi dal rischio di risalita di responsabilità in caso di coinvolgimento del fornitore in un qualche processo penale e gestire adeguatamente il rischio reputazionale, giungendo sino a sciogliere vincoli non più graditi.
f. Risk assessment
La Banca dovrà svolgere un’attività di risk assessment sulla fornitura che si intende affidare al fornitore terzo. Come già previsto dagli Orientamenti attualmente vigenti, le Linee Guida richiedono un approccio olistico rispetto ai rischi che tale fornitura possa comportare, tenendo in considerazione tutte le tipologie di rischio che possano concretizzarsi, tra cui quello operativo, legale e, in particolare, quello di concentrazione. Con riferimento a quest’ultimo aspetto, la Banca dovrà valutare non solamente il numero di funzioni che sono affidate al fornitore ma anche il grado di sostituibilità.
Pare opportuno segnalare come l’estensione del perimetro di applicazione impatti anche rispetto a questo step di processo. Se, infatti, le precedenti indicazioni fornite da EBA erano volte a tenere in considerazione le catene di subesternalizzazioni (quindi non tutti i terzi di cui il terzo si avvaleva), anche in questo caso la novella normativa, in parallelo con DORA, amplia il perimetro chiedendo di valutare tutti i subappaltatori del contraente diretto. Di converso, tale elemento viene limitato, anche qui in diretto parallelismo a DORA, ai soli casi in cui venga fornita da un subappaltatore un’attività qualificabile come critica.
g. Predisposizione del contratto
Una volta adempiuti tutti questi step, la Banca dovrà procedere alla stesura del contratto con il fornitore. Elemento di rilevante novità delle Linee guida è dato dalla specifica indicazione di requisiti contrattuali che non siano limitati alle sole funzioni essenziali o importanti, ma che riguardino anche tutte quelle forniture che rientrano nel loro perimetro di applicazione. Se il metodo normativo replica quanto già fatto in DORA dal legislatore europeo, rispetto alle clausole che le Linee Guida richiedono come obbligatorie non si ravvisano sostanziali novità. L’operazione compiuta da EBA è stata la selezione di alcune clausole minime e l’estensione della loro applicabilità non alle sole funzioni critiche ma a tutte le forniture rientranti nel perimetro di applicazione delle Linee Guida; leggendo questa novità unitamente alla (notevole) estensione di perimetro che le Linee Guida comportano, non può che evidenziarsi la volontà della Vigilanza di creare uno standard contrattuale minimo di cui le Banche, ad eccezione di poche e limitate casistiche, dovranno avvalersi nella contrattualizzazione con tutti quei fornitori che, anche limitatamente, erogano servizi necessari allo svolgimento dei processi bancari[7].
Sempre rispetto alle modifiche degli accordi contrattuali, le Linee Guida prevedono un importante ampliamento, anche in questo caso in parallelo a DORA, relativamente alla catena di fornitura del fornitore della Banca; se gli Orientamenti, infatti, richiedevano alla Banca di munirsi di adeguati presidi con riferimento ai subesternalizzatori, anche tale perimetro viene ora esteso a tutti i subfornitori. Tale ampliamento dovrà essere attentamente gestito nell’ambito dei processi interni, in particolare in considerazione di quanto previsto dal paragrafo 91 delle Linee Guida, secondo cui il fornitore dovrà notiziare la Banca di tutte le modifiche che riguardino i propri subfornitori, consentendo a questa di eseguire le relative verifiche. In considerazione delle numeriche che potranno generarsi, infatti, la Banca non potrà che informatizzare i processi valutativi, al fine di evitare colli di bottiglia e relativi blocchi, applicando attentamente il criterio di proporzionalità come le stesse Linee Guida suggeriscono.
In relazione alla predisposizione del contratto, un ruolo rilevante potrà essere attribuito a
- la Funzione Legale della Banca, chiamata ad assistere la struttura organizzativa che sarà la fruitrice della fornitura nella stesura di un contratto contenente le previsioni previste dalle Linee Guida;
- la struttura stessa, in considerazione dell’evidente necessità di una conoscenza approfondita del servizio stesso e delle specifiche tecniche che dovranno essere richieste al fornitore, ad esempio in termini di livelli di servizio;
- la Funzione di conformità, che dovrà verificare che il testo contrattuale sia effettivamente rispondente alle menzionate disposizioni.
Rispetto a questo step processuale, la Banca potrà valutare, in particolare per quanto riguarda le forniture che non siano classificate come funzioni essenziali o importanti, data anche la loro numerica, di predisporre un format contrattuale che contenga quelle disposizioni minime, adattabili sulla base dello specifico oggetto, per guidare la struttura che intende avvalersi della fornitura alla prima stesura di un contratto conforme rispetto alle aspettative della Vigilanza.
Pur in considerazione dell’approccio redazionale assunto dal presente contributo, finalizzato a descrivere il processo end-to-end di una fornitura sotto l’egida delle nuove Linee Guida, non può non osservarsi come un rilevante impatto potrà aversi rispetto a quei requisiti contrattuali introdotti per i contratti di fornitura. Come sopra indicato, infatti, le Linee Guida per la prima volta introducono degli specifici requisiti anche per quelle forniture che non siano definite come critiche; in tal senso, al fine di poter avere un completo adeguamento, la Banca dovrà verificare che tutti i contratti, anche quelli già in essere, che rientrino sotto l’egida delle Linee Guida presentino tali requisiti o, in loro assenza, procedere alla relativa integrazione nei tempi (non troppo estesi[8]) previsti dalle Linee Guida stesse.
h. Approvazione dell’organo e comunicazione alla Vigilanza
Una volta conclusi tutti i passaggi sopra indicati, la Banca dovrà procedere alla relativa approvazione dell’accordo. Riguardo al presente punto, le Linee Guida nulla dicono circa la struttura che dovrà essere chiamata a tale approvazione, lasciando così ampia autonomia alle Banche, pur nei limiti di quanto previsto dal diritto nazionale[9]. In tale valutazione la Banca non potrà certamente non tenere conto delle numeriche che potrebbero generarsi in considerazione della già menzionata estensione del perimetro; in tal senso, un’eventuale attribuzione di tale onere in capo all’organo con funzione di supervisione strategica potrebbe finanche portare, oltre che al sostanziale intasamento dell’organo stesso, a creare qualche frizione con la previsione della Circolare 285/2013 che richiede che al Consiglio di Amministrazione non vengano sottoposte questioni che “possono più efficacemente essere affrontate dall’organo con funzione di gestione o dalle strutture aziendali”[10]. In tal senso, volendo trovare un parallelismo in DORA, può vedersi il Regolamento attuativo 1773/2024, che specifica espressamente come l’organo di gestione possa essere coinvolto “se del caso”[11] nel processo approvativo di servizi TIC a supporto di funzioni essenziali o importanti. A fronte di tali considerazioni e sulla base del principio di proporzionalità, invocato dalla stessa EBA, la Banca potrebbe quindi creare un sistema di deleghe che veda l’attribuzione della competenza suddivisa a seconda della classificazione della fornitura, laddove questa sia (i) una funzione critica, all’organo con funzione di supervisione strategica o all’organo con funzione di gestione, mentre in caso di (ii) fornitura, in capo all’organo di gestione o, laddove presente, al Direttore Generale.
Tale suddivisione tiene infatti in considerazione anche la rilevanza che assumono le funzioni critiche, considerata anche la necessità che delle stesse ne sia data tempestiva notizia all’Autorità di Vigilanza, in linea con le previsioni delle Linee Guida.
i. Monitoraggio e Registro delle esternalizzazioni
Predisposto il set contrattuale e la relativa documentazione ancillare, svolti gli iter approvativi ed eventualmente trasmessa la relativa notizia all’Autorità di Vigilanza, il rapporto con il fornitore può evidentemente partire. Le Linee Guida precisano, però, come la Banca sia tenuta a:
- inserire tutti i contratti instaurati con i propri fornitori all’interno di un registro, a disposizione della Vigilanza con una serie molto articolata di informazioni, da inserirsi a seconda che il servizio possa qualificarsi o meno come funzione critica. Rispetto a tale registro, la Banca, per quanto possa avvalersi di appositi strumenti informatici da svilupparsi anche in house, dovrà comunque assicurarsi di poter estrarre le relativa informazioni in un formato modificabile e su una piattaforma diffusa, così come le stesse Linee guida prevedono;
- un costante monitoraggio sui fornitori stessi, anche in questo caso con intensità proporzionata rispetto alla rilevanza del servizio. Nello specifico, le Linee guida chiedono un costante monitoraggio circa il livello di performance del fornitore, anche qui nell’ottica che questo non possa pregiudicare il buon funzionamento dei processi della Banca stessa; questo requisito non può che incrociarsi con quanto le Linee guida chiedono come requisito minimo per tutti i fornitori, ovvero la descrizione dei livelli di servizio che il fornitore deve garantire. Oltre, quindi, alla possibilità per la Banca di settare autonomi KPI interni che possano valutare anche altri aspetti non rientranti nei livelli di servizio pattuiti, per tutte le forniture rientranti nel perimetro la Banca dovrà ricevere dal fornitore idonea reportistica afferente il rispetto (o meno) dei livelli di servizio. Da un punto di vista operativo questo non potrà che comportare la necessità di identificare, per ogni fornitura, un owner[12] (accentrato o diffuso a seconda del servizio) che, ricevuto il report dal fornitore, lo analizzi e possa attivare, se del caso, i relativi rimedi che la Banca potrà esercitare in caso di underperforming.
Da ultimo, è necessario altresì specificare come la Banca sia tenuta a identificare un ruolo o nominare un soggetto (comunque appartenente al senior management)[13] che debba presidiare in un modo olistico il rischio delle terze parti, rispondendo direttamente al Consiglio di Amministrazione della Banca stessa.
[*] Le opinioni qui espresse sono a puro titolo personale e non impegnano l’Istituto di appartenenza.
[1] “L’ABE emana orientamenti in merito ai dispositivi, ai processi e ai meccanismi di cui al paragrafo 1, conformemente al paragrafo 2”.
[2] Circolare Banca d’Italia, Parte 1, Titolo IV, Capitolo 3, Sezione IV, Paragrafo 1 “Principi generali e requisiti particolari”, recita che “Le banche che ricorrono all’esternalizzazione di funzioni aziendali all’interno o all’esterno del gruppo applicano i Titoli I, II, III e IV degli Orientamenti in materia di outsourcing dell’EBA”
[3] Nel corso del contributo verranno comunque affrontati i punti più critici degli Orienamenti, evidenziando anche punti su cui la versione definitiva potrebbe pertanto variare a fronte delle osservazioni che verranno sottoposte a EBA.
[4] Articolo 3, comma, 1, numero 21), Regolamento DORA.
[5] Si vedranno comunque nel prosieguo del testo le novità che EBA prevede rispetto a questa categoria di forniture.
[6] Giova notare come le Linee Guida specifichino espressamente come le condizioni in discorso non sono esclusivamente quelle finanziarie; tutto il set contrattuale dovrà così essere adeguato alle generali condizioni di mercato (e.g., i livelli di servizio, le penali, le clausole risolutive, i meccanismi di responsabilità).
[7] A tal proposito preme altresì segnalare come le Linee Guida prevedano un periodo di due anni per l’entrata in vigore delle relative disposizioni. Entro tale termine, laddove confermato, le Banche dovrebbero procedere a un completo assessment circa tutte le forniture che rientrerebbero nel perimetro di applicazione delle Linee Guida medesime, verificando la presenza di tutte le previsioni contrattuali minime ed eventualmente intervenendo sul contratto o altrimenti attivando le relative exit strategy.
[8] Le Linee Guida prevedono un termine di due anni dalla data della loro entrata in vigore, salvo che il contratto non debbano nel frattempo essere rinnovato.
[9] Si veda, ad esempio, per l’ordinamento italiano la previsione dell’attuale Circolare 285/2013 (Parte I, Capitolo IV, Capitolo 3, Sezione II, Paragrafo 3 “Organo con funzione di gestione”) che richiede che l’organo di gestione debba definire e curare “l’attuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali”, con ciò implicitamente prevedendo un obbligatorio coinvolgimento anche in una fase così cruciale del processo quale lo step approvativo dell’esternalizzazione stessa.
[10] Circolare 285/2013, Parte 1, Titolo IV, Capitolo 1, Sezione III, paragrafo 2.2 “Linee applicative”.
[11] Regolamento 1773/2024, articolo 4, lettera a).
[12] Definizione di un owner che costituisce un requisito indicato dalle stesse Linee guida quando richiedono che le Banche “clearly assign the responsibilities for the documentation, management and monitoring of third-party arrangements”.
[13] Pare opportuno precisare come le Linee guida specifichino espressamente la facoltà per la Banca di unire tale ruolo con quello chiamato a presidiare i contratti soggetti alla normativa DORA.
