Il presente contributo analizza le novità e gli impatti della proposta IVASS di lettera al mercato con le aspettative di vigilanza in materia di esternalizzazione da parte delle imprese di assicurazione.
Il 13 novembre scorso, l’Istituto per la Vigilanza sulle Assicurazioni ha pubblicato lo “Schema di lettera al mercato in materia di esternalizzazione – Aspettative dell’Istituto” (la “Lettera”), con la quale l’Istituto ha reso note le proprie aspettative in materia di esternalizzazione da parte delle imprese di assicurazione, con la finalità di favorire una più uniforme applicazione della disciplina a livello nazionale anche rispetto al quadro normativo europeo.
Il ricorso sempre più frequente all’esternalizzazione da parte del mercato ha indotto infatti l’Istituto a seguire da vicino le evoluzioni del fenomeno, allo scopo, in particolare, di accertare che le attività e le funzioni esternalizzate non determinino un crescente rischio operativo in capo alle imprese, trasformandole in entità vuote.
Di qui, la necessità, da parte di IVASS, di rendere note al mercato le proprie aspettative in merito tramite la Lettera, che non pretende avere un valore vincolante e che si articola in cinque punti (che spaziano dalla governance ai presidi delle imprese sino alle comunicazioni preventive), sui quali il mercato è chiamato a esprimersi proponendo commenti e osservazioni che dovranno pervenire a IVASS entro il prossimo 14 dicembre.
Con la Lettera, l’Istituto, in un’ottica di trasparenza, intende inoltre rendere note alcune delle metodologie impiegate negli anni nelle analisi e verifiche di vigilanza effettuate in materia di esternalizzazione su alcuni profili di maggiore rilievo relativi all’applicazione del Regolamento IVASS n. 38/2018, c.s.m., recante, disposizioni in materia di governo societario e di esternalizzazione (il “Regolamento”)[1].
La prima aspettativa da parte dell’Istituto concerne la governance e la gestione dei rischi, come disciplinate, tra l’atro, dagli articoli 5 e 62, commi 2 e 6, del Regolamento.
In particolare, rispetto al ruolo dell’organo amministrativo (al quale compete, ai sensi dell’articolo 5, comma 1, del Regolamento la responsabilità ultima del sistema di governo societario, anche in termini di definizione dei relativi indirizzi, inclusi quelli legati alle attività esternalizzate)[2], IVASS rende chiaro di attendersi una maggiore valorizzazione dello stesso che consenta a quest’ultimo di rendersi conto del grado di dipendenza dell’impresa rispetto a fornitori esterni e dei relativi rischi operativi a ciò legati. L’esternalizzazione di funzioni e/o attività essenziali e/o importanti deve, secondo l’Istituto, essere pertanto parte integrante delle strategie aziendali approvate dall’organo amministrativo.
Poichè l’esternalizzazione non può sopperire alla mancanza di risorse a presidio di una determinata area e/o funzione nè determinare l’assenza di tali risorse in quegli ambiti, l’Istituto si attende che nell’applicazione dell’articolo 62, comma 2, del Regolamento[3], le imprese di assicurazione valutino l’adeguatezza delle strutture e della professionalità del fornitore scelto in termini, almeno, di rischio operativo, di concentrazione, sub-esternalizzazione, rischio legale, informatico, reputazionale e di lock in (i.e. di eccessiva dipendenza dal fornitore) e tengano conto di quanto sopra al fine di assicurare la continuità dei servizi offerti dal fornitore, specialmente in caso di interruzione o grave deterioramento della qualità del servizio reso da quest’ultimo.
Dal momento che l’esternalizzazione non esonera l’impresa dagli obblighi a essa imposti dalla normativa di riferimento (che non la esonerano dalle relative responsabilità), IVASS si attende, in conformità con quanto già previsto dall’articolo 62, comma 6[4], del Regolamento, che l’organo ammnistrativo sia informato annualmente, attraverso apposita relazione che illustri i risultati degli accordi di esternalizzazione sottoscritti durante la vigenza degli stessi con evidenza delle criticità emerse.
La seconda aspettativa dell’Istituto riguarda i presidi sulle funzioni e sulle attività esternalizzate, di cui all’articolo 65 del Regolamento[5].
In particolare, poichè l’esternalizzazione di funzioni o attività essenziali o importanti può esporre le imprese al rischio di un non corretto controllo sull’adeguatezza e correttezza dello svolgimento di tali attività da parte di terzi, con possibilità di rischio per gli assicurati, IVASS si attende che
- nell’ambito dei controlli periodici di cui all’articolo 65 del Regolamento, sia svolta un’analisi dei rischi analoga a quella prevista in sede di conclusione dell’accordo di esternalizzazione, allo scopo di verificare che non siano intervenuti cambiamenti in grado di incidere sulla capacità di prestazione dei servizi richiesti;
- le imprese inseriscano nei contratti di esternalizzazione, appositi “SLA” (service level agreements o livelli di servizio) e “KPI” (key performance indicators”), con i quali misurare i relativi standard e che siano previste eventuali penali in caso di mancato raggiungimento dei predetti indicatori;
- siano adottati processi allo scopo di valutare il rispetto degli SLA e l’andamento dei KPI, le cause di mancato rispetto degli stessi da parte del fornitore, le azioni rimediali poste in essere da quest’ultimo, l’applicazione di penali, gli adeguamenti e le modifiche resesi necessarie al contratto;
- sia verificata l’inesistenza di catene di sub-fornitori che non consentano di verificare correttamente l’attività esternalizzata.
Con la terza aspettativa, l’Istituto si concentra sull’esposizione che l’esternalizzazione comporta a nuove aree di rischio, in particolare a quelle dei rischi informatici, anche alla luce della entrata in vigore – il prossimo 17 gennaio 2025 – del Regolamento Comunitario UE n. 2022/2554 sulla resilienza operativa digitale (“Digital Operational Resilience Act”, c.d. “DORA”).
IVASS si attende che le imprese adottino una specifica strategia in materia di rischi informatici, fondata sul costante esame di tutte le dipendenze dell’impresa da terzi nel settore Information and Communication Technologies (“ICT”), comprensiva di una policy per l’utilizzo dei servizi ICT a supporto di funzioni critiche o importanti.
In linea con il Regolamento Delegato (UE) 2024/1773 – che integra il DORA – l’Istituto si attende che le policies delle imprese in materia assegnino le responsabilità per l’approvazione, la gestione, il controllo e la documentazione degli accordi contrattuali sull’uso dei servizi ICT forniti da terzi a supporto delle funzioni critiche o importanti delle compagnie.
I contratti conclusi dalle imprese per l’esternalizzazione dei servizi ICT dovranno includere, tra l’altro, una descrizione chiara e completa di tutte le funzioni e dei servizi ICT che il provider è chiamato a fornire con l’indicazione della facoltà di subappaltare o meno. In quest’ultimo caso, le imprese dovranno essere in grado di valutare i rischi collegati al subappalto, dal momento che, anche in questo caso, l’organo ammnistrativo non può andar esente da responsabilità.
La quarta aspettativa riguarda le comunicazioni previste dall’articolo 67 del Regolamento in caso di esternalizzazione di funzioni o attività essenziali o importanti[6].
IVASS si attende che siano oggetto di comunicazione preventiva almeno le seguenti attività, in caso di esternalizzazione:
- la progettazione di prodotti assicurativi con la relativa definizione delle tariffe;
- la gestione degli investimenti;
- la gestione e liquidazione dei sinistri (incluso il caso di utilizzo di call center);
- la gestione dei reclami;
- la prestazione regolare e costante di supporto di natura contabile;
- la prestazione dei servizi di ICT; e
- il processo ORSA.
Con l’ultima aspettativa, l’Istituto si concentra sull’applicazione dei commi 6 e 7 dell’articolo 67 del Regolamento, riguardanti in particolare le comunicazioni degli sviluppi rilevanti degli accordi di esternalizzazione già sottoscritti o loro cessazione con affidamento a altro fornitore[7], prevedendo che:
- sia comunicato preventivamente il conferimento dell’incarico da parte dell’impresa cedente ad un nuovo fornitore;
- non sia comunicato preventivamente il conferimento in sub-esternalizzazione del contratto di esternalizzazione;
- dal punto di vista del contenuto contrattuale, sia comunicato l’inserimento nell’accordo di esternalizzazione di una prestazione ulteriore, in aggiunta a quella inizialmente concordata, che modifica l’attività oggetto di fornitura.
Le aspettative trovano applicazione nei soli confronti delle imprese italiane e delle sedi secondarie di imprese di assicurazione di Stato terzo.
[1] Per una più agevole consultazione del Regolamento, se ne allega il link Regolamento_IVASS_38_del_3_7_2018.pdf.
[2] Si veda, in particolare, l’articolo 5, comma 1, del Regolamento, che, tra l’altro, prevede che “[..] l’organo amministrativo ha la responsabilità ultima del sistema di governo societario, ne definisce gli indirizzi strategici, ne assicura la costante completezza, funzionalità ed efficacia, anche con riferimento alle attività esternalizzate. [..]”
[3] L’articolo in questione prevede, tra l’altro, che “L’impresa nell’ambito della politica di esternalizzazione definisce il processo di analisi da effettuarsi ai fini della conclusione dell’accordo di esternalizzazione [..]”.
[4] “Nell’ambito della politica sono altresì definiti dall’impresa i criteri per l’individuazione dei servizi esternalizzati di funzioni o attività essenziali o importanti da sottoporre a preventiva approvazione da parte dell’organo amministrativo. Tale organo è regolarmente informato, con cadenza almeno annuale, in merito ai risultati degli accordi nel corso della operatività degli stessi”
[5] Ai sensi del predetto articolo, “Relativamente alle funzioni o attività esternalizzate, il sistema di governo societario garantisce controlli di standard analoghi a quelli che sarebbero attuati se le stesse fossero svolte direttamente dall’impresa. I rischi specifici connessi all’esternalizzazione sono inclusi nella politica di gestione dei rischi. 2. Ai fini di cui al comma 1, l’impresa adotta idonei presidi organizzativi e contrattuali che consentano di monitorare costantemente le attività esternalizzate, la loro conformità a norme di legge e regolamenti e alle direttive e procedure aziendali, ai termini dell’accordo di esternalizzazione, nonché il rispetto dei limiti operativi e dei limiti di tolleranza al rischio fissati dall’impresa e di intervenire tempestivamente ove il fornitore non rispetti gli impegni assunti o la qualità del servizio fornito sia carente. I presidi sono altresì finalizzati a garantire il rispetto delle condizioni di cui all’articolo 30-septies, comma 5, del Codice, con particolare riguardo alle ipotesi in cui il fornitore di servizi ha sede legale fuori dallo S.E.E. 3. In coerenza con quanto previsto dall’articolo 274, paragrafo 5 lettera d) degli Atti delegati e dall’articolo 30-septies del Codice, l’impresa che esternalizza attività o funzioni essenziali o importanti, adotta idonee misure per assicurare la continuità della attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività, in linea con la politica di cui all’articolo 61 del presente Regolamento. 4. Se l’esternalizzazione di funzioni o attività essenziali o importanti è effettuata nell’ambito del gruppo di cui all’articolo 210-ter, comma 2, del Codice, l’ultima società controllante italiana: a) mantiene evidenza delle funzioni o attività esternalizzate e delle imprese o società che hanno esternalizzato, assicurando l’opportuna diffusione delle informazioni alle società del gruppo interessate; e b) assicura che l’accordo di esternalizzazione non pregiudichi la prestazione della funzione o attività a livello della società o impresa interessata.”
[6] L’articolo menzionato prevede quanto segue: “1. Coerentemente con quanto previsto dall’articolo 30-septies, comma 3, del Codice e dall’articolo 64, comma 2, del presente Regolamento, nel caso di esternalizzazione di funzioni o attività essenziali o importanti ad un fornitore con sede legale nello S.E.E., l’impresa ne dà preventiva comunicazione all’IVASS, almeno sessanta giorni prima della esecuzione del contratto, trasmettendo il modello di cui all’Allegato 2 al presente Regolamento debitamente compilato ed una relazione che descriva, in modo analitico, le attività esternalizzate, l’eventuale ricorso alla sub-esternalizzazione, nonché le motivazioni sottostanti l’esternalizzazione, la scelta del fornitore e la determinazione del corrispettivo. 2. Se l’esternalizzazione di cui al comma 1 avviene nei confronti di un fornitore ricompreso tra le società di cui all’articolo 210-ter, comma 2, del Codice, l’impresa ne dà preventiva comunicazione all’IVASS almeno 45 giorni prima dell’esecuzione del contratto, fornendo indicazione del nominativo del fornitore, della portata delle attività che vengono esternalizzate, la durata e le motivazioni. La comunicazione può essere presentata dall’ultima società controllante italiana per conto delle società del gruppo interessate dall’esternalizzazione. 3. Coerentemente con quanto previsto dall’articolo 64, comma 3, secondo periodo, nel caso di esternalizzazione di funzioni o attività essenziali o importanti ad un fornitore con sede legale fuori dallo S.E.E., ma ricompreso nell’ambito del gruppo di cui all’articolo 210-ter, comma 2, del Codice, l’impresa ne dà preventiva comunicazione all’IVASS almeno 45 giorni prima dell’esecuzione del contratto, allegando gli elementi informativi di cui al comma 1. 4. Nelle ipotesi di cui ai commi 1, 2 e 3, alla comunicazione è allegata l’attestazione dell’impresa in merito all’idoneità e sufficienza dei presidi adottati dal fornitore di servizi in materia di conflitti di interessi, in coerenza con quanto previsto dall’articolo 62, comma 2 e dall’articolo 64, comma 1, lettera f). 5. L’IVASS comunica all’impresa l’esistenza di eventuali motivi ostativi all’esternalizzazione entro 60 giorni dal ricevimento della comunicazione di cui al comma 1 o entro 45 giorni dal ricevimento della comunicazione di cui ai commi 2 e 3, complete della documentazione di supporto. 6. L’impresa comunica in ogni caso tempestivamente all’IVASS se in corso di contratto sono intervenuti sviluppi rilevanti, in merito all’esternalizzazione di tali funzioni o attività, con particolare riguardo a cambiamenti relativi al fornitore che incidono sul servizio. 7. L’impresa comunica all’IVASS la cessazione del contratto di esternalizzazione, allegando una relazione sulle modalità di reinternalizzazione della funzione o dell’attività o di affidamento ad altro fornitore.”
[7] “6. L’impresa comunica in ogni caso tempestivamente all’IVASS se in corso di contratto sono intervenuti sviluppi rilevanti, in merito all’esternalizzazione di tali funzioni o attività, con particolare riguardo a cambiamenti relativi al fornitore che incidono sul servizio. 7. L’impresa comunica all’IVASS la cessazione del contratto di esternalizzazione, allegando una relazione sulle modalità di reinternalizzazione della funzione o dell’attività o di affidamento ad altro fornitore.”