WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

Intermediari ed esternalizzazione di funzioni in materia di antiriciclaggio

18 Giugno 2012

Avv. Pierluigi Valentino | Valentino & Partners Avvocati Associati

Di cosa si parla in questo articolo

La Banca d’Italia con una propria “pronuncia” del marzo 2012 è intervenuta in tema di esternalizzazione di funzioni, interessandosi in particolare della disciplina antiriciclaggio. Si tratta di una prima attività interpretativa ed, al contempo, di vigilanza attiva in materia e che si manifesta tramite un vero e proprio richiamo di attenzione rivolto agli intermediari.

L’intervento della Banca d’Italia consente quindi di affrontare, seppur brevemente, il tema dell’esternalizzazione.

Uno dei modelli organizzativi che le Autorità di Vigilanza hanno, infatti, suggerito di adottare anche in applicazione del principio di proporzionalità è quello dell’esternalizzazione di funzioni importanti ed essenziali (“Outsourcing”). L’esternalizzazione consente all’azienda di cogliere opportunità nella selezione del fornitore ritenuto migliore in quel determinato contesto, di mitigare l’impatto di dover dedicare in via esclusiva una risorsa ad uno specifico ruolo e di gestire i costi in maniera astrattamente più efficiente.

L’esternalizzazione può riguardare il vertice apicale di una determinata struttura aziendale oppure le risorse dedicate alla struttura stessa, nel momento in cui l’azienda ritiene di internalizzare la responsabilità della funzione, ma non lo svolgimento delle attività a ciò connesse.

Il modello dell’esternalizzazione può, infatti, essere impostato anche in maniera da implementare il livello di servizio reso da risorse interne con l’apporto di supporti dall’esterno in maniera più sistematica e continuativa rispetto alla presenza di consulenti.

Sulla base delle opportunità offerte a livello normativo si sta assistendo al ricorso da parte degli intermediari all’esternalizazione in misura prevalente di funzioni di controllo interno (compliance, revisione interna, risk management, gestione dei rischi operativi, antiriciclaggio); in tale ambito si mescolano maggiormente esigenze di elevata professionalità con istanze di autonomia nell’esercizio pieno e indipendente dell’attività di controllo degli intermediari.

A parziale riequilibrio del ricorso all’outsourcing l’ordinamento richiede che l’azienda vigilata mantenga un presidio sull’attività affidata esternalizzata, restando essa pienamente responsabile del rispetto di tutti gli obblighi a ciò inerenti. Le Autorità del settore ribadiscono, infatti, che l’esternalizzazione non deve determinare la delega della responsabilità da parte degli organi aziendali e non deve modificare l’assetto operativo e organizzativo nel cui ambito l’azienda è stata autorizzata e continua ad operare nei confronti della propria clientela.

L’intervento della Banca d’Italia del marzo 2012 trova la sua giustificazione nel riscontro in sede di vigilanza di ripetute anomalie in materia di corretta e tempestiva registrazione nell’archivio unico informatico (AUI), causate da carenze nelle procedure utilizzate dagli outsourcer, con conseguenti riflessi sulle segnalazioni antiriciclaggio aggregate (S.AR.A.).

Data la ricorrenza di tali anomalie, la Banca d’Italia ha ritenuto opportuno richiamare l’attenzione di tutti gli intermediari sulla necessità di una scrupolosa applicazione degli obblighi imposti dal d.lgs. n. 231/2007 e dalle disposizioni attuative, anche nell’ipotesi di esternalizzazione.

Il primo punto che viene ribadito dalla Banca d’Italia è che la responsabilità delle attività attribuite in outsourcing è in capo all’intermediario. Ne consegue che l’attribuzione di parti dell’attività a soggetti terzi non deve configurarsi come uno scarico definitivo di compiti e responsabilità; l’intermediario deve, infatti, mantenere la conoscenza e il controllo sull’operatività e sulle funzioni esternalizzate, in modo da assicurarsi il necessario governo dei processi aziendali.

Si rammenta che nel caso di esternalizzazione della funzione antiriciclaggio la normativa secondaria prevede comunque la nomina di un responsabile interno, con il compito di monitorare il servizio svolto in esternalizzazione e di assicurarne il corretto svolgimento da parte dell’outsourcer (Provvedimento sull’organizzazione, procedure e controlli interni in materia di antiriciclaggio, emanato dalla Banca d’Italia, d’intesa con la Consob e l’Isvap, il 10 marzo e in vigore a partire dal 1° settembre 2011). Inoltre, proprio con specifico riferimento all’AUI, la normativa vigente (art. 37, comma 4, d.lgs. n. 231/2007), nel consentire che l’istituzione, la tenuta e la gestione dell’archivio siano affidate a un autonomo centro di servizio, precisa che le relative responsabilità restano, in ogni caso, in capo al soggetto vigilato (v. anche art. 12, co. 2, Provvedimento recante disposizioni attuative per la tenuta dell’AUI, emanato dalla Banca d’Italia il 23 dicembre 2009).

La Banca d’Italia ha, poi, fornito alcune indicazioni in tema di selezione dell’outsourcer, di disciplina contrattuale da adottare e di sistema di controlli da applicare.

a) Il ricorso all’outsourcing deve essere preceduto da un’attività di analisi del soggetto da incaricare che deve essere dotato di idonei requisiti tecnici e professionali. La presenza di tali requisiti deve essere periodicamente verificata dall’intermediario. L’Autorità di vigilanza non lo richiede espressamente, ma di tale analisi deve essere lasciata evidenza nella documentazione aziendale.

b) In sede contrattuale deve essere prestata attenzione ad adattare i testi confezionati in maniera standardizzata alla specifica realtà operativa da regolamentare. Massima attenzione, pertanto, non solo alla chiara e appropriata definizione dei servizi esternalizzati, delle modalità di svolgimento e degli standard di qualità richiesti, ma anche all’analisi dei livelli di servizio attesi, con particolare attenzione a quelli assicurati in caso di emergenza, alle soluzioni da adottare per garantire la continuità del servizio reso e alle specifiche regole per il monitoraggio delle attività fornite.

c) Occorre definire sempre a livello contrattuale le conseguenze in caso di inadempimento, i compiti a carico dell’outsourcer per assicurare una ordinata transizione nei casi di conclusione del rapporto, l’adozione di interventi adeguati in caso di livelli insoddisfacenti delle prestazioni rese, ivi compresa l’applicazione di misure pecuniarie (es. penali) e la risoluzione del rapporto con l’outsourcer.

d) Sotto il profilo dei controlli Banca d’Italia ricorda che la corretta impostazione dell’outsourcing degli adempimenti concernenti la tenuta dell’AUI rientra nei compiti dell’organismo di vigilanza ai sensi del d.lgs. n. 231/2001 (ove istituito), dell’internal audit e della funzione antiriciclaggio, che sono chiamate a sovraintendere l’applicazione delle regole concordate con l’outsourcer e la verifica dell’efficienza del servizio reso.

Attesa la rilevanza di una corretta registrazione delle informazioni nell’AUI, la Banca d’Italia richiede all’intermediario che ha optato per lo svolgimento in outsourcing degli adempimenti connessi alla gestione dell’archivio lo svolgimento di una specifica verifica, da condursi a cura delle funzioni di internal audit e antiriciclaggio, sulla conformità dell’assetto organizzativo, dei controlli e delle procedure operative alle disposizioni normative rilevanti in materia.

La verifica va condotta ripercorrendo le logiche sottostanti all’intervento richiesto dalla Banca d’Italia e quindi tramite l’analisi dei requisiti dell’outsourcer, della disciplina contrattuale elaborata e dei livelli di servizio attesi; inoltre, l’intermediario sarà tenuto ad approfondire gli aspetti tecnici collegati alla tenuta dell’AUI in outsourcing sotto il profilo dell’effettiva capacità di registrare gli elementi richiesti dalla normativa e di elaborarli secondo esigenze di effettivo ed efficace controllo. Si rammenta in ogni caso che l’outsourcer non può costituire una parte attiva del rapporto con l’intermediario, ma opera sulla base delle richieste e delle istruzioni fornite dall’intermediario stesso; pertanto, l’onere di impostare il servizio atteso secondo le proprie esigenze è imposto al soggetto vigilato e non alla struttura della quale esso si serve.

La Bancad’Italia, infine, richiede che gli esiti della verifica siano esaminati dal consiglio di amministrazione dell’intermediario e dal collegio sindacale ai fini dell’adozione delle iniziative che si rendessero necessarie.

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 16 Gennaio
Value for money: nuova metodologia dei benchmark


Metodologia EIOPA 7 ottobre 2024 per prodotti unit-linked e ibridi

ZOOM MEETING
Offerte per iscrizioni entro il 13/12

Iscriviti alla nostra Newsletter