Il presente contributo analizza le novità della segnalazione in materia di esternalizzazioni di funzioni aziendali disciplinata dal nuovo Provvedimento Banca d’Italia del 31 maggio scorso.
Nuova segnalazione
Lo scorso 31 maggio Banca d’Italia ha pubblicato il testo del nuovo Provvedimento in materia di esternalizzazioni di Funzioni Aziendali.
Sono così introdotti i requisiti normativi per l’invio di una nuova segnalazione che permetterà di completare il patrimonio informativo a disposizione di Banca d’Italia, attualmente limitato alle informazioni raccolte sui soli intermediari vigilati dalla Banca Centrale Europea.
Tramite la segnalazione Banca d’Italia potrà raccogliere informazioni sui contratti di esternalizzazione degli intermediari vigilati, sui rispettivi fornitori e sub-fornitori di servizi, nonché sulla tipologia di funzioni esternalizzate, con la possibilità di:
- raccogliere informazioni sugli accordi di outsourcing di tutti i Soggetti Vigilati;
- valutare il livello di concentrazione dei principali fornitori di servizi;
- valutare la diffusione del fenomeno della sub-esternalizzazione.
La raccolta di tali informazioni fornirà una visione d’insieme dell’esposizione dei singoli intermediari rispetto ai maggiori provider di mercato. Con tale vista Banca d’Italia potrà disporre dei dati necessari per analizzare il contesto bancario e finanziario nazionale e presidiare i rischi a livello sistemico.
La segnalazione viene istituita con periodicità annuale, con invio delle informazioni entro il 30 aprile dell’anno successivo a quello di riferimento, riportando i dati sui contratti in essere alla data del 31 dicembre dell’anno di riferimento. Le informazioni saranno trasmesse tramite la piattaforma INFOSTAT.
In sede di prima applicazione delle suddette disposizioni segnaletiche, il termine è fissato entro il 31 dicembre 2023 per l’invio dei dati, che faranno riferimento ai contratti in essere alla data del 31 dicembre 2022.
Timeline normativa
Con l’introduzione della nuova segnalazione, Banca d’Italia intende completare il percorso di allineamento integrale alla normativa europea vigente in materia, in particolare, agli Orientamenti EBA in materia di esternalizzazioni.
Gli Orientamenti EBA hanno portato a definire un framework di riferimento dettagliato e robusto nell’ambito normativo delle esternalizzazioni, permettendo agli intermediari di includere in maniera più incisiva la valutazione sul rischio derivante dalla contrattualizzazione di accordi con Terze Parti.
Banca d’Italia ha recepito[1] i requisiti introdotti dall’EBA attraverso il 34° aggiornamento della Circolare n. 285/2013 “Disposizioni di Vigilanza per le banche”, mentre in un secondo momento sono stati recepiti anche gli Orientamenti ESMA, allineati con quelli emanati dall’EBA, ma a differenza di questi ultimi, focalizzati sui fornitori di servizi Cloud.
Destinatari
Le disposizioni si applicano agli intermediari su base individuale oppure su base consolidata, secondo le seguenti indicazioni:
- su base individuale (N.B. quando non appartenenti a un gruppo bancario significativo o meno significativo iscritto all’albo previsto dall’art. 64 TUB, a un gruppo finanziario iscritto nell’albo previsto dall’art. 106 TUB o a un gruppo di imprese di investimento iscritto all’albo previsto dall’art. 11 TUF):
- banche italiane meno significative;
- intermediari finanziari iscritti all’albo previsto dall’art. 106 TUB, incluse le società fiduciarie iscritte nella sezione separata del medesimo albo;
- istituti di pagamento;
- istituti di moneta elettronica;
- società di gestione del risparmio;
- SICAV e SICAF che gestiscono direttamente i propri patrimoni;
- SIM di classe 2 e 3;
- fornitori specializzati di servizi di crowdfunding, ossia i fornitori di servizi di crowdfunding ai sensi dell’art. 2(1)(e) del Regolamento (UE) 2020/1503 diversi da banche, SIM, IP, IMEL e intermediari finanziari ex art. 106 del TUB;
- succursali italiane di banche comunitarie e succursali di imprese di investimento comunitarie autorizzate come depositari, limitatamente alle esternalizzazioni di funzioni strumentali all’attività di depositario ivi incluse le attività operative e di controllo svolte dalla casa madre europea in favore della succursale qualora non già segnalate nella rilevazione BCE;
- Patrimonio Bancoposta, anche in relazione ai contratti di esternalizzazione stipulati da Poste Italiane S.p.A. per conto della medesima e agli affidamenti disciplinati dalle Disposizioni di Vigilanza di cui alla Circolare n. 285/2013;
- su base consolidata:
- alle capogruppo di gruppi bancari meno significativi iscritti nell’albo previsto dall’art. 64 TUB;
- alle capogruppo di gruppi finanziari iscritti nell’albo previsto dall’art. 106 TUB;
- alle imprese madri nell’UE di gruppi di imprese di investimento iscritte all’albo previsto dall’art. 11 TUF.
Tali indicazioni comportano che dal perimetro di applicazione dei requisiti normativi relativi alla segnalazione vengano esclusi tutti gli intermediari che appartengono a Gruppi Bancari vigilati dalla BCE, poiché, in tal caso, la Capogruppo invia già un unico flusso segnaletico contenente le informazioni relative a sé stessa e quelle relative ai componenti italiani del Gruppo.
Sezioni del tracciato della segnalazione e informazioni da inserire
La struttura della segnalazione prevede l’invio di dati sui seguenti fenomeni principali:
- Informazioni sul contratto;
- Firmatario del contratto;
- Utilizzatore del contratto;
- Categoria della funzione esternalizzata;
- Fornitore di servizi;
- Funzione essenziale o importante (FEI o FOI).
Da considerare nella compilazione del tracciato di segnalazione l’introduzione del codice Anagrafe Soggetti (codice AS), che andrà indicato per i fornitori e gli eventuali sub-fornitori, nonché per la capogruppo del gruppo di appartenenza di questi soggetti, ove presente.
L’uso del codice AS permette di disporre delle informazioni anagrafiche già presenti nelle basi dati gestite dalla Banca d’Italia, riducendo il rischio di segnalazioni non corrette e contenendo gli oneri segnaletici per gli intermediari.
Si dovranno segnalare le seguenti informazioni:
- per tutti gli accordi di esternalizzazione:
- informazioni di dettaglio su alcune previsioni contrattuali (e.g. durata, termini di rinnovo e di preavviso, costo);
- firmatari e utilizzatori dei contratti;
- fornitori di servizi;
- tipologia e caratteristiche della funzione esternalizzata;
- per i servizi erogati in modalità cloud computing, il modello di cloud utilizzato e il provider cloud;
- in aggiunta, per gli accordi di esternalizzazione di funzioni essenziali o importanti (FEI) o di funzioni operative importanti (FOI):
- la motivazione per la classificazione a FEI/FOI;
- la valutazione dei rischi derivanti dall’esternalizzazione della FEI/FOI;
- l’organo decisionale che ha deliberato l’esternalizzazione;
- le verifiche di audit effettuate e pianificate;
- la valutazione del livello di sostituibilità del fornitore di servizi;
- la sub-esternalizzazione e gli eventuali subfornitori;
- il paese di erogazione dei servizi e quello di memorizzazione dei dati.
Conclusioni
Le informazioni segnalate consentiranno di rafforzare il presidio di vigilanza di Banca d’Italia, in particolare, per quanto concerne le rilevazioni su eventuali situazioni di concentrazione di fornitori di servizi.
A tal proposito, si deve sottolineare però un tema emerso in sede di consultazione, tra le risposte inviate dai partecipanti alla consultazione, ossia, l’applicazione dei riferimenti normativi descritti nel Provvedimento a intermediari a cui in precedenza non si erano applicati gli Orientamenti EBA ed ESMA.
La definizione del tracciato di segnalazione e il relativo invio non richiedono agli intermediari di implementare il framework descritto da EBA ed ESMA, ma alcuni intermediari potrebbero non essere dotati dei dispositivi organizzativi, previsti nei citati set di Orientamenti, funzionali alla compilazione della rilevazione.
Ad esempio, si evidenzia come l’istituzione di un apposito registro per le attività esternalizzate garantisca di fatto di disporre del set informativo pressoché completo necessario per l’invio della segnalazione. Da ciò si evince che coloro per cui la tenuta del Registro è obbligatoria (i.e. intermediari bancari e relative controllate), la segnalazione si risolva di fatto in un’estrazione di dati dal registro.
L’implementazione di tali dispositivi, funzionali all’invio della segnalazione, potrebbe rivelarsi come complessa e costosa, in termini economici e temporali. Da non tralasciare, infatti, che la normativa richiede che il rischio derivante dal ricorso a esternalizzazioni a Terze Parti sia trattato in maniera olistica all’interno dell’organizzazione dell’intermediario e che il processo che porta alla valutazione e all’approvazione di un accordo coinvolga un’ampia serie di funzioni, incluse quelle di controllo.
Non resta che interrogarsi sui possibili scenari che potrebbero verificarsi dal punto di vista regolamentare, ora che Banca d’Italia disporrà della conoscenza sull’esposizione, individuale e sistemica, nei confronti di ogni provider di servizi operante sul mercato.
[1] Il recepimento dei requisiti introdotti dall’EBA non è attualmente previsto in Italia per gli intermediari non bancari