1. La genesi e la struttura del documento
Lo scorso 1 luglio, l’EIOPA ha posto in consultazione – fino al prossimo 30 settembre – un documento recante i propri Orientamenti in materia di esternalizzazione a fornitori di servizi cloud[1], che, nelle intenzioni del predisponente, dovrebbero diventare pienamente efficaci nella loro versione definitiva il 1 luglio 2020. Il documento – che si innesta nell’ambito delle iniziative promosse dalle ESAs per implementare il quadro tracciato dalla Commissione Europea attraverso il c.d. Fintech Action Plan[2] – fa seguito (ed in qualche misura concretizza) quanto anticipato dalla stessa EIOPA in un precedente documento del 31 dicembre 2018[3]. Sul punto è da ricordare che, con riferimento all’ambito delle banche, delle imprese di investimento e degli istituti di pagamento e di moneta elettronica, era già intervenuta nello scorso mese di febbraio l’EBA con i propri Orientamenti in materia di esternalizzazione[4](e, ancor prima, con un documento dedicato specificamente al cloud outsourcing[5], il cui contenuto è poi sostanzialmente confluito nei predettiOrientamenti): la precisazione è di non poco momento, giacché la stessa EIOPA, in molteplici passaggi del documento, mostra di considerare gli Orientamenti EBA come uno “standard di settore” largamente esportabile anche in ambito assicurativo, salve le peculiarità di quest’ultimo.
Sebbene l’utilizzo del cloud computing da parte degli attori del mercato finanziario si manifesti come una peculiare modalità di outsourcing, le caratteristiche specifiche di tale modalità (che ne fanno anche una tra le tematiche emergenti del fenomeno “FinTech”[6]) – e che in qualche maniera esaltano e portano alle estreme conseguenze le problematiche e le criticità già presenti in nuce in qualsiasi forma di esternalizzazione – hanno fatto ritenere opportuno dedicare a questa specifica modalità un apposito intervento. Mentre, quindi, in ambito bancario, gli Orientamenti dettati dall’autorità hanno carattere generale, in quanto relativi a qualsiasi tipologia di esternalizzazione (nondimeno, come già accennato, elaborati recependo e generalizzando, al tempo stesso, alcuni principi e criteri regolatori formulati proprio avendo come riferimento specifico il cloud computing), in ambito assicurativo si è mantenuta una impostazione di tipo, per così dire, “specialistico”.
Appare infatti diversa l’architettura normativa all’interno della quale gli Orientamenti EIOPA andranno ad inserirsi. Da un lato, infatti, il quadro normativo generale in tema di esternalizzazione è delineato dall’art. 49 della Direttiva “Solvency II” e dall’art. 274 del Regolamento Delegato della Commissione 2015/35; dall’altro, i profili di governance implicati dai fenomeni di esternalizzazione sono (già) presi in considerazione nelle precedenti Guidelines on system of governance della stessa EIOPA[7].
2. I temi rilevanti
Conformemente alla manifestazione di apprezzamento – e di sostanziale condivisione – per gli Orientamenti EBA, il documento EIOPA si accosta in modo non dissimile ai medesimi “punti nodali”. Da un lato, è enumerato un complesso di valutazioni ricadenti sull’intermediario che devono precedere la stesura di un accordo scritto con il provider (la verifica che l’accordo rientri effettivamente nella nozione di esternalizzazione fatta propria dal documento; la valutazione di “rilevanza” della attività o della funzione esternalizzata; e tutto quanto rientra nella c.d. “pre-outosurcing analysis” – vale a dire, oltre alla già ricordata verifica della “rilevanza”, anche la individuazione e la valutazione dei rischi, la “due diligence” condotta sul provider, la identificazione dei conflitti di interesse). Dall’altro, oltre a prevedersi l’aggiornamento della (già esistente) politica di esternalizzazione – allo scopo di adattarla anche alle specificità della “modalità cloud” – il documento ha cura di individuare l’organo dell’intermediario competente alla assunzione della decisione di esternalizzare.
Anche nel documento EIOPA si rende evidente la preoccupazione per la prevenzione, la gestione e la mitigazione di uno dei rischi tipici della esternalizzazione in cloud: vale a dire quello di concentrazione: il pericolo, cioè, che la esternalizzazione da parte di molti intermediari presso il medesimo cloud service provider possa – oltre che creare rischi per la riservatezza e l’integrità dei dati, specie laddove venga adottato il modello del public cloud – disincentivare l’intermediario dal trasferimento dei dati presso un altro provider o a “reinternalizzare” gli stessi (in una parola, a rendere effettiva la “portabilità”) per il timore mettere in pericolo la continuità operativa; senza contare che la “concentrazione” comporta evidentemente anche un correlativo rischio sistemico. Anche in connessione con tale fenomeno deve essere letta la raccomandazione espressa nel documento affinché, nel contratto, sia prevista una exit strategy clause, che permetta di porre fine, se necessario, all’accordo, senza pregiudicare la continuità e la qualità dei servizi (il che, a sua volta, presuppone la predisposizione di una appropriata exit strategy stessa).
Particolare rilievo – evidentemente – assume il rapporto tra intermediario che esternalizza e autorità di vigilanza: a quest’ultima dovrà essere previamente notificata la decisione di concludere un accordo di cloud outsourcing avente ad oggetto attività “rilevanti” (insieme con una serie di informazioni “decisive”, quali soprattutto la legge applicabile all’accordo, i modelli di servizio, il c.d. “deployment”[8], la natura dei dati esternalizzati ed il luogo del loro “immagazzinamento”); e a quest’ultima dovrà pure rendersi ostensibile l’apposito registro delle attività esternalizzate (documento la cui esistenza e la cui funzione sono mutuati direttamente dalla regolamentazione EBA e che, nella eventualità di esternalizzazione di attività “rilevanti”, dovrà contenere delle informazioni aggiuntive), oltre che lo stesso contratto di cloud outsourcing. E’ da precisare che i poteri che si richiede alle autorità di vigilanza domestiche di fare uso in caso di criticità rilevate a seguito della attività ispettiva possono spingersi fino alla extrema ratio di richiedere la risoluzione anticipata dei contratti, se ritenuta indispensabile allo scopo di preservare la continuità operativa dell’intermediario.
Gli Orientamenti contengono anche una serie di raccomandazioni rivolte alle stesse autorità di vigilanza, alle quali viene rimesso, in particolare, il compito di valutare la idoneità dei processi operativi e di governance volti alla gestione degli accordi di cloud outsourcing, di valutare l’idoneità delle risorse dedicate dall’intermediario al monitoraggio dei servizi in tal modo esternalizzati, e, soprattutto, di valutare se l’intermediario è in grado di identificare e gestire i rischi rilevanti e, in particolar modo, il già ricordato rischio di concentrazione. D’altra parte, allo stesso personale utilizzato dall’autorità di vigilanza per le ispezioni è richiesto un appropriato e specifico background professionale.
2.1. Il contratto di cloud outsourcing
Ma è evidentemente il contratto attraverso il quale si dà vita alla esternalizzazione in cloud a rivestire importanza “cruciale”: al suo contenuto sono dedicate (non diversamente da quanto si rileva anche negli Orientamenti EBA) una attenzione evidente ed una fitta serie di raccomandazioni rivolte agli intermediari. Oltre alla richiesta della stesura in forma scritta, viene in particolare stabilita una serie di prescrizioni di “forma-contenuto” del contratto (sulla scorta di quelle già definite nell’art. 274, co. 4, del Regolamento 2015/35): al di là delle previsioni che sostanzialmente replicano quelle contenute nella disposizione appena ricordata, paiono particolarmente significative quelle inerenti alla individuazione del luogo in cui i dati rilevanti saranno tenuti, e processati, e la possibile localizzazione dei “data centres”; quelle relative alla garanzia del diritto di accesso e di ispezione (tanto per l’intermediario che esternalizza, quanto per l’autorità di che vigila). In particolare, per quanto riguarda la localizzazione dei dati, si richiede che venga definita con il cloud provider una data residency policy allo scopo di definire previamente una lista di paesi consentiti. Questa preoccupazione dell’autorità relativa al “luogo” è tanto più significativa solo che si faccia mente alla circostanza che, tra le varie modalità di outsourcing, il cloud outsourcing “estremizza”, per così dire, la problematica della “mancanza di territorialità”, e, conseguentemente, della possibile insufficienza delle norme (nonché dei poteri delle autorità di vigilanza) domestiche a rendere effettive prescrizioni quali quelle, in particolare, in materia di riservatezza e di sicurezza ed integrità dei dati processati o di prevenzione del rischio di concentrazione. E’ quindi anche e soprattutto attraverso dei poteri lato sensu conformativi del contratto che i regolatori intendono prevenire e gestire indirettamente i rischi tipici di tale attività.
Con riferimento, più in particolare, al tema della sub-esternalizzazione, mentre il Regolamento n. 35 ha riguardo al sub-outsourcing di “qualsiasi funzione e attività”, gli Orientamenti EIOPA (così come quelli dell’EBA) fanno più specificamente riferimento alle funzioni “essenziali o importanti”. A tale riguardo, però, merita anche evidenziare che il documento EIOPA introduce e definisce (questa volta in modo originale rispetto all’”archetipo EBA”) la figura del “significant sub-outsourcer”: e ciò allo scopo di rendere applicabile la regolamentazione in tema di cloud outsourcing anche a quei rapporti nei quali l’intermediario stringe un accordo di esternalizzazione con una terza parte che non è un cloud provider, ma che, a sua volta, sub-esternalizza presso un cloud-provider.
3. Conclusioni
Con il documento posto in consultazione dall’EIOPA va ulteriormente integrandosi il panorama disciplinare delle esternalizzazioni e, in particolare, delle esternalizzazioni realizzate attraverso il ricorso ad un cloud service provider. Pare significativa la circostanza che una forte e significativa spinta all’intervento dei regolatori sul tema sia stata rappresentata proprio dalla attuale preoccupazione sulla eventuale necessità od opportunità di un quadro normativo e di vigilanza sulle variegate manifestazioni del fenomeno FinTech. Resta peraltro da aggiungere che proprio tale fenomeno andrà verosimilmente imponendo – e sembra già imporre – una ulteriore spinta alla integrazione tra i diversi settori del mercato finanziario ed alla relativa regolazione: l’intervento dell’EIOPA, ed il suo significativo riferimento (se non, talora, “richiamo”) al precedente intervento dell’EBA sembrano rappresentare un esempio eloquente di tale tendenza.
[1] EIOPA, Consultation paper on the proposal for Guidelines on outsourcing to cloud service providers, EIOPA-BoS.19/270. Cfr. contenuti correlati.
[2] EBA, The EBA’s Fintech Roadmap, 15 march 2018.
[3] EIOPA, Outsourcing to the cloud: EIOPA’s contribution to the European Commission Fintech Action Plan.
[4] EBA, Guidelines on Outsourcing arrangements, EBA/GL/2019/02.
[5] EBA, Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud, EBA/REC/2017/03, 28 marzo 2018.
[6] Per una trattazione delle tematiche afferenti al fenomeno “FinTech” si vedano M.T. Paracampo (a cura di), Fintech. Introduzione ai profili giuridici di un mercato unico tecnologico dei servizi finanziari, Torino, 2017; F. Fimmanò – G. Falcone (a cura di), FinTech, Napoli, 2019.
[7] EIOPA, Guidelines on system of governance, EIOPA-BoS-14/253 EN.
[8] Vale a dire se l’infrastruttura del cloud provider sia un “public”, un “private”, un “community” oppure un “hybrid cloud”.