WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Attualità

L’esternalizzazione nel regime EBA: profili organizzativi e di responsabilità

22 Dicembre 2021

Federico Bertola, Atrigna & Partners

Federico Bonardi, Atrigna & Partners

Di cosa si parla in questo articolo

1. Fonti normative e definizioni

*Il 25 febbraio 2019 l’European Banking Authority “EBA” ha pubblicato il documento contenente gli “Orientamenti in materia di esternalizzazione” che specificano i dispositivi di governance interna, tra cui una rigorosa gestione dei rischi, che gli enti creditizi, gli istituti di pagamento (“IP”) e gli istituti di moneta elettronica (“IMEL”) devono attuare quando esternalizzano le proprie funzioni, in particolare in caso di esternalizzazione di funzioni essenziali o importanti (di seguito “Orientamenti EBA”). A livello nazionale, gli Orientamenti EBA sono stati attuati dalla Banca d’Italia mediante la pubblicazione del 34° aggiornamento alle proprie Disposizioni di vigilanza per le banche, adottate con Circolare n. 285 del 17 dicembre 2013 (di seguito “Circolare 285”).

Obiettivo del presente elaborato, occasionato dall’avvicinarsi del termine del 31 dicembre 2021 previsto dagli Orientamenti EBA stessi quale momento ultimo per rendere conformi gli accordi di esternalizzazione in essere, è quello di fornire una panoramica sugli aspetti di maggiore rilievo della disciplina sull’esternalizzazione di funzioni, nonché di individuare gli elementi che i destinatari degli Orientamenti EBA devono tenere in considerazione. Nel proseguo si farà principalmente riferimento alle banche come soggetto destinatario della disciplina.

Per esternalizzazione, come è noto, si intende “un accordo in qualsiasi forma tra un ente, un istituto di pagamento o un istituto di moneta elettronica e un fornitore di servizi in base al quale quest’ultimo svolge un processo, un servizio o un’attività che sarebbe altrimenti svolto/a dall’ente, dall’istituto di pagamento o dall’istituto di moneta elettronica stesso”. In buona sostanza, si tratta di un contratto che realizza una tecnica organizzativo-gestoria attraverso cui un ente, sotto la propria responsabilità (rectius: la responsabilità dell’organo amministrativo), utilizza una fonte produttiva esterna alla propria organizzazione per svolgere, appunto, una funzione, per tale intendendosi un’attività, processo o servizio (o parte di essi). La dottrina, nel tempo, ha offerto diverse nozioni del fenomeno, tenuto conto delle concrete esperienze settoriali di volta in volta rilevanti [1]; in giurisprudenza, si segnala per completezza una pronuncia di legittimità nella quale si legge che “è noto che il fenomeno cd. di “outsourcing” comprende tutte le possibili tecniche mediante le quali un’impresa dismette la gestione diretta di alcuni segmenti dell’attività produttiva e dei servizi estranei alle competenze di base (cd. core business).[2].

All’interno della definizione in commento, e in particolare al concetto di “funzione”, bisogna poi considerare la categoria dell’esternalizzazione di funzione c.d. “essenziale o importante” la quale, da un lato, è soggetta ad un maggior grado di attenzione da parte del legislatore (e, a seguire, dell’ente) e, dall’altro, a presidi più incisivi, posta la maggior criticità/importanza del processo, servizio o attività esternalizzando.

In particolare, si considera essenziale o importante la funzione per la quale risulta verificata almeno una delle seguenti funzioni:

  1. un’anomalia nella sua esecuzione o la sua mancata esecuzione possono compromettere gravemente: (i) i risultati finanziari, la solidità o la continuità dell’attività dell’ente; ovvero (ii) la capacità dell’ente di conformarsi nel continuo alle condizioni e agli obblighi derivanti dalla sua autorizzazione o agli obblighi previsti dalla disciplina di vigilanza;
  2. riguarda funzioni relative ad attività sottoposte a riserva di legge, nella misura in cui la presentazione di tali attività richiede l’autorizzazione da parte di un’autorità di vigilanza;
  3. riguarda compiti operativi delle funzioni aziendali di controllo, a meno che la valutazione dell’essenzialità e dell’importanza della funzione svolta dall’ente creditizio non stabilisca che la mancata o inadeguata esecuzione di questi compiti operativi non avrebbe impatti negativi sull’efficacia delle funzioni aziendali di controllo [3].

Stante l’ampiezza della definizione di funzione aziendale o importante, al fine di identificare se in concreto un contratto ricada nel concetto di esternalizzazione di funzione e, successivamente, di esternalizzazione di funzione essenziale o importante, vengono in aiuto gli Orientamenti EBA, all’interno dei quali sono previsti espressamente casi di esenzione (ad esempio, sono escluse dal perimetro della normativa in commento la revisione legale dei conti o la fornitura di dati da parte di Bloomberg e Moody’s o, ancora, le infrastrutture di rete globali quali Visa e MasterCard) [4] ed elementi che dovrebbero far propendere per considerare un servizio come un’esternalizzazione, e non una semplice fornitura: in particolare, ci si trova in presenza di esternalizzazione se la funzione oggetto dell’accordo, o parte di essa viene svolta dal terzo su base ricorrente o permanente, e se ricadrebbe, in linea di principio, nell’ambito delle attività normalmente svolte dall’ente.

2. Il processo di outsourcing e la responsabilità dell’organo amministrativo

Svolte queste brevi premesse introduttive, occorre chiarire che per l’ente l’esternalizzazione non solo è un contratto [5], ma è soprattutto un procedimento che, come tale, si articolata in varie fasi: istruttoria, valutazione, approvazione, gestione e controllo della funzione esternalizzata. Tale processo richiede la corretta classificazione dell’operazione (che potrebbe alternativamente integrare una semplice fornitura o essere una esternalizzazione vera e propria), l’individuazione della “funzione” coinvolta [6] e la qualificazione di quest’ultima, alternativamente, come essenziale/importante o meno [7]. Effettuata questa analisi preliminare, l’ente creditizio dovrà dunque valutare ulteriori elementi, tra i principali dei quali si ricordano i rischi derivanti dall’esternalizzazione [8], l’impatto potenziale della stessa sulla continuità della propria attività, la definizione di una exit strategy e di exit e transition plans; ciò in ossequio al principio di proporzionalità, di modo che vi sia coerenza tra i presidi organizzativi adottati e il profilo di rischio individuale, la natura e il modello di business dell’ente.

In termini di accountability, l’esternalizzazione non può mai comportare la delega delle responsabilità dell’organo di amministrazione: quest’ultimo rimane infatti, in ogni momento, pienamente responsabile in merito all’organizzazione interna, alla definizione delle strategie e delle politiche (e.g. il modello di business o la propensione al rischio) nonché all’assicurare che siano costantemente soddisfatte le condizioni dettate per mantenere l’autorizzazione ad operare come ente creditizio.

A tal fine, sono rimessi all’organo di amministrazione il compito e la responsabilità di approvare, rivedere ed aggiornare – curandone l’attuazione – una policy in materia di esternalizzazione mediante la quale attribuire in modo puntuale le responsabilità interne per le attività di documentazione, gestione e controllo degli accordi di esternalizzazione, nonché stanziare le risorse necessarie per assicurare il rispetto di tutte le previsioni di legge e di tutti gli obblighi normativi.

3. La policy in materia di esternalizzazioni

Stante la complessità e la delicatezza del processo di outsourcing, come anticipato, è fondamentale che l’ente si doti di un documento interno che ne regoli gli indirizzi e i principi; tale documento è la politica di esternalizzazione che deve:

  1. individuare in modo puntuale e preciso le principali fasi del ciclo di vita degli accordi di esternalizzazione;
  2. definire i principi, le responsabilità e le attività rilevanti per la gestione delle esternalizzazioni per ciascuno degli attori coinvolti nel processo; e
  3. disciplinare le norme sulla gestione degli accordi di outsourcing (distinguendo, come anticipato, quelli che hanno ad oggetto funzioni essenziali o importanti).

La policy in materia di esternalizzazione è infatti il documento, redatto in forma scritta, all’interno del quale devono essere delineate le principali fasi del ciclo di vita dell’accordo di outsourcing e definiti i principi, le responsabilità e le attività rilevanti relative alla gestione degli accordi di esternalizzazione.

In particolare, la policy deve riguardare almeno:

  1. i ruoli e le connesse responsabilità dell’organo di gestione nel processo decisionale relativo all’esternalizzazione di funzioni essenziali o importanti;
  2. il coinvolgimento delle linee di business, delle funzioni di controllo interno e di altri soggetti con riferimento agli accordi di esternalizzazione;
  3. le attività propedeutiche alla sottoscrizione degli accordi di outsourcing;
  4. le modalità di implementazione, monitoraggio e gestione degli accordi [9];
  5. le modalità di tenuta di un registro contenete aggiornate informazioni in merito agli accordi di esternalizzazione in essere; e
  6. le linee guida per la definizione delle strategie di uscita (exit strategies) e dei processi di risoluzione dei contratti.

Al fine di garantire maggior efficienza nella gestione degli accordi, è importante che la policy distingua tra:

  1. l’esternalizzazione di funzioni essenziali o importanti e altri accordi di esternalizzazione;
  2. l’esternalizzazione a fornitori di servizi autorizzati da un’autorità competente e a fornitori di servizi che non lo sono;
  3. gli accordi di esternalizzazione infragruppo, gli accordi di esternalizzazione nell’ambito dello stesso sistema di tutela istituzionale (comprese le entità interamente controllate individualmente o collettivamente da enti nell’ambiente del sistema di tutela istituzionale) e l’esternalizzazione a entità al di fuori del gruppo; e
  4. l’esternalizzazione a fornitori di servizi stabiliti in uno Stato membro e a fornitori di servizi stabiliti in paesi terzi.

Come facilmente intuibile, la predisposizione di un documento complesso e articolato come la policy di outsourcing, che deve tenere conto delle diverse fonti normative e consentire la corretta qualificazione di contratti fondamentali per l’impesa, non può prescindere dalla presenza, all’interno dell’organo amministrativo, di un esponente che abbia maturato competenze ed esperienze in materia. La stessa Circolare 285, tra i criteri per il processo di autovalutazione degli organi, stabilisce che l’adeguatezza degli stessi vada misurata in concreto su specifiche aree tematiche, tra le quali è ricompresa anche la materia delle politiche di esternalizzazione [10]: risulta dunque evidente che una composizione qualitativa ideale dell’organo amministrativo deve prevedere la presenza di un soggetto qualificato sul punto.

4. I soggetti coinvolti: la funzione di esternalizzazione

Nel processo di esternalizzazione si prospetta un ventaglio di attori/funzioni, ognuno con i propri compiti e le rispettive responsabilità che partecipano in concreto alla definizione e all’attuazione del processo. Tali elementi dovrebbero essere delineati nella specifica policy. Relativamente alla gestione operativa del processo, tenuto conto del principio di proporzionalità, un ente può valutare di istituire una specifica “funzione di esternalizzazione” o, quantomeno, provvedere alla designazione di un membro del personale di grado superiore che risponda direttamente all’organo di amministrazione e che sia responsabile della gestione e supervisione del sistema dei controlli interni e della supervisione della documentazione degli accordi di esternalizzazione.

La funzione di esternalizzazione, in concreto, opera quale snodo di collegamento e supervisore tra le varie funzioni/attori coinvolti nelle differenti fasi del processo di esternalizzazione (sia nella fase prodromica all’esternalizzazione che in quella, successiva, di svolgimento del rapporto contrattuale). Più nel dettaglio, la predetta funzione dovrebbe occuparsi della gestione “pratica” del procedimento di esternalizzazione, infatti le sono attribuite i compiti relativi alla attuazione del processo di esternalizzazione; nella propria attività, la stessa è coadiuvata da tutti gli ulteriori attori coinvolti nel processo quali la funzione risk, compliance, unità prodotto etc., ognuno per i profili di propria competenza [11].

Tra i compiti della funzione di esternalizzazione vi sono:

  1. l’attuazione della policy, la definizione di un adeguato sistema di monitoraggio sulle attività da esternalizzare e, successivamente, su quelle esternalizzate;
  2. la qualificazione dell’attività quale esternalizzazione e, se del caso, esternalizzazione di funzione essenziale o importante;
  3. la predisposizione della relazione da presentare all’organo competente per l’approvazione di una nuova esternalizzazione, nonché della relazione annuale sull’andamento delle esternalizzazioni;
  4. la supervisione e il coordinamento dell’intero processo di esternalizzazione e la relativa revisione periodica;
  5. la cura, tenuta e aggiornamento del registro delle esternalizzazioni; e
  6. la raccolta e invio alla Banca d’Italia della documentazione relativa alle esternalizzazioni di funzioni essenziali o importanti (comunicazione preventiva, etc.).

Con riguardo all’organo di amministrazione, invece, ferma restando la piena responsabilità del rispetto di tutti gli obblighi normativi in capo allo stesso, compete a quest’ultimo quanto meno:

  1. l’approvazione, revisione e aggiornamento della policy;
  2. l’individuazione della funzione a cui assegnare la responsabilità della gestione e della supervisione dei rischi connessi all’esternalizzazione;
  3. l’approvazione delle esternalizzazioni essenziali o importanti;
  4. l’approvazione della relazione annuale della funzione di internal audit relativa ai controlli svolti sulle funzioni esternalizzate.

Quanto alla funzione di internal audit, come specificato negli stessi Orientamenti EBA, il suo principale compito nella materia di nostro interesse è quello di accertare che il quadro di riferimento dell’ente creditizio per l’esternalizzazione (compresa la policy di esternalizzazione) sia attuato correttamente ed efficacemente e sia in linea con le leggi e la normativa applicabile, con la strategia di rischio e con la decisione dell’organo di amministrazione.

Pertanto, in concreto, la predetta funzione valuta l’adeguatezza, la qualità e l’efficacia del processo di esternalizzazione e dei presidi di controllo definiti in sede contrattuale, nonché l’affidabilità del sistema dei controlli interni del fornitore di servizi (in merito alle attività esternalizzate). Essa effettua altresì una revisione indipendente delle attività esternalizzate secondo un piano periodico, avendo particolare riguardo agli accordi di esternalizzazione di funzione essenziali o importanti (compiendo verifiche sul rispetto dei service-level agreements, svolgendo ispezioni, qualora necessarie, direttamente presso il fornitore, etc.).

5. Il registro delle esternalizzazioni

L’ultimo aspetto della disciplina preso in considerazione nel presente commento riguarda l’istituzione del registro delle esternalizzazioni, ossia un registro che contiene le informazioni relative a ciascun accordo di esternalizzazione in essere.

In un’ottica di rafforzamento dei presidi in materia di monitoraggio e di tracciabilità delle funzioni esternalizzate e dei relativi accordi, gli Orientamenti EBA hanno invitato gli enti creditizi a dotarsi di un apposito registro, fornendo altresì indicazione puntuale dei requisiti generali e dei contenuti minimi (con particolare riferimento al caso di esternalizzazione di funzioni essenziali o importanti [12].

In particolare, il registro deve contenere, per ciascun accordo, l’indicazione di: il numero di riferimento di ciascuna operazione; la data di inizio e di scadenza e/o termini di preavviso per il fornitore di servizi e per l’ente creditizio o l’istituto di pagamento; una breve descrizione della funzione esternalizzata; il nome del fornitore di servizi e l’indirizzo della sede legale; il paese o i paesi in cui sarà prestato il servizio; la natura della funzione esternalizzata e una breve sintesi dei motivi per cui detta funzione è considerata essenziale o importante; la data dell’ultima valutazione dell’essenzialità o importanza della funzione esternalizzata [13].

Il predetto Registro delle esternalizzazioni deve essere messo a disposizione dell’Autorità competente che ne faccia richiesta, nella sua interezza o con riferimento ai singoli accordi ivi registrati.

6. Conclusioni

Si è cercato in queste brevi considerazioni di rivedere, con l’occasione dell’avvicinarsi del 31 dicembre 2021, quello che dovrebbe essere il focus in tema di esternalizzazioni per gli enti destinatari degli Orientamenti EBA. La materia, lungi dall’essere stata affrontata in modo esaustivo, pone diversi spunti e occasioni di approfondimento. Tra gli altri, si è segnalato l’evidente nesso tra la buona governance e l’efficiente utilizzo dello strumento dell’outsourcing; non sono infatti da sottovalutare i profili di responsabilità che coinvolgono gli organi aziendali dei soggetti vigilati: questi ultimi, come scritto, dovrebbero considerare le competenze in materia di esternalizzazione nella definizione della composizione ideale dei propri organi amministrativi o, in alternativa, prevedere percorsi di formazione specificamente dedicati (quantomeno nei confronti di un amministratore).

* Si ringrazia per il supporto fornito nell’attività di ricerca la dott.ssa Anita Miorelli, dello Studio Atrigna & Partners.

[1] Senza pretesa di esaustività si vedano A. Polizzi in S. Casamassima – M. Nicotra (a cura di), L’Outsourcing nei servizi bancari e finanziari – La disciplina dell’esternalizzazione alla luce dei recenti interventi regolamentari (Linee guida EBA Febbraio 2019 ed aggiornamento Circolare 285 della Banca d’Italia), CEDAM, 2021, pag. 1 secondo cui l’outsourcing è “un accordo tra un’impresa e un fornitore di servizi (terza parte) in base al quale il soggetto terzo realizza, in lasso di tempo contrattualmente stabilito, parte dell’attività, o uno o più processi e/o servizi dell’impresa”; riferendosi alle imprese assicurative, S. Micheli e U. Cunial, I presidi in materia di esternalizzazione nel quadro normativo di Solvency II, dirittobancario.it, marzo 2016, secondo i quali con il termine “esternalizzazione” si identifica “l’affidamento, sulla base di uno specifico contratto, da parte di un’impresa (c.d. esternalizzante), ad un soggetto terzo (c.d. fornitore di servizi, il quale opera con organizzazione propria e a proprio rischio), di un complesso di attività di pertinenza dell’impresa esternalizzante, con l’obiettivo di migliorarne la qualità e l’efficienza complessive, attraverso risparmi di spesa e la possibilità di usufruire delle cognizioni specialistiche del fornitore di servizi”; in materia di imprese di investimento v. M. Maugeri, Esternalizzazione di funzioni aziendali e “integrità” organizzativa nelle imprese di investimento, BBTC, fasc. 4, pagg. 439 ss, secondo cui “Con il termine «esternalizzazione» si suole comunemente intendere quella particolare modalità di svolgimento dell’attività d’impresa consistente nell’affidare a un terzo, persona fisica o soggetto collettivo (c.d. Service Provider), il complesso di prestazioni nelle quali si risolve una determinata funzione della stessa impresa, con l’obiettivo di migliorarne la qualità e l’efficienza complessiva attraverso la realizzazione di risparmi di spesa e la possibilità di usufruire del bagaglio di cognizioni specialistiche vantate dal Service Provider”.

[2] Cfr. Cass. civ., sez. lavoro, 2 ottobre 2006, n. 21287.

[3] Cfr. Titolo IV, Cap. 3, sez. I della Circolare 285. Particolare attenzione deve essere posta in questo caso al riferimento ai “compiti operativi”, sintagma che sembra escludere la possibilità di effettuare un’esternalizzazione in toto delle funzioni aziendali di controllo nel caso di esternalizzazione extra-gruppo da parte di una banca.

[4] Gli Orientamenti EBA specificano che non devono essere considerate esternalizzazione: (i) una funzione che a norma di legge deve essere svolta da un fornitore di servizi; (ii) i servizi di informazione sui mercati; (iii) le infrastrutture di rete globali; (iv) gli accordi ci compensazione e regolamento tra organismi di compensazione, controparti centrali e istituti di regolamento e loro membri; (v) le infrastrutture globali di messaggistica finanziaria soggette alla vigilanza delle pertinenti autorità; (vi) i servizi bancari di corrispondenza; e (vii) l’acquisizione di servizi che altrimenti non sarebbero intrapresi dall’ente o dall’istituto di pagamento.

[5] Di fatto trattasi di un contratto atipico, la cui disciplina secondo la dottrina e la giurisprudenza può essere ricondotta all’appalto (più in particolare, all’appalto di servizi ex art. 1677 c.c., contratto misto a cui si applicano le norme in materia di appalto e somministrazione), al contratto d’opera (art. 2222 c.c.) ovvero al contratto di subfornitura (di cui alla Legge 18 giugno 1998, n. 192).

[6] Intesa, come anticipato, quale processo, servizio o attività dell’ente.

[7] È bene segnalare che nel caso di esternalizzazione di funzioni essenziali o importanti, l’atipicità del contratto è “colorata” in via amministrativa dagli Orientamenti EBA, che prescrivono la forma scritta e ne pongono un contenuto minimo. La conseguenza di questo intreccio normativo (fonte civilistica primaria e fonte amministrativa secondaria) comporta che il mancato rispetto del contenuto minimo delineato in via amministrativa dall’EBA non ha conseguenze in termini di validità del contratto, ma si ripercuote sulle valutazioni dell’esternalizzazione da parte dell’Autorità di vigilanza.

[8] Rischio di concentrazione derivante da più esternalizzazioni verso lo stesso fornitore, rischio aggregato in caso di numero significativo di esternalizzazioni, rischio di step-in, ossia di dover finanziare il fornitore del servizio esternalizzato, rischi operativi, rischi reputazionali, ecc.

[9] Sul punto, gli Orientamenti EBA specificano che la policy deve dare conto di: i) la continua valutazione della performance del fornitore di servizi; ii) le procedure di notifica e di reazione alle modifiche riguardanti un accordo di esternalizzazione o un fornitore di servizi (e.g. la sua posizione finanziaria, la sua struttura organizzativa o proprietaria, la sub-esternalizzazione); iii) la revisione e verifiche di audit indipendenti sulla conformità alle previsioni di legge, agli obblighi normativi e alle politiche; e iv) i processi di rinnovo.

[10] Cfr. Circolare 285, Parte Prima, Titolo IV, Capitolo 1, Sezione VI, par. 3.1, terzo capoverso.

[11] Nel presente commento, ragioni di sintesi, si analizzano le posizioni dell’organo amministrativo, della funzione di esternalizzazione e della funzione di internal audit.

[12] Nel caso in cui sia esternalizzata una funzione essenziale o importante, andranno indicate informazioni aggiuntive rispetto a quelle previste, in generale, per ciascun accordo di esternalizzazione, tra le quali: la data dell’ultima valutazione dei rischi e una breve sintesi dei principali risultati; l’organo che ha approvato l’accordo di outsourcing; le date delle ultime verifiche di audit e di quelle eventualmente in programma; la stima del costo finanziario annuo (budget cost) e il risultato della valutazione di sostituibilità del fornito di servizi (facile, difficile o impossibile).

[13] Per gli enti appartenenti a un gruppo, gli enti permanentemente affiliati a un organismo centrale o gli enti aderenti a uno stesso sistema di tutela istituzionale, il Registro può essere tenuto a livello centralizzato. In ogni caso, le Autorità competenti (e tutti gli enti) dovrebbero poter ottenere il proprio Registro individuale senza indebiti ritardi; tale registro deve includere tutti gli accordi di esternalizzazione, compresi quelli conclusi con fornitori di servizi all’interno del gruppo o del sistema di tutela istituzionale.

 

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 06 Febbraio
AI Act: primi adempimenti per gli operatori


Presidi di governance e controllo per l'uso dell'Intelligenza Artificiale

ZOOM MEETING
offerte per iscrizioni entro il 17/01

Iscriviti alla nostra Newsletter