Outsourcing assicurazioni: aspettative di vigilanza IVASS

IVASS, con lettera al mercato del’11 marzo 2025, ha pubblicato le proprie aspettative di vigilanza in materia di esternalizzazione (outsourcing), ovvero sulla corretta applicazione da parte delle assicurazioni del Regolamento IVASS n. 38 del 3 luglio 2018.

L’istituto ricorda che la Direttiva Solvency II (Direttiva 2009/138/CE), all’art. 49 (poi recepito nell’art. 30-septies del Codice delle Assicurazioni), introduce la disciplina generale della esternalizzazione, prevedendo in particolare:

• che le imprese di assicurazione e di riassicurazione restano i soggetti pienamente responsabili del rispetto di tutti gli obblighi loro applicabili
• che l’esternalizzazione di funzioni o attività essenziali o importanti non deve pregiudicarne la regolare gestione, in termini di grave pregiudizio alla qualità del sistema di governance dell’impresa interessata o di incremento indebito del rischio operativo
• l’obbligo di informare le Autorità di vigilanza prima dell’esternalizzazione di funzioni o attività essenziali o importanti, nonché, tempestivamente, sugli eventuali sviluppi rilevanti dell’accordo.

L’art. 274 del successivo Regolamento delegato (UE) 2015/35, inoltre:

• impone alle imprese l’adozione di una politica scritta per l’esternalizzazione
• individua le modalità con cui procedere all’esternalizzazione delle funzioni o attività essenziali o importanti
• specifica i contenuti dell’accordo che disciplina la stessa esternalizzazione.

Il Capo VIII del Regolamento IVASS n. 38/2018 attua tali disposizioni e prevede, in particolare, che:

• l’organo amministrativo approvi la politica relativa all’esternalizzazione e alla scelta dei fornitori
• l’impresa adotti appositi presidi di gestione e controllo sulle attività o funzioni esternalizzate
• l’esternalizzazione di funzioni o attività essenziali o importanti sia preventivamente comunicata all’Istituto.

IVASS ha dunque elaborato specifiche aspettative in materia di outsourcing delle assicurazioni, con l’obiettivo di richiamare l’attenzione delle imprese di assicurazione:

• sull’importanza di una corretta valutazione dei rischi e delle opportunità relative all’esternalizzazione di attività o funzioni essenziali o importanti per l’organizzazione aziendale
• sulla loro corretta individuazione, posto che, ai sensi dell’art. 67 del Regolamento IVASS, sono soggette alla preventiva comunicazione all’Istituto.

Le aspettative in materia di outsourcing delle assicurazioni concernono i seguenti profili:

• Governance e gestione dei rischi, ove IVASS si attende che le imprese:
  • valorizzino il ruolo dell’organo amministrativo nel processo decisionale che riguarda l’esternalizzazione delle funzioni fondamentali e delle attività o funzioni essenziali o importanti
  • considerino la scelta di ricorrere a fornitori, per l’espletamento di funzioni fondamentali o di attività o funzioni essenziali o importanti, parte integrante della politica in materia di esternalizzazione e scelta dei fornitori
  • valutino le principali tipologie di rischio delle esternalizzazioni, tra cui (necessariamente): operativo, di concentrazione, di sub-esternalizzazione, legale, reputazionale, informatico, di lock-in
  • tengano in considerazione l’esito della suddetta analisi anche nella definizione delle misure previste all’art. 65, c. 3, del Regolamento per assicurare la continuità delle attività esternalizzate, in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di re-internalizzazione delle attività
  • all’organo amministrativo sia presentata apposita relazione sui risultati degli accordi di esternalizzazione sottoscritti, nel corso della operatività degli stessi con evidenza delle criticità emerse
• Presidi sulle funzioni o attività esternalizzate, ove IVASS si attende che:
  • nell’ambito dei controlli periodici previsti all’art. 65 del Regolamento, l’analisi dei rischi venga svolta in modo adeguato, approfondito e completo
  • al fine di avere contezza dell’attività svolta dal fornitore e informare tempestivamente l’organo amministrativo di eventuali criticità, le imprese:
    • inseriscano nei contratti “Livelli di Servizio” (SLA) ovvero standard qualitativi adeguati a cui il fornitore dovrà attenersi, la misurazione degli standard con specifici indicatori (key performance indicators, KPI), nonché eventuali penali applicabili
    • adottino processi che consentano di valutare: il rispetto degli SLA, il regolare andamento dei KPI, le cause dell’eventuale mancato rispetto dei KPI e dei livelli di servizio
      forniti alla clientela, le misure intraprese dal fornitore e la tempistica di attuazione delle stesse per il superamento di eventuali criticità, l’eventuale applicazione delle penali previste nel contratto, gli adeguamenti, modifiche e integrazioni al contratto, tenuto conto anche dell’evoluzione dei servizi
    • non determinino complesse catene di subfornitori che possano incidere sulla capacità delle imprese cedenti di verificare l’adeguato svolgimento dell’attività o della funzione esternalizzata
• Esternalizzazioni di servizi ICT, ove IVASS assume che:
  • le imprese abbiano completato l’allineamento dei propri modelli gestionali e di controllo al Regolamento DORA, con particolare riguardo all’adozione di una strategia dedicata per i rischi informatici:
    • fondata sul costante esame di tutte le dipendenze da terzi nel settore ICT
    • comprensiva di una policy per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestate da fornitori terzi
• Comunicazioni preventive di esternalizzazione di attività o funzioni essenziali o importanti ai sensi dell’art. 67 del Regolamento IVASS, ove l’Istituto si attende che, nell’ambito del processo di individuazione delle attività o funzioni essenziali o importanti da parte delle imprese, si presumano tali e quindi soggette all’obbligo della comunicazione preventiva quelle relative:
  • alla progettazione dei prodotti assicurativi con la relativa definizione delle tariffe
  • alla gestione degli investimenti
  • alla gestione e liquidazione dei sinistri (incluso il caso di utilizzo di call center)
  • alla gestione dei reclami
  • alla prestazione regolare e costante di supporto di natura contabile
  • il processo ORSA
  • alla prestazione dei servizi di ICT a supporto di funzioni essenziali o importanti
• Comunicazioni di cui all’art. 67, c. 6 e 7, del Regolamento IVASS, ove l’Istituto si attende che sia comunicato tempestivamente e non preventivamente:
  • il conferimento dell’incarico ad un nuovo o ulteriore fornitore di un’attività o funzione essenziale o importante, già oggetto di precedente esternalizzazione
  • il conferimento in sub-esternalizzazione del contratto di esternalizzazione
  • le modifiche del contenuto dell’accordo di esternalizzazione, intervenute in corso di contratto, a condizione che le stesse non comportino l’esternalizzazione di attività o funzioni essenziali o importanti diverse da quella già esternalizzate, che invece deve essere oggetto di comunicazione preventiva.

IVASS si attende che le assicurazioni attuino le aspettative in materia di outsourcing in coerenza con il principio di proporzionalità; anche se non vincolanti, le imprese che utilizzano modalità diverse da quelle indicate nelle aspettative, dovranno attentamente valutare la coerenza delle soluzioni adottate rispetto alle aspettative, e qualora non risultassero efficaci e adeguate per assicurare il rispetto della disciplina applicabile, IVASS, nell’ambito delle proprie competenze, potrebbe adottare i provvedimenti di vigilanza previsti dalla legge.