Il contributo analizza il tema dell’outsourcing nelle assicurazioni alla luce delle indicazioni contenute nella recente lettera al mercato di IVASS dello scorso 11 marzo.
IVASS, l’Autorità italiana deputata alla vigilanza del mercato assicurativo, ha pubblicato in data 11 marzo 2025 la Lettera al mercato assicurativo contenente le proprie otto aspettative in materia di esternalizzazioni.
Il documento, dichiaratamente non vincolante, si inquadra nelle prerogative definite dal Regolamento IVASS n. 38/2018 (d’ora in poi “Regolamento IVASS”) e si rivolge alle imprese di assicurazione e riassicurazione aventi sede legale in Italia, alle sedi secondarie di imprese non europee ed alle ultime società controllanti italiane o di un sottogruppo nazionale con ultima controllante europea che IVASS abbia inteso vigilare.
Rimangono, dunque, fuori dal raggio d’azione le imprese europee operanti in Italia, poiché già soggette, in materia, alla vigilanza delle proprie Autorità d’origine.
Sebbene il documento sia annoverabile tra gli strumenti di soft law, in realtà, il richiamo da parte dell’Autorità all’art. 9-bis co.1 lett. b) del Codice delle Assicurazioni Private, dunque ai criteri generali e ai metodi di vigilanza, unito al monito stante il quale, se le imprese decidono di discostarsi dalle aspettative e le misure non dovessero risultare “efficaci e adeguate”, IVASS potrebbe “adottare i provvedimenti di vigilanza previsti dalla legge”, confermano l’attenzione della Vigilanza sul punto.
Una sorta di applicazione del principio “comply or explain”, per così dire, prospettica. Anche se in sé la Lettera dichiara principalmente lo scopo di “facilit(are) l’applicazione della normativa di riferimento nazionale”, considerato che il processo di outsourcing presuppone, in linea con quanto previsto dal complesso quadro normativo, un’attenta pianificazione, valutazione e verifica nel tempo da parte “…dell’organo amministrativo e del management delle imprese, al fine di apprezzarne le implicazioni in termini di coerenza e funzionalità con il modello di business adottato, affidabilità dei processi, qualità del rapporto con gli assicurati, rischi di concentrazione e dipendenza da soggetti esterni”.
Venendo al contenuto della Lettera in tema di outsourcing nelle assicurazioni , la prima aspettativa di IVASS ricade sul vertice dell’impresa, (i.e.; sugli aspetti di governance e di gestione dei rischi).
Essendo ormai consolidato principio che l’organo amministrativo sia il responsabile ultimo del sistema di governo societario, posizione pienamente acquisita nell’art. 5 del Regolamento IVASS, l’Autorità di vigilanza non ha, nei fatti, dovuto far altro che rammentare all’impresa destinataria che l’outsourcing di attività essenziali o importanti o di funzioni fondamentali non possa in nessun caso tradursi in un ‘passaggio del cerino’[1].
Non solo, quindi, il ruolo dell’organo decisionale deve essere valorizzato qualora si decida di affidare a terzi “funzioni fondamentali” e “attività o funzioni importanti”, ma la scelta di ricorrere a fornitori deve anche trovare piena gestione e giustificazione nell’apposita politica interna.
La seconda aspettativa si limita, a richiamare l’impresa di assicurazione affinché valuti attentamente, e in ogni caso almeno annualmente, a cura dell’organo amministrativo, tutti i principali rischi in caso di outsourcing. Ciò garantendo al contempo, in coerenza e come corollario del principio di responsabilità ultima, la continuità delle attività esternalizzate. È interessante notare come tali categorie di rischio vengano espressamente identificate in un range che va da quello più squisitamente operativo, inteso anche come informatico, a quello legale, passando per il reputazionale e di sistema, quali sono ad esempio quello di concentrazione e di eccessiva dipendenza da un fornitore.
La terza aspettativa è, per così dire, diretta conseguenza dell’obbligo di monitoraggio continuativo imposto all’organo amministrativo. A questo, infatti, IVASS si attende venga presentata apposita relazione, corredata da una analisi delle criticità e dei risultati degli accordi di esternalizzazione in vigore. L’aspettativa è, ad ogni buon conto, coerente con quanto disposto dallo stesso Regolamento IVASS[2].
Le aspettative quarta e quinta, presentate anche graficamente dall’Allegato alla Lettera in maniera unitaria, si concentrano sull’analisi dei rischi derivanti dall’outsourcing nelle assicurazioni.
Questa deve essere portata avanti in modo “adeguato, approfondito e completo, al fine di verificare che non siano intervenute variazioni che possano incidere sulla valutazione” iniziale in merito all’attività esternalizzata. Perché si possa parlare di valutazione adeguata da parte dell’organo amministrativo, le imprese di assicurazione dovrebbero tempestivamente informarlo di qualsiasi criticità. In particolar modo, la quinta aspettativa ricorda che i contratti con il fornitore di servizi esternalizzati dovranno imporre a quest’ultimo uno standard qualitativo adeguato e presidiato da apposite clausole penali.
La sesta aspettativa, rammenta che essendo il Regolamento DORA[3] ormai applicabile a partire dal 17 gennaio 2025, IVASS si aspetta che le imprese di assicurazione “abbiano completato l’allineamento dei propri modelli gestionali e di controllo (…) con particolare riguardo all’adozione di una strategia dedicata per i rischi informatici (…) comprensiva di una policy per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestate da fornitori terzi”.
Il continuo riferimento alle “funzioni essenziali o importanti” conferma, sotto il profilo ermeneutico, quello che costituisce il perno interpretativo della Lettera al mercato sull’outsourcing nelle assicurazioni.
L’art. 3 par.1 n. 22 del Regolamento DORA cataloga, del resto, come essenziale o importante “una funzione la cui interruzione comprometterebbe sostanzialmente i risultati finanziari di un’entità finanziaria o ancora la solidità o la continuità dei suoi servizi e delle sue attività, o la cui esecuzione interrotta, carente o insufficiente comprometterebbe sostanzialmente il costante adempimento (…) di (…) obblighi previsti dalla normativa applicabile (…)”.
La definizione ritorna in maniera ancor più centrale alla settima aspettativa, probabilmente la più decisiva dell’intero documento.
Ivi, le attività o funzioni essenziali, soggette in quanto tali all’obbligo di comunicazione preventiva all’IVASS ai sensi dell’art. 67 del Regolamento IVASS, vengono elencate sulla base di una presunzione definita come esemplificativa. Queste attività o funzioni sono sette:
- La progettazione e tariffazione dei prodotti assicurativi;
- La gestione degli investimenti;
- La gestione e liquidazione dei sinistri anche nel caso di appoggio a call center;
- La gestione dei reclami;
- La prestazione regolare e costante di supporto di natura contabile;
- Il processo di autovalutazione dei propri rischi e della propria solvibilità (cd. ORSA);
- La prestazione di servizi informatici e di comunicazione solo se a supporto di funzioni essenziali od importanti.
Si evidenzia, in ogni caso, come l’Aspettativa 7 fa salva la possibilità di addivenire a una diversa valutazione sulla base di concrete circostanze, ciò in un senso di maggiore declinazione del principio di proporzionalità rispetto al precedente approccio contenuto nella Relazione al Regolamento IVASS, la quale – fino ad ora – aveva nei fatti guidato gli operatori del settore nella concreta classificazione di una funzione ovvero di un’attività come essenziale e/o importante.
È interessante notare come IVASS, rispetto ad altre Autorità di vigilanza europee, abbia scelto, pur attraverso uno strumento di soft law, un approccio abbastanza stringente nell’indicare i criteri che ritiene applicabili in fase definitoria.
Una scelta, peraltro, che differisce da altre esperienze del vecchio continente.
Ad esempio, l’ACPR, l’Autorità di vigilanza francese, pur a fronte di una esternalizzazione dei servizi definita dallo stesso Supervisore in un proprio report come “quasi sistematica”[4], impone, ai sensi dell’art. 354-3 del Codice delle Assicurazioni, la notifica dell’intenzione di esternalizzare attività e funzioni importanti o critiche, definizione che pare già più circoscritta rispetto a quella italiana di essenziali, ma lascia ampio margine di discrezionalità all’impresa per la loro individuazione. A ciò si aggiunga che, indagando i contributi provenienti dal mercato transalpino, l’Autorità sembra considerare espressamente tali le sole gestioni dei sinistri, dei rischi attuariali, degli investimenti e degli asset, nonché la gestione dei contratti e del sistema informativo.
Analoga considerazione può essere fatta per l’Autorità lussemburghese, il CAA.
Questo infatti, pur dovendo essere informato dell’eventuale outsourcing di “funzioni operative importanti” ai sensi dell’art. 81 della Legge del 7 dicembre 2015, non fornisce una individuazione di quali queste debbano essere. La Lettera Circolare 22/16, equiparabile a una disposizione regolamentare di IVASS, si limita infatti a fornire delle linee guida per la loro individuazione, oltre agli obblighi che ne discendono.
Di interesse pare anche il fatto che il CAA escluda dall’obbligo di notifica l’esternalizzazione di infrastrutture IT come ad esempio il cloud computing, ossia i modelli che consentono di accedere a risorse informatiche condivise e configurabili che possono essere rapidamente rilasciate da parte di un fornitore di servizi[5].
Infine, anche il regolatore irlandese, la Central Bank of Ireland, ha da ultimo pubblicato un documento rivolto al mercato nel quale, coerentemente con una precedente scelta, non ha fornito elencazioni simili a quella italiana, mantenendo, invece, un atteggiamento macroprudenziale e risk-based piuttosto che rule-based[6].
Si tratta di aspetti che andranno certamente valutati prospetticamente in una logica di level playing field nonché sotto il profilo di armonizzazione sistemica,[7]
Infine, dovendo le imprese di assicurazione comunicare a IVASS, ex art. 67 commi 6 e 7 del Regolamento IVASS, eventuali sviluppi rilevanti intervenuti in corso di contratto, inclusa la cessazione dell’outsourcing, l’ottava e ultima aspettativa ha cercato di eliminare i residui dubbi sulla tempistica relativa a questa comunicazione.
Accogliendo le osservazioni di un primario gruppo assicurativo italiano, IVASS ha quindi precisato i contorni della comunicazione tempestiva.
Nello specifico:
- quando si ha il conferimento dell’incarico ad un nuovo o ulteriore fornitore di un’attività o funzione essenziale o importante, già oggetto di precedente esternalizzazione, in corso di contratto o alla scadenza dello stesso, ovvero in seguito all’interruzione o al grave deterioramento della qualità del servizio reso dal fornitore che comporti l’attivazione dei piani di emergenza;
- il conferimento in sub-esternalizzazione del contratto di esternalizzazione, essendo esplicitamente previsto che il fornitore possa svolgere l’attività esternalizzata, anziché direttamente, tramite sub-esternalizzazione, nei termini ed alle condizioni fissati nel contratto di outsourcing;
- le modifiche del contenuto dell’accordo di esternalizzazione, intervenute in corso di contratto, a condizione che le stesse non comportino l’esternalizzazione di attività o funzioni essenziali o importanti diverse da quella già esternalizzate, che invece deve essere oggetto di comunicazione preventiva.
La Lettera al mercato, dunque, conferma l’utilità dello strumento interpretativo e delle aspettative per il mercato, ribadendo l’attenzione della Vigilanza per il tema outsourcing nelle assicurazioni ( delle esternalizzazioni, ) anche alla luce del nuovo quadro riveniente da DORA.
Il che costituisce un’occasione importante per le imprese di assicurazione, le quali, potranno mettere mano, in una logica di self-assessment[8], al proprio sistema e approccio alle esternalizzazioni per valutarne il grado di vicinanza o meno alle aspettative di IVASS.
[1] Ne sono conferma gli artt. 30-septies co.1 e 60 co.3 del Regolamento IVASS, i quali stabiliscono, tra le altre cose, che il ricorso all’esternalizzazione non esime dalla necessità di mantenere risorse interne sufficienti a presidiare il governo, l’operatività ed i rischi cui è esposta la compagnia.
[2] Si veda l’art. 65 il quale impone, tra le altre cose che “(…) il sistema di governo societario garantisce controlli di standard analoghi a quelli che sarebbero attuati se le stesse fossero svolte direttamente dall’impresa”.
[3] Regolamento (UE) 2022/2554 del 14 dicembre 2022 relativo alla resilienza operativa digitale per il settore finanziario.
[4] ACPR, ‘N° 154 : Enquête 2023 sur l’externalisation des activités critiques ou importantes’ (2025), consultabile al link https://acpr.banque-france.fr/fr/publications-et-statistiques/publications/ndeg-154-enquete-2023-sur-lexternalisation-des-activites-critiques-ou-importantes.
[5] Si veda la Lettera Circolare 21/15 di CAA alle cui definizioni la stessa Lettera Circolare 22/16 rimanda.
[6] Si veda CBI, ‘Notification Guidance for (Re)Insurance Undertakings when Outsourcing Critical or Important Functions or Activities under Solvency II’ (2025), consultabile al link https://www.centralbank.ie/docs/default-source/regulation/industry-market-sectors/insurance-reinsurance/solvency-ii/requirements-and-guidance/outsourced-activities-notification-guidance.pdf?sfvrsn=6126641a_3.
[7] Si veda IVASS, ‘Relazione sull’attività svolta dall’Istituto nell’anno 2023’ (2024), p. 35, consultabile al link https://www.ivass.it/pubblicazioni-e-statistiche/pubblicazioni/relazione-annuale/2024/Relazione_annuale_2023.pdf. Ivi viene messo in luce che “(l’)83% delle rappresentanze di imprese SEE sul territorio italiano ha sede legale in Francia, Germania, Irlanda, Lussemburgo e Belgio”.
[8] Potrebbe infatti presentarsi l’occasione, proprio alla luce delle indicazioni della Lettera al Mercato in commento, che alcune attività catalogate in passato – con approccio meno granulare – dalle imprese di assicurazione come attività essenziali ed importanti possano invece essere ora classificate come non critiche (i.e. non essenziali o importanti) e viceversa.
