Con Avviso del 13 luglio, Consob ha comunicato la propria volontà di conformarsi agli Orientamenti emanati dall’ESMA in materia di esternalizzazione a fornitori di servizi cloud emanati dall’ESMA, integrandoli nelle proprie prassi di vigilanza.
Gli Orientamenti, pubblicati nelle lingue ufficiali dell’Unione il 10 maggio 2021, forniscono raccomandazioni in merito all’identificazione, gestione e monitoraggio dei rischi derivanti dagli accordi di esternalizzazione di attività e servizi a società erogatrici di servizi cloud, con riferimento particolare a:
- la valutazione del rischio e la due diligence da effettuare sui fornitori di servizi cloud;
- i requisiti di governance, vigilanza e controllo da mettere in atto per monitorare le prestazioni dei fornitori di servizi cloud, nonché le modalità di uscita da tali accordi di esternalizzazione senza interruzione delle proprie attività;
- i requisiti contrattuali fra le parti (imprese e fornitori di servizi cloud), ivi inclusi i rispettivi diritti e doveri;
- i requisiti di sicurezza informatica e le strategie di uscita dagli accordi di esternalizzazione;
- i requisiti da rispettare qualora il fornitore di servizi cloud per conto di un’impresa ricorra ad altri soggetti per l’esecuzione di determinate funzioni (o parti di esse) critiche o importanti (c.d. sub-esternalizzazione);
- le informazioni da notificare alle autorità competenti.
Gli Orientamenti prevedono che gli stessi si applichino alle Autorità competenti, alle quali vengono fornite indicazioni sulla supervisione di tali accordi, al fine di promuovere un approccio convergente nell’Unione europea, nonché ai seguenti soggetti:
gestori di fondi di investimento alternativi (GEFIA) e depositari di fondi di investimento alternativi (FIA);
- organismi d’investimento collettivo in valori mobiliari (OICVM), società di gestione e depositari di OICVM e società di investimento che non hanno designato una società di gestione autorizzata ai sensi della direttiva OICVM;
- controparti centrali (CCP), comprese quelle di paesi terzi di secondo livello che soddisfano i requisiti previsti dall’EMIR;
- trade repositories;
- imprese di investimento e enti creditizi quando svolgono servizi e attività di investimento;
- fornitori di servizi di comunicazione dati (DRSP);
- gestori di sedi di negoziazione;
- depositari centrali di titoli (CSD);
- agenzie di rating del credito;
- depositari di cartolarizzazione;
- amministratori di indici di riferimento critici.
Gli Orientamenti saranno applicabili dal 31 luglio 2021 a tutti gli accordi di esternalizzazione a fornitori di servizi cloud stipulati o rinnovati da tale data. I suddetti soggetti avranno tempo fino al 31 dicembre 2022 per rivedere e modificare, ove necessario, gli accordi esistenti di esternalizzazione al fornitore di servizi cloud onde assicurare che tengano conto dei citati Orientamenti.
Di adeguamento delle policy e dei contratti di outsourcing nelle banche entro fine 2021 parleremo al Webinar del 24 settembre. Per maggiori informazioni si rinvia al link indicato tra i contenuti correlati.