Outsourcing: le novità introdotte nella circolare 285

La Banca d’Italia – al fine di dare attuazione agli Orientamenti dell’EBA – ha significativamente rivisto gli adempimenti e gli obblighi degli intermediari bancari in materia di esternalizzazione.

Outsourcing: le novità introdotte nella circolare 285

Il 22 settembre 2020 è stato pubblicato il 34° aggiornamento della Circolare 285 della Banca d’Italia del 17 dicembre 2013.

Con tale aggiornamento, tra l’altro, la Banca d’Italia – al fine di dare attuazione agli Orientamenti dell’EBA (Guidelines on outsourcing, EBA/GL/2019/02) – ha significativamente rivisto gli adempimenti e gli obblighi degli intermediari bancari in materia di esternalizzazione.

Le novità regolamentari introducono nuovi e specifici obblighi in capo agli intermediari – quali, ad esempio, l’istituzione di un registro delle esternalizzazioni o la completa valutazione del rischio di concentrazione relativo ai fornitori di servizi esternalizzati – ma, allo stesso tempo, in un’ottica di coordinamento della normativa con quanto previsto dagli Orientamenti, sono state riviste e semplificate talune prassi previgenti con riferimento all’esternalizzazione di funzioni aziendali essenziali importanti.

In primo luogo, si nota come non sia più necessario inviare alla Banca d’Italia entro 60 giorni dall’avvio del servizio da parte del provider esterno il contratto di esternalizzazione per funzioni essenziali o importanti (tra le quali, le funzioni di controllo interno).

Le nuove disposizioni, infatti, stabiliscono che “dopo l’approvazione da parte degli organi competenti e prima di dare corso all’esternalizzazione di funzioni essenziali importanti, le banche comunicano alla Banca Centrale Europea o alla Banca d’Italia le informazioni di cui al paragrafo 54 degli Orientamenti dell’EBA in materia di esternalizzazione”. Il citato par. 54 degli Orientamenti si riferisce a informazioni di natura qualitativa attinenti agli accordi di esternalizzazione e da includere nel registro delle esternalizzazioni.

Peraltro, le nuove Disposizioni danno anche facoltà alle banche di “avviare un confronto preliminare con l’autorità di vigilanza sui progetti di esternalizzazione più rilevanti e/o innovativi, prima di conferire l’incarico. Restano in ogni caso fermi tutti i poteri, anche di intervento e sanzionatori, spettanti all’autorità di vigilanza”. In questo modo, l’Autorità di Vigilanza si pone come interlocutore delle banche nell’ambito dello sviluppo e dell’effettiva realizzazione dei progetti di esternalizzazione aventi maggiore rilievo.

In tal modo, l’informativa preventiva all’Autorità di vigilanza dell’intenzione di esternalizzare una funzione essenziale o importante non determina più la possibilità di avviare un procedimento amministrativo di divieto dell’esternalizzazione, come invece previsto dalle previgenti disposizioni. È stato, infatti, abrogato il procedimento amministrativo che prevedeva la possibilità per la Banca d’Italia di avviare un iter per il diniego dell’autorizzazione alla esternalizzazione. La Banca d’Italia può intervenire sulle esternalizzazioni nell’ambito della ordinaria attività di supervisione e controllo.

In secondo luogo, mentre la precedente versione delle disposizioni in oggetto consentiva l’esternalizzazione delle funzioni aziendali, di norma, alle banche classificate, a fini SREP, nella macro-categoria 4 e nei confronti di soggetti terzi puntualmente identificati – quali altre banche, società di revisione, ovvero gli organismi associativi di categoria (ad es., Federazioni regionali delle banche di credito cooperativo) – con l’attuazione degli Orientamenti EBA, le nuove disposizioni, invece, superano le suddette restrizioni per l’esternalizzazione dei compiti operativi delle funzioni aziendali di controllo al di fuori del gruppo bancario, che ora è ammessa nel rispetto del principio di proporzionalità.

Ciò consente l’ampliamento del perimetro dei soggetti cui esternalizzare funzioni essenziali o importanti, fermo restando il rispetto del principio di proporzionalità e l’adozione di dispositivi di governance adeguati a fronteggiare i rischi derivanti dalla decisione dell’intermediario bancario di affidare a soggetti terzi lo svolgimento delle suddette attività.