FEI

Home » FEI

Esternalizzazione delle Funzioni Aziendali

La disciplina dell’esternalizzazione delle funzioni aziendali: aggiornamenti normativi e obblighi segnaletici

Il 28 luglio 2022 la Banca d’Italia ha avviato una consultazione pubblica relativa all’introduzione di una nuova rilevazione concernente l’esternalizzazione delle funzioni aziendali, con un’attenzione specifica verso quelle classificate come essenziali o rilevanti (c.d. FEI – Funzioni Essenziali o Importanti).

L’evoluzione del sistema bancario e finanziario, che sempre più ricorre all’esternalizzazione di processi e servizi, espone gli intermediari a rischi nuovi e complessi. Tali rischi richiedono presidi adeguati al fine di:

  • rafforzare il controllo sull’operato dei fornitori di servizi esterni;

  • predisporre tempestivamente piani di continuità operativa in caso di indisponibilità del service provider;

  • tutelare la riservatezza dei dati, con particolare riguardo ai casi in cui il fornitore sia localizzato al di fuori dell’Unione Europea (es. fornitori di servizi cloud);

  • contrastare il fenomeno dei c.d. “letterbox entities”, riaffermando il principio secondo cui la responsabilità della gestione non può essere oggetto di esternalizzazione, assicurando che l’ente disponga delle risorse adeguate per governare, supervisionare e gestire le funzioni affidate all’esterno.

Definizione di esternalizzazione

Per esternalizzazione si intende qualsiasi accordo, a prescindere dalla forma contrattuale, mediante il quale un fornitore esterno assume l’esecuzione di un processo, servizio o attività (funzione) che l’ente svolgerebbe internamente.

È compito degli enti valutare se un determinato accordo rientri nell’ambito dell’esternalizzazione. Si ricorda che non sono esternalizzabili le attività di revisione legale dei conti, l’acquisto di beni e servizi, le infrastrutture di rete (art. 28 delle EBA Guidelines).

Quadro normativo di riferimento

A livello europeo, l’Autorità Bancaria Europea (EBA) ha emanato il 26 febbraio 2019 gli Orientamenti in materia di esternalizzazione, che disciplinano i requisiti di governance interna e di gestione del rischio applicabili agli istituti in caso di esternalizzazione.

In Italia, tali Orientamenti sono stati recepiti dalla Banca d’Italia mediante il 34° aggiornamento alla Circolare n. 285 del 17 dicembre 2013 (Disposizioni di Vigilanza per le banche).

L’esternalizzazione è oggi strumento strategico per accedere rapidamente a tecnologie innovative, in risposta alla pressione esercitata sui margini derivante dai modelli tradizionali di business (digitalizzazione, fintech).

La nuova rilevazione proposta da Banca d’Italia si configura come complemento alla raccolta informativa già condotta dalla BCE nell’ambito del Meccanismo di Vigilanza Unico, con l’obiettivo di delineare un quadro integrato dei rischi connessi alle esternalizzazioni, sia a livello nazionale che europeo.

Obblighi e adempimenti per gli intermediari

Le nuove disposizioni prevedono, tra gli altri, i seguenti obblighi:

  • tenuta di un registro costantemente aggiornato delle attività esternalizzate;

  • valutazione del rischio di concentrazione in ogni fase del processo di esternalizzazione;

  • inserimento nei contratti di outsourcing di clausole dettagliate relative a diritti di accesso e audit, sicurezza e integrità dei dati, piani di uscita e continuità operativa.

Tali prescrizioni si applicano a tutti gli accordi conclusi, rinnovati o modificati a decorrere dal 30 settembre 2019. Gli enti e gli istituti di pagamento devono aggiornare la documentazione relativa agli accordi esistenti entro il primo rinnovo e, in ogni caso, non oltre il 31 dicembre 2022.

Entro tale termine, le banche hanno completato la compilazione del registro delle attività esternalizzate, includendo tutta la contrattualistica in essere (fatta eccezione per i servizi cloud, già oggetto di obbligo specifico), e adeguato i contratti alle nuove disposizioni.

I controlli in materia di esternalizzazione vengono effettuati dall’autorità di vigilanza nell’ambito delle attività di supervisione (es. processo SREP – Supervisory Review and Evaluation Process).

Tempistica della prima rilevazione

La prima rilevazione è riferita alla data contabile del 31 dicembre 2022 e deve essere trasmessa entro il 31 marzo 2023.

Soggetti obbligati alla rilevazione

  • Banche e gruppi bancari meno significativi;

  • Intermediari finanziari e gruppi iscritti all’Albo ex art. 106 TUB;

  • SIM e gruppi di società di investimento;

  • Istituti di pagamento e di moneta elettronica;

  • SGR;

  • SICAV e SICAF che gestiscono direttamente il proprio patrimonio.

Soggetti esclusi dalla rilevazione (dati raccolti direttamente dalla BCE):

  • Operatori di microcredito;

  • Succursali italiane di banche estere;

  • Gruppi e soggetti significativi, intermediari non bancari appartenenti a gruppi significativi.

Funzioni Essenziali o Importanti (FEI)

Una funzione è qualificata come essenziale o importante quando la sua inadeguata esecuzione può:

  • compromettere il rispetto continuo delle condizioni minime di autorizzazione;

  • incidere negativamente sui risultati finanziari;

  • minacciare la solidità o la continuità delle attività e dei servizi bancari o di pagamento.

Tale qualifica si estende alle funzioni soggette a riserva di legge che richiedono autorizzazione da parte dell’autorità di vigilanza, nonché ai compiti operativi delle funzioni di controllo interno, salvo valutazioni specifiche che ne escludano l’impatto sulla loro efficacia complessiva.

La procedura di esternalizzazione

L’esternalizzazione non è solo un contratto, ma un processo strutturato articolato in più fasi: analisi preliminare, valutazione dei rischi, approvazione, gestione operativa e controllo della funzione esternalizzata.

Responsabilità dell’organo amministrativo

L’outsourcing non comporta mai il trasferimento delle responsabilità dell’organo di amministrazione, che rimane pienamente responsabile dell’assetto organizzativo, strategico e operativo dell’ente.

In particolare, all’organo amministrativo competono:

  • approvazione e aggiornamento della policy in materia di esternalizzazione;

  • identificazione della funzione incaricata della gestione e supervisione dei rischi connessi;

  • approvazione delle esternalizzazioni FEI;

  • approvazione della relazione annuale dell’internal audit sui controlli sulle funzioni esternalizzate.

Strategie di uscita (exit strategy)

Per tutte le FEI, gli enti devono predisporre piani di uscita volti a garantire la prosecuzione delle attività operative nei seguenti casi:

  • scadenza naturale dell’accordo;

  • insolvenza del fornitore;

  • decadimento qualitativo dei servizi prestati;

  • emergenza di rischi significativi che pregiudichino la funzione.

Tali strategie mirano ad assicurare la continuità operativa e la qualità dei servizi resi alla clientela, anche in fase di dismissione dell’accordo.

Riferimento Banca D’Italia:

Riferimento Autorità Bancaria Europea (EBA):

Riferimento Banca D'Italia
Riferimento Autorità Bancaria Europea (EBA)