Banca d’Italia, in data 23 Settembre 2020, ha pubblicato il 34° aggiornamento della Circolare 285 del 17 Dicembre 2013, inerente le “Disposizioni di Vigilanza per le banche”. I capitoli oggetto dell’aggiornamento della circolare sono il Capitolo 3 “Il sistema dei controlli Interni” e il Capitolo 4 “Il sistema informativo”, con l’intento di attuare in Italia gli Orientamenti dell’EBA relativi al processo pragmatico di revisione e consulenza prudenziale del 2020 alla luce della crisi per Covid-19 in materia di esternalizzazione (Guidelines on outsourcing, EBA/GL/2019/02). Inoltre, sono state introdotte semplificazioni inerenti gli oneri informativi dei gruppi bancari cooperativi (BCC) ed effettuati alcuni interventi redazionali.
In dettaglio i nuovi obblighi in materia di esternalizzazione:
- Tenuta di un registro aggiornato delle attività esternalizzate;
- Completa valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione;
- Rafforzamento della contrattualistica attraverso l’inserimento di clausole dettagliate su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.
- Obbligo di notifica anche quando un’attività già esternalizzata è riclassificata dall’intermediario come funzione essenziale o importante (in aggiunta alla già presente comunicazione preventiva per l’esternalizzazione di funzioni essenziali o importanti);
- Superamento delle restrizioni previste dalla previgente disciplina per l’esternalizzazione dei compiti operativi delle funzioni aziendali di controllo al di fuori del gruppo bancario, ora ammessa nel rispetto del principio di proporzionalità;
Inoltre sono stati apportati alcuni interventi con l’intento di rafforzare l’allineamento delle disposizioni di vigilanza agli Orientamenti dell’EBA sulla Governance interna. Il focus è incentrato su aspetti quali il processo di approvazione di nuovi prodotti, le comunicazioni del personale, il parere preventivo del responsabile della funzione di controllo dei rischi e i sistemi interni di segnalazione delle violazioni (whistleblowing), nonché di integrare nelle disposizioni i rinvii agli Orientamenti sulla Governance interna presenti in materia di esternalizzazione.
Riguardo l’esternalizzazione dei sistemi informativi si specifica che le misure di attenuazione dei rischi del fornitore ICT (sistemi informativi) devono essere conformi con il quadro di riferimento generale per la gestione del rischio ICT e di sicurezza della banca. Viene inoltre chiarito il contenuto dell’informativa da rendere alla Banca d’Italia e alla BCE allargando, al contempo, detta comunicazione anche ai principali servizi ICT forniti da terze parti che non assumono la qualifica di esternalizzazione.
Per quanto riguarda la semplificazione della disciplina delle BCC, per facilitare la conduzione del processo di controllo prudenziale, per le banche di credito cooperativo affiliate a un gruppo bancario cooperativo, è stato eliminato l’obbligo di redigere i resoconti in materia ICAAP e ILAAP a livello individuale. Infine sui gruppi bancari cooperativi si prevede che la capogruppo di un gruppo bancario cooperativo presenti una relazione sui controlli svolti sulle funzioni essenziali o importanti esternalizzate al di fuori del gruppo, rendendo così molto dispendiosa e superflua la redazione di una relazione da parte di ciascuna entità del gruppo data l’omogeneità del modello di business e dell’operatività delle BCC affiliate a un gruppo.
Queste disposizioni, già entrate in vigore, si applicano a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire dalla suddetta data.
Le banche, entro la fine del 2021, completano il registro delle attività esternalizzate con la documentazione di tutti gli accordi di esternalizzazione esistenti e adeguano i contratti già esistenti alle nuove norme. Qualora la revisione dei contratti di esternalizzazione di funzioni essenziali o importanti non sia conclusa entro il 31 Dicembre 2021, le banche ne danno comunicazione alla BCE o a Banca d’Italia, indicando la data di adeguamento al nuovo regime, le misure previste per completare l’adeguamento o l’eventuale strategia di uscita dal contratto di esternalizzazione.