Pubblicato il 34° aggiornamento della Circolare 285 – Recepimento degli Orientamenti EBA in materia di esternalizzazione e di Governance interna
Banca d’Italia pubblica il 34° aggiornamento della Circolare n. 285 del 17 dicembre 2013 «Disposizioni di Vigilanza per le banche»; l’aggiornamento comporta la ristampa integrale della Circolare.
Le principali modifiche
Le principali modifiche riguardano il Capitolo 3 “Il sistema dei controlli interni” e il Capitolo 4 “Il sistema informativo” della Parte I, Titolo IV, della Circolare per dare attuazione agli Orientamenti dell’EBA in materia di esternalizzazione (Guidelines on outsourcing, EBA/GL/2019/02).
L’attuazione degli Orientamenti EBA avviene mediante un rinvio integrale. 
Le nuove regole introducono specifici obblighi tra cui la tenuta di un registro aggiornato delle attività esternalizzate; la valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione; l’inserimento nei contratti di clausole dettagliate su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.
Oltre all’obbligo di comunicazione preventiva all’Autorità di Vigilanza prima di dare corso all’esternalizzazione di funzioni essenziali o importanti, le nuove norme introducono un obbligo di notifica anche quando un’attività già esternalizzata viene riclassificata come funzione essenziale o importante.
L’informativa preventiva all’Autorità di Vigilanza dell’intenzione di esternalizzare una funzione essenziale o importante non determina più la possibilità di avviare un procedimento amministrativo di divieto; i controlli sono, invece, svolti da Banca d’Italia durante le analisi sugli intermediari (ad esempio, nell’ambito dello SREP).
Ora è ammessa l’esternalizzazione dei compiti operativi delle funzioni aziendali di controllo al di fuori del gruppo bancario nel rispetto del principio di proporzionalità.
Il Capitolo 4 sull’esternalizzazione dei sistemi informativi specifica che le misure di attenuazione dei rischi del fornitore dei servizi devono essere conformi con il quadro di riferimento per la gestione del rischio ICT e di sicurezza della banca.
Nell’aggiornamento sono state anche integrate le disposizioni del Capitolo 3 per assicurare il completo allineamento con gli Orientamenti dell’EBA sulla governance interna (EBA/GL/2017/11); questi interventi hanno carattere esplicativo e non introducono novità, chiariscono, invece, alcuni aspetti come il processo di approvazione di nuovi prodotti, le comunicazioni al Personale, il parere preventivo del Responsabile della Funzione di controllo dei rischi e i sistemi interni di segnalazione delle violazioni (c.d. whistleblowing).
Sono state, infine, introdotte alcune semplificazioni alla disciplina dei gruppi bancari cooperativi.
Procedimenti amministrativi
Dall’entrata in vigore del 34° aggiornamento viene introdotto un nuovo procedimento amministrativo: l’autorizzazione alla deroga all’applicazione su base individuale degli obblighi relativi al sistema dei controlli interni per le banche che sono state autorizzate alla deroga all’applicazione su base individuale dei requisiti prudenziali di cui all’art. 7 del CRR e sono abrogati i procedimenti sul divieto di esternalizzazione di funzioni operative importanti o di controllo e sul divieto di esternalizzazione di funzioni operative importanti o di controllo nell’ambito del gruppo di appartenenza.
L’entrata in vigore
Il 34° aggiornamento entra in vigore il giorno successivo alla pubblicazione sul sito ufficiale della Banca d’Italia, avvenuta in data 23 settembre 2020 e trova applicazione a tutti gli accordi di esternalizzazione conclusi, rinnovati o modificati a partire da tale data.
Il regime transitorio
Le banche, entro la fine del 2021, completano il registro delle attività esternalizzate con la documentazione di tutti gli accordi di esternalizzazione in essere (ad eccezione degli accordi di esternalizzazione a fornitori di servizi cloud, per i quali il registro è già applicabile) e adeguano i contratti già esistenti alle nuove norme.
Se la revisione dei contratti di esternalizzazione di funzioni essenziali o importanti non viene conclusa entro il 31/12/2021, le banche lo comunicano alla BCE o alla Banca d’Italia, indicando la data entro la quale si adegueranno, le misure a completamento dell’adeguamento oppure la strategia di uscita dal contratto di esternalizzazione.
Le banche possono esternalizzare funzioni essenziali o importanti afferenti ad attività bancarie o servizi di pagamento soggetti ad autorizzazione a fornitori di servizi di paesi terzi in assenza di un accordo di cooperazione tra le autorità di vigilanza competenti fino al 31 dicembre 2021.
Le comunicazioni preventive relative ai progetti di esternalizzazione di funzioni operative importanti presentate prima dell’entrata in vigore delle nuove disposizioni continueranno a essere processate secondo le regole della normativa precedente.
Sul sito di Banca d’Italia è disponibile la versione integrale della Circolare 285 aggiornata al 34° aggiornamento.
