In data 25 febbraio 2019 l’Autorità Bancaria Europea (European Banking Authority—EBA) ha pubblicato  il documento “Final Report on EBA Draft Guidelines on outsourcing arrangements”, ossia delle linee guida in materia di esternalizzazione, che andrà a sostituire i precedenti orientamenti CEBS del 2006 in tema di outsourcing e la raccomandazione della stessa EBA del 2017 sull\’esternalizzazione ai fornitori di servizi cloud (Documento integrale).

Le suddette linee guida sono dirette agli enti creditizi ed alle imprese di investimento soggetti alla direttiva sui requisiti patrimoniali (CRD, nonché agli istituti di pagamento ed agli istituti di moneta elettronica.

Tra i vari orientamenti, si sottolinea che le linee guida suddividono le FOI in tre categorie: le funzioni la cui prestazione difettosa o insufficiente potrebbe compromettere in misura rilevante il rispetto delle condizioni della loro autorizzazione o di altri obblighi previsti dalla normativa, le loro prestazioni finanziarie o la continuità dei loro servizi, le funzioni di controllo interno e le funzioni subordinate all\’autorizzazione dell’autorità competente.

Inoltre, nel valutare se si tratta di outsourcing di una funzione essenziale o importante, oltre alla valutazione dei rischi, devono essere seguiti alcuni fattori indicati dalle linee guida, quali, per esempio, il collegamento diretto alla prestazione di attività bancarie o di servizi di pagamento, l\’impatto potenziale di un malfunzionamento dell’outsourcer sulla propria capacità di ripresa finanziaria, le dimensioni e la complessità dell’area di business interessata e la possibilità che l\’accordo di esternalizzazione proposto possa essere ampliato senza sostituire o rivedere l\’accordo sottostante.

Per quanto riguarda la policy sull’esternalizzazione, le linee guida raccomandano la distinzione tra l’esternalizzazione di funzioni essenziali o importanti e altri accordi, tra l’esternalizzazione a fornitori di servizi autorizzati da un\’autorità competente e quelli che non lo sono, tra accordi di esternalizzazione infragruppo e ad entità esterne e, infine, tra l’esternalizzazione a fornitori di servizi situati in uno Stato membro e in paesi terzi.

È prevista, poi, l’istituzione di un registro degli accordi di outsourcing e della relativa documentazione di supporto. Gli orientamenti indicano, inoltre, le informazioni minime che devono essere registrate, quali, per esempio, un numero di riferimento, la categoria assegnata che riflette la natura della funzione (es. IT, funzione di controllo), il paese in cui il servizio è prestato,  una breve sintesi del perché la funzione è ritenuta essenziale o importante. In particolare, in quest’ultima ipotesi le informazioni da fornire sono maggiori.

Le linee guida entrano in vigore il 30 settembre 2019 e si applicano a tutti gli accordi di esternalizzazione conclusi, rivisti o modificati a partire da tale data.

I soggetti interessati devono rivedere gli accordi di esternalizzazione esistenti sulla base dei presenti orientamenti in occasione del primo rinnovo e, in ogni caso, non oltre il 31 dicembre 2021. Si evidenzia che, nel caso di esternalizzazione di funzioni essenziali o importanti, qualora la revisione degli accordi non sia finalizzata entro tale data, deve esserne fornita informativa all\’autorità competente indicando le misure previste per completare il riesame o l\’eventuale strategia di uscita.