In data 3 giugno 2020 ESMA ha posto in pubblica consultazione il documento “Draft Guidelines on Outsourcing to Cloud Service Providers” (documento integrale) che propone l’introduzione delle linee guida da seguire nel caso del ricorso all’esternalizzazione a fornitori di servizi cloud, fornendo alcune indicazioni che gli operatori del mercato finanziario possono seguire per identificare, affrontare e monitorare i rischi connessi a tale particolare ipotesi di esternalizzazione.

Si ricorda che per servizi cloud si intendono quei servizi forniti tramite un modello di “cloud computing” che consente l’accesso in rete diffuso, conveniente e su richiesta a un gruppo condiviso di risorse informatiche configurabili (es. reti, server, memorie, applicazioni e servizi), che possono essere forniti e messi a disposizione rapidamente con un minimo di attività gestionale o di interazione con il fornitore del servizio.

In particolare, le suddette linee guida interessano, tra gli altri, i gestori di fondi di investimento alternativi (GEFIA), i depositari di fondi di investimento alternativi (FIA), gli organismi di investimento collettivo in valori mobiliari (OICVM) e le società di gestione e depositari di OICVM, le imprese di investimento e gli istituti di credito quando svolgono servizi e attività di investimento.

Il documento in consultazione fornisce indicazioni in merito ai seguenti temi:

  • i principi di governance, la documentazione ed i meccanismi di supervisione e monitoraggio che le imprese dovrebbero applicare;
  • la valutazione e la due diligence che dovrebbe essere intrapresa prima dell’esternalizzazione;
  • gli elementi minimi che dovrebbero essere previsti negli accordi di esternalizzazione e sub-esternalizzazione;
  • le strategie di uscita dall’accordo ed i diritti di accesso e di audit che dovrebbero essere soddisfatti;
  • le comunicazioni alle Autorità competenti e la loro attività di supervisione.

Si evidenzia, inoltre, che gli operatori del settore finanziario saranno assoggettati ad un’ampia disciplina sul medesimo tema in quanto il presente documento è coerente con gli Orientamenti EBA in materia di esternalizzazione del 25 febbraio 2019, che hanno incorporato le raccomandazioni dell’EBA in materia di esternalizzazione a fornitori di servizi cloud del 28 marzo 2018, e con le linee guida dell’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali di febbraio 2020.

È intenzione dell’ESMA applicare le presenti linee guida dal 30 giugno 2021 a tutti gli accordi di cloud outsourcing stipulati, rinnovati o modificati a partire da questa data, mentre gli accordi esistenti dovranno essere adeguati entro il 31 dicembre 2022.

Per concludere si ricorda che già ai sensi degli agli artt. 18 e 32, co. 2 del Regolamento di attuazione degli articoli 4-undecies e 6, co. 1, lett. b) e c-bis), del TUF di Banca d’Italia del 5 dicembre 2019, gli intermediari ed i gestori devono adeguare i contratti di esternalizzazione a fornitori di servizi in cloud alle Raccomandazioni dell’EBA del 28 marzo 2018, come previsto dalle disposizioni transitorie del regolamento stesso,  in occasione del primo rinnovo e comunque non oltre il 4 gennaio 2021 (documento integrale).