In data 23 settembre 2020 Banca d’Italia ha pubblicato il 34° aggiornamento alla Circolare n. 285 del 17 dicembre 2013 recante Disposizioni di Vigilanza per le banche (documento integrale) al fine di dare attuazione alle Linee guida dell’EBA in materia di esternalizzazione (Guidelines on outsourcing, EBA/GL/2019/02).

In particolare, l’intervento riguarda le Sezioni I, IV, V e IX del Capitolo 3 e la Sezione VI del Capitolo 4 e l’attuazione degli Orientamenti EBA sopracitati avviene mediante un rinvio integrale agli stessi. Pertanto, tra i nuovi obblighi da rispettare in materia di esternalizzazione troviamo la tenuta di un registro aggiornato delle attività esternalizzate, la valutazione del rischio di concentrazione relativo ai fornitori di servizi in tutte le fasi dell’esternalizzazione, nonché disposizioni specifiche sull’inserimento nei contratti di outsourcing di clausole dettagliate in tema di diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa.

La novità principale riguarda però la comunicazione alle autorità di vigilanza della decisione di esternalizzare funzioni essenziali o importanti (FOI).

Secondo le precedenti Disposizioni, infatti, la comunicazione doveva essere effettuata almeno 60 giorni prima di conferire l’incarico e entro 60 giorni dal ricevimento della comunicazione la Banca centrale europea o la Banca d’Italia potevano avviare un procedimento d’ufficio di divieto dell’esternalizzazione che si sarebbe concluso entro 60 giorni. Per un totale quindi di 120 giorni di attesa, trascorsi i quali l’esternalizzazione della FOI poteva essere considerata approvata dall’autorità di vigilanza.

Le nuove Disposizioni, invece, ferma restando la necessaria informativa preventiva alla BCE o alla Banca d’Italia dell’intenzione di esternalizzare una FOI da effettuarsi dopo l’approvazione da parte degli organi competenti e prima di dare corso all’esternalizzazione, eliminano sia l’obbligo di effettuare la comunicazione almeno 60 giorni prima di conferire l’incarico, sia la possibilità di avviare un procedimento amministrativo di divieto dell’esternalizzazione. I controlli sulle esternalizzazioni saranno svolti dall’autorità di vigilanza nel corso delle attività di analisi sugli intermediari, ad esempio, nell’ambito dello SREP.

Allo stesso tempo però viene prevista la facoltà per le banche di avviare un confronto preliminare con l’autorità di vigilanza sui progetti di esternalizzazione più rilevanti e/o innovativi, prima di conferire l’incarico.

Nelle precedenti disposizioni, inoltre, solo le banche di categoria 4 SREP potevano esternalizzare le funzioni aziendali di controllo interno a determinati soggetti terzi, quali altre banche, società di revisione, gli organismi associativi di categoria. Le nuove disposizioni eliminano questa previsione in quanto consentono l’esternalizzazione delle funzioni aziendali di controllo, nel rispetto del principio di proporzionalità. Pertanto, viene meno la riserva normativa che ha finora impedito alle società di consulenza indipendenti di svolgere in outsourcing le funzioni di antiriciclaggio, compliance, risk e intenal audit, fermo restando la responsabilità degli organi aziendali e del responsabile della funzione esternalizzata per il corretto svolgimento dei compiti esternalizzati.

Le nuove Disposizioni sono entrate in vigore il 24 settembre 2020 .