In data 28 luglio 2022 Banca d’Italia ha posto in pubblica consultazione la proposta di una nuova rilevazione, comprensiva di Istruzioni e relativo Schema di segnalazione, sugli accordi di esternalizzazione degli intermediari vigilati(documento integrale).

La rilevazione è rivolta a tutti gli intermediari vigilati dalla Banca d’Italia, tra cui banche e gruppi bancari meno significativi, SIM e gruppi di SIM, intermediari finanziari ex art. 106 TUB e gruppi finanziari, istituti di pagamento, istituti di moneta elettronica, SGR, SICAV e SICAF.

Lo scopo della consultazione è di raccogliere informazioni sugli accordi di outsourcing dei soggetti vigilati, nonché informazioni utili a valutare il livello di concentrazione dei principali fornitori di servizi, e la diffusione del fenomeno della sub-esternalizzazione.

Banca d’Italia pone l’accento sul crescente ricorso all’esternalizzazione da parte del sistema bancario e finanziario che espone gli intermediari a nuovi rischi, anche derivanti dall’elevato livello di innovazione tecnologica dei servizi prestati (es. cloud computing) o da situazioni di concentrazione dei fornitori di servizi. Di conseguenza, ai soggetti vigilati è richiesto di dotarsi di adeguati presidi e meccanismi di attenuazione dei rischi, rafforzare il controllo sull’operato dei fornitori e sviluppare piani che assicurino la continuità operativa in caso di indisponibilità dei service provider.

Le modalità di inoltro della rilevazione avverrà tramite il canale Infostat in  formato XML.

La segnalazione è applicabile a livello sia individuale sia consolidato a tutti gli intermediari vigilati italiani, mentre sono esclusi dalla rilevazione gli operatori del microcredito e le succursali italiane di banche estere, nonché i gruppi e gli enti significativi e gli intermediari non bancari che appartengono a gruppi bancari significativi.

In particolare, le informazioni che dovranno essere inviate si suddividono in informazioni relative a tutti i contratti di outsourcing e informazioni aggiuntive per gli accordi di esternalizzazione di funzioni essenziali o importanti.

Tra le informazioni generali si citano dati sul contratto (es. data di inizio/scadenza/rinnovo e costo annuo stimato), dati sul fornitore di servizi e dati sull’eventuale cloud computing.

Per quanto riguarda invece le informazioni aggiuntive per i contratti di outsourcing di funzioni essenziali o importanti, dovranno, tra le altre, essere comunicate informazioni sull’ultima valutazione dei rischi e sull’ultima verifica di audit, sul livello di sostituibilità del fornitore, sulla possibilità di re-internalizzare l’attività e sull’impatto dell’interruzione dell’attività esternalizzata.

Per quanto riguarda la frequenza e le date di riferimento, si evidenzia che la segnalazione ha periodicità annuale, con data di riferimento 31 dicembre e che gli intermediari sono tenuti a fornire le informazioni entro il 31 marzo dell’anno successivo a quello di riferimento, in tempo utile per l’avvio delle attività in ambito SREP.

La prima segnalazione potrebbe essere già riferita al 31 dicembre 2022 e l’Autorità chiarisce che in sede di prima applicazione si prevedrebbe un congruo termine per l’invio dei dati, per consentire l’adeguamento dei sistemi operativi degli intermediari ai nuovi obblighi.

La consultazione si concluderà in data 26 settembre 2022.