In data 10 maggio 2021 l’ESMA ha pubblicato le traduzioni nelle lingue ufficiali dell’Unione Europea degli Orientamenti ESMA50-164-4285 IT in materia di esternalizzazione a fornitori di servizi cloud (documento integrale), i quali erano stati pubblicati in lingua inglese “Guidelines on outsourcing to cloud service providers” nel mese di dicembre 2020 (ESMA50-157-2403).

Gli Orientamenti forniscono la definizione di “cloud computing o cloud”, ossia un paradigma che consente l’accesso in rete a un insieme scalabile ed elastico di risorse fisiche o virtuali condivisibili (es. server, sistemi operativi, reti, software, applicazioni e dispositivi di memorizzazione) con fornitura autonoma e amministrazione su richiesta.

I suddetti orientamenti si applicano ai gestori di fondi di investimento alternativi (GEFIA) e ai depositari di fondi di investimento alternativi (FIA), agli organismi d’investimento collettivo in valori mobiliari (OICVM), alle società di gestione e ai depositari di OICVM e alle società di investimento che non hanno designato una società di gestione autorizzata ai sensi della direttiva OICVM, alle controparti centrali (CCP), comprese quelle di paesi terzi di secondo livello che soddisfano i requisiti pertinenti dell’EMIR, ai repertori di dati sulle negoziazioni, alle imprese di investimento e agli enti creditizi quando svolgono servizi e attività di investimento, ai fornitori di servizi di comunicazione dati e gestori di sedi di negoziazione, ai depositari centrali di titoli (CSD), alle agenzie di rating del credito, ai depositari di cartolarizzazione e agli amministratori di indici di riferimento critici.

Si tratta di n. 9 Orientamenti sulla governance, sorveglianza e documentazione degli accordi di esternalizzazione nel cloud, sull’analisi di pre-esternalizzazione e la due-diligence dei potenziali fornitori di servizi cloud, sui principali elementi contrattuali, sulla sicurezza delle informazioni, sulle strategie di uscita dagli accordi, sui diritti di accesso e di audit, sulla sub-esternalizzazione; sulla notifica scritta da fornire alle autorità competenti in caso di esternalizzazione a fornitori di servizi cloud di funzioni e attività operative essenziali o importanti; sulla supervisione degli accordi di esternalizzazione nel cloud da parte delle autorità competenti.

Tra le altre cose, si evidenzia l’Orientamento relativo alla tenuta di un registro aggiornato delle informazioni su tutti gli accordi di esternalizzazione nel cloud stipulati, operando una distinzione tra esternalizzazione di funzioni essenziali o importanti e accordi di esternalizzazione di altro tipo.

Gli Orientamenti si applicano dal 31 luglio 2021 a tutti gli accordi di esternalizzazione nel cloud stipulati, rinnovati o modificati a tale data o successivamente.

Per quanto riguarda, invece, gli accordi di esternalizzazione nel cloud già in essere, è necessario riesaminare e modificare gli accordi di conseguenza entro il 31 dicembre 2022. Si specifica che, nel caso in cui il riesame degli accordi di esternalizzazione nel cloud di funzioni essenziali o importanti non sia concluso entro quest’ultima data, le imprese dovranno informare l’autorità competente, comunicando altresì le misure previste per completare il riesame o l’eventuale strategia di uscita.

Le autorità competenti nazionali dovranno comunicare all’ESMA entro il 10 luglio 2021 la propria conformità o intenzione di conformità agli Orientamenti o meno.