EBA ha posto oggi in consultazione l’aggiornamento delle proprie Linee Guida del 2019, sull’outsourcing e la gestione del rischio di terze parti, che si concentra sugli accordi contrattuali resi da fornitori terzi e dai loro subappaltatori, in relazione ai servizi non ICT, con particolare attenzione all’esternalizzazione di funzioni critiche o importanti.
In particolare, EBA sta aggiornando le proprie Linee Guida sugli accordi di esternalizzazione emanate nel 2019, che si applicavano esclusivamente agli enti creditizi e alle imprese di investimento soggetti alla CRD, agli istituti di pagamento e agli istituti di moneta elettronica, con l’obiettivo di stabilire un quadro più armonizzato in materia di sana gestione del rischio di terzi e di tenere conto dell’entrata in vigore del Regolamento (UE) 2022/2554 (DORA).
Negli ultimi anni, le entità finanziarie si sono sempre più avvalse di fornitori di servizi terzi per accedere a competenze specialistiche, ridurre i costi, migliorare la scalabilità, l’efficienza e concentrarsi sulle attività principali.
Tuttavia, il ricorso a terze parti può anche aumentare i rischi ed esporre le entità finanziarie, i loro clienti e, in alcuni casi, il sistema finanziario nel suo complesso a danni significativi: questa maggiore dipendenza dai fornitori terzi richiede un’evoluzione del concetto tradizionale di esternalizzazione ed è necessario che le entità finanziarie continuino a rafforzare efficacemente i propri accordi di governance, inclusa la resilienza operativa.
EBA, nell’elaborazione delle linee guida aggiornate, ha considerato quindi l’entrata in vigore del Regolamento (UE) 2022/2554 (DORA), che disciplina in particolare i servizi relativi alle tecnologie dell’informazione e della comunicazione (ITC) forniti dai fornitori terzi alle entità finanziarie: pertanto, rientrano nell’ambito di applicazione delle presenti Linee Guida tutti i servizi non correlati alle ITC forniti alle entità finanziarie.
Le Linee Guida di EBA aggiornate sull’outsourcing non ICT, specificano quindi le misure che le entità finanziarie devono adottare durante il ciclo di vita degli accordi con terze parti (ovvero valutazione del rischio, due diligence, fase contrattuale, subappalto, monitoraggio, strategie di uscita e procedure di risoluzione) per garantire, nella misura del possibile, la coerenza con i requisiti previsti dal quadro DORA.
Inoltre, la bozza di Linee Guida garantisce la coerenza con il registro DORA degli accordi contrattuali con le terze parti, consentendo agli istituti finanziari di conservare informazioni coerenti sia per i servizi ICT che per quelli non ICT, inclusa la possibilità di utilizzare un unico registro.
Più nel dettaglio, viene ribadito che l‘organo di gestione di ciascuna entità finanziaria rimane responsabile delle proprie attività in ogni momento; a tal fine, tale organo dovrebbe garantire la disponibilità di risorse sufficienti e adeguate per supportare e garantire adeguatamente l’assolvimento di tali responsabilità, inclusa la gestione e la supervisione di tutti i rischi, compresi quelli derivanti da accordi con terze parti, in particolare quando questi vengono utilizzati per svolgere funzioni essenziali o importanti.
Il ricorso ai fornitori terzi non deve condurre infatti a una situazione in cui un’entità finanziaria diventi un “involucro vuoto” privo della sostanza necessaria per rimanere autorizzata.
Per quanto riguarda i fornitori situati in paesi terzi, EBA si aspetta che le entità finanziarie prestino particolare attenzione al rispetto della legislazione e dei requisiti normativi dell’UE (ad esempio, segreto professionale, accesso alle informazioni, protezione dei dati personali, trattamento e archiviazione dei dati) e che l’autorità competente sia in grado di vigilare efficacemente sulle entità finanziarie, in particolare per quanto riguarda le funzioni critiche o importanti svolte.
Le Linee Guida EBA sull’outsourcing non ICT stabiliscono inoltre quali accordi devono essere presi in considerazione per una sana gestione dei rischi di terze parti e forniscono criteri per l’identificazione delle funzioni critiche o importanti, che hanno un impatto significativo sul profilo di rischio dell’entità finanziaria: se tali funzioni critiche o importanti vengono esternalizzate a fornitori terzi, a tali accordi si applicheranno requisiti più rigorosi rispetto ad altri accordi con terze parti.
Le autorità competenti sono tenute a vigilare efficacemente sugli accordi con terze parti delle entità finanziarie, anche individuando e monitorando il rischio di concentrazione presso i singoli fornitori di servizi di pagamento e valutando se tali concentrazioni possano rappresentare un rischio per la stabilità del sistema finanziario: per fare ciò, le Autorità dovrebbero poter fare affidamento su una documentazione completa sugli accordi con terze parti redatta dalle entità finanziarie.
Per garantire una transizione fluida ed efficiente, gli enti finanziari disporranno di un periodo transitorio di due anni per rivedere e modificare i propri accordi con terze parti esistenti e per aggiornare il registro per le terze parti non ICT.
La consultazione durerà fino all’8 ottobre 2025.
