Tipologia e contenuto dei contratti di outsourcing. Gli impatti dei recenti interventi normativi.
Negli ultimi anni la sicurezza della supply-chain nel mondo finanziario è stata posta sotto attenzione da parte dei regolatori nazionali e europei. Il modello di sourcing di governo e di responsabilità posta in capo agli enti e agli istituti finanziari è stato disegnato e via via rafforzato, tanto da trovare difficilmente eguali in altri settori.
Gli adempimenti, anche di natura contrattuale, posti in capo agli istituti finanziari nonché ai fornitori di servizi trovano la loro cornice normativa nelle “Linee Guida (EBA/GL/2019/02) in materia di esternalizzazioni” dell’Autorità Bancaria Europea (EBA, European Banking Authority), del 25 febbraio 2019.
La costruzione di un contratto che contenga previsioni chiare e puntuali nonché una struttura in linea con i contenuti minimi disciplinati dalla normativa è il primo strumento di compliance in grado di assicurare una vita stabile e duratura al rapporto con i fornitori di servizi. Altresì, è lo strumento che garantisce – e che dovrebbe garantire – le possibili “vie di fuga” dal rapporto con gli stessi fornitori. L’obiettivo della presente trattazione è quello di illustrare il perché sia importante redigere un testo contrattuale puntuale e in linea con le reciproche esigenze dei contraenti.
Scenario normativo: cosa è cambiato e cosa cambierà
Il settembre del 2020 rappresenta un punto di partenza importante per la resilienza operativa digitale nel settore finanziario e ciò anche in considerazione del notevole impatto che gli interventi regolatori avranno sui contratti di outsourcing rispetto ai nuovi obblighi da disciplinare. In data 23 settembre 2020 è stato pubblicato il 34° aggiornamento della Circolare 285/2013 che, di fatto, recepisce, in attuazione, gli Orientamenti dell’EBA in materia di esternalizzazione (Guidelines on outsourcing, EBA/GL/2019/02). Le principali modifiche riguardano il Capitolo 3 “Il sistema dei controlli interni” e il Capitolo 4 “Il sistema informativo” della Parte I, Titolo IV, della Circolare. Si segnala sin da subito che, con la nuova versione della Circolare 285/2013, non si parla più di “funzione operativa importante” ma di “funzione essenziale o importante”, così come previsto dal Titolo IV, Capitolo 3, Sezione I, art. 3. Tra i vari interventi di modifica effettuati nella Circolare, vi è anche l’inserimento nei contratti di outsourcing di clausole dettagliate su diritti di accesso e audit, sicurezza e integrità dei dati, strategie di uscita e continuità operativa. In altri termini, la Circolare 285 rinvia pedissequamente agli Orientamenti dell’EBA (paragrafo 13 e ss) per quanto concerne l’elencazione tassativa delle condizioni contrattuali da prevedere quali requisiti minimi, fatta eccezione per le specifiche previsioni nell’ambito dell’esternalizzazione del sistema informativo previste dalla Sezione VI del Capitolo 4 che sopravvivono alla modifica normativa introdotta con l’aggiornamento EBA.
Inoltre, in data 24 settembre 2020 la Commissione europea ha presentato una proposta di regolamento sulla resilienza operativa digitale nel settore finanziario che si pone il duplice obiettivo di ridurre i rischi legati all’utilizzo di tecnologie informatiche nell’ambito finanziario e di superare la frammentazione normativa all’interno dell’Unione. La disciplina di settore si affiancherebbe al quadro normativo applicabile in materia di sicurezza informatica introdotto con la Direttiva (UE) 2016/1148 sulla sicurezza delle reti e dei sistemi informativi (la c.d. Direttiva NIS). Il regolamento è concepito per garantire un solido meccanismo di monitoraggio dei rischi relativi alle tecnologie digitali o dell’informazione offerte ed erogate da terzi soggetti.
Tale obiettivo si realizzerà in primo luogo, con il rispetto delle norme basate su principi che si applicano ai sistemi di monitoraggio, da parte degli istituti finanziari, del rischio derivante dalla fornitura di servizi erogati da terzi. In secondo luogo, il regolamento dovrà armonizzare gli elementi essenziali del servizio e dei rapporti con i fornitori terzi in tutte le fasi del rapporto con esso, ovvero la stipula, l’esecuzione, l’estinzione e la fase post-contrattuale.
Nell’esigenza di rafforzare i meccanismi di controllo del rischio si fa sempre maggiore la convinzione che nonostante esistano norme generali in materia di esternalizzazione, contenute in atti legislativi adottati dall’Unione nel settore dei servizi finanziari, il monitoraggio della dimensione contrattuale non è sempre saldamente radicato in tale legislazione e mai così effettivo da renderlo un sistema efficace ai fini della rilevazione dei rischi. In altri termini, il monitoraggio della dimensione contrattuale dovrà essere sostanziale e non più meramente formale.
Nella relazione del regolamento, si legge che “i contratti che disciplinano il rapporto dovranno contenere una descrizione completa dei servizi, l’indicazione delle località in cui i dati devono essere trattati, descrizioni complete del livello dei servizi accompagnate da obiettivi di prestazione quantitativi e qualitativi, disposizioni pertinenti in materia di accessibilità, disponibilità, integrità, sicurezza e protezione dei dati personali, nonché garanzie per l’accesso, il ripristino e la restituzione in caso di inadempienze dei fornitori terzi di servizi di TIC, termini di preavviso e obblighi di segnalazione dei fornitori terzi di servizi di TIC, diritti di accesso, ispezione e audit da parte dell’entità finanziaria o di un terzo designato a tale scopo, chiari diritti di estinzione e strategie di uscita dedicate.” Tali elementi contrattuali, di fatto, non aggiungono nulla di nuovo rispetto a quanto già previsto da EBA e ora anche da Banca d’Italia, tuttavia uno spunto interessante è rappresentato dal seguente passaggio: “Dato che alcuni di questi elementi contrattuali possono essere standardizzati, il regolamento incoraggia il ricorso volontario a clausole contrattuali standard per l’utilizzo del servizio di cloud computing che dovranno essere definite dalla Commissione.
Tuttavia, è già da anni che la Commissione tenta di intervenire sulla tipicità dei contratti cloud attraverso l’adozione di clausole standard, ma ad oggi nessuna pronuncia risulta essere stata mai emessa sul tema. L’utilizzo volontario di clausole contrattuali standard elaborate dalla Commissione per i servizi di cloud computing potrebbe costituire un’ulteriore preziosa risorsa per gli istituti finanziari e per i loro fornitori di servizi, accrescendo il livello di certezza del diritto in merito all’utilizzo di servizi di cloud computing da parte del settore finanziario, in completa conformità con le prescrizioni e le aspettative definite dal regolamento sui servizi finanziari. In altri termini, la costruzione di un contratto solido, oltre che a rispettare i requisiti minimi previsti dalla norma, deve garantire – nel breve e nel lungo periodo – le tutele reciproche delle parti contraenti ed essere costantemente monitorato sia con riferimento alle performance del fornitore, sia con riferimento alla corretta esecuzione degli obblighi ivi previsti.
Perché è importante effettuare una corretta valutazione preventiva del fornitore per una completa impostazione dei contenuti contrattuali?
La valutazione preliminare dei rischi dell’accordo e del fornitore è lo strumento che consente di individuare, in modo corretto e completo, le necessarie previsioni contrattuali finalizzate alla mitigazione dei rischi e alla definizione di un sistema di monitoraggio in grado di rilevare l’effettiva performance del fornitore, anche in termini di rispetto dei livelli di servizio concordati. Dunque, la valutazione dei rischi dovrebbe essere condotta sulla base di criteri chiari e puntuali e le metodologie di valutazione dovrebbero essere robuste e testate sotto differenti scenari di stress, facendo riferimento a più fonti informative. Inoltre, le risultanze di valutazioni basate su metodi quantitativi dovrebbero essere integrate dalle valutazioni qualitative, al fine di mitigare il rischio di modello, richiedendosi anche un aggiornamento costante della documentazione. Pertanto, prima di concludere l’accordo di esternalizzazione, indipendentemente dalla tipologia di esternalizzazione [quindi dalla criticità e/o essenzialità], gli istituti finanziari sono tenuti a:
- valutare se l’accordo di esternalizzazione riguarda una funzione essenziale o importante;
- valutare se le condizioni di vigilanza per l’esternalizzazione siano soddisfatte;
- individuare e valutare tutti i rischi dell’accordo di esternalizzazione conformemente a quanto previsto dalle Linee Guida EBA;
- effettuare un’adeguata due diligence sul potenziale fornitore di servizi;
- individuare e valutare i conflitti di interesse che l’esternalizzazione può generare.
In tal senso, EBA indica i criteri di rischio su cui orientare tale analisi, ponendo l’accento – tra le altre cose – sulla necessità di “individuare e classificare le funzioni interessate e i relativi dati e sistemi in base alla loro sensibilità e alle misure di sicurezza richieste”, nonché di “effettuare un’analisi approfondita, basata sul rischio, delle funzioni e dei relativi dati e sistemi che potrebbero essere o che sono stati esternalizzati e fronteggiare i potenziali rischi, in particolare i rischi operativi, inclusi i rischi legali, ICT, di conformità e reputazionali, nonché eventuali limitazioni alle attività di controllo connesse ai paesi in cui sono prestati o è probabile che siano prestati i servizi esternalizzati e in cui sono conservati o è probabile che siano conservati i dati”.
Tra i principali adempimenti relativi alla valutazione dell’accordo e del fornitore, gli istituti finanziari sono dunque tenuti a costruire e/o utilizzare i parametri definiti nella propria tassonomia dei servizi, al fine di individuare e classificare la corretta qualifica dell’approvvigionamento, in termini di acquisto o di esternalizzazione. In altre parole, in coerenza con la tassonomia dei servizi sarà, di fatto, necessario effettuare una completa mappatura delle diverse tipologie di fornitura, supportata e guidata dai criteri di valutazione dell’esternalizzazione (anche attraverso regole di ingaggio ben definite).
Nell’ambito del processo per la gestione degli approvvigionamenti, ove si inneschi la fase valutativa, sarà inoltre necessario definire i ruoli e le responsabilità di tutti i soggetti e/o funzioni coinvolte nella gestione dell’accordo di esternalizzazione, inclusi quelli decisionali, nonché predisporre la documentazione necessaria per garantire l’accountability di questa preliminare fase valutativa.
Definito il processo valutativo ed effettuata l’analisi dei rischi del fornitore e dell’accordo secondo i criteri previsti da EBA, gli istituti finanziari potranno articolare le previsioni degli accordi contrattuali in funzione degli scenari di rischio rilevati.
Quali sono i contenuti minimi che disciplinano i contratti FOI e i contratti di esternalizzazione? Quali ulteriori peculiarità per i servizi cloud?
Gli istituti finanziari devono assicurare che l’esternalizzazione di funzioni relative alle attività bancarie e/o finanziaria, avvenga solo se siano soddisfatti i requisiti minimi indicati dalle linee guida EBA. I contratti di esternalizzazione devono contenere una descrizione della funzione esternalizzata che verrà svolta, gli obblighi finanziari delle parti e la durata del contratto. Gli enti e gli istituti finanziari dovrebbero assicurare che la funzione di audit interno sia in grado di esaminare la funzione esternalizzata utilizzando un approccio basato sul rischio, così da garantire i diritti di accesso di informazioni e di audit.
L’esternalizzazione comporta il trattamento di dati personali o riservati; pertanto, gli enti e gli istituti finanziari devono accertarsi che il fornitore di servizi adotti misure tecniche e organizzative adeguate sia per proteggere tali dati, sia per assicurare gli adeguati standard di sicurezza informatica. L’accordo di esternalizzazione deve consentire espressamente all’ente o all’istituto finanziario il diritto di recesso, ponendo termine al contratto, conformemente al diritto applicabile, nel caso in cui si verificassero specifiche situazioni indicate nelle linee guida. Gli accordi di esternalizzazione tra enti e fornitori di servizi devono fare riferimento ai poteri di raccolta delle informazioni e di indagine delle autorità competenti e delle autorità di risoluzione di cui all’articolo 65, paragrafo 3, della direttiva 2013/36/UE e all’articolo 63, paragrafo 1, lettera a), della direttiva 2014/59/UE nei confronti dei fornitori di servizi situati in uno Stato membro, e devono altresì assicurare tali diritti nei confronti dei fornitori di servizi situati in paesi terzi.
Gli enti e gli istituti finanziari devono assicurarsi di poter porre termine agli accordi di esternalizzazione senza interrompere indebitamente le proprie attività operative, senza limitare il rispetto degli obblighi normativi e senza pregiudicare la continuità e la qualità dei servizi forniti ai propri clienti. Infine, l’accordo di esternalizzazione deve facilitare il trasferimento della funzione esternalizzata a un altro fornitore o la sua reintegrazione all’interno dell’istituto bancario. L’accordo pertanto dovrà indicare gli obblighi in capo all’attuale fornitore in caso di trasferimento della funzione esternalizzata, obblighi concernenti anche il trattamento dei dati e l’indicazione di un periodo di transizione durante il quale il fornitore continuerebbe a svolgere la funzione esternalizza, così riducendo i rischi di interruzione del servizio.
Nel caso in cui la banca esternalizzasse una funzione essenziale o importante, le linee guida richiedono delle misure più stringenti e specifiche oltre quelle previste per i contratti di esternalizzazione. Nello specifico, le linee guida prevedono contenuti minimi quali la chiara descrizione della funzione esternalizzata che viene svolta, la normativa di riferimento, una clausola che indichi se la sub-esternalizzazione della funzione essenziale o importante sia consentita, il luogo in cui la funzione verrà esternalizzata e il luogo in cui verranno conservati e trattati i relativi dati. L’accordo deve prevedere anche il diritto dell’ente o dell’istituto finanziario di effettuare un monitoraggio costante della performance del fornitore di servizi; gli obblighi di reportistica che il fornitore di servizi è tenuto ad effettuare nei confronti dell’istituto bancario; una clausola che indichi se il fornitore debba stipulare un’assicurazione obbligatoria contro determinati rischi; i requisiti per l’attuazione e la verifica dei piani di emergenza dell’impresa; disposizioni che assicurino l’accesso ai dati di cui la banca è titolare in caso di insolvenza, risoluzione o cessazione dell’attività del fornitore di servizio; l’obbligo del fornitore di servizi di cooperare con le autorità competenti e le autorità di risoluzione dell’ente o dell’istituto finanziario, e con altri soggetti da questi designati; il diritto illimitato degli enti, degli istituti finanziari e delle autorità competenti di ispezionare e sottoporre a verifiche di audit il fornitore di servizi per quanto riguarda la funzione essenziale o importante esternalizzata.
Con riferimento ai diritti di accesso, le banche nell’ambito dell’accordo di esternalizzazione di funzioni essenziali o importanti, devono assicurare che il fornitore di servizi riconosca loro e alle autorità competenti, comprese le autorità di risoluzione, e a qualsiasi altro soggetto nominato dagli enti o dalle autorità competenti, pieno accesso a tutti i locali aziendali, diritti illimitati di condurre ispezioni e verifiche di audit in relazione all’accordo di esternalizzazione. Nel contratto di esternalizzazioni di funzioni essenziali o importanti, gli enti e gli istituti finanziari devono dotarsi di una strategia di uscita documentata, che sia in linea con la propria politica di esternalizzazione e i propri piani di continuità operativa, tenendo conto quanto meno della possibilità di indicare i seguenti termini agli accordi di esternalizzazione: dissesto del fornitore di servizi; deterioramento della qualità della funzione eseguita e interruzioni effettive o potenziali delle attività causate dall’inadeguata o mancata esecuzione della funzione; insorgenza di rischi rilevanti per lo svolgimento adeguato e continuativo della funzione. Infine, qualora durante la vigenza del contratto dovesse determinarsi una circostanza che possa far ritenere esistente o potenzialmente esistente un conflitto di interessi fra le parti, ciascuna delle parti dovrà comunicare all’altra per iscritto tale circostanza.
Il fine è quello di valutare l’adozione di opportune cautele per gestire la circostanza stessa in modo da limitare e/o monitorare gli effetti del conflitto di interessi. Con riferimento alle peculiarità dei contratti di esternalizzazione cloud si evidenzia una particolare attenzione alla sicurezza dei dati e dei sistemi informatici. Infatti, gli enti e gli istituti finanziari devono definire i requisiti di sicurezza dei dati e dei sistemi nell’ambito dell’accordo di esternalizzazione e monitorarne costantemente il rispetto. Nel caso dell’esternalizzazione a fornitori di servizi cloud e di altri accordi di esternalizzazione che comportano il trattamento o il trasferimento di dati personali in paesi extra UE o riservati, gli enti e gli istituti finanziari devono adottare un approccio basato sul rischio con riferimento al luogo (paese o regione) dove sono conservati e trattati i dati e alla sicurezza delle informazioni. Inoltre, l’ente o l’istituto finanziario devono verificare che chiunque esegua la verifica di audit, abbia le capacità, le conoscenze adeguate e necessarie per eseguire tali verifiche di audit e/o valutazioni efficaci. Lo stesso vale per il personale dell’ente o dell’istituto che esamina le certificazioni di terzi o le risultanze delle verifiche di audit effettuate dai fornitori di servizi.
La disciplina del subappalto nei contratti di outsourcing
Se il contratto di esternalizzazione prevede la possibilità che il fornitore di servizi sub-esternalizzi funzioni essenziali o importanti ad altri fornitori di servizi, gli enti e gli istituti finanziari devono tener conto dei rischi associati alla sub-esternalizzazione (compresi i rischi aggiuntivi che possono sorgere se il subcontraente ha sede in un paese terzo o in un paese diverso da quello del fornitore di servizi) e del rischio che le lunghe e complesse catene di sub-esternalizzazione riducano la capacità degli enti o degli istituti finanziari di vigilare sulla funzione essenziale o importante esternalizzata, nonché la capacità delle autorità competenti di esercitare una efficace vigilanza su essi. L’accord o deve individuare specificatamente le tipologie di attività che sono escluse dalla sub-esternalizzazione. Le linee guida EBA inoltre affermano che gli istituti finanziari devono acconsentire alla subesternalizzazione solo nel caso il cui il subcontraente si impegni a rispettare tutte le leggi, gli obblighi normativi e gli obblighi contrattuali applicabili, riconoscendo al medesimo ente e all’autorità competente gli stessi diritti contrattuali di accesso e di audit previsti per il fornitore di servizi. Il fornitore di servizi potrà essere chiamato a supervisionare i subfornitori di servizi. Qualora dal processo di sub-esternalizzazione dovessero emergere o aumentare dei rischi sostanziali per la funzione essenziale o importante, l’istituto finanziario potrebbe esercitare il proprio diritto di opporsi alla subesternalizzazione e/o porre termine al contratto.
Autore: Maria Cristina Daga