[Newsflash n. 73]

L’ESMA, a seguito della consultazione pubblica del 3 giugno 2020, ha pubblicato la relazione finale sulle sue linee guida sull’esternalizzazione ai fornitori di servizi cloud (“Linee Guida”) (CSP). Le Linee guida hanno l’obbiettivo di agevolare le aziende a identificare, gestire e monitorare i rischi derivanti dagli accordi di cloud outsourcing.

Le Linee Guida riguardano:

  1. Principi di governance, la documentazione e i meccanismi di supervisione e monitoraggio: i soggetti interessati dovrebbero prevedere una strategia di cloud outsourcing ben definita e aggiornata, che sia coerente con le proprie strategie, politiche e procedure interne, ivi incluse quelle relative alla information and communication technology (ICT), la sicurezza delle informazioni e la gestione del rischio operativo. I soggetti interessati dovrebbero verificare regolarmente se i propri accordi di cloud outsourcing riguardino una funzione critica o importante e se il rischio, la natura o la portata di una funzione esternalizzata abbia subito un cambiamento significativo.
  2. Procedimenti di valutazione e due diligence preliminari all’esternalizzazione: l’analisi pre-outsourcing e la due diligence sul potenziale fornitore di servizi in cloud (“CSP”) dovrebbero essere proporzionate alla natura, alle dimensioni e alla complessità della funzione che il soggetto intende esternalizzare nonché ai rischi inerenti a tale funzione. Essa dovrebbe prevedere almeno una valutazione dell’impatto potenziale dell’accordo di cloud outsourcing sui rischi operativi, legali, di compliance e di reputazione del soggetto delegante. Nel caso in cui l’accordo di cloud outsourcing riguardi funzioni critiche o importanti, il soggetto dovrebbe:
    a) valutare tutti i rischi rilevanti che possono derivare dall’accordo di cloud outsourcing, compresi i rischi relativi alla ICT, alla sicurezza dei dati, alla continuità aziendale, e ai rischi legali, di compliance, di reputazione, operativi ed eventuali limitazioni al controllo da parte del soggetto delegante;
    b) tenere conto dei vantaggi e dei costi previsti del cloud outsourcing.
  3. Elementi contrattuali minimi degli accordi di esternalizzazione e sub-esternalizzazione: i rispettivi diritti e obblighi del soggetto delegante e del rispettivo CSP dovrebbero essere chiaramente recepiti in un accordo scritto. L’accordo deve prevedere espressamente la facoltà per il soggetto delegante di sciogliere il vincolo contrattuale, se necessario. In caso di esternalizzazione di funzioni critiche o importanti, l’accordo dovrà contenere ulteriori elementi.
  4. Strategie di uscita (exit strategies): in caso di esternalizzazione di funzioni critiche o importanti, al soggetto delegante dovrebbe essere garantita la possibilità di terminare l’accordo di cloud outsourcing senza che ciò abbia conseguenze pregiudizievoli sulla propria attività e sui servizi ai clienti e senza pregiudicare il rispetto degli obblighi previsti dalla legislazione applicabile, nonché la riservatezza, integrità e disponibilità dei propri dati.
  5. Sub-outsourcing: se consentita in termini di legge, la sub esternalizzazione di funzioni critiche o importanti (o di parti di esse) dovrebbe essere prevista in un accordo scritto tra le parti, che definisca chiaramente, tra l’altro, quali funzioni vengano esternalizzate e quali condizioni debbano essere rispettate in caso di sub-esternalizzazione.
  6. Comunicazioni alle autorità competenti e attività di supervisione: il soggetto interessato dovrebbe tempestivamente notificare per iscritto alla propria Autorità competente gli accordi di cloud outsourcing che intende concludere, che riguardano una funzione critica o importante. Il soggetto dovrebbe altresì notificare tempestivamente e per iscritto alla propria Autorità gli accordi di cloud outsourcing riguardanti una funzione precedentemente classificata come non critica o non importante, divenuta tale in un secondo momento. Le Autorità devono essere messe in condizione di esercitare una vigilanza efficace, in particolare quando i soggetti vigilati esternalizzano funzioni critiche o importanti eseguite al di fuori dell’Unione Europea.

Le presenti linee guida si applicano alle Autorità competenti e a I) gestori di fondi di investimento alternativi (GEFIA) e depositari di fondi di investimento alternativi (FIA), II) organismi di investimento collettivo in valori mobiliari (OICVM), società di gestione e depositari di OICVM e società di investimento che non hanno designato una società di gestione autorizzata ai sensi della direttiva OICVM, III) controparti centrali (CCP), comprese le controparti centrali di paesi terzi di livello 2 che soddisfano i pertinenti requisiti EMIR, IV) i repertori di dati sulle negoziazioni (TR), V) le imprese di investimento e gli enti creditizi quando prestano servizi e attività di investimento, i fornitori di servizi di segnalazione dei dati e gli operatori di mercato delle sedi di negoziazione, VI) i depositari centrali di titoli (CSD), VII) le agenzie di rating del credito (CRA), VIII) i repertori di cartolarizzazione (SR) e IX) gli amministratori dei parametri di riferimento critici.

Le presenti Linee Guida diverranno applicabili a partire dal 31 luglio 2021 a tutti gli accordi di cloud outsourcing stipulati, rinnovati o modificati a partire da tale data. I soggetti interessati dovrebbero rivedere e modificare di conseguenza gli accordi di cloud outsourcing esistenti al fine di garantire il rispetto delle Linee Guida entro il 31 dicembre 2022.

Per ogni ulteriore chiarimento e/o per assistenza sul tema di questa Newsflash potrete rivolgervi al vostro contatto di riferimento in Legália.

Contacts:

Vito Vittore
Partner

Elena Pagnoni
Partner

Rocco Disabato
Associate

Tommaso Ceschia
Associate

Roberta Talone
Associate