A cura di Fabrizio Cascinelli, Giovanni Stefanin e Mario Zanin
Normativa europea – Politiche di remunerazione
Membri del personale con un impatto sul profilo di rischio dell’ente
Regolamento delegato relativo ai criteri per individuare i membri del personale le cui attività professionali hanno un impatto sul profilo di rischio dell’ente
Sulla Gazzetta Ufficiale dell’Unione europea del 9 giugno 2021 è stato pubblicato il “Regolamento delegato (UE) 2021/923 della Commissione del 25 marzo 2021 che integra la Direttiva 2013/36/UE del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che stabiliscono i criteri per definire le responsabilità manageriali, le funzioni di controllo, l’unità operativa/aziendale rilevante e l’impatto significativo sul profilo di rischio dell’unità operativa/aziendale in questione, e i criteri per individuare i membri del personale o le categorie di personale le cui attività professionali hanno un impatto sul profilo di rischio dell’ente comparativamente altrettanto rilevante di quello delle categorie di personale menzionate all’articolo 92, paragrafo 3, della Direttiva”.
Il Regolamento delegato è stato adottato ai sensi dell’art. 94 “Elementi variabili della remunerazione” della Direttiva 2013/36/UE (cd. CRD IV), come modificata dalla Direttiva (UE) 2019/878 (cd. CRD V) e stabilisce i criteri quali-quantitativi per individuare quali categorie di personale hanno un impatto sostanziale sul profilo di rischio dell’ente per effetto delle relative attività professionali e sono, pertanto, soggette a politiche di remunerazione che rispettino tutti i requisiti previsti dall’art. 92 “Politiche di remunerazione” della CRD IV (come modificata dalla CRD V).
Le nuove norme abrogano il Regolamento delegato (UE) n. 604/2014 in materia, che continua ad applicarsi solo alle imprese di investimento fino al 26 giugno 2021 (data in cui gli Stati membri devono adottare e pubblicare le misure necessarie per conformarsi alla Direttiva (UE) 2019/2034, cd. IDF, sul nuovo quadro prudenziale specifico per le imprese di investimento).
Il Regolamento delegato è in vigore dal 14 giugno 2021 ed è direttamente applicabile in ciascuno degli Stati membri.
Normativa europea – Direttiva PSD 2
Segnalazione di gravi incidenti
Revisione Orientamenti EBA relativi alla segnalazione dei gravi incidenti ai sensi della Direttiva PSD 2
EBA ha pubblicato, in data 10 giugno 2021, sul proprio sito internet, la versione finale del documento dal titolo “Final Report. Revised Guidelines on major incident reporting under PSD2”.
Si tratta del documento attraverso il quale EBA propone una revisione complessiva dei propri “Orientamenti in materia di segnalazione dei gravi incidenti ai sensi della Direttiva (UE) 2015/2366”, di dicembre 2017 – elaborati ai sensi dell’articolo 96 “Notifica degli incidenti” della Direttiva (UE) 2015/2366 (PSD 2) – riguardanti alcune indicazioni che i prestatori di servizi di pagamento (PSP) devono utilizzare ai fini della classificazione dei gravi incidenti operativi o di sicurezza nonché le procedure per la segnalazione alle autorità competenti di tali incidenti.
Le modifiche proposte sono volte ad ottimizzare e semplificare il processo di segnalazione dei gravi incidenti, riducendo al contempo gli oneri di segnalazione previsti in capo ai PSP.
Tra le modifiche e le integrazioni proposte si segnala l’introduzione del nuovo criterio per la classificazione relativo alla “violazione della sicurezza dei sistemi di rete e informativi” che si incentra sulle azioni illecite che hanno compromesso la sicurezza della rete o dei sistemi informativi connessi alla prestazione dei servizi di pagamento; tale nuovo criterio consentirebbe la segnalazione di incidenti di sicurezza aggiuntivi, che potrebbero risultare di interesse per le autorità di vigilanza.
Inoltre, per ridurre l’onere di segnalazione per i PSP, EBA ha proposto di rimuovere alcuni passaggi superflui del processo di reporting, concedendo più tempo per la presentazione all’autorità del rapporto finale sugli incidenti (da due settimane a 20 giorni lavorativi). Allo stesso tempo, l’Autorità ha proposto di semplificare e ottimizzare il modulo per la segnalazione dei gravi incidenti, anche nell’ottica di un allineamento tra i vari quadri di segnalazione degli incidenti dell’UE.
La data di applicabilità prevista per i nuovi Orientamenti – che si sostituiranno integralmente ai quelli del 2017 sopra richiamati – è il 1° gennaio 2022.
Si attende ora la traduzione nelle lingue ufficiali dell’UE dei nuovi Orientamenti.
Final Report. Revised Guidelines on major incident reporting under PSD2
Normativa europea – Crowdfunding
Gestione individuale di portafogli di prestiti
Bozza di RTS EBA relativa ai fornitori di servizi di crowdfunding che prestano il servizio di gestione individuale di portafogli di prestiti
EBA ha pubblicato, il 4 giugno 2021, un documento di consultazione dal titolo “Consultation Paper. Draft Regulatory Technical Standards on Individual Portfolio Management of loans offered by crowdfunding service providers under art. 6(7) Regulation (EU) 2020/1503”.
Si tratta della bozza di norme tecniche di regolamentazione (Regulatory Technical Standard – RTS) elaborata da EBA ai sensi dell’art. 6 “Gestione individuale di portafogli di prestiti” del Regolamento (UE) 2020/1503 relativo ai fornitori europei di servizi di crowdfunding per le imprese (cd. “Regolamento sul crowdfunding” o ECSP Regulation “European Crowdfunding Service Providers Regulation”).
Nel dettaglio, con la bozza di RTS, EBA specificanell’ambito della gestione individuale di portafogli di prestiti:
- gli elementi, compreso il formato, che devono essere inclusi nella descrizione del metodo utilizzato dal fornitore di servizi di crowdfunding ai fini della valutazione del rischio di credito (a livello di singolo progetto di crowdfunding, a livello del portafoglio dell’investitore oppure a livello di titolare di progetti selezionati per il portafoglio dell’investitore);
- le informazioni da fornire in modo continuativo attraverso mezzi elettronici e su richiesta di un investitore su ciascun portafoglio individuale;
- le politiche, le procedure e le modalità organizzative di cui i fornitori di servizi di crowdfunding devono disporre per quanto riguarda ogni eventuale fondo a copertura dei rischi che possano offrire per l’attività relativa alla gestione individuale di portafogli di prestiti.
È possibile partecipare alla consultazione entro il 4 settembre 2021.
Normativa europea – Disciplina prudenziale
Metodo IRB in caso di recessione economica
Regolamento delegato relativo ai requisiti per il metodo basato sui rating interni in caso di recessione economica ai sensi del Regolamento CRR
Sulla Gazzetta Ufficiale dell’Unione europea del 10 giugno 2021 è stato pubblicato il “Regolamento delegato (UE) 2021/930 della Commissione del 1o marzo 2021 che integra il Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione per specificare la natura, la gravità e la durata di una recessione economica di cui l’articolo 181, paragrafo 1, lettera b), e all’articolo 182, paragrafo 1, lettera b), di tale Regolamento”.
Il Regolamento delegato è stato adottato ai sensi degli articoli 181 “Requisiti specifici per le stime interne della LGD” e 182 “Requisiti specifici per le stime interne dei fattori di conversione” del Regolamento (UE) n. 575/2013 (CRR) riguardanti la quantificazione del rischio nell’ambito del metodo basato sui rating interni (cd. IRB – internal rating based method).
Nel dettaglio, il Regolamento delegato specifica la natura, la gravità e la durata di una recessione economica, che interessa due differenti parametri di rischio utilizzati entrambi per l’applicazione del metodo IRB, ossia le stime interne delle perdite in caso di inadempimento (“LGD – Loss Given Default”) e le stime interne dei fattori di conversione (“CF – Conversion factors”).
Il Regolamento delegato è in vigore dal 30 giugno 2021 e si applica retroattivamente dal 1° gennaio 2021.
Regolamento delegato (UE) 2021/930 della Commissione del 1o marzo 2021
Normativa europea – Disciplina prudenziale
Rischio di controparte
Regolamento delegato relativo al nuovo approccio standardizzato per il rischio di controparte ai sensi del Regolamento CRR II
Sulla Gazzetta Ufficiale dell’Unione europea del 10 giugno 2021 è stato pubblicato il “Regolamento delegato (UE) 2021/931 della Commissione del 1o marzo 2021 che integra il Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio per quanto riguarda le norme tecniche di regolamentazione che specificano il metodo per individuare le operazioni in derivati con uno o più fattori di rischio significativi ai fini dell’articolo 277, paragrafo 5, la formula per calcolare il delta di vigilanza delle opzioni call e put associate alla categoria del rischio di tasso di interesse e il metodo per determinare se un’operazione è una posizione corta o lunga in un fattore di rischio primario, o nel più significativo fattore di rischio in una data categoria di rischio ai fini dell’articolo 279 bis, paragrafo 3, lettere a) e b), nel metodo standardizzato per il rischio di controparte”.
Il Regolamento delegato è stato adottato ai sensi degli articoli 277 “Associazione delle operazioni alle categorie di rischio” e 279-bis “Delta di vigilanza” del Regolamento (UE) n. 575/2013 (CRR) come modificato dal Regolamento (UE) 2019/876 (CRR II) e riguarda il nuovo approccio standardizzato per il rischio di controparte (Standardised Approach for Counterparty Credit Risk, SA-CCR).
Nel dettaglio, il Regolamento delegato specifica – nell’ambito delle operazioni in derivati:
(i) il metodo per individuare le operazioni con uno o più fattori di rischio significativi (da cui dipendono i flussi di cassa di tali operazioni);
(ii) la formula per il calcolo del delta di vigilanza delle opzioni associate alla categoria del rischio di tasso di interesse, e
(iii) il metodo per determinare se le operazioni su derivati costituiscono posizioni corte o lunghe in un fattore di rischio primario o nel più significativo fattore di rischio in una data categoria di rischio.
Il Regolamento delegato è in vigore dal 30 giugno 2021 ed è direttamente applicabile in ciascuno degli Stati membri.
Regolamento delegato (UE) 2021/931 della Commissione del 1o marzo 2021
Normativa europea – Imprese di investimento
Riclassificazione in enti creditizi
Bozza di RTS EBA relativa alla riclassificazione di determinate imprese di investimento in enti creditizi ai sensi delle Direttive CRD IV & IFD
EBA ha pubblicato, il 7 giugno 2021, un documento di consultazione dal titolo “Consultation Paper. Draft Regulatory Technical Standards on the reclassification of investment firms as credit institutions in accordance with Article 8a (6)(b) of Directive 2013/36/EU”.
Si tratta della bozza di norme tecniche di regolamentazione (Regulatory Technical Standards – RTS) elaborata da EBA ai sensi delle nuove deleghe introdotte nella Direttiva 2013/36/UE (cd. CRD IV) dalla Direttiva (UE) 2019/2034 relativa alla vigilanza prudenziale sulle imprese di investimento (cd. IFD – Investment Firms Directive) che costituisce, insieme al Regolamento (UE) 2019/2033 relativo ai requisiti prudenziali delle imprese di investimento (cd. IFR – Investment Firms Regulation), il nuovo quadro normativo e di vigilanza per le imprese di investimento, applicabile dal 26 giugno 2021.
La IFD ha, infatti, introdotto nella CRD IV l’art. 8 bis riguardante le condizioni specifiche (basate sulla media delle attività totali mensili)per la riclassificazione di determinate imprese di investimento (autorizzate ai sensi della MiFID II) in enti creditizi (conformemente quindi alle norme della CRD IV).
In particolare, con la bozza di RTS, EBA specifica la metodologia di calcolo della media delle attività totali mensili delle imprese di investimento da confrontare con la soglia dei 30 miliardi di EUR prevista dalla CRD IV ai fini della riclassificazione dell’impresa di investimento in ente creditizio.
Si precisa che EBA aveva già avviato in data 4 giugno 2020 una prima consultazione in materia le cui risposte sono state tenute in considerazione per l’elaborazione della presente consultazione al fine di garantire condizioni di parità per tutte le imprese indipendentemente dalla loro locazione geografica nell’Unione.
La consultazione si concluderà il 17 luglio 2021.
Normativa nazionale – Imprese di assicurazione
Sicurezza e governance ICT
Lettera al mercato Ivass relativa alla conformità agli Orientamenti EIOPA in materia di sicurezza e governance ICT
Con Lettera al mercato del 3 giugno 2021, Ivass ha chiesto alle imprese di assicurazione (e alle ultime società controllanti) di assicurare – nelle more di una più ampia revisione della regolamentazione secondaria – il massimo livello di conformità agli “Orientamenti sulla sicurezza e sulla governance della tecnologia dell’informazione e comunicazione”, emanati da EIOPA il 6 aprile 2021.
Tali Orientamenti – applicabili dal 1° luglio 2021 – forniscono indicazioni in materia di sicurezza e governance delle tecnologie dell’informazione e della comunicazione (ICT) previste dalla Direttiva 2009/138/CE (cd. “Solvency II”) e dal relativo Regolamento delegato (UE) 2015/35.
Ivass ha completato l’adeguamento al framework Solvency II – con il Regolamento n. 38/2018 recante disposizioni in materia di sistema di governo societario – introducendo nella normativa secondaria disposizioni che risultano in larga parte coerenti con i contenuti degli Orientamenti.
Tuttavia, il maggior grado di dettaglio operativo e il carattere di novità di alcune previsioni degli Orientamenti richiedono una attenta rilettura dei processi, delle procedure organizzative e del sistema dei controlli attuati dalle imprese per assicurare il pieno raggiungimento degli obiettivi.
A tal fine, si richiama in particolare l’attenzione sull’esigenza di integrare il sistema di gestione dei rischi tenendo conto anche delle esposizioni ai rischi in ambito ICT e cybersecurity, per i quali è richiesta, tra l’altro, sia la determinazione di limiti di tolleranza sia la predisposizione di report periodici (Orientamento n. 4).
Inoltre, nell’ambito del sistema di governance e nel rispetto del principio di proporzionalità, è prevista l’istituzione di una Funzione – caratterizzata da indipendenza e obiettività e non da annoverare tra le funzioni fondamentali – dedicata alla sicurezza informatica il cui responsabile riferisce all’Organo amministrativo; ad essa sono attribuiti compiti di assistenza e reporting oltre che di monitoraggio e coordinamento delle attività in materia di sicurezza informatica (Orientamento n. 7).
Nell’ambito dei sistemi ICT, è previsto che sia istituito e attuato un processo di change management affinché i cambiamenti introdotti in materia siano censiti, valutati, autorizzati e attuati in modo controllato, tracciando anche i cambiamenti sopravvenuti per cause urgenti o di emergenza (Orientamento n. 18).
Infine, nell’ambito di una sana gestione della continuità operativa, in relazione alla quale il Regolamento n. 38/2018 prevede la predisposizione di un apposito piano, è richiesto che una analisi di impatto valuti l’esposizione a gravi interruzioni dell’attività e il loro potenziale impatto sotto il profilo quali-quantitativo e che l’infrastruttura ICT sia ideata in modo da mitigare anche i rischi rilevati da tale analisi (Orientamento n. 20).
Let’s Talk
PwC TLS Avvocati e Commercialisti
Partner
PwC TLS Avvocati e Commercialisti
Partner
PwC TLS Avvocati e Commercialisti
Director