A cura di Fabrizio Cascinelli, Mario Zanin e Silvia Brezigia
Normativa nazionale
Mystery shopping e raccomandazioni di trasparenza
Raccomandazioni Banca d’Italia
In data 15 aprile 2024 Banca d’Italia ha pubblicato gli esiti dell’esercizio pilota di mystery shopping condotto nei mesi scorsi presso alcuni sportelli bancari al fine di verificare le concrete modalità di interazione degli intermediari con la clientela.
Nello specifico, attraverso detto “esercizio pilota”, gli incaricati dell’Autorità hanno chiesto al personale degli sportelli bancari informazioni e assistenza in merito all’apertura di un conto di pagamento al fine di verificare il rispetto delle norme di trasparenza e correttezza nella fase di primo contatto con il cliente e la capacità degli addetti allo sportello di illustrare le caratteristiche dei prodotti proposti e di indirizzare il cliente verso quello più adatto alle sue esigenze.
Ne è emerso che, in linea generale, i prodotti offerti e le spiegazioni fornite dagli addetti sono risultati adeguati; tuttavia, l’Autorità ha ravvisato la necessità di sollecitare gli intermediari per migliorare l’utilizzo della documentazione di trasparenza.
Pertanto, con la presente nota, Banca d’Italia intende richiamare gli operatori ad assicurare, sin dalla fase di primo contatto con il cliente, che venga sempre messa a disposizione della clientela la documentazione di trasparenza – il “foglio informativo” e il “documento informativo sulle spese” di cui alle Disposizioni di trasparenza – e che questa venga utilizzata attivamente dagli addetti per illustrare le caratteristiche e i costi del prodotto offerto.
Con riferimento alla modalità di messa a disposizione di tale documentazione, l’Autorità ricorda che questa deve essere messa a disposizione del cliente in forma cartacea o su altro supporto durevole; l’invio all’indirizzo email comunicato dal cliente o tramite servizi di messaggistica elettronica per dispositivi mobili che consentono l’archiviazione di documenti (es. WhatsApp) può considerarsi conforme alle norme, mentre non è sufficiente il mero rimando a consultare la documentazione pubblicata sul sito web dell’intermediario.
Nel richiamare, infine, gli intermediari ad un costante controllo dei processi e delle procedure adottati per l’assistenza ai clienti, Banca d’Italia ha comunicato che utilizzerà a regime gli esercizi di mystery shopping – anche in ambiti diversa dall’offerta di conti di pagamento – come strumento di controllo nella sua funzione di vigilanza di tutela del cliente.
Leggi di più sul Mystery shopping: esiti dell’esercizio pilota e utilizzo per finalità di vigilanza di tutela del cliente
Normativa nazionale
Segnalazione in materia di esternalizzazione di funzioni aziendali
Nota di chiarimenti Banca d’Italia
In data 17 aprile 2024, Banca d’Italia ha pubblicato una nota di chiarimenti relativa all’applicazione del proprio Provvedimento del 31 maggio 2023 riguardante la nuova segnalazione in materia di esternalizzazione di funzioni aziendali per gli intermediari vigilati.
Tale Provvedimento – emanato per rispondere all’esigenza dell’Autorità di presidiare correttamente i rischi derivanti dall’esternalizzazione e di avere informazioni aggiornate sui rapporti di esternalizzazione e sui fornitori di servizi di cui i soggetti vigilati si avvalgono – ha introdotto un obbligo di segnalazione delle informazioni principali relative agli accordi di esternalizzazione di tutti gli intermediari vigilati dalla stessa Banca d’Italia.
I chiarimenti forniti riguardano gli aspetti di seguito indicati.
- “Modifiche contrattuali. Come vanno segnalate le modifiche ai contratti di esternalizzazione in essere?”. L’Autorità chiarisce che se un contratto di esternalizzazione in essere viene modificato, le informazioni aggiornate andranno riportate nella prima segnalazione utile, lasciando invariati gli attributi che non hanno subito cambiamenti.
- “Modifiche contrattuali. Quando vanno segnalate le modifiche contrattuali relative ai contratti di esternalizzazione in essere intervenute dopo la data di riferimento della segnalazione (31 dicembre) ma prima della data di invio della stessa alla Banca d’Italia (entro il 30 aprile)?”. Viene chiarito che le modifiche ai contratti di esternalizzazione in essere, intervenute dopo la data di riferimento della segnalazione (ad es., 10 gennaio 2025) ma prima della data di invio della stessa alla Banca d’Italia (ad es., prima del 30 aprile 2025), dovranno essere oggetto della segnalazione che ha come data di riferimento l’anno successivo (nell’es., 31 dicembre 2025) e che dovrà essere in seguito inviata alla Banca d’Italia.
- “Operazioni di incorporazione. Come devono essere segnalate le informazioni relative ai contratti di esternalizzazione che fanno capo ad un intermediario vigilato che viene interessato da un’operazione di fusione per incorporazione in un altro intermediario vigilato?”. Banca d’Italia specifica che i contratti di esternalizzazione dell’intermediario vigilato incorporato in un altro intermediario vigilato e ancora in essere a seguito dell’operazione di fusione per incorporazione devono essere oggetto di segnalazione da parte dell’intermediario vigilato incorporante; l’Autorità fornisce, inoltre, delle specifiche.
- “Periodo di preavviso. In relazione agli attributi “Periodo preavviso per fornitore” e “Periodo preavviso per intermediario” (voce 1000) che nelle Istruzioni sono espressi in giorni, come deve essere segnalato un preavviso che nel contratto è espresso in mesi?”. L’Autorità spiega che ai fini della segnalazione, si assume convenzionalmente che un mese equivale a 30 giorni.
- “Periodo di preavviso. In relazione agli attributi “Periodo preavviso per fornitore” e “Periodo preavviso per intermediario” (voce 1000), quale tipologia di preavviso deve essere presa in considerazione ai fini della segnalazione nel caso in cui il contratto ne preveda due, uno per recesso ad nutum e uno per recesso in fase di rinnovo?”. Il periodo di preavviso da segnalare è quello per recesso ad nutum, essendo questo applicabile durante tutta la vita del contratto.
- “Rinnovo del contratto. Come devono essere compilati gli attributi “Data inizio”, “Data scadenza” e “Data prossimo rinnovo” (voce 1000) nel caso in cui un contratto di esternalizzazione preveda la possibilità di rinnovo tacito?”. L’Autorità specifica che gli attributi “Data inizio”, “Data scadenza” e “Data prossimo rinnovo” andranno compilati indicando rispettivamente: i) la data in cui è stata avviata l’esternalizzazione, che resta sempre la stessa per tutta la vita del contratto anche in caso di rinnovo; ii) la data di scadenza del contratto, ossia la data in cui terminerebbe il contratto qualora non fosse rinnovato; iii) la data in cui avverrebbe il rinnovo (anche se tacito).
- “Costo annuo. Quale valore deve essere indicato all’attributo “Costo annuo” (voce 1000) nel caso in cui un contratto di esternalizzazione non abbia generato alcun costo nel corso dell’anno di riferimento della segnalazione?”. In questo caso l’attributo “Costo annuo” andrà compilato indicando il valore zero (“0”).
- “Data ultima valutazione a FEI. L’attributo “Data ultima valutazione a FEI” (voce 1000) può essere compilato inserendo la data in cui è avvenuta la discussione e l’approvazione del contratto di esternalizzazione da parte del competente organo aziendale dell’intermediario?”. La data da indicare sarà quella dell’ultima valutazione effettuata per determinare se la funzione esternalizzata è una FEI; la data potrebbe coincidere con la data di approvazione del contratto ma potrebbe esserci stata una valutazione successiva.
- “Contratti con uno stesso fornitore. Come deve essere segnalato il caso di molteplici contratti di esternalizzazione con uno stesso fornitore?”. Banca d’Italia chiarisce che dovranno essere segnalati tutti i contratti individualmente, ciascuno con un valore dell’attributo “Codice contratto” (voce 1000) distinto.
- “Trattamento dei dati personali. Come va compilato l’attributo “Trattamento dati personali” (voci 1040 e 1054) nell’ipotesi in cui il contratto di esternalizzazione consenta il trattamento dei dati personali da parte del fornitore (o subfornitore) ma, di fatto, il fornitore (o subfornitore) non proceda a tale trattamento?”. L’Autorità specifica che nel caso in cui il contratto di esternalizzazione preveda la possibilità che il fornitore (o subfornitore) tratti dati personali, tale possibilità andrà segnalata valorizzando l’attributo “Trattamento dati personali” della voce 1040 (o voce 1054) con la risposta affermativa, a prescindere dal fatto che, in concreto, il fornitore (o subfornitore) proceda o meno a tale trattamento.
- “Data ultima/prossima verifica di audit. Ai fini della compilazione degli attributi “Data ultima verifica audit” e “Data prossima verifica audit” (voce 1050), in quali casi le verifiche effettuate da personale dipendente dell’intermediario ma non appartenente alla funzione di internal audit possono essere prese in considerazione?”. Le verifiche condotte sui fornitori di servizi che possono essere prese in considerazione sono quelle riconducibili al piano di audit, elaborato e attuato periodicamente ai sensi della normativa vigente riguardante la funzione di revisione interna (internal audit), a prescindere dai soggetti materialmente deputati a svolgere tali verifiche”.
- “Contratti per la gestione dei patrimoni di SICAV/SICAF. Formano oggetto della segnalazione gli accordi con i quali una SICAV o SICAF affida ad una SGR la gestione del proprio patrimonio?”. Gli accordi con i quali le SICAV e SICAF affidano la gestione del proprio patrimonio ai gestori non andranno segnalati, considerato che le SICAV e le SICAF che non gestiscono direttamente i propri patrimoni non rientrano tra i soggetti destinatari della segnalazione.
Nota di chiarimenti sulla segnalazione in materia di esternalizzazione di funzioni aziendali per gli intermediari vigilati Scarica il documento (PDF, 660kb)
Normativa europea
Resilienza operativa digitale del settore finanziario (DORA)
Consultazione ESAs
In data 18 aprile 2024, il Comitato congiunto delle Autorità di vigilanza europee (EBA, EIOPA ed ESMA – le ESAs) ha avviato una consultazione pubblica sulla bozza di norme tecniche di regolamentazione (Regulatory Technical Standards – RTS) relative ai criteri per determinare la composizione del gruppo di esaminatori congiunto, ai sensi del Regolamento (UE) 2022/2554 (Digital Operational Resilience Act – DORA), applicabile dal 17 gennaio 2025.
Le norme tecniche di regolamentazione sottoposte a consultazione sono state elaborate ai sensi di quanto previsto dall’articolo 41 (“Armonizzazione delle condizioni che consentono lo svolgimento delle attività di sorveglianza”) paragrafo 1, lettera c), del DORA.
Nello specifico, le norme in questione sono volte a stabilire (i) i criteri per determinare la composizione del gruppo di esaminatori congiunto, garantendo una partecipazione equilibrata di membri del personale delle ESAs e delle autorità competenti interessate, nonché (ii) la designazione dei membri, i rispettivi compiti e le modalità di lavoro.
Il gruppo di esaminatori congiunto previsto dal DORA ha un ruolo centrale nella supervisione quotidiana dei fornitori terzi di servizi ICT critici (Critical ICT third-party service providers – CTPP).
È possibile partecipare alla consultazione entro il 18 maggio 2024: i progetti di standard tecnici saranno presentati dalle ESAs alla Commissione europea entro il 17 luglio 2024 e diventeranno applicabili dal 17 gennaio 2025.
Per completezza si segnala che ulteriori norme tecniche di regolamentazione ai sensi dei restanti mandati previsti dal citato articolo 41 del Regolamento DORA sono stati sottoposti a consultazione pubblica tra l’8 dicembre 2023 e il 4 marzo 2024 (Draft regulatory technical standard on the harmonisation of conditions enabling the conduct of the oversight activities under Article 41(1) points (a), (b) and (d) of Regulation (EU) 2022/2554).
ESAs consult on technical standards for joint examination teams under DORA Scopri di più sul sito esma.europa.eu
Consultation Paper. Draft regulatory technical standard on the harmonisation of conditions enabling the conduct of the oversight activities under Article 41(1) point (c) of Regulation (EU) 2022/2554 Scarica il documento (PDF, 529kb)