A cura del Team Financial Regulation
In data 13 novembre 2024, Ivass ha posto in consultazione una Lettera al mercato indirizzata alle imprese di assicurazione in materia di esternalizzazione al fine di meglio puntualizzare le pertinenti disposizioni regolamentari contenute nel Regolamento n. 38 del 3 luglio 2018 (“Regolamento 38/2018”). Nelle more del completamento del procedimento di consultazione, si rammentano i principali impatti che la Lettera al mercato stessa esplicherebbe nei confronti delle compagnie.
L’Autorità, in primo luogo, ha posto particolare attenzione agli aspetti di governance e gestione dei rischi nell’ambito delle esternalizzazioni.
In particolare, Ivass si aspetta che vi sia una maggiore valorizzazione dell’organo amministrativo nel processo decisionale relativo all’esternalizzazione delle funzioni fondamentali e delle attività o funzioni essenziali o importanti e si attende che il medesimo organo sia pienamente consapevole dei risultati degli accordi, del grado di dipendenza dell’impresa da soggetti esterni e dei relativi rischi.
Inoltre, l’Autorità ritiene opportuno che la scelta dei fornitori sia parte integrante delle strategie aziendali approvate dall’organo amministrativo e che la valutazione dell’adeguatezza del fornitore sia effettuata alla luce di specifiche tipologie di rischi, quali il rischio operativo, di concentrazione, di sub-esternalizzazione, legale, reputazionale, informatico e di lock-in.
Al fine di garantire piena consapevolezza, l’Istituto si attende che sia presentata all’organo amministrativo un’apposita relazione sui risultati degli accordi di esternalizzazione con evidenza delle criticità emerse.
Proseguendo, Ivass ha attenzionato il tema dei presidi sulle funzioni o attività esternalizzate richiedendo che i contratti di esternalizzazione prevedano:
(i) appositi «Livelli di Servizio» (SLA) utili alla definizione di uno standard qualitativo;
(ii) specifici key performance indicators (KPI) utili al monitoraggio degli SLA e
(iii) eventuali penali in caso di mancato raggiungimento degli SLA.
Di conseguenza, l’Autorità ritiene opportuno che le compagnie assicurative adottino specifici processi al fine di valutare: (i) il rispetto degli SLA, (ii) il regolare andamento KPI, (iii) le cause dell’eventuale mancato rispetto dei KPI e degli SLA, (iv) le misure adottate dal fornitore e tempistica per superamento di criticità, (v) l’eventuale applicazione delle penali, (vi) gli adeguamenti, modifiche e integrazioni al contratto.
In tale contesto, Ivass si attende inoltre che siano effettuati controlli periodici con l’effettuazione di un’analisi dei rischi analoga a quella effettuata in sede di conclusione dell’accordo (non solo controlli ex ante) e che, in ogni caso, le compagnie evitino la creazione di complesse catene di subfornitori che possano incidere sulla capacità di verificare l’adeguato svolgimento dell’attività o funzione esternalizzata.
Con riferimento al tema delle comunicazioni preventive delle esternalizzazioni di funzioni importanti di cui all’art. 67, Regolamento 38/2018, posta l’eterogeneità delle casistiche preventivamente comunicate, Ivass ha identificato specifiche fattispecie soggette all’obbligo di comunicazione preventiva delle esternalizzazione, quali: (i) progettazione dei prodotti assicurativi con la relativa definizione delle tariffe; (ii) gestione degli investimenti; (iii) gestione e liquidazione dei sinistri, anche in caso di call center; (iv) gestione dei reclami; (v) supporto regolare e constante in ambito contabile; (vi) prestazione servizi ICT; (vii) processo ORSA. L’Autorità, nel medesimo solco, ha affermato l’opportunità di una comunicazione preventiva in caso di conferimento dell’incarico da parte dell’impresa cedente ad un nuovo fornitore, di inserimento nell’accordo di una prestazione ulteriore che modifica (in maniera significativa) l’oggetto della fornitura e l’affidamento ad un nuovo fornitore di una funzione o attività essenziale o importante in seguito alla scadenza naturale del precedente contratto in quanto si configura una nuova esternalizzazione.
Inoltre, anche in linea con quanto già svolto da Banca d’Italia, l’Ivass con tale Lettera al mercato ha sensibilizzato gli operatori su tematiche relative al Digital Operation Resilience Act (“DORA”), tematica assai attuale alla luce dell’applicabilità del medesimo regolamento a partire dal 17 gennaio 2025. Pertanto, al fine di garantire il rispetto delle previsioni introdotte dal DORA, l’Autorità ha evidenziato che, anche nel contesto delle esternalizzazioni, risulta opportuno adottare una strategia dedicata per i rischi informatici fondata sul costante esame di tutte le dipendenze da terzi nel settore ICT ed una specifica policy per l’utilizzo dei servizi ICT terzi a supporto di funzioni critiche o importanti prestate da fornitori terzi.
Dunque, le aspettative – che sono state sottoposte a consultazione per 30 giorni e per le quali si attende la versione definitiva – intendono favorire lo sviluppo di best practice, un comportamento uniforme da parte delle imprese, oltre che ad indirizzare le attività e le procedure che le compagnie dovrebbero implementare al fine di garantire l’osservanza delle disposizioni normative vigenti in materia di esternalizzazione.