Avviso Consob del 13 luglio 2021 in merito agli Orientamenti emanati dall'ESMA in materia di esternalizzazione a fornitori di servizi cloud

Avviso Consob del 13 luglio 2021

Avviso in merito agli Orientamenti emanati dall'ESMA in materia di esternalizzazione a fornitori di servizi cloud

La Consob si conforma agli Orientamenti in materia di "Esternalizzazione a fornitori di servizi cloud" emanati dall'Autorità europea degli strumenti finanziari e dei mercati (ESMA), integrandoli nelle proprie prassi di vigilanza.

Gli Orientamenti, pubblicati nelle lingue ufficiali dell'Unione il 10 maggio 2021, forniscono raccomandazioni in merito all'identificazione, gestione e monitoraggio dei rischi derivanti dagli accordi di esternalizzazione di attività e servizi a società erogatrici di servizi cloud, con riferimento particolare a:

  • la valutazione del rischio e la due diligence da effettuare sui fornitori di servizi cloud;
  • i requisiti di governance, vigilanza e controllo da mettere in atto per monitorare le prestazioni dei fornitori di servizi cloud, nonché le modalità di uscita da tali accordi di esternalizzazione senza interruzione delle proprie attività;
  • i requisiti contrattuali fra le parti (imprese e fornitori di servizi cloud), ivi inclusi i rispettivi diritti e doveri;
  • i requisiti di sicurezza informatica e le strategie di uscita dagli accordi di esternalizzazione;
  • i requisiti da rispettare qualora il fornitore di servizi cloud per conto di un'impresa ricorra ad altri soggetti per l'esecuzione di determinate funzioni (o parti di esse) critiche o importanti (c.d. sub-esternalizzazione);
  • le informazioni da notificare alle autorità competenti.

Gli Orientamenti prevedono che gli stessi si applichino alle Autorità competenti, alle quali vengono fornite indicazioni sulla supervisione di tali accordi, al fine di promuovere un approccio convergente nell'Unione europea, nonché ai seguenti soggetti:

  1. gestori di fondi di investimento alternativi (GEFIA) e depositari di fondi di investimento alternativi (FIA);
  2. organismi d'investimento collettivo in valori mobiliari (OICVM), società di gestione e depositari di OICVM e società di investimento che non hanno designato una società di gestione autorizzata ai sensi della direttiva OICVM;
  3. controparti centrali (CCP), comprese quelle di paesi terzi di secondo livello che soddisfano i requisiti previsti dall'EMIR;
  4. trade repositories;
  5. imprese di investimento e enti creditizi quando svolgono servizi e attività di investimento;
  6. fornitori di servizi di comunicazione dati (DRSP);
  7. gestori di sedi di negoziazione;
  8. depositari centrali di titoli (CSD);
  9. agenzie di rating del credito;
  10. depositari di cartolarizzazione;
  11. amministratori di indici di riferimento critici.

Gli Orientamenti saranno applicabili dal 31 luglio 2021 a tutti gli accordi di esternalizzazione a fornitori di servizi cloud stipulati o rinnovati da tale data. I suddetti soggetti avranno tempo fino al 31 dicembre 2022 per rivedere e modificare, ove necessario, gli accordi esistenti di esternalizzazione al fornitore di servizi cloud onde assicurare che tengano conto dei citati Orientamenti.

Gli Orientamenti sono disponibili anche sul sito istituzionale della Consob nella versione italiana.

Della conformità agli Orientamenti è stata informata l'ESMA ai sensi del Regolamento (UE) n. 1095/2010.

IL PRESIDENTE
Paolo Savona

 Avviso Consob del 13 luglio 2021 versione PDF

13 lug 2021