Lo scorso 20 dicembre 2017, l’EBA – Autorità Bancaria Europea – ha pubblicato la versione finale delle proprie linee guida sul ricorso in outsourcing a servizi di cloud computing da parte degli istituti bancari e finanziari.
Nel presupposto che, anche a causa delle differenze esistenti tra i vari scenari normativi e di vigilanza nazionali, esiste un elevato livello di incertezza in ordine alle aspettative di vigilanza relative all’affidamento esternalizzato di determinati servizi a cloud service providers e che tale incertezza potrebbe costituire un limite ed un freno al ricorso a tali servizi da parte degli intermediari bancari e finanziari, l’EBA fornisce una serie di raccomandazioni volte:
- da un lato, a chiarire gli ambiti che gli istituti sono chiamati a presidiare con particolare attenzione, in modo da poter sfruttare i vantaggi del cloud computing, garantendo, al contempo, che i rischi sottesi all’esternalizzazione siano identificati e gestiti in maniera adeguata;
- dall’altro lato, a favorire la convergenza delle Autorità di vigilanza in ordine alle aspettative e ai processi applicabili ai servizi cloud, tenuto realisticamente conto anche delle peculiarità che caratterizzano questa tipologia di servizi rispetto alle tradizionali forme di esternalizzazione di servizi informatici.
In particolare, tali raccomandazioni – basate sui precedenti orientamenti CEBS (Comitato delle Autorità Europee di Vigilanza Bancaria) del 2006 – analizzano cinque ambiti fondamentali:
- Diritti di accesso e audit: sotto tale profilo, gli intermediari che procedono ad esternalizzazione devono assicurarsi che l’accordo di servizio preveda espressamente l’obbligo del provider di garantire, all’intermediario medesimo o alla terza parte da questi incaricata, il diritto di accesso ai locali dove si svolge l’attività del fornitore, con possibilità di ispezionare e verificare i sistemi, le reti e gli strumenti utilizzati per l’erogazione dei servizi. In evidente contrapposizione a quella che è la prassi contrattuale in materia di servizi cloud, le raccomandazioni precisano che l’esercizio effettivo di tale diritto non dovrebbe essere ostacolato o limitato dagli accordi contrattuali. Interessante rilevare come, tenuto conto delle peculiarità che caratterizzano i servizi cloud, con approccio pragmatico e realistico, EBA suggerisca il ricorso a verifiche congiunte espletate da più clienti del medesimo provider ovvero a certificazioni di terze parti, quali modalità di esercizio del diritto di audit contrattualmente previsto.
- Sicurezza dei dati e dei sistemi: prima di procedere all’analisi sotto il profilo tecnico e alla negoziazione e contrattualizzazione del servizio, l’intermediario dovrebbe condurre una valutazione preliminare basata sul rischio in ordine al livello di “sensibilità” e al conseguente grado di protezione da accordare a ciascuna attività o processo aziendale e alle relative informazioni che ne stanno alla base, valutando di volta in volta la possibilità o l’opportunità di procedere ad esternalizzazione e, in caso di esito positivo, definendo e contrattualizzando con il provider misure tecniche ed organizzative appropriate, volte a garantire l’integrità e la confidenzialità dei dati, la continuità operativa, la tracciabilità delle operazioni effettuate.
- Localizzazione e trattamento dati: il medesimo approccio “risk based” di cui si è detto dovrebbe essere adottato anche nel valutare la localizzazione dei dati e tutte le problematiche relative ad esigenze di conformità normativa. Tale valutazione dovrebbe, per esempio, tener conto della stabilità politica, della sicurezza, delle garanzie assicurate ai diritti fondamentali della persona, della legislazione vigente (anche con riferimento alla materia del trattamento dei dati personali) nei paesi di transito o di destinazione dei dati. I rischi eventualmente rilevati in relazione a tali profili dovranno essere contenuti entro limiti accettabili, anche in relazione all’importanza e alla strategicità del servizio esternalizzato e alla tipologia dei dati trattati attraverso lo stesso.
- Catena di subfornitura: in linea con le indicazioni sull’utilizzo dei servizi cloud provenienti dal Gruppo di Lavoro ex art. 29, con le previsioni del nuovo Regolamento Europeo 679/2016 in materia di protezione dei dati personali nonché con le prescrizioni di Banca di Italia relative all’esternalizzazione di funzioni importanti e di componenti critiche del sistema informativo, EBA ribadisce che il ricorso al subappalto dovrebbe essere specificamente autorizzato e dovrebbe avvenire solo in presenza di specifiche garanzie, tra le quali la soggezione dei subappaltatori ai medesimi obblighi, anche in materia di sicurezza, previsti nell’accordo tra l’intermediario ed il provider; la previsione di procedure di comunicazione di ogni modifica significativa relativa alla catena di subfornitura; il riconoscimento in capo all’intermediario di un diritto di recedere dal contratto nell’ipotesi un cui una siffatta modifica sia tale da mutare le conclusioni della valutazione di rischio inizialmente effettuata.
- Piani di emergenza e strategie di uscita: una particolare rilevanza, anche sul piano della formalizzazione contrattuale, oltre che su quello della valutazione tecnica del servizio, dovrebbe essere accordata alla previsione di misure volte a garantire la continuità operativa e la ridondanza. E’ fatta raccomandazione agli intermediari di pianificare e definire opportuni “exit plans” che tengano conto della specificità dei servizi esternalizzati e degli impatti sull’attività aziendale derivanti da un’eventuale dismissione del servizio, assicurandosi che gli accordi di servizio formalizzati con il provider prevedano altresì, in capo a quest’ultimo, specifici obblighi di cooperazione finalizzati a garantire la reinternalizzazione delle attività affidate all’esterno ovvero il passaggio di consegne ad altro fornitore.
Who's Who
Anna Italiano
Avvocato, Associate Partner di P4I-Partners4Innovation
Interessante rilevare come le Linee Guida in commento introducano un concetto di “materialità” che deve essere interpretato quale “rilevanza” o “significatività” del servizio esternalizzato presso il cloud service provider.
La materialità delle attività esternalizzate dovrà essere oggetto di un assessment preventivo che tenga conto della criticità e dei profili di rischio delle attività medesime, degli impatti che eventuali interruzioni potrebbero avere sull’operatività dell’intermediario, dei relativi rischi legali, reputazionali e di businness, delle conseguenze collegate ad un’ipotetica violazione della confidenzialità o compromissione dell’integrità dei dati di titolarità della Banca.
Le raccomandazioni EBA diverranno applicabili a partire dal 1 luglio 2018 e imporranno agli intermediari di istituire e mantenere degli specifici registri di tutte le attività esternalizzate, il cui contenuto minimo è specificamente dettagliato dalle Linee Guida medesime. Le attività riconosciute come “material” sulla base degli orientamenti espressi da EBA dovranno, inoltre, essere oggetto di comunicazione alle Autorità di Vigilanza.