Le linee guida del CESB sull’outsourcing risalgono al 2006, quando veniva pubblicato un documento che recepiva una serie di elementi per garantire la corretta applicazione della direttiva MIFID e che definiva la responsabilità ultima per la corretta gestione dei rischi associati all’’outsourcing.

Da allora il contesto delle esternalizzazioni ha continuato ad evolversi. Uno degli ambiti che è stato soggetto a maggiori cambiamenti è quello dei servizi in Cloud outsourcing, ed è per tale ragione che l’EBA ha proposto un documento di consultazione che dovrebbe portare a nuove linee guida in questo specifico ambito.

EVOLUZIONE DEL CLOUD

Secondo alcune cifre pubblicate da Forbes, il cloud computing dovrebbe crescere da $ 67B del 2015 a $ 162B nel 2020, raggiungendo un tasso di crescita annuo composto del 19% a livello globale. Si prevede che il mercato dei servizi cloud in tutto il mondo crescerà del 18% nel 2017 da 209,2 miliardi di dollari nel 2016 a 246,8 nel 2017).

Sulla base di dati dell’Eurostat, l’utilizzo dei cloud services in Europa è in generale aumentato in tutti i Paesi. Come si vede nel grafico sottostante, la media è passata dal 19% al 21% dal 2014 al 2016.

Tabella 1: Utilizzo dei servizi di cloud computing nelle aziende 2014 – 2016 (Fonte Eurostat)

I principali servizi utilizzati sono relativi alle e-mail (65%) ed all’archivio di files (62%). Meno frequente, ma comunque importante come percentuale è l’hosting di database delle società, per il 44%.

Tabella 2: utilizzo dei cloud computing services (fonte Eurostat)

I potenziali vantaggi nell’utilizzo dei servizi di cloud outsourcing possono essere davvero numerosi. A titolo esemplificativo:

  • si possono realizzare integrazioni dei dati dei clienti, attraverso le diverse piattaforme bancarie, per consentire un accesso in tempo reale ed integrato alla loro situazione;
  • è possibile estendere e incorporare servizi di terzi all’interno del pacchetto offerto alla clientela, come ad esempio servizi di acquisito e di pagamento innovativi;
  • si possono immaginare modalità operative e di collaborazione differenti per abilitare i dipendenti in tutte le filiali distribuite ad accedere ai sistemi di trading e bancari;
  • si amplia la flessibilità e l’agilità degli istituti finanziari nella risoluzione di problematiche complesse;
  • si forniscono soluzioni di archiviazione scalabili per garantire la gestione in tempo reale di attività di trading e di processi che richiedono l’utilizzo ingente di dati.

Gli impatti, quindi, possono essere operativi, di servizio, infrastrutturali e molto altro.

È comprensibile la preoccupazione del regolatore per quelli che possono essere i rischi associati a questi numerosi cambiamenti ed all’utilizzo di soggetti terzi per la gestione del servizio di cloud.

PRINCIPALI CONTENUTI DELLE RACCOMANDAZIONI

Le nuove raccomandazioni dell’EBA non andranno a sostituire le linee guida del CESB, ma intendono solo integrarle, fornendo ulteriori orientamenti per il contesto specifico di istituzioni finanziarie che esternalizzano i servizi cloud.

Verrà previsto un principio di proporzionalità, per tutte le raccomandazioni, così che possano essere applicate in modo coerente con la dimensione, la struttura e l’ambiente operativo dell’istituzione finanziaria, così come la natura e la complessità delle sue attività.

Le raccomandazioni intendono introdurre un concetto di materialità del cloud in outsourcing. Se questa dovesse essere significativa, sarà richiesto alle istituzioni finanziarie di informare l’autorità di vigilanza, di adeguare il proprio processo, di prevedere contrattualmente la possibilità di svolgere audit e di avere l’accesso fisico ai locali del servizio cloud.

La materialità deve essere valutata dagli intermediari attraverso un processo di assessment, che tenga conto di alcuni fattori:

  1. la criticità e il profilo di rischio intrinseco delle attività da esternalizzare, vale a dire se le attività sono fondamentali per la continuità delle attività dell’impresa ed i suoi obblighi verso i clienti,
  2. l’impatto diretto operativo delle interruzioni e dei relativi rischi legali e reputazionali,
  3. l’impatto che eventuali disfunzioni dell’attività possono avere sulle prospettive di ricavo,
  4. l’impatto potenziale che potrebbe avere una violazione della riservatezza o il mancato rispetto dell’integrità dei dati sulla società e sui suoi clienti.

Altri punti sono dedicati alla sicurezza dei dati e dei sistemi, con l’introduzione di un approccio basato sul rischio, adeguati controlli e l’utilizzo di tecnologie di crittografia per i dati in transito, i dati in memoria ed i dati a riposo.

Ulteriori preoccupazioni sono relative a:

  • catene di fornitori, nei casi in cui l’outsourcer subappalta elementi del servizio; e
  • piani di emergenza e strategie di uscita, incluse le caratteristiche dei contratti con i fornitori di servizi in cloud outsourcing per tali tematiche.