Il 51% del TCO (Total Cost of Ownership, che somma spese correnti e ammortamenti) nei principali gruppi bancari nazionali è destinato a servizi ricevuti da terzi; di questa percentuale, il 28,3% è riservato all’outsourcing IT: sono questi i dati riportati dalla “Rilevazione sull’IT nel sistema bancario italiano” del CIPA, pubblicata a dicembre 2017. Guardando alle banche individuali, la percentuale per servizi ricevuti da terzi sale fino al 78,3%, di cui ben il 35,5% spesi per l’outsourcing IT.

La cifra della spesa per i servizi ricevuti da terzi dei grandi gruppi si aggirava intorno a 1.600 milioni di euro nel 2016 ed era prevista in aumento per il 2017. La cifra per il cambiamento (change) risulta ancora molto più bassa rispetto a quella destinata al funzionamento corrente (run), solo il 38,9% del totale.

E ancora, la spesa IT per interventi di compliance è risultata superiore all’11%, distinta tra interventi di adeguamento per la Vigilanza Banca d’Italia/BCE/EBA (2,83%), interventi per la Normativa contabile/fiscale (1,55%), interventi per la Normativa dei mercati finanziari (1,33%) e per la Trasparenza (1,06%).

Evoluzione del concetto di outsourcing

Parliamo di IT perché, storicamente, l’outsourcing nel mercato europeo è stato in prevalenza rappresentato da sistemi e servizi informatici.

Il fenomeno, nonostante abbia sempre sofferto di problemi legati alla qualità del servizio, alla flessibilità, al know how necessari, ha continuato a crescere ed evolvere, grazie anche alla volontà e alla necessità di destinare i maggiori investimenti sulle attività core, limitando le spese per la gestione dei sistemi informativi, articolati, costosi, con alti tassi di obsolescenza.

Alcuni approcci ideologici hanno variamente portato l’attenzione:

  • sulla traslazione del concetto di vantaggio competitivo dalla gestione dei sistemi informativi alla gestione delle informazioni e dei flussi informativi;
  • sulla convinzione che l’esternalizzazione comporta una riduzione dei costi, aumentando la competizione;
  • su un concetto di maggiore performance, grazie alla concentrazione sul core business aziendale, portando all’esterno dell’azienda le attività meno produttive;
  • sulla possibilità di migliorare le performance aziendali, grazie all’utilizzo di competenze specifiche non presenti all’interno della società, con una crescente consapevolezza del potenziale strategico dell’outsourcing.

L’esternalizzazione, partita quindi in prevalenza con i servizi IT, si è progressivamente allargata verso altre attività aziendali, come ad esempio il recruiting, il marketing, la revisione contabile, la gestione fiscale, alcune questioni legali.

Nel sistema finanziario, oramai, il recupero crediti, i contenziosi, i servizi fiscali, l’assistenza ai clienti, i servizi di gestione del personale e molte altre aree sono spesso oggetto di esternalizzazione. Fino all’outsourcing di intere funzioni aziendali.

Gli interventi regolamentari

Mentre tutto ciò si muoveva nella realtà operativa, i regolatori hanno guardato con attenzione ai fenomeni dell’outsourcing nel sistema finanziario e, soprattutto, ai suoi rischi.

Per capire quanto, possiamo fare riferimento al fatto che mentre la BCE poneva le attività esternalizzate tra le sue priorità del 2017, nel documento della BIS del 2003, “Prassi corrette per la gestione e il controllo del rischio operativo”, si leggeva:

39. Le banche dovrebbero altresì definire politiche per gestire i rischi connessi con l’outsourcing. L’esternalizzazione di attività può abbassare il profilo di rischio trasferendo certe funzioni a soggetti esterni dotati di maggiori competenze e capacità specialistiche per controllare i rischi connessi. Tuttavia, il ricorso a parti terze non diminuisce la responsabilità del consiglio di amministrazione e dell’alta direzione di assicurare che tali funzioni siano svolte in modo sicuro e corretto, e nel rispetto della normativa vigente. L’outsourcing dovrebbe basarsi su rigorose convenzioni e/o accordi contrattuali che stabiliscano una chiara suddivisione delle responsabilità fra prestatori esterni dei servizi e banca utente. Inoltre, è necessario che vengano gestiti i relativi rischi residuali, fra cui la possibilità di disfunzioni nell’erogazione dei servizi stessi.

Nel 2005, viene pubblicato l’“Outsourcing in Financial Services”, dove si trova l’elenco di alcuni principi guida per una società regolamentata, che:

  1. qualora intenda esternalizzare alcune attività, dovrebbe avere una politica per guidarne il processo di valutazione. Il consiglio di amministrazione mantiene in ogni caso la responsabilità generale per le attività e le decisioni relative all’outsourcing;
  2. dovrebbe definire una misura di rischio relativo alle attività di gestione e supervisione delle attività esternalizzate ed alla relazione con il fornitore;
  3. dovrebbe garantire che gli accordi di esternalizzazione non diminuiscano la propria capacità di adempiere ai propri obblighi verso i clienti e verso le autorità di vigilanza;
  4. dovrebbe effettuare una adeguata due diligence per la selezione del fornitore;
  5. i rapporti con le società terze dovrebbero essere regolati da contratti scritti che descrivano chiaramente tutti gli aspetti materiali dell’accordo di esternalizzazione, diritti, responsabilità, aspettative di tutte le parti;
  6. dovrebbero definire e mantenere piani di emergenza, di ripristino in caso di blocchi di operatività, test periodici per le strutture di backup;
  7. dovrebbe adottare misure adeguate per garantire che i fornitori proteggano le informazioni riservate ed evitino divulgazioni intenzionali o involontarie a persone non autorizzate.

Seguono poi dei principi per i regolatori, che:

  1. dovrebbero tenere conto delle attività in outsourcing come parte integrante della propria valutazione continua dell’entità regolamentata;
  2. dovrebbero assicurarsi che qualsiasi accordo di esternalizzazione non ostacoli la capacità della società regolamentata di soddisfare i requisiti normativi;
  3. dovrebbero essere consapevoli dei potenziali rischi legati all’esternalizzazione di attività da parte di più soggetti regolamentati se concentrata su un numero limitato di fornitori.

Tutti questi principi sono stati poi ripresi nei successivi vari interventi normativi, europei e nazionali.

Senza la pretesa di essere esaustivi, ricordiamo:

  • le linee guida sull’outsourcing del CEBS del 14 dicembre 2006, con la definizione di 12 punti che tenevano conto di Forum ed iniziative europee sul tema, e l’obiettivo di armonizzare la regolamentazione e la vigilanza tra i Paesi membri;
  • l’aggiornamento 15° della circolare 263/2006, di Banca d’Italia, sull’esternalizzazione di funzioni aziendali, del 2013, che inserisce nuovi capitoli in materia di sistema dei controlli interni (Tit. V – Cap. 7: pagg. da 1 a 53), sistema informativo (Tit. V – Cap. 8: pagg. da 1 a 25) e continuità operativa (Tit. V – Cap. 9: pagg. da 1 a 16), con largo focus sull’esternalizzazione;
  • i successivi aggiornamenti delle circolari di Banca d’Italia 285 e 288;
  • la Direttiva 2014/65/UE (MIFID II), all’articolo 16, par. 5, stabilisce: “Quando le imprese di investimento affidano ad un terzo l’esecuzione di funzioni operative essenziali ai fini della prestazione di un servizio continuo e soddisfacente ai clienti e dell’esercizio continuo e soddisfacente di attività di investimento, adottano misure ragionevoli per evitare un indebito aggravamento del rischio operativo”;
  • il Regolamento Congiunto Banca d’Italia/Consob, per i servizi di investimento o di gestione collettiva del risparmio, all’articolo 19 stabilisce che:
    • “quando, nella prestazione dei servizi e delle attività di investimento, gli intermediari affidano ad un terzo l’esecuzione di funzioni operative essenziali o importanti o di servizi o attività di investimento, adottano misure ragionevoli per mitigare i connessi rischi”;
    • “l’esternalizzazione non può ridurre l’efficacia del sistema dei controlli né impedire alle autorità di vigilanza di controllare che gli intermediari adempiano a tutti i loro obblighi”.
  • il Regolamento delegato (UE) 2017/565, nell’articolo 30 definisce: “una funzione operativa è considerata essenziale o importante (ai fini del suddetto art. 16, par. 5, comma 1 della direttiva MIFID II) se un’anomalia nella sua esecuzione o la sua mancata esecuzione comprometterebbero gravemente la capacità dell’impresa di investimento di continuare a garantire la conformità alle condizioni e agli obblighi della sua autorizzazione o agli altri obblighi imposti dalla Mifid II oppure ne comprometterebbero gravemente i risultati finanziari o la solidità o la continuità dei servizi e attività di investimento prestati o esercitati”;
  • la Direttiva 2015/2366 / UE (PSD2), dove l’articolo 19 della Sezione II è dedicato al “Ricorso ad agenti o entità cui vengono esternalizzate attività”;
  • anche in ambito assicurativo, con Solvency II vengono fornite alle compagnie assicurative indicazioni in caso di esternalizzazione di alcuni servizi.

Ultimo step: le linee guida dell’EBA

A giugno del 2018, l’EBA pubblica le “EBA Draft Guidelines on Outsourcing arrangements”.

Perché?

  • In primo luogo, per aggiornare le linee guida CEBS, del 2006, che si applicavano solo alle istituzioni creditizie, e quindi definire un quadro più armonizzato per tutte le istituzioni finanziarie, sotto l’ambito di applicazione del mandato dell’EBA (esempio, anche per le imprese di investimento soggette alla CRD e per gli istituti di pagamento e di moneta elettronica).
  • Poi, il documento integra anche la raccomandazione sull’outsourcing indirizzata ai fornitori di servizi cloud, pubblicata a dicembre 2017.
  • Ancora, il crescente ricorso a nuovi fornitori esterni di tecnologie finanziarie (fintech), per non gravare ulteriormente sui margini di intermediazione già sotto pressione, richiede una riflessione e regole comuni.

La consultazione terminerà il 24 di settembre, data ultima per inviare commenti sulle linee guida:

  • dai temi di responsabilità degli organi di gestione;
  • al processo di due diligence e di valutazione del rischio;
  • agli aspetti contrattuali e documentali;
  • al monitoraggio;
  • alla supervisione delle autorità competenti.