Home Compagnie Normativa Compagnie Ivass: pubblicate le aspettative di vigilanza in materia di esternalizzazione

Ivass: pubblicate le aspettative di vigilanza in materia di esternalizzazione

14 Marzo 2025

di Francesco Sottile.

Con la lettera al mercato dell’11 marzo scorso l’IVASS – Istituto per la vigilanza sulle assicurazioni – ha reso note le aspettative di vigilanza in materia di esternalizzazione, al fine di favorire l’uniforme e corretta applicazione del framework normativo europeo e nazionale di riferimento.

Come da prassi tali aspettative erano state sottoposte a pubblica consultazione mediante lettera al mercato dello scorso 13 novembre; con la presente lettera al mercato l’Istituto ha quindi comunicato le proprie aspettative tenendo conto delle osservazioni pervenute e in alcuni casi riformulando il contenuto delle stesse. Tale nota dovrà essere portata a conoscenza dell’Organo amministrativo, dell’Alta Direzione e degli Organi con funzioni di controllo.

Di seguito le aspettative elaborate dall’Istituto:

Aspetti di governance e gestione dei rischi

In considerazione del fatto che il Reg. 38/2018 assegna all’organo amministrativo la responsabilità ultima del sistema di governo societario, l’Istituto si attende che le imprese:

a) valorizzino il ruolo dell’organo amministrativo nel processo decisionale che riguarda l’esternalizzazione delle funzioni fondamentali e delle attività o funzioni essenziali o importanti in modo da consentire allo stesso di esprimere la propria preventiva approvazione, ove prevista, ed avere successivamente piena consapevolezza dei risultati degli accordi in corso di operatività, del grado di dipendenza dell’impresa da soggetti esterni e dei relativi rischi;

b) considerino la scelta di ricorrere a fornitori, per l’espletamento di funzioni fondamentali o di attività o funzioni essenziali o importanti, parte integrante della “Politica in materia di esternalizzazione e scelta dei fornitori”, di cui all’Allegato 1 del Regolamento, approvata dall’organo amministrativo.

2. L’Istituto si attende che le imprese:

a) valutino le principali tipologie di rischio delle esternalizzazioni ed almeno quelli: operativo, di concentrazione, di sub-esternalizzazione, legale, reputazionale, informatico, di lock-in (es. eccessiva dipendenza da un fornitore);

b) tengano in considerazione l’esito della suddetta analisi anche nella definizione delle misure previste all’articolo 65, comma 3, del Regolamento per assicurare la continuità delle attività esternalizzate in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di re-internalizzazione delle attività.

3. L’Istituto si attende che all’organo amministrativo sia presentata apposita relazione sui risultati degli accordi di esternalizzazione sottoscritti, nel corso della operatività degli stessi con evidenza delle criticità emerse.

Presidi sulle funzioni o attività esternalizzate

Poiché il ricorso diffuso all’esternalizzazione di funzioni fondamentali e di attività essenziali o importanti può esporre le imprese al rischio di affievolire la capacità di controllo sull’adeguatezza e correttezza di tali attività ed incidere in modo rilevante anche sui rapporti con gli assicurati, l’Istituto ha elaborato le seguenti aspettative:

4. L’Istituto si attende che nell’ambito dei controlli periodici previsti all’articolo 65 del Regolamento, l’analisi dei rischi venga svolta in modo adeguato, approfondito e completo, al fine di verificare che non siano intervenute variazioni che possano incidere sulla valutazione dell’attività esternalizzata.

5. L’Istituto si attende che, al fine di avere contezza dell’attività svolta dal fornitore e informare tempestivamente l’organo amministrativo di eventuali criticità, le imprese:

a) inseriscano nei contratti “Livelli di Servizio” (SLA) che definiscano uno standard qualitativo adeguato a cui il fornitore dovrà attenersi, la misurazione di detti standard attraverso l’individuazione di specifici indicatori (key performance indicators, KPI), nonché eventuali penali applicabili al fornitore nei casi di mancato raggiungimento dei livelli di servizio pattuiti;

b) adottino processi che consentano di valutare:

- - il rispetto degli SLA;
  - il regolare andamento dei KPI;
  - le cause dell’eventuale mancato rispetto dei KPI e dei livelli di servizio forniti alla clientela;
  - le misure intraprese dal fornitore e la tempistica di attuazione delle stesse per il superamento di eventuali criticità;
  - l’eventuale applicazione delle penali previste nel contratto;
  - adeguamenti, modifiche e integrazioni al contratto, tenuto conto anche dell’evoluzione dei servizi.

c) non determinino complesse catene di subfornitori che possano incidere sulla capacità delle imprese cedenti di verificare l’adeguato svolgimento dell’attività o della funzione esternalizzata.

Esternalizzazioni di servizi ICT

Poiché il crescente ricorso all’esternalizzazione da parte delle imprese di assicurazione è esteso a sempre maggiori aree aziendali, fra cui l’ICT, e con modalità innovative, le imprese sono esposte a nuove tipologie di rischio, ragion per cui l’authority ha elaborato la seguente aspettativa:

6. L’Istituto assume che le imprese abbiano completato l’allineamento dei propri modelli gestionali e di controllo al Regolamento DORA, con particolare riguardo all’adozione di una strategia dedicata per i rischi informatici, fondata sul costante esame di tutte le dipendenze da terzi nel settore ICT e comprensiva di una policy per l’utilizzo dei servizi ICT a supporto di funzioni essenziali o importanti prestate da fornitori terzi.

Comunicazioni preventive di esternalizzazione di attività o funzioni essenziali o importanti ai sensi dell’articolo 67 del Regolamento

7. L’Istituto si attende che, nell’ambito del processo di individuazione delle attività o funzioni essenziali o importanti da parte delle imprese, si presumano tali e quindi soggette all’obbligo della comunicazione preventiva quelle relative a:

la progettazione dei prodotti assicurativi con la relativa definizione delle tariffe;
la gestione degli investimenti;
la gestione e liquidazione dei sinistri (incluso il caso di utilizzo di call center);
la gestione dei reclami;
la prestazione regolare e costante di supporto di natura contabile;
il processo ORSA

nonché la prestazione dei servizi di ICT a supporto di funzioni essenziali o importanti.

Comunicazioni di cui all’articolo 67, commi 6 e 7, del Regolamento.

Con riferimento alle disposizioni inerenti agli sviluppi rilevanti dell’accordo di esternalizzazione già sottoscritto o sua cessazione con affidamento a altro fornitore, l’Istituto ha osservato un differente approccio comunicativo da parte del mercato anche a fronte di fattispecie simili. In particolare, in alcuni casi tali comunicazioni vengono effettuate preventivamente, mentre in altri casi l’informativa è trasmessa in prossimità o in concomitanza con la data di efficacia della nuova pattuizione ovvero quando la modifica contrattuale è già esecutiva.

Per evitare tali casistiche l’Istituto ha pertanto elaborato la seguente aspettativa:

8. L’Istituto si attende che sia comunicato tempestivamente e non preventivamente:

a) il conferimento dell’incarico ad un nuovo o ulteriore fornitore di un’attività o funzione essenziale o importante, già oggetto di precedente esternalizzazione, in corso di contratto o alla scadenza dello stesso, anche per effetto di operazioni straordinarie (es. fusioni, trasferimenti d’azienda), ovvero in seguito all’interruzione o al grave deterioramento della qualità del servizio reso dal fornitore che comporti l’attivazione dei piani di emergenza;

b) il conferimento in sub-esternalizzazione del contratto di esternalizzazione, essendo esplicitamente previsto che il fornitore possa svolgere l’attività esternalizzata, anziché direttamente, tramite sub-esternalizzazione, nei termini ed alle condizioni fissati nel contratto di outsourcing;

c) le modifiche del contenuto dell’accordo di esternalizzazione, intervenute in corso di contratto, a condizione che le stesse non comportino l’esternalizzazione di attività o funzioni essenziali o importanti diverse da quella già esternalizzate, che invece deve essere oggetto di comunicazione preventiva.

Ivass: pubblicate le aspettative di vigilanza in materia di esternalizzazione

Presidi sulle funzioni o attività esternalizzate

Esternalizzazioni di servizi ICT

Comunicazioni preventive di esternalizzazione di attività o funzioni essenziali o importanti ai sensi dell’articolo 67 del Regolamento

Comunicazioni di cui all’articolo 67, commi 6 e 7, del Regolamento.

I Rischi Catastrofali e IAssicurGPT

Prima Assicurazioni celebra un anno da record al fianco della sua...

LA NUOVA INFORMATIVA SUGLI INTERMEDIARI. IL MUP – MODELLO UNICO PRECONTRATTUALE

TRASFORMARE LE DOMANDE FREQUENTI IN STRATEGIE DI PROMOZIONE DIGITALE

LE NUOVE REGOLE DI LIQUIDAZIONE DEL DANNO ALLA PERSONA NELLA RCA

PROSPETTIVE ECONOMICHE E ASSICURATIVE

I Rischi Catastrofali e IAssicurGPT

Prima Assicurazioni celebra un anno da record al fianco della sua...

Il Brokeraggio assicurativo: come cambia il mercato con IAssicurGPT

IAssicurGPT & IAssicur CITY: il caricamento automatico delle Polizze e il...

ANNUNCI DI LAVORO

MILANO

MILANO E COMO