Art. 205-bis D.Lgs. 209/2005 — (Vigilanza sulle funzioni e le attività esternalizzate dalle imprese aventi sede nel territorio della Repubblica)

Commento

L'esternalizzazione come sfida per la vigilanza

L'art. 205-bis cod. ass. estende lo strumento dell'ispezione cross-border ai fornitori delle attività esternalizzate. È risposta normativa a un fenomeno crescente nel settore assicurativo: imprese che affidano a terzi (asset manager, gestori di sinistri, fornitori IT, attuari esterni) funzioni o attività comprese nel ciclo operativo. L'esternalizzazione non riduce la responsabilità prudenziale dell'impresa, ma sposta sui fornitori la materialità di alcune operazioni. La vigilanza deve poter seguire le funzioni dove queste sono effettivamente svolte.

Ispezioni di IVASS sui fornitori esteri

Il comma 1 abilita IVASS a effettuare ispezioni, direttamente o tramite incaricati, nei locali dei fornitori esternalizzati con sede in altro Stato UE che servono imprese italiane vigilate. La portata dell'ispezione copre ogni elemento utile alla vigilanza sulle funzioni esternalizzate. Il comma 2 impone la comunicazione preventiva all'autorità competente dello Stato del fornitore (o, in assenza di autorità competente specifica, all'autorità di vigilanza assicurativa). Il comma 3 prevede la possibilità di delega: l'ispezione può essere affidata all'autorità di vigilanza dello Stato del fornitore, opzione utile per ragioni di efficienza, lingua, conoscenza del contesto locale.

Il rinvio a EIOPA

Il comma 4 ripropone il meccanismo di rinvio a EIOPA. Se IVASS, dopo aver informato l'autorità competente dello Stato del fornitore, non ottiene il diritto effettivo di ispezione, può rinviare la questione a EIOPA ex art. 19 reg. UE 1094/2010. La norma cita espressamente anche l'art. 30-septies, comma 5, lettera c), che disciplina la vigilanza sulle esternalizzazioni nel sistema di governo societario. Il combinato disposto chiude le possibili scappatoie e garantisce effettività del controllo lungo la catena dei fornitori.

Ispezioni di autorità UE in Italia

I commi 5 e 6 disciplinano la specularità: l'autorità di vigilanza dello Stato di origine di compagnia UE che ha esternalizzato in Italia può ispezionare i fornitori italiani, previa informativa a IVASS, che può parteciparvi. Anche qui è prevista la delega: l'autorità UE può delegare l'ispezione a IVASS. È meccanismo di efficienza e di reciprocità: i fornitori italiani che servono compagnie estere sono soggetti a un controllo cross-border simmetrico a quello che le compagnie italiane possono esercitare sui propri fornitori all'estero. Il complesso degli artt. 205 e 205-bis traduce la vigilanza assicurativa europea in uno strumento operativo realmente cross-border.

L'esternalizzazione critica e la catena dei fornitori

Il regolamento IVASS sul sistema di governo societario (38/2018) distingue tra esternalizzazione di funzioni o attività operative essenziali o importanti e attività ordinarie, applicando alle prime una disciplina rafforzata. Le linee guida EIOPA sull'esternalizzazione cloud (EIOPA-BoS-20/002) hanno aggiunto specifici requisiti per i fornitori di servizi cloud, frequentemente di matrice extra-UE. L'art. 205-bis è strumento essenziale per dare effettività a tale disciplina: senza il diritto di ispezione presso il fornitore, anche se ubicato all'estero, la vigilanza sul rispetto dei requisiti contrattuali e prudenziali risulterebbe priva di concreto presidio. Sul piano della responsabilità, l'impresa assicurativa che esternalizza resta sempre responsabile delle attività affidate al fornitore, secondo il principio non delegabile della responsabilità prudenziale fissato dal codice.