- L'impresa che esternalizza conserva piena responsabilità dell'osservanza degli obblighi normativi
- L'esternalizzazione di funzioni essenziali o importanti non deve compromettere governance, rischio operativo, vigilanza IVASS, servizio agli assicurati
- Comunicazione preventiva all'IVASS per le funzioni essenziali
- Il fornitore deve cooperare con l'IVASS e con l'impresa
- Disciplinata da regolamento IVASS
Testo dell'articoloVigente
Art. 30-septies D.Lgs. 209/2005 — (Esternalizzazione)
D.Lgs. 7 settembre 2005, n. 209 — Codice delle assicurazioni private
((
1. L'impresa che esternalizza funzioni o attività relative all'attività assicurativa o riassicurativa conserva la piena responsabilità dell'osservanza degli obblighi ad essa imposti da norme legislative, regolamentari e dalle disposizioni dell'Unione europea direttamente applicabili.
2. 2. L'impresa che esternalizza funzioni o attività essenziali o importanti garantisce che le relative modalità siano tali da non determinare anche uno solo dei seguenti effetti: a) arrecare un grave pregiudizio alla qualità del sistema di governo societario dell'impresa; b) determinare un indebito incremento del rischio operativo; c) compromettere la capacità dell'IVASS di verificare l'osservanza degli obblighi gravanti sull'impresa; d) compromettere la capacità dell'impresa di fornire un servizio continuo e soddisfacente ai contraenti, agli assicurati e agli aventi diritto ad una prestazione assicurativa.
3. L'impresa informa tempestivamente l'IVASS prima dell'esternalizzazione di funzioni o attività essenziali o importanti nonché di significativi sviluppi successivi in relazione all'esternalizzazione di tali funzioni o compiti.
4. L'IVASS con regolamento stabilisce i termini e le condizioni per l'esternalizzazione delle funzioni o delle attività, di cui ai commi 2 e 3.
5. 5. L'impresa che esternalizza una funzione o un'attività di assicurazione o di riassicurazione adotta le misure necessarie ad assicurare che siano soddisfatte le seguenti condizioni: a) il fornitore del servizio cooperi con l'IVASS in relazione alla funzione o all'attività esternalizzata; b) l'impresa, i revisori e l'IVASS abbiano accesso effettivo ai dati relativi alle funzioni o attività esternalizzate; c) l'IVASS abbia un accesso effettivo ai locali commerciali del fornitore del servizio e sia in grado di esercitare tali diritti di accesso.
))
Commento
La sfida dell'outsourcing assicurativo
L'articolo 30-septies regola uno degli aspetti più delicati della governance moderna: l'esternalizzazione di funzioni o attività relative al business assicurativo. Il fenomeno è diffuso (IT, gestione sinistri, asset management, contact center), ma comporta rischi significativi che richiedono una disciplina rigorosa.
Il principio cardine: responsabilità invariata
Il comma 1 sancisce un principio fondamentale: l'esternalizzazione non trasferisce la responsabilità all'esterno. L'impresa che esternalizza conserva la piena responsabilità dell'osservanza degli obblighi imposti da norme legislative, regolamentari e dell'Unione europea direttamente applicabili.
Significa che, in caso di violazione commessa dal fornitore (banca depositaria, TPA, IT provider), l'impresa assicurativa risponde verso assicurati, vigilanza e ordinamento come se l'avesse commessa essa stessa. L'eventuale rivalsa contrattuale verso il fornitore è una questione interna, irrilevante per IVASS e per i terzi.
Le quattro proibizioni del comma 2
L'esternalizzazione di funzioni essenziali o importanti non deve determinare anche uno solo dei seguenti effetti:
a) Pregiudizio alla qualità del sistema di governo societario. Le strutture di controllo devono restare efficaci.
b) Indebito incremento del rischio operativo. L'outsourcing non può aggiungere rischi sproporzionati.
c) Compromissione della capacità di vigilanza IVASS. L'autorità deve poter verificare l'osservanza degli obblighi anche presso il fornitore.
d) Compromissione del servizio agli assicurati. L'esternalizzazione non può ridurre continuità e qualità del servizio a contraenti, assicurati e aventi diritto.
La logica è proteggere gli interessi degli stakeholder. Un'esternalizzazione che indebolisce uno solo di questi profili è vietata.
La comunicazione preventiva all'IVASS
Il comma 3 impone all'impresa di informare tempestivamente l'IVASS prima dell'esternalizzazione di funzioni o attività essenziali o importanti, e per i significativi sviluppi successivi (sostituzione del fornitore, modifica sostanziale del contratto, escalation di criticità).
L'IVASS valuta la comunicazione e può chiedere integrazioni, sospendere l'esternalizzazione o imporre presidi aggiuntivi. Non si tratta di un'autorizzazione formale, ma di un meccanismo di vigilanza pre-emptive.
Il regolamento IVASS
Il comma 4 demanda all'IVASS la definizione di termini e condizioni operative. Il Regolamento IVASS n. 38/2018, Capo VIII, declina:
- definizione di funzioni essenziali o importanti (calcolo riserve, gestione investimenti, attuariale, antiriciclaggio, IT critico);
- contenuti minimi del contratto di esternalizzazione;
- diritti di audit dell'impresa e dell'IVASS;
- piani di uscita (exit strategy);
- gestione delle sub-esternalizzazioni (sub-outsourcing).
Le condizioni del comma 5
Il comma 5 elenca le condizioni che l'impresa deve assicurare:
a) Cooperazione del fornitore con l'IVASS. Diritti di accesso, audit on-site, fornitura informazioni.
(L'estratto si interrompe ma il proseguo del comma elenca altre condizioni, tra cui la cooperazione con l'impresa, il rispetto delle policy, la sicurezza dei dati, la continuità operativa).
Le tipologie di esternalizzazione
Le tipologie tipiche includono:
- IT e cybersecurity (cloud provider, SaaS, infrastrutture);
- gestione sinistri (TPA - Third Party Administrators);
- asset management e custodia titoli;
- gestione documentale e archiviazione;
- contact center e back office;
- attuariale e modelli interni (rara, ma possibile);
- antiriciclaggio e KYC.
Esternalizzazione infragruppo
L'esternalizzazione all'interno dello stesso gruppo assicurativo è soggetta agli stessi vincoli, sebbene la prossimità organizzativa possa semplificare alcuni adempimenti. Particolare attenzione richiede l'esternalizzazione verso entità non UE (cloud provider USA, ad esempio).
Le sanzioni
Le violazioni della disciplina dell'esternalizzazione sono sanzionate ex artt. 305 ss. del Codice. La giurisprudenza IVASS ha colpito imprese per esternalizzazioni con contratti carenti, mancata due diligence sui fornitori, omessa comunicazione preventiva, deficienze nel monitoraggio del servizio reso.
Casi pratici
Caso 1: Migrazione su cloud provider USA
Caso 2: Sanzione per omessa comunicazione
Domande frequenti
Cosa si intende per "funzioni essenziali o importanti"?
Sono attività la cui interruzione o esecuzione inadeguata pregiudicherebbe gravemente la capacità dell'impresa di adempiere ai propri obblighi normativi o di proseguire l'attività. Tipicamente: calcolo riserve, gestione investimenti, IT core, antiriciclaggio, gestione sinistri rilevante.
L'impresa può "scaricare" la responsabilità sul fornitore?
No. L'esternalizzazione non trasferisce la responsabilità: l'impresa risponde verso assicurati, autorità e ordinamento come se l'attività fosse svolta internamente. L'eventuale rivalsa contrattuale verso il fornitore è una questione interna che non incide sui terzi.
Cosa deve fare l'impresa prima di esternalizzare una funzione essenziale?
Comunicare preventivamente all'IVASS, condurre due diligence sul fornitore, predisporre un contratto con clausole obbligatorie (diritti di audit, sicurezza dati, piani di uscita), monitorare la qualità del servizio, prevedere meccanismi di gestione delle criticità e di rientro interno.
Vedi anche