Le indicazioni di Ivass sull’esternalizzazione delle attività

Il tema dell’esternalizzazione è diventato sempre più centrale nel mercato assicurativo italiano, con un numero crescente di imprese che affidano a fornitori esterni, specializzati e tecnologicamente avanzati, attività e funzioni aziendali anche di natura strategica. Proprio per la complessità e la delicatezza di questo processo, Ivass ha recentemente pubblicato una lettera al mercato con cui ha chiarito le sue aspettative di vigilanza, invitando le compagnie a gestire con maggiore attenzione i rischi associati.

La lettera dell’autorità, pur non imponendo obblighi diretti (scrive: “Le aspettative mirano a fornire indicazioni generali che non hanno carattere vincolante”), fornisce indicazioni precise su come le imprese dovrebbero gestire le esternalizzazioni, con particolare riferimento alle funzioni essenziali o importanti, anche al fine di prevenire situazioni in cui la compagnia rischi di diventare una semplice empty shell, ossia priva di risorse e competenze interne sufficienti a garantire autonomia e controllo diretto.

In primo luogo, Ivass evidenzia il ruolo centrale dell’organo amministrativo delle compagnie assicurative, che deve approvare preventivamente la politica di outsourcing, assicurandosi poi di monitorarne regolarmente l’applicazione e l’efficacia nel tempo. Tale approccio permette all’organo amministrativo di mantenere costantemente sotto controllo il grado di dipendenza dai fornitori esterni e di valutare attentamente i relativi rischi.

Proprio la gestione dei rischi è uno degli aspetti maggiormente enfatizzati dalla lettera; l’istituto si aspetta che le compagnie effettuino un’approfondita analisi preventiva di tutte le principali tipologie di rischio legate all’outsourcing, incluse quelle operative, di concentrazione, legali e reputazionali, oltre a quelle specifiche relative ai servizi informatici. Un particolare riferimento è riservato al rischio di lock-in, ovvero la dipendenza eccessiva da un unico fornitore, che potrebbe compromettere la continuità operativa in caso di interruzioni improvvise del servizio o deterioramenti significativi nella qualità erogata.

Per prevenire tali situazioni, Ivass ritiene fondamentale che nei contratti di outsourcing siano definiti con precisione specifici livelli di servizio (Service level agreements), con indicatori di performance (Kpi) chiari e misurabili. Tali indicatori permettono una verifica continua del rispetto degli standard qualitativi e consentono di adottare tempestivamente eventuali misure correttive, inclusa l’applicazione di penali nei confronti dei fornitori inadempienti.

Un capitolo specifico è dedicato alle esternalizzazioni dei servizi Ict, che rappresentano una delle aree più sensibili e di maggiore crescita nel settore assicurativo. L’istituto assume, si riporta testualmente, “che le imprese abbiano completato l’allineamento dei propri modelli gestionali e di controllo al regolamento Dora, entrato in vigore il 17 gennaio 2025, con particolare riguardo all’adozione di una strategia dedicata per i rischi informatici, fondata sul costante esame di tutte le dipendenze da terzi nel settore Ict e comprensiva di una policy per l’utilizzo dei servizi Ict a supporto di funzioni essenziali o importanti prestate da fornitori terzi”. A proposito del regolamento Dora, si ricorda l’apposita pagina creata dall’Ivass, dedicata agli operatori, consultabile qui, la quale contiene (i) le comunicazioni dell’istituto, (ii) la normativa Ue e (iii) la documentazione operativa.

Avendo, poi, l’istituto rilevato un’elevata eterogeneità nelle fattispecie soggette a comunicazione preventiva ai sensi del regolamento Ivass n. 38 del 2018 in materia di sistema di governo societario, lo stesso si attende che le imprese considerino essenziali, e quindi soggette a tale obbligo, attività come: (i) la progettazione di prodotti e tariffe, (ii) la gestione degli investimenti, (iii) la gestione e liquidazione di sinistri (anche tramite call center), (iv) la gestione dei reclami, (v) la prestazione regolare e costante di supporto di natura contabile, (vi) il processo Orsa (Own risk and solvency assessment) e servizi Ict critici. Tuttavia, spetta alle imprese definire il perimetro delle attività essenziali, in base alle circostanze specifiche.

Nel contempo sono state fornite indicazioni per individuare i casi che configurano sviluppi rilevanti di una esternalizzazione già in corso, sulla base degli orientamenti formulati da Eiopa in materia di governance, e in merito agli obblighi informativi verso la vigilanza, la quale si attende che siano comunicati tempestivamente, e non preventivamente, tra gli altri (l’indicazione puntuale è riportata nell’aspettativa n. 8) l’affidamento a un nuovo o ulteriore fornitore per attività già esternalizzate, anche in caso di operazioni straordinarie o deterioramento del servizio.

Infine, un importante principio sottolineato dall’autorità è quello di proporzionalità: ogni impresa è chiamata ad applicare le aspettative della vigilanza, tenendo conto della propria dimensione, complessità e del proprio modello operativo. Ivass invita dunque le compagnie a valutare autonomamente le soluzioni adottate, garantendone però sempre la coerenza con le indicazioni dell’autorità stessa.

Se le misure adottate dall’impresa non dovessero risultare efficaci e adeguate ad assicurare il rispetto della disciplina applicabile, l’Ivass, nell’ambito delle proprie competenze, potrà adottare i provvedimenti di vigilanza previsti dalla legge.

Ricordiamo, infine, che le aspettative sono rivolte alle imprese di assicurazione e riassicurazione aventi sede legale in Italia, alle sedi secondarie, ubicate in Italia, delle imprese con sede legale in Stati terzi e alle ultime società controllanti italiane (Usci), nonché alle Usci di un sottogruppo nazionale con ultima controllante europea qualora l’Ivass decida di esercitare la vigilanza su detto sottogruppo.