1. Introduzione
Il Comitato di Basilea ha pubblicato un insieme di principi volti a rafforzare la gestione del rischio derivante dalle relazioni con terze parti da parte delle istituzioni finanziarie.Â
Il documento nasce dalla constatazione che la crescente dipendenza delle banche da fornitori esterni, soprattutto in ambito tecnologico e operativo, comporta rischi nuovi o amplificati, tra cui vulnerabilità operative, problemi di continuità , rischi di concentrazione e complessità delle catene di fornitura.
I principi affrontano la necessità di una governance più solida, di un approccio olistico e di un più stretto allineamento tra gestione del rischio, supervisione e strategia aziendale.
Il documento è articolato su dodici principi:
- i primi nove destinati alle banche;
- gli ultimi tre rivolti alle autorità di vigilanza.
Il quadro proposto si basa sul concetto di ciclo di vita della relazione con il fornitore, che va dalla valutazione preliminare fino alla cessazione del rapporto.
Â
2. ContenutoÂ
Â
Third-Party Service Provider
Qualsiasi soggetto esterno che fornisca alla banca servizi, attività o funzioni rilevanti per la sua operatività .
Critical Service
Un servizio la cui interruzione può determinare effetti materiali sulla stabilità operativa, sulla continuità dei servizi essenziali, sulla conformità regolamentare o sulla gestione dei rischi.
Concentration Risk
Rischio derivante dall’eccessiva dipendenza da un singolo fornitore o da un gruppo ristretto di fornitori, con implicazioni operative o sistemiche.
Nth Party Risk
Rischio connesso ai sub-fornitori del fornitore principale, spesso non direttamente conosciuti o gestiti dalla banca.
ProporzionalitÃ
Applicazione dei principi calibrata su dimensione, complessità , modello operativo e rilevanza delle attività esternalizzate.
Â
3. Ciclo di vita della relazione con terze parti
Il documento pone particolare attenzione a un approccio sistematico e completo, articolato nelle seguenti fasi:
Valutazione preliminare e due diligence
Analisi approfondita dei rischi del fornitore, della sua solidità finanziaria, della capacità operativa, della resilienza e della gestione della sicurezza.
Contrattualizzazione
Definizione chiara di ruoli, responsabilità , livelli di servizio, requisiti di sicurezza, piani di continuità e modalità di exit.
Monitoraggio continuo
Controlli periodici e verifiche costanti sulla qualità del servizio, il rispetto dei requisiti e la gestione dei rischi emergenti.
Gestione della cessazione (exit strategy)
Preparazione di piani di uscita efficaci, per evitare interruzioni o passaggi critici che possano compromettere operatività e conformità .
4. Governance e responsabilitÃ
Il Comitato delinea un ruolo ben definito degli organi aziendali:
Consiglio di amministrazione
È responsabile della supervisione complessiva del framework di gestione del rischio da terze parti e dell’allineamento con gli obiettivi strategici dell’istituto.
Alta direzione
Ha il compito di implementare politiche, procedure, ruoli e responsabilità , oltre che di assicurare che esistano adeguati sistemi di controllo e monitoraggio.
Funzioni di controllo interno
Devono essere coinvolte nella valutazione dei rischi, nell’audit delle relazioni esternalizzate e nella verifica dell’efficacia del framework.
5. Rischi emergenti e aree di attenzione
Il documento evidenzia alcune aree che richiedono particolare attenzione:
crescente dipendenza da fornitori tecnologici critici, incluse piattaforme cloud;
rischi di cyber security lungo tutta la supply chain;
complessità delle strutture contrattuali multilivello;
rischi di concentrazione legati a pochi attori globali;
necessità di mantenere adeguate capacità operative interne, anche in caso di outsourcing rilevante.
6. Ruolo delle autorità di vigilanza
Gli ultimi tre principi definiscono le aspettative nei confronti delle autorità :
- supervisione dell’efficacia del framework bancario per la gestione del rischio da terze parti;
- attenzione ai rischi di concentrazione e alle interdipendenze sistemiche;
- cooperazione transfrontaliera tra autorità , data la natura globale di molti fornitori critici.
Â
Conclusioni
Il Comitato di Basilea propone un quadro coerente e aggiornato per la gestione del rischio da terze parti che mira a:
- rafforzare la resilienza operativa delle istituzioni finanziarie;
assicurare la continuità dei servizi essenziali;
- mitigare rischi sistemici derivanti da concentrazioni e interdipendenze;
- rendere la gestione dell’outsourcing parte integrante della strategia di governance e di gestione dei rischi.
Â
I principi rappresentano un riferimento internazionale destinato a orientare sia le politiche interne degli intermediari, sia l’attività delle autorità di vigilanza.
Â
