Circolare 2008/7 "Outsourcing – banche"

(Aggiornato al 1° aprile 2009)

1. Secondo quali criteri si valuta l’applicabilità della circolare 2008/7?

Si ha outsourcing ai sensi della circolare quando un’impresa incarica un prestatore di servizi di assicurarle, in modo indipendente e durevole, una prestazione di servizio. L’appalto deve riguardare una prestazione di servizio essenziale: ai sensi della circolare sono "essenziali" le prestazioni di servizio che possono avere un effetto sulla determinazione, la limitazione e il controllo dei rischi della banca (cfr. nm. 2), segnatamente anche quelli operativi e di reputazione. Il campo appaltato deve inoltre costituire un’attività tipica delle banche o dei commercianti di valori mobiliari. Infine, lo scopo (cfr. nm. 1) della circolare è tra l’altro quello di garantire la tutela dei dati sensibili conformemente al segreto bancario e alla protezione dei dati nell’ambito dell’appalto di un campo di attività a un prestatore di servizi. Se il prestatore di servizi ha accesso a dati degni di protezione (in particolar modo dati sui clienti) nel quadro di un appalto, di regola vi è outsourcing ai sensi della circolare.

2. Il ricorso a un ausiliare rientra nel campo d’applicazione della circolare?

Il concetto di "indipendenza" permette di distinguere chiaramente il ricorso a un ausiliare dall’outsourcing a un prestatore di servizi indipendente.

3. L’allestimento di un locale per i casi di catastrofe (dotato di PC, server, ecc. e separato dagli uffici) è considerato un outsourcing ai sensi della circolare?

No, in quanto nessun campo di attività viene appaltato a un’altra impresa. Le disposizioni della circolare non sono applicabili.

4. Un gruppo attivo a livello internazionale intende centralizzare l’elaborazione dei dati e far allestire all’estero gli estratti conto e le conferme delle operazioni per i clienti della propria filiale bancaria in Svizzera. È lecito?

L’appalto dell’elaborazione dei dati dei clienti all’estero costituisce un outsourcing ai sensi della circolare. Vanno pertanto rispettati i relativi principi. In caso di appalto all’interno del gruppo la circolare è applicabile parzialmente in conformità ai numeri marginali da 6 a 8. Sono per contro applicabili i numeri marginali da 37 a 39, i quali stabiliscono che i clienti debbano essere informati dell’appalto.

5. La ditta X vuole conservare i dati contabili presso la casa madre all’estero.

L’appalto della conservazione di dati contabili alla casa madre è considerato un outsourcing ai sensi della cifra III dell’appendice (custodia dei dati). In virtù del numero marginale 8 la circolare è applicabile solo parzialmente.

6. L’appalto della stampa e dell’invio di formulari di pagamento rappresenta un outsourcing?

Sì, l’appalto di questo campo di attività rientra nella cifra VI dell’appendice.

7. Una banca intende accettare oggetti di valore di clienti allo scopo di farli custodire presso terzi. Si tratta di un outsourcing ai sensi della circolare?

Si ha outsourcing ai sensi della circolare quando un’impresa incarica un prestatore di servizi di assicurarle, in modo indipendente e durevole, una prestazione di servizio essenziale per l’attività dell’azienda. Sono "essenziali" ai sensi della circolare, tra l’altro, le prestazioni di servizio che possono avere ripercussioni sui rischi di immagine e sui rischi giuridici. Rientrano in questa categoria anche i servizi di locazione di casseforti e cassette di sicurezza, tipici delle banche. I principi della circolare sono applicabili all’appalto della custodia di oggetti di valore al fine di limitare questi rischi nell’ambito dell’attuazione di standard di sicurezza.

8. Cosa si intende per società di un gruppo soggette all’obbligo di consolidamento (nm. 4a)?

Tutte le società consolidate di un gruppo devono attenersi alla circolare (sia la casa madre sia le società consorelle), tranne se sono sottoposte a una vigilanza che prevede una regolamentazione propria in materia di outsourcing. Lo stesso vale per le società estere consolidate dello stesso gruppo secondo il numero marginale 5.

9. Cosa si intende per "organizzazione centrale" (nm. 8)?

Ne sono esempi le strutture di gruppi quali le banche RBA e il gruppo Raiffeisen.

10. Finora la ditta X ha fornito prestazioni esclusivamente alle proprie banche azioniste, beneficiando così della parziale applicazione della circolare. Ora la ditta X offre prestazioni anche ad alcuni terzi. Il numero marginale 9 rimane applicabile?

Se l’attività della ditta X non consiste più esclusivamente nella fornitura di prestazioni di servizio al gruppo delle banche azioniste, il numero marginale 9 non è più rilevante. In altri termini, la circolare è applicabile interamente.

11. Cosa si intende per risorse finanziarie (nm. 22)?

Il prestatore di servizi deve avere la disponibilità finanziaria necessaria a svolgere il mandato ai sensi della circolare. In tale contesto può assumere rilevanza la questione legata al substrato di responsabilità. Si veda segnatamente il numero marginale 23, secondo cui le competenze dell’impresa e del prestatore di servizi devono essere determinate e delimitate con precisione.

12. Qual è il rapporto tra la banca e il subappaltatore?

L’impresa appaltatrice non è parte del contratto tra il prestatore di servizi e il subappaltatore. Solitamente si stipulano infatti due contratti: un contratto tra l’impresa appaltatrice e il prestatore di servizi e un contratto tra il prestatore di servizi e il subappaltatore. Quest’ultimo necessita del consenso della banca, la quale non diventa tuttavia parte contrattuale. Secondo il numero marginale 23 le interfacce, le competenze e le relative questioni di responsabilità devono essere oggetto di una regolamentazione contrattuale. Lo stesso vale per il rapporto tra il prestatore di servizi e il subappaltatore.

13. Quali informazioni devono contenere le Condizioni generali di contratto (CGC)? Il nome del prestatore di servizi deve essere menzionato espressamente?

Un semplice rimando alla possibilità di outsourcing nelle CGC non è sufficiente. Gli intermediari finanziari devono indicare i campi di attività in cui sono previste soluzioni di outsourcing, purché tali campi siano legati alle prestazioni di servizio fornite ai clienti. Non si richiedono indicazioni sul prestatore di servizi (ad esempio il nome della società).

14. È sufficiente inserire nelle CGC una clausola del tipo "Sono fatti salvi gli outsourcing quali ad esempio…"?

Un elenco esemplificativo di prestazioni di servizio appaltabili è sufficiente se i servizi riportati sono rappresentativi e comprendono le prestazioni di servizio essenziali appaltate.

15. Nel caso di un’elaborazione dei dati eseguita all’estero in forma anonima, è necessario rendere espressamente attenti i clienti bancari nelle CGC al fatto che i dati sono elaborati all’estero oppure è sufficiente un’indicazione circa l’appalto a terzi dell’elaborazione dei dati?

Nel quadro dell’obbligo generale di informazione secondo il numero marginale 38 è importante che le informazioni contengano indicazioni precise sui campi di attività appaltati. Non è necessario informare espressamente i clienti nelle CGC in merito all’elaborazione dei dati all’estero a condizione che l’appalto non permette di dedurre alcuni dati dei clienti.

16. Se una banca appalta un determinato campo di attività a un’impresa svizzera si può rinunciare all’obbligo generale di informazione ai sensi del numero marginale 38 qualora sia certo che i dati non permettono di dedurre l’identità dei clienti?

Il numero marginale 38 non prevede una facilitazione in questo senso. L’obbligo generale di informazione va rispettato in ogni caso.

17. L’ufficio di revisione dell’impresa appaltatrice può coordinare l’audit con l’ufficio di revisione esterno del prestatore di servizi?

Sì, purché siano rispettate le condizioni citate ai numeri marginali da 40 a 47.

18. Alcune banche hanno stipulato un contratto di outsourcing con la ditta X, che a sua volta appalta una parte delle attività alla ditta Y. È sufficiente che la ditta X stipuli un contratto con la ditta Y oppure ogni singola banca deve stipulare un contratto con la ditta Y?

È sufficiente un contratto tra la ditta X e la ditta Y (cfr. anche la domanda 13).

19. A chi posso rivolgermi per eventuali domande?

policy@finma.ch oppure tel. +41 31 327 94 40