Assicurazioni - Rivista di diritto, economia e finanza delle assicurazioni privateISSN 0004-511X
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo leggi articolo leggi fascicolo


L'outsourcing nel settore assicurativo (di Claudio Russo, Professore associato di diritto dell’economia, “Sapienza” Università di Roma)


Lo scritto si propone di ricostruire, anche per riportarlo a coerenza, il complesso scenario normativo, europeo e interno, concernente l’esternalizzazione di determinate funzioni aziendali, anch’es­se da individuare con precisione ai fini di una corretta applicazione della disciplina del­l’e­ster­na­lizzazione da parte delle imprese di assicurazione. L’argomento, infatti, assume centralità sia per valutare correttamente l’assetto organizzativo adottato dall’impresa che nella stessa prospettiva di vigilanza.

Insurance outsourcing

The paper aims to reconstruct, also to bring it back to coherence, the complex regulatory scenario, European and internal, concerning the outsourcing of certain company functions, also to be precisely identified for the purposes of a correct application of the discipline. of externalization by insurance companies. The topic, in fact, assumes centrality both for correctly evaluating the organizational structure adopted by the company and in the supervisory perspective itself.

Keywords: insurance outsourcing – insurance – ivass – externalisation

SOMMARIO:

1. La nozione di esternalizzazione - 2. I profili rilevanti della disciplina assicurativa - 3. La politica di esternalizzazione - 4. Le funzioni o attività essenziali o importanti e quelle fondamentali - 5. La responsabilità sulle attività esternalizzate - 6. L’accordo di esternalizzazione e la scelta del Service Provider - 7. I controlli dell’impresa sulle attività esternalizzate - 8. L’informativa all’IVASS - 9. Valutazioni conclusive - NOTE


1. La nozione di esternalizzazione

La disciplina dell’outsourcing – quale si è venuta progressivamente precisando a partire dal Reg. Isvap n. 20 del 26 marzo 2008 sino al Recente Reg. IVASS n. 38 del 3 luglio 2018, che ha dato attuazione a quanto previsto al riguardo dalla cd. Direttiva Solvency II – deve essere letta in stretta correlazione a quella della Governance e dei presidi organizzativi di cui le imprese di assicurazione devono dotarsi per garantire quella sana e prudente gestione che, in quanto immanente allo specifico ordinamento settoriale, ne deve caratterizzare l’attività  [1]. Nella prospettiva prescelta, infatti, non assumono rilievo le esigenze economiche che hanno condotto al crescente affermarsi di tale fenomeno, ma è piuttosto necessario sottolineare la crescente attenzione della disciplina in ragione dell’approssimarsi dell’attività esternalizzata a quelle funzioni, non affidabili a terzi, che caratterizzano l’attività non solo propriamente assicurativa ma il suo dovere essere svolta in modo prudente [2]. L’inversione del ciclo produttivo che caratterizza l’attività assicurativa impone, infatti, l’adozione di specifici presidi per preservarne una corretta patrimonializzazione a garanzia del soddisfacimento delle aspettative degli assicurati e degli aventi diritto in base ai contratti assicurativi. Di qui l’esi­genza di un suo svolgimento non solo corretto ma prudente, garantito sul piano normativo specie attraverso una disciplina di vigilanza, appunto, prudenziale [3]. Ma procediamo con ordine, solcando innanzi tutto il perimetro concettuale della fattispecie che ci accingiamo ad esaminare. Con il termine “esternalizzazione” si intende l’affidamento, sulla base di uno specifico contratto, da parte di un’impresa (c.d. Outsourcer), ad un soggetto terzo (detto Outsourcee, il quale opera con organizzazione propria e a proprio rischio), di un complesso di attività di pertinenza dell’impresa esternalizzante, con l’obiettivo di migliorarne la qualità e l’efficienza complessive, attraverso risparmi di spesa e la possibilità di usufruire delle cognizioni specialistiche del fornitore di servizi [4]. L’art. 1, comma 1, lett. n-quinquies) CAP lo definisce in ambito assicurativo come “l’accordo concluso tra [continua ..]


2. I profili rilevanti della disciplina assicurativa

Sebbene la definizione di esternalizzazione sia sostanzialmente analoga a quella delineata in ambito bancario e finanziario, la regolamentazione assicurativa è “figlia” delle peculiarità del ciclo produttivo (e dei relativi rischi) associati all’attività tipica. Profili di specialità che – volendo schematizzare a fini di una corretta ed immediata percezione da parte dell’interprete – concernono essenzialmente: – il divieto di esternalizzare l’attività di “assunzione dei rischi” che costituisce il core business dell’impresa assicurativa; – il limite dello svuotamento dell’operatività dell’impresa esternalizzante, nel senso che la natura e la quantità delle attività esternalizzate e le modalità di cessione delle stesse non si devono tradurre in un sostanziale svuotamento dell’attività dell’impresa cedente (cd. fenomeno delle empty boxes); – il mantenimento in capo agli organi sociali e all’alta direzione dell’im­presa esternalizzante delle rispettive responsabilità; – l’individuazione di specifici requisiti per l’esternalizzazione di attività “essenziali o importanti”. Nell’intreccio delle norme della Direttiva 138/2009/CE, del Regolamento delegato, del Codice e del Regolamento n. 38/2018, assumono pertanto un ruolo centrale le previsioni in materia di politica di esternalizzazione, di esternalizzazione delle attività essenziali, importanti o fondamentali, del contenuto dell’accordo di esternalizzazione, dei controlli dell’impresa sullo svolgimento delle attività esternalizzate e degli obblighi di comunicazione all’IVASS. Allo studio, specie a fini ricostruttivi di tali profili, sono dedicati i paragrafi che seguono.


3. La politica di esternalizzazione

In coerenza con le previsioni normative europee e nazionali sopra citate, l’art. 61, del Regolamento n. 38/2018 attribuisce all’organo amministrativo il compito di definire la politica per l’esternalizzazione delle funzioni o attività dell’impresa e per la scelta dei fornitori [5]. Più precisamente, la politica di esternalizzazione e scelta dei fornitori deve contenere almeno gli elementi minimi riportati nell’allegato 1 al Regolamento stesso, vale a dire: a) i criteri ed i processi di individuazione delle attività da esternalizzare applicabili nel continuo; b) i criteri che guidano il processo per la qualificazione delle funzioni o delle attività come essenziali o importanti; c) i criteri di selezione dei fornitori, sotto il profilo della professionalità, dell’onorabilità, dell’indipendenza, della capacità finanziaria e del rispetto delle autorizzazioni prescritte dalla legge per l’esercizio delle funzioni o attività esternalizzate; d) il processo di verifica, attraverso appositi metodi per la valutazione del livello dei risultati e delle prestazioni del fornitore e indicazione della frequenza delle valutazioni; e) l’indicazione delle informazioni dettagliate da includere nell’accordo di esternalizzazione con il fornitore di servizi. La disciplina introdotta al riguardo rende ragione, in primo luogo, delle modalità con cui l’IVASS ha inteso dare attuazione all’art. 30-septies del Codice che si segnala per l’estrema cautela con cui il legislatore primario ha inteso approcciare il tema. La norma, infatti, non solo si esprime in termini di non-divieto per evitarne un uso eccessivo da parte delle imprese vigilate, ma afferma esplicitamente la piena responsabilità degli obblighi imposti all’impresa esternalizzante, identificando in quest’ultima il soggetto tenuto a verificare ed adottare le misure previste dal Regolamento. Non deve infatti trascurarsi che avendo l’IVASS il potere di vigilare anche sui soggetti terzi (cd. Service providers), la previsione finisce per individuare nell’Outsourcer il principale, se non l’unico, interlocutore dell’Autorità, attribuendole un ruolo – latu sensu – di ausiliario di vigilanza alla stregua di quanto previsto in materia di gruppo assicurativo.


4. Le funzioni o attività essenziali o importanti e quelle fondamentali

Nell’attuale assetto delineato dal Regolamento n. 38/2018 è dettato – in linea con le indicazioni di rango comunitario – un regime differenziato a seconda che oggetto di esternalizzazione siano funzioni o attività essenziali o importanti, funzioni fondamentali ovvero funzioni o attività diverse. Per le prime due categorie è delineato un regime speciale e rafforzato, mentre per la terza è previsto solo un obbligo di comunicazione preventiva all’IVASS nel caso in cui il fornitore sia residente fuori dallo Spazio Economico Europeo (SEE). In particolare, l’art. 2, comma 1, lett. c), del Regolamento n. 38/2018 definisce “attività o funzione essenziale o importante”, l’attività o funzione la cui mancata o anomala esecuzione comprometterebbe gravemente la capacità dell’impresa di continuare a conformarsi alle condizioni richieste per la conservazione dell’autorizzazione all’esercizio, oppure i propri risultati finanziari, la propria stabilità o continuità e qualità dei servizi resi agli assicurati. Trattandosi di una definizione di principio, le esemplificazioni contenute nella Relazione al Regolamento n. 38 – con riguardo alla “funzione antifrode”, alla “progettazione di prodotti assicurativi con la relativa definizione delle tariffe”, alla “gestione degli investimenti”, alla “gestione dei sinistri”, alla “gestione dei reclami”, alla “prestazione regolare e costante supporto di natura contabile”, alla “prestazione dei servizi di Information and Telecommunication Technology” e al “processo Own Risk and Solvency Assessment (ORSA)” – risultano particolarmente utili ai fini dell’individuazione delle attività che possono concretamente ritenersi incluse nella predetta categoria [6]. Soccorrono, inoltre, i già citati Orientamenti EIOPA sul sistema di governance, laddove si precisa che “L’impresa dovrebbe accertare e documentare se la funzione o attività esternalizzata è una funzione essenziale o importante valutando se essa sia indispensabile per la propria operatività, nel senso che, senza tale funzione o attività, l’impresa non sarebbe in grado di fornire i propri servizi agli assicurati”. Ai sensi [continua ..]


5. La responsabilità sulle attività esternalizzate

Come detto in precedenza, l’articolo 30-septies CAP ribadisce la “piena” responsabilità in capo all’impresa delle attività (o funzioni) e degli obblighi ad esse collegate anche in caso di esternalizzazione. Al riguardo, il Codice pone in capo all’organo amministrativo, nella propria collegialità, innanzi tutto il rispetto del titolo III, dedicato alle norme per l’esercizio dell’attività assicurativa, ove all’articolo 29-bis si afferma che il CdA ha «la responsabilità̀ ultima dell’osservanza delle norme legislative, regolamentari e delle norme europee direttamente applicabili». Su tali basi, mi sembra quindi confermato quanto detto in precedenza, vale a dire che nel caso di esternalizzazione si configura in capo all’organo amministrativo una sorta di responsabilità per l’attività o atti di terzi (i cd. Service providers). Il tema della responsabilità per le attività esternalizzate viene ripreso e precisato nel Regolamento IVASS n. 38, che all’articolo 60 co 3 del nuovo Regolamento afferma, innanzi tutto, che in caso di esternalizzazione non vi è alcun esonero delle proprie responsabilità per gli organi sociali e per l’alta direzione. L’art. 5 individua in ogni caso negli amministratori i responsabili ultimi del governo societario assicurandone l’affidabilità, la funzionalità e l’effi­ca­cia anche se parte delle attività sono esternalizzate. Al riguardo, è compito del CdA individuare, formalizzandone anche i compiti, uno o più responsabili interni per l’attività di controllo sull’attività del service provider inerente alla funzione affidata, fermo restando che la scelta del numero di responsabili si basa sul principio di proporzionalità. In caso di esternalizzazione di funzioni fondamentali, deve essere inoltre nominato un “titolare della funzione” – da scegliere all’interno del proprio organico – le cui funzioni sono definite dall’art. 63 co. 3 Reg. Tale figura deve essere nominata, ai sensi dell’art. 28 Reg., anche se la funzione fondamentale viene svolta all’interno dell’impresa. La previsione di un titolare della funzione responsabile della funzione fondamentale nella sua interezza, anche se [continua ..]


6. L’accordo di esternalizzazione e la scelta del Service Provider

La disciplina regolamentare del contratto di esternalizzazione è piuttosto articolata, riguardando profili di forma, contenuto ed effetti nonché i relativi rimedi e le necessarie misure di gestione dei rischi connessi. In base all’art. 274, comma 3, lett. c) del Regolamento delegato, l’ac­cordo di esternalizzazione deve essere innanzi tutto concluso per iscritto e definire chiaramente i diritti e gli obblighi rispettivi dell’impresa e del fornitore di servizi. L’art. 274, comma 4, del Regolamento delegato individua, inoltre, i contenuti minimi di tale accordo in termini di doveri e responsabilità di entrambe le parti coinvolte, di impegno del fornitore di servizi di conformarsi a tutte le disposizioni legislative, agli obblighi regolamentari e agli orientamenti applicabili nonché alle politiche approvate dall’impresa di assicurazione o di riassicurazione e a collaborare con l’autorità di vigilanza dell’impresa in riferimento alla funzione o attività esternalizzata, di obbligo del fornitore di servizi di comunicare qualsiasi sviluppo che potrebbe incidere in modo rilevante sulla sua capacità di eseguire le funzioni e attività esternalizzate in maniera efficace e in conformità della normativa e dei requisiti vigenti, dovendo pure indicare un periodo di preavviso per la disdetta del contratto da parte del fornitore di servizi che sia sufficientemente lungo per consentire al­l’impresa di assicurazione o di riassicurazione di trovare una soluzione alternativa. Sempre sul piano della sua regolamentazione contrattale, deve essere pre­vista la possibilità per l’impresa di assicurazione o di riassicurazione di disdire, se necessario, l’accordo di esternalizzazione, senza che ciò vada a detrimento della continuità e della qualità della prestazione di servizi ai contraenti. L’impresa di assicurazione o di riassicurazione deve, inoltre, riservarsi il diritto di essere informata in merito alle funzioni e attività esternalizzate e al loro svolgimento da parte del fornitore di servizi, nonché il diritto di emanare orientamenti generali e istruzioni individuali nei confronti del fornitore sulle modalità di svolgimento delle funzioni o attività esternalizzate. Il contratto deve necessariamente prevedere: – l’obbligo del fornitore di servizi di proteggere le [continua ..]


7. I controlli dell’impresa sulle attività esternalizzate

Il sistema dei controlli interni dell’impresa di assicurazione pone in capo ad essa (e, quindi, all’organo amministrativo che ne è posto al vertice) l’obbligo di garantire che l’esternalizzazione non comporti una diminuzione degli standard di controllo sulle attività cedute al fornitore. In particolare, l’art. 65 del Regolamento n. 38/2018 prescrive a tal fine che: a) il sistema di governo societario deve assicurare che i controlli vengano svolti secondo standard analoghi a quelli che sarebbero osservati se le stesse fossero svolte direttamente dall’impresa; b) i rischi specifici connessi all’esternalizzazione devono essere inclusi nella politica di gestione dei rischi; c) devono essere adottati dall’impresa idonei presidi organizzativi e contrattuali che consentano di: – monitorare costantemente le attività esternalizzate, la loro conformità a norme di legge, ai regolamenti e alle direttive e procedure aziendali, ai termini dell’accordo di esternalizzazione, nonché il rispetto dei limiti operativi e dei limiti di tolleranza al rischio fissati dall’impresa; – intervenire tempestivamente ove il fornitore non rispetti gli impegni assunti o la qualità del servizio fornito sia carente. In caso di esternalizzazione di attività o funzioni essenziali o importanti, l’impresa è inoltre tenuta ad adottare idonee misure di business continuity per assicurare la continuità dell’attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività, in linea con la politica di esternalizzazione di cui all’art. 61 del Regolamento n. 38/2018.


8. L’informativa all’IVASS

La normativa regolamentare prevede una disciplina dei controlli differenziata a seconda che il contratto di esternalizzazione: riguardi attività essenziali o importanti, funzioni fondamentali o altre attività. Nel caso di esternalizzazione di attività essenziali o importanti ad un fornitore con sede legale nello SEE, l’art. 67, comma 1, del Regolamento n. 38/2018 prescrive che le imprese sono tenute a informare preventivamente l’IVASS, almeno 60 giorni prima della data di esecuzione del contratto, mediante comunicazione scritta che contiene le informazioni indicate nel­l’Al­le­gato 2 del Regolamento n. 38/2018 in tema di: (i) oggetto dell’attività esternalizzata; (ii) fornitore di servizi; (iii) durata del contratto; (iv) corrispettivo; (v) luogo in cui si svolge l’attività esternalizzata. oltre ad una relazione che descriva in modo analitico le attività affidate, la scelta del fornitore e le motivazioni sottostanti. Se l’esternalizzazione di attività essenziali o importanti avviene nei confronti di un fornitore ricompreso tra le società di cui all’art. 210-ter, comma 2, del Codice, è previsto l’obbligo per l’impresa di darne preventiva comunicazione all’IVASS almeno 45 giorni prima dell’esecuzione del contratto indicando fornitore, motivazioni, attività e durata del contratto. Nelle ipotesi sopra indicate l’IVASS può comunicare entro il termine indicato dall’art. 67, co 5, del Regolamento n. 38/2018 l’esistenza di e­ventuali motivi ostativi. Nei predetti casi, la comunicazione iniziale deve, inoltre, essere integrata dalla tempestiva comunicazione di cambiamenti rilevanti che incidono sul servi­zio reso dal fornitore, nonché della cessazione del contratto di esternalizzazione. Infine, nel caso in cui oggetto di esternalizzazione siano funzioni o attività diverse da quelle essenziali o importanti e da quelle fondamentali, l’art. 69 del Regolamento n. 38/2018 si limita a prevedere un obbligo di comunicazione all’IVASS: – preventiva, in caso di fornitore residente fuori dallo SEE; – successiva (nell’ambito della informativa trasmessa ai sensi dell’art. 216-octies del Codice e delle relative disposizioni di attuazione), qualora l’e­sternalizzazione avvenga nei confronti di un fornitore ricompreso tra le [continua ..]


9. Valutazioni conclusive

L’impostazione seguita dal legislatore europeo e nazionale, trasfuso e precisato nelle norme di rango secondario, rendono ragione dell’esigenza, fortemente avvertita, di tutelare adeguatamente le funzioni di vigilanza in un ambito che, ove non adeguatamente presidiato, potrebbe altrimenti non garantire la prudente gestione dell’impresa di assicurazione. L’estremo dettaglio della disciplina sin qui esaminata, infatti, sembra confermare non solo quanto emerge da una lettura coordinata degli orientamenti espressi a questo specifico proposito dal­l’EIOPA, ma la centralità del­l’esi­genza di non fare perdere identità al core business assicurativo e di garantire, in tal modo, all’IVASS un adeguato presidio non solo della corretta regolamentazione contrattuale di tale tipo di accordi nella loro fase genetica ma soprattutto di una loro esecuzione trasparente. Si assiste, al riguardo, ad un incremento dei poteri dell’IVASS che certo non è ingiustificato, stante la dichiarata finalità di evitare che l’impresa assicurativa finisca per perdersi in una serie di interposizioni non adeguatamente presidiate e/o verificabili. Al riguardo, e conclusivamente, il quadro normativo che ci si è sforzati di riassumere e ricostruire – ovviamente senza alcuna pretesa di completezza – mi sembra un punto di approdo, e non una tappa intermedia di un trend oramai irreversibile, anche perché maturo.


NOTE