di Edoardo Lacava e Valentina Magri
Gli Imel (istituti di moneta elettronica), così come gli altri intermediari vigilati, possono effettuare l’esternalizzazione di funzioni operative. Tale scelta può rispondere a varie necessità, tra cui, esigenze di flessibilità, di competenze specialistiche, di time to market, nonché, spesso, di ridurre i costi correlati all’assunzione di personale specializzato e alle risorse infrastruttura. Tuttavia, tale decisione comporta inevitabilmente dei rischi.
In particolare, «un Imel operante in un contesto fintech dovrebbe considerare le seguenti principali categorie di rischio, ossia: rischi operativi, legali, Esg e reputazionale, passando per quello informatico», avverte Giulia Moratti, head of legal and corporate affairs di UnipolPay, startup fintech del gruppo assicurativo Unipol. La gestione dei rischi negli Imel sarà approfondita mercoledì 15 maggio a Milano al Finance Forum di TopLegal. L’evento è sostenuto dal media partner Italia Economy e supportato da Amf Italia. Tra i relatori anche Giulia Moratti.
A suo avviso, prima di stipulare un accordo di outsourcing e in corso di rapporto, un Imel dovrebbe porre particolare attenzione alle attività che potrebbero avere un impatto sostanziale sul core business dell’istituto e a quelle che comportano rischi di conformità significativi. «Pertanto, oltreché svolgere un’accurata due diligence sui possibili outsourcer (in termini sia di background reputazionale e strategico, sia di prestazioni e condizioni finanziarie, sia, infine, di controlli interni), un Imel dovrebbe prevedere negli accordi di esternalizzazione un livello di sorveglianza e controlli commisurato alla natura, all’importanza e alla rischiosità delle attività esternalizzate», ammonisce Moratti.
Inoltre, dal 17 gennaio 2025 nei paesi membri dell’Ue sarà vincolante il Digital Operational Resilience Act (Dora), che, con riferimento alla gestione del rischio Ict di terze parti, a prescindere che i relativi accordi si configurino o meno come esternalizzazioni, richiede agli intermediari vigilati di condurre un’accurata due diligence sul fornitore (sia preventiva sia in corso di rapporto) e l’integrazione di requisiti di sicurezza nei contratti, nonché misure di contingenza in caso di risoluzione degli stessi.
Le fintech hanno tendenza a stringere partnership con soggetti terzi per offrire nuovi servizi ai clienti. Questo pone delle criticità che pongono a livello normativo e contrattuale. «I rischi principali del settore in cui operiamo possono essere: rischio di non conformità normativa, la Gdpr, la reputazione, i rischi Esg (Environmental, Social e Governance) e il rischio legale», conclude Moratti.
Giulia Moratti sarà relatrice al Finance Forum di TopLegal. Clicca qui per iscriverti gratuitamente
I contenuti dell'articolo riflettono le opinioni personali degli autori e non necessariamente quelle degli enti di appartenenza
