Art. 6
Esternalizzazione
I gestori valutano i profili di efficienza e di rischio connessi
con l'esternalizzazione di funzioni rilevanti per l'offerta del
servizio. Qualora decidano di esternalizzare funzioni rilevanti, i
gestori ne assicurano il controllo e ne mantengono la
responsabilita'.
Nel decidere il ricorso all'esternalizzazione, i gestori valutano i
costi e i benefici di tale scelta e stabiliscono i criteri da seguire
per l'individuazione del fornitore avendo, tra l'altro, riguardo a:
i) le politiche e procedure utilizzate dal fornitore per garantire la
disponibilita', riservatezza, l'integrita' e il non ripudio dei dati;
ii) l'adozione di metodi robusti per pianificare l'intero ciclo di
vita delle tecnologie utilizzate e per selezionare gli standard
tecnologici; iii) le procedure utilizzate per rilevare e recuperare
informazioni in relazione a malfunzionamenti e incidenti operativi e
di sicurezza informatica, nonche' reagire a tali eventi; iv) adeguati
piani di ripresa e di disaster recovery verificati a cadenza
appropriata; v) gli assetti organizzativi adottati per
l'identificazione e la gestione dei rischi e le relative linee di
responsabilita'.
Inoltre, i gestori assicurano che il contratto di esternalizzazione
definisca: i) i diritti, gli obblighi e le responsabilita' delle
parti coinvolte, anche nei confronti dei partecipanti al sistema; ii)
la disciplina dei livelli di servizio e le penali in caso di mancato
rispetto; iii) le caratteristiche dei flussi informativi che il
fornitore e' tenuto periodicamente a trasmettere al gestore; iv) le
modalita' di accesso del gestore e della Banca d'Italia alle
informazioni disponibili presso il fornitore; v) le misure
alternative per minimizzare l'impatto in caso di fallimento del
fornitore e quelle previste per la sua sostituzione o per la
successiva reinternalizzazione delle attivita'.
I gestori verificano l'adempimento del contratto di
esternalizzazione e monitorano l'attivita' del fornitore in modo da
assicurare la costante qualita' dei servizi esternalizzati.