Organismi di vigilanza AMF (Autorité des Marchés Financiers) e ACPR (Autorité de Contrôle Prudentiel et de Résolution) in Francia

  • Articolo

Informazioni sugli organismi di vigilanza AMF e ACPR

Gli organismi (AMF (Autorité des Marchés Financiers)) e (ACPR (Autorité de Contrôle Prudentiel et de Résolution)) sono i principali garanti delle attività finanziarie in Francia. In qualità di garante del mercato azionario, l'AMF è responsabile della supervisione dei mercati finanziari e delle società di investimento. L'ACPR, un organismo di controllo indipendente che fa capo alla banca centrale, la Banque de France, supervisiona il settore bancario ed assicurativo.

L'AMF e il ACPR agiscono di concerto con l'Autorità bancaria europea (ABE), "un'autorità indipendente dell'UE, che opera per garantire una regolamentazione e una vigilanza prudenziali efficaci e coerenti nel settore bancario europeo". A tal fine, l'ABE ha definito un approccio globale relativo all'uso del cloud computing da parte degli istituti finanziari dell'UE, le Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud.

Esistono diversi requisiti e linee guida in Francia di cui gli istituti finanziari devono essere a conoscenza riguardo il passaggio di funzioni e dati aziendali verso il cloud:

  • Il Regolamento generale dell'AMF (lingua francese e lingua inglese) definisce le regole e le procedure per l'applicazione della normativa in materia finanziaria. In particolare, l'articolo 313-75 stabilisce le condizioni che devono essere applicate ai contratti che gli istituti finanziari stipulano con i fornitori di servizi cloud.
  • L'ACPR ha pubblicato il documento The risks associated with cloud computing (I rischi associati al cloud computing) (lingua francese e lingua inglese), che incoraggia le organizzazioni sotto la supervisione dell'ACPR a prendere misure adeguate per gestire i rischi quando esternalizzano le proprie funzioni aziendali nel cloud. Inoltre, l'articolo 239 dell'Ordinanza ACPR del 3 novembre 2014, relativa al controllo interno delle aziende (lingua francese) sotto la supervisione ACPR, definisce inoltre le condizioni obbligatorie da includere nei contratti con i fornitori di servizi cloud.
  • In alcuni casi, gli istituti regolamentati devono inviare una notifica ad AMF e ACPR riguardanti gli accordi di esternalizzazione dei materiali, in particolare se rischiano di avere un impatto significativo sulle operazioni aziendali.
  • Nel suo ruolo di autorità garante in Francia, il CNIL (Commission Nationale de l’Informatique et des Libertés) ha pubblicato diverse linee guida relative al cloud computing, incluse le raccomandazioni per aziende che intendono utilizzare i servizi di cloud computing (lingua francese e lingua inglese).

Microsoft e gli organismi AMF e ACPR

Per aiutare gli istituti finanziari in Francia a valutare l'esternalizzazione delle funzioni aziendali nel cloud, Microsoft ha pubblicato Navigating your way to the cloud: a checklist for financial institutions in France (Come orientarsi nel cloud: elenco di controllo della conformità per gli istituti finanziari in Francia). Esaminando e completando l'elenco di controllo, le organizzazioni finanziarie possono adottare i servizi cloud aziendali Microsoft con la certezza che siano conformi ai requisiti normativi applicabili.

Quando gli istituti finanziari in Francia esternalizzano le attività aziendali nel cloud, essi devono conformarsi ai requisiti AMF e ACPR nell'ambito dell'ampio quadro normativo dell'ABE (Autorità bancaria europea). In particolare, devono conoscere l'articolo 313-75 del Regolamento generale AMF e le Linee guida ACPR sui rischi per il cloud computing e i requisiti obbligatori per i contratti stipulati con i fornitori di servizi cloud.

L'elenco di controllo di Microsoft consente agli istituti finanziari in Francia di eseguire valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:

  • Informazioni generali sul panorama normativo a scopo di contestualizzazione.
  • Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Come eseguire l'implementazione

Domande frequenti

È richiesta l'approvazione da parte delle autorità competenti?

La pubblicazione dell'ABE, [Raccomandazioni sull'esternalizzazione ai provider di servizi cloud](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), delinea un approccio completo all'esternalizzazione materiale da parte degli istituti finanziari nell'UE. Inoltre, in alcuni casi, le società finanziarie devono inviare una notifica all'AMF o all'ACPR sui relativi accordi di esternalizzazione, come descritto nelle pagine 8 e 9 dell'elenco di controllo. Anche se è improbabile che queste circostanze si applichino all'uso dei servizi cloud Microsoft, i servizi finanziari devono verificarne l'applicabilità esaminando l'elenco di controllo.

Devono essere incluse condizioni obbligatorie nel contratto con il provider dei servizi cloud?

Sì. L'articolo 239 dell'Ordinanza ACPR del 3 novembre 2014 e l'articolo 313-75 del Regolamento Generale AMF stabiliscono le condizioni che devono essere applicate ai contratti che gli istituti finanziari stipulano con i fornitori di servizi cloud. La parte 2 dell'elenco di controllo Microsoft (pagina 62) esegue il mapping di questi elementi alle sezioni dei documenti contrattuali Microsoft in cui sono indirizzati.

Risorse