Organismi di vigilanza AMF (Autorité des Marchés Financiers) e ACPR (Autorité de Contrôle Prudentiel et de Résolution) in FranciaFinancial Authority (AMF) and Prudential Authority (ACPR) France

Informazioni sugli organismi di vigilanza AMF e ACPRAbout the AMF and ACPR

Gli organismi (AMF (Autorité des Marchés Financiers)) e (ACPR (Autorité de Contrôle Prudentiel et de Résolution)) sono i principali garanti delle attività finanziarie in Francia.The Financial Authority (Autorité des Marchés Financiers, AMF) and the Prudential Authority (Autorité de Contrôle Prudentiel et de Résolution, ACPR) are the primary financial regulators in France. In qualità di garante del mercato azionario, l'AMF è responsabile della supervisione dei mercati finanziari e delle società di investimento.In its capacity as the stock market regulator, the AMF is responsible for the supervision of financial markets and investment firms. L'ACPR, un organismo di controllo indipendente che fa capo alla banca centrale, la Banque de France, supervisiona il settore bancario ed assicurativo.The ACPR, an independent administrative authority under the central bank, the Banque de France, supervises the banking and insurance sectors.

L'AMF e l'ACPR operano unitamente all’Autorità bancaria europea (ABE), "un'autorità indipendente dell'Unione europea (UE), che opera per assicurare un livello di regolamentazione e di vigilanza efficace e uniforme nel settore bancario europeo".The AMF and ACPR act in concert with the European Banking Authority (EBA), “an independent EU authority, which works to ensure effective and consistent prudential regulation and supervision across the European banking sector.” A tal fine, l'ABE ha definito un approccio globale relativo all'uso del cloud computing da parte degli istituti finanziari dell'UE, le Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud.To that end, the EBA has outlined a comprehensive approach to the use of cloud computing by financial institutions in the EU, Recommendations on outsourcing to cloud services providers.

Esistono diversi requisiti e linee guida in Francia di cui gli istituti finanziari devono essere a conoscenza riguardo il passaggio di funzioni e dati aziendali verso il cloud:There are several requirements and guidelines that financial institutions in France should be aware of when moving operational functions to the cloud:

  • Il Regolamento generale dell'AMF (lingua francese e lingua inglese) definisce le regole e le procedure per l'applicazione della normativa in materia finanziaria.The AMF General Regulation (French and English) sets rules and procedures to enforce financial legislation. In particolare, l'articolo 313-75 stabilisce le condizioni che devono essere applicate ai contratti che gli istituti finanziari stipulano con i fornitori di servizi cloud.In particular, Article 313-75 sets forth conditions that must be reflected in contracts that financial institutions enter into with cloud service providers.
  • L'ACPR ha pubblicato il documento The risks associated with cloud computing (I rischi associati al cloud computing) (lingua francese e lingua inglese), che incoraggia le organizzazioni sotto la supervisione dell'ACPR a prendere misure adeguate per gestire i rischi quando esternalizzano le proprie funzioni aziendali nel cloud.ACPR published The risks associated with cloud computing (French and English), which encourages organizations under ACPR supervision to take suitable measures to manage risk when they outsource business functions to the cloud. Inoltre, l'articolo 239 dell'Ordinanza ACPR del 3 novembre 2014, relativa al controllo interno delle aziende (lingua francese) sotto la supervisione ACPR, definisce inoltre le condizioni obbligatorie da includere nei contratti con i fornitori di servizi cloud.In addition, Article 239 in the ACPR Order of 3 November 2014 on the internal control of companies (French) under ACPR supervision also specifies mandatory terms to be included in contracts with cloud service providers.
  • In alcuni casi, gli istituti regolamentati devono inviare una notifica ad AMF e ACPR riguardanti gli accordi di esternalizzazione dei materiali, in particolare se rischiano di avere un impatto significativo sulle operazioni aziendali.In certain cases, regulated institutions must notify the AMF and ACPR regarding material outsourcing arrangements, particularly if they have the potential to significantly impact their business operations.
  • Nel suo ruolo di autorità garante in Francia, il CNIL (Commission Nationale de l’Informatique et des Libertés) ha pubblicato diverse linee guida relative al cloud computing, incluse le raccomandazioni per aziende che intendono utilizzare i servizi di cloud computing (lingua francese e lingua inglese).In its role as the data protection authority for France, the CNIL (Commission Nationale de l’Informatique et des Libertés) has issued many cloud computing guidelines, including Recommendations for companies planning to use cloud computing services (French and English).

Microsoft e gli organismi AMF e ACPRMicrosoft and the AMF and ACPR

Per aiutare gli istituti finanziari in Francia a valutare l'esternalizzazione delle funzioni aziendali nel cloud, Microsoft ha pubblicato Navigating your way to the cloud: a checklist for financial institutions in France (Come orientarsi nel cloud: elenco di controllo della conformità per gli istituti finanziari in Francia).To help guide financial institutions in France considering outsourcing business functions to the cloud, Microsoft has published Navigating your way to the cloud: a checklist for financial institutions in France. Le organizzazioni finanziarie, esaminando e completando l'elenco di controllo, possono adottare i servizi cloud aziendali di Microsoft con la certezza di essere conformi ai requisiti normativi applicabili.By reviewing and completing the checklist, financial organizations can adopt Microsoft business cloud services with the confidence that they are complying with applicable regulatory requirements.

Quando gli istituti finanziari in Francia esternalizzano le attività aziendali nel cloud, essi devono conformarsi ai requisiti AMF e ACPR nell'ambito dell'ampio quadro normativo dell'ABE (Autorità bancaria europea).When financial institutions in France outsource business activities to the cloud, they must comply with the requirements of the Financial Authority (AMF) and Prudential Authority (ACPR) of France within the broad policy framework of the European Banking Authority (EBA). In particolare, devono conoscere l'articolo 313-75 del Regolamento generale AMF e le Linee guida ACPR sui rischi per il cloud computing e i requisiti obbligatori per i contratti stipulati con i fornitori di servizi cloud.In particular, they must be aware of Article 313-75 of the AMF General Regulation, and the ACPR guidelines on cloud computing risks and its mandatory requirements for contracts with cloud service providers.

L'elenco di controllo di Microsoft consente agli istituti finanziari in Francia di eseguire valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:The Microsoft checklist helps French financial firms conducting due-diligence assessments of Microsoft business cloud services and includes:

  • Informazioni generali sul panorama normativo a scopo di contestualizzazione.An overview of the regulatory landscape for context.
  • Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi.A checklist that sets forth the issues to be addressed and maps Microsoft Azure, Microsoft Dynamics 365, and Microsoft 365 services against those regulatory obligations. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.The checklist can be used as a tool to measure compliance against a regulatory framework and provide an internal structure for documenting compliance, and help customers conduct their own risk assessments of Microsoft business cloud services.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Come eseguire l'implementazioneHow to implement

Domande frequentiFrequently asked questions

È richiesta l'approvazione da parte delle autorità competenti?Is regulatory approval required?

La pubblicazione dell'ABE, [Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), definisce un approccio globale all'esternalizzazione da parte degli istituti finanziari nella UE.The EBA publication, [Recommendations on outsourcing to cloud services providers](https://eba.europa.eu/sites/default/documents/files/documents/10180/1848359/c1005743-567e-40fc-a995-d05fb93df5d1/Draft%20Recommendation%20on%20outsourcing%20to%20Cloud%20Service%20%20%28EBA-CP-2017-06%29.pdf /5fa5cdde-3219-4e95-946d-0c0d05494362), outlines a comprehensive approach to material outsourcing by financial institutions in the EU. Inoltre, in alcuni casi, le società finanziarie devono inviare una notifica all'AMF o all'ACPR sui relativi accordi di esternalizzazione, come descritto nelle pagine 8 e 9 dell'elenco di controllo.Also, in certain instances, financial firms must notify the AMF or ACPR of their outsourcing arrangements, as described on pages 8 and 9 of the checklist. Anche se è improbabile che tali circostanze si applichino all'uso dei servizi cloud Microsoft, i servizi finanziari devono verificarne l'applicabilità esaminando l'elenco di controllo.While it is unlikely these circumstances would apply to the use of Microsoft cloud services, financial services should verify their applicability by reviewing the checklist.

Devono essere incluse clausole obbligatorie nel contratto con il fornitore dei servizi cloud?Are there any mandatory terms that must be included in the contract with the cloud services provider?

Sì.Yes. L'articolo 239 dell'Ordinanza ACPR del 3 novembre 2014 e l'articolo 313-75 del Regolamento Generale AMF stabiliscono le condizioni che devono essere applicate ai contratti che gli istituti finanziari stipulano con i fornitori di servizi cloud.Article 239 of the ACPR Order of 3 November 2014 and Article 313-75 of the AMF General Regulation set forth conditions that must be reflected in contracts that financial institutions enter into with cloud service providers. La Parte 2 dell'elenco di controllo di Microsoft (pagina 62) associa le sezioni nei documenti contrattuali Microsoft in cui vengono trattate.Part 2 of the Microsoft checklist (page 62) maps these against the sections in Microsoft contractual documents where they are addressed.

RisorseResources