Autorità di vigilanza finanziaria (KNF) della PoloniaFinancial Supervision Authority (KNF) Poland

Informazioni sulla KNFAbout the KNF

L’Autorità di vigilanza finanziaria (Komisja Nadzoru Finansowego, KNF) è l'ente regolatore finanziario della Polonia, responsabile della supervisione del mercato finanziario, che include la supervisione di banche, mercati dei capitali, assicurazioni, regimi pensionistici ed istituti di moneta elettronica.The Polish Financial Supervision Authority (Komisja Nadzoru Finansowego, KNF) is the financial regulatory authority in Poland, responsible for supervision of the financial market, which includes oversight over banking, capital markets, insurance, pension schemes, and electronic money institutions.

Il KNF opera unitamente all’Autorità bancaria europea (EBA), "un'autorità indipendente dell'Unione europea (UE), che opera per assicurare un livello di regolamentazione e di vigilanza prudenziale efficace e uniforme nel settore bancario europeo".The KNF acts in concert with the European Banking Authority (EBA), “an independent EU authority, which works to ensure effective and consistent prudential regulation and supervision across the European banking sector.” A tal fine, l'EBA ha definito un approccio globale all'uso del cloud computing da parte delle istituzioni finanziarie dell'UE, le Raccomandazioni in materia di esternalizzazione ai fornitori di servizi cloud.To that end, the EBA has outlined a comprehensive approach to the use of cloud computing by financial institutions in the EU, Recommendations on outsourcing to cloud services providers.

Sono previsti diversi requisiti e linee guida di cui gli istituti finanziari in Polonia devono essere a conoscenza al momento del passaggio di funzioni e dati aziendali verso il cloud:There are several requirements and guidelines that financial institutions in Poland should be aware of when moving business functions and data to the cloud:

  • Il Banking Act del 1997 (in polacco e in inglese) non disciplina direttamente i servizi cloud, ma stabilisce invece i requisiti legali per l'esternalizzazione delle operazioni bancarie, tra cui le modalità di trattamento delle informazioni personali.The Banking Act of 1997 (Polish and English) does not regulate cloud services directly but instead sets out legal requirements for outsourcing banking operations including how personal information can be processed. I servizi cloud potrebbero essere oggetto delle disposizioni del Banking Act se i servizi esternalizzati sono di importanza fondamentale per la banca o se l'esternalizzazione comporta l'accesso del fornitore di servizi cloud a dati riservati a cui si applicano i requisiti di segreto bancario.Cloud services could be subject to Banking Act provisions if the outsourced services are of key significance for the bank, or if outsourcing involves giving the service provider access to sensitive data that is subject to banking secrecy requirements.
  • La comunicazione, rilasciata dall'ufficio della KNF nel 2017, include un elenco di controllo e un piano d'azione dettagliati per le istituzioni disciplinate che intendono spostare le proprie funzioni aziendali nel cloud.The Announcement, issued by the KNF Office in 2017, provides a detailed checklist and action plan for regulated institutions that intend to move business functions to the cloud.
  • La Raccomandazione D: Gestione delle tecnologie dell'informazione e Sicurezza dell’ambiente ICT nelle banche definisce le aspettative della KNF per la gestione prudenziale della sicurezza informatica da parte delle banche, soprattutto per quanto riguarda la gestione dei rischi.Recommendation D: Management of Information Technology and ICT Environment Security at Banks defines KNF expectations for prudent IT security management by banks, particularly as to how they manage risk. La KNF ha stipulato 22 raccomandazioni sulle procedure consigliate sulla sicurezza e ha pubblicato delle linee guida analoghe per le compagnie assicurative, le imprese di investimento e le società di previdenza generale.The KNF makes 22 recommendations for best security practices and has issued comparable guidelines for insurance companies, investment firms, and general pension companies.

Inoltre, l'uso dei servizi cloud da parte degli istituti finanziari deve essere conforme alla legge sulla protezione dei dati personali della Polonia del 1997, che è fondamentale per il trattamento dei dati personali.In addition, the use of cloud services by financial institutions must comply with Poland’s Personal Data Protection Act of 1997, which is fundamental to the processing of personal data. Per renderla conforme al GDPR, questa legge è stata modificata verso la fine del 2018 dalla Legge sulla facilitazione delle prestazioni delle attività aziendali (polacco) ed entrerà in vigore a partire dal 1° gennaio 2019.To align with the GDPR, it was amended in late 2018 by the Act on Facilitation of Performance of Business Activity (Polish) and will take effect 1 January 2019.

Microsoft e la KNFMicrosoft and the KNF

Per aiutare le istituzioni finanziarie in Polonia a valutare l'esternalizzazione delle funzioni aziendali verso il cloud, Microsoft ha pubblicato Orientarsi nel cloud: un elenco di controllo della conformità per le istituzioni finanziarie in Polonia.To help guide financial institutions in Poland considering outsourcing business functions to the cloud, Microsoft has published Navigating your way to the cloud: A compliance checklist for financial institutions in Poland. Le organizzazioni finanziarie, mediante l'esame e il completamento dell'elenco di controllo, possono adottare i servizi cloud Microsoft per le aziende con la certezza di rispettare i requisiti normativi applicabili.By reviewing and completing the checklist, financial organizations can adopt Microsoft business cloud services with the confidence that they are complying with applicable regulatory requirements.

Se un istituto finanziario in Polonia esternalizza delle attività commerciali nel cloud, deve rispondere ai requisiti del Banking Act del 1997 e della comunicazione della KNF del 2017 per l'uso dei servizi di trattamento dei dati nel cloud, che rientrano nell’ampio quadro normativo dell'Autorità bancaria europea.When financial institutions in Poland outsource business activities to the cloud, they must address requirements of the Banking Act of 1997 and the 2017 KNF Announcement regarding the use of data processing services in the cloud, both of which fall within the broad policy framework of the European Banking Authority. Inoltre, le società finanziarie che usano servizi cloud devono rispettare la modifica del 2018 per la conformità al GDPR della Legge sulla protezione dei dati personali del 1997, oggi aggiornata per corrispondere alle disposizioni del GDPR.In addition, financial firms using cloud services must comply with the GDPR-aligned 2018 amendment to the Personal Data Protection Act of 1997, now updated to align with the GDPR.

L'elenco di controllo di Microsoft consente alle società finanziarie polacche di svolgere valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:The Microsoft checklist helps Polish financial firms conducting due-diligence assessments of Microsoft business cloud services and includes:

  • Informazioni generali sul panorama normativo a scopo di contestualizzazione.An overview of the regulatory landscape for context.
  • Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi.A checklist that sets forth the issues to be addressed and maps Microsoft Azure, Microsoft Dynamics 365, and Microsoft 365 services against those regulatory obligations. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.The checklist can be used as a tool to measure compliance against a regulatory framework and provide an internal structure for documenting compliance, and help customers conduct their own risk assessments of Microsoft business cloud services.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Come implementareHow to implement

Domande frequentiFrequently asked questions

È richiesta l'approvazione dell’autorità competente?Is regulatory approval required?

No.No. Tuttavia, secondo il Banking Act del 1997, se il fornitore di servizi è basato all'esterno dello spazio economico europeo (SEE) o se le operazioni esternalizzate devono essere implementate all'esterno dello SEE, è necessario che le banche ottengano l'approvazione del KNF prima di stipulare contratti.However, under the Banking Act of 1997, if the service provider is based outside the European Economic Area (EEA) or if outsourced operations are to be implemented outside the EEA, banks must obtain KNF approval before entering into contracts.

Devono essere incluse condizioni obbligatorie nel contratto con il fornitore di servizi cloud?Are there any mandatory terms that must be included in the contract with the cloud services provider?

Sì.Yes. La parte 2 dell’Elenco di controllo di Microsoft (pagina 77) contiene un elenco completo dei requisiti che devono essere inclusi nei contratti con i fornitori di servizi cloud.Part 2 of the Microsoft checklist (page 77) contains a comprehensive list of the requirements that should be included in contracts with cloud service providers.

RisorseResources