Regolamento Commissione Ue 2025/2180/Ue

Commissione europea

Regolamento delegato 12 settembre 2925, n. 2025/2180/Ue

(Guue 30 dicembre 2025)

(Testo rilevante ai fini del See)

La Commissione europea,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (Ue) 2023/2631 del Parlamento europeo e del Consiglio, del 22 novembre 2023, sulle obbligazioni verdi europee e sull'informativa volontaria per le obbligazioni commercializzate come obbligazioni ecosostenibili e per le obbligazioni legate alla sostenibilità1, in particolare l'articolo 23, paragrafo 6, terzo comma, l'articolo 27, paragrafo 2, terzo comma, l'articolo 28, paragrafo 3, terzo comma, e l'articolo 33, paragrafo 7, terzo comma,

considerando quanto segue:

(1) La buona reputazione dell'alta dirigenza e dei membri del Consiglio di amministrazione di un verificatore esterno è di fondamentale importanza al fine di garantire che il verificatore esterno rispetti i suoi obblighi regolamentari. La valutazione della buona reputazione dovrebbe basarsi su informazioni concernenti le precedenti attività di tali persone, comprese informazioni su eventuali condanne penali pertinenti, passati eventi di condotta illecita, negligenza grave, cattiva gestione dei conflitti di interessi o compromissioni dell'indipendenza e dell'obiettività, nonché informazioni sulla loro onestà, integrità e reputazione.

(2) Dato che l'alta dirigenza e i membri del Consiglio di amministrazione sono responsabili delle attività del verificatore esterno, tali soggetti dovrebbero possedere competenze, qualifiche professionali ed esperienza sufficienti. Una valutazione volta a stabilire se tali competenze, qualifiche professionali ed esperienza siano sufficienti dovrebbe tenere conto del curriculum vitae di tutti i membri dell'alta dirigenza e del Consiglio di amministrazione, comprese informazioni aggiornate in materia di istruzione, formazione e carriera professionale. La valutazione dovrebbe inoltre tenere conto della composizione e della diversità complessive dell'alta dirigenza e del Consiglio di amministrazione e delle competenze collettive, delle qualifiche professionali e dell'esperienza dei loro membri, nella misura in cui sono pertinenti per le attività del verificatore esterno e dei rischi ai quali tale verificatore esterno è esposto.

(3) Al fine di salvaguardare la continuità e la regolarità delle verifiche esterne, un verificatore esterno dovrebbe impiegare un numero adeguato di analisti, dipendenti e persone direttamente coinvolti nelle attività di valutazione. A tal fine occorre tenere conto della dotazione di personale del verificatore esterno, inclusi gli analisti, i dipendenti e le persone direttamente coinvolti nelle attività di valutazione. Tali informazioni dovrebbero includere il numero di contratti a tempo indeterminato e a tempo determinato, le probabili attività di valutazione future e i motivi per cui il verificatore esterno ritiene sufficienti le risorse analitiche.

(4) Per garantire la qualità delle verifiche esterne, gli analisti, i dipendenti e le altre persone direttamente coinvolti nelle attività di valutazione dovrebbero possedere livelli adeguati di conoscenze, esperienza e formazione. La valutazione dovrebbe tenere conto dell'istruzione, della formazione e della carriera professionale di tali persone. Inoltre i verificatori esterni dovrebbero mettere in atto piani di formazione e sviluppo per tutti i dipendenti direttamente coinvolti nelle attività di valutazione.

(5) Al fine di garantire che le strutture decisionali provvedano a una gestione sana e prudente del verificatore esterno, i verificatori esterni dovrebbero disporre di disposizioni di governance che specifichino l'organizzazione, l'ambito di applicazione, la finalità e il funzionamento dei loro organi di governance, quali il Consiglio di amministrazione, l'organismo di sorveglianza e i comitati pertinenti.

(6) Il mantenimento di una struttura organizzativa trasparente ed efficace costituisce anch'esso una componente essenziale di una gestione sana e prudente. Al fine di garantire la trasparenza e l'efficacia della loro struttura organizzativa, i verificatori esterni dovrebbero disporre di linee di riporto, responsabilità e canali di comunicazione chiari che incoraggino la responsabilizzazione e il processo decisionale. Per lo stesso motivo, i verificatori esterni dovrebbero attuare e documentare adeguatamente politiche e procedure appropriate per quanto riguarda le loro strutture di governance, i controlli interni, la continuità operativa, i sistemi di trattamento delle informazioni, la tenuta di registri, l'amministrazione e la contabilità.

(7) Data l'importanza delle funzioni di controllo interno ai fini di una gestione sana e prudente di un verificatore esterno, i verificatori esterni dovrebbero istituire un quadro di controllo interno che garantisca che le persone responsabili dell'esercizio di tale funzione dispongano di poteri adeguati e che vi sia una separazione chiara rispetto alle linee di business che stanno supervisionando.

(8) Al fine di garantire una gestione sana e prudente nel rispetto dei loro obblighi a norma del regolamento (Ue) 2023/2361, i verificatori esterni dovrebbero assicurare che le politiche e le procedure necessarie per conformarsi a tale regolamento siano approvate dal loro Consiglio di amministrazione.

(9) Il quadro di gestione dei conflitti di interessi di un verificatore esterno dovrebbe contenere una politica globale in materia di conflitti di interessi approvata dal Consiglio di amministrazione e un inventario dei conflitti di interessi. La politica in materia di conflitti di interessi dovrebbe contenere procedure di gestione dei rischi e controlli volti a individuare, eliminare o gestire e comunicare in modo trasparente i conflitti di interessi effettivi o potenziali. Tale politica dovrebbe inoltre individuare i conflitti di interessi che il verificatore esterno ritiene debbano essere gestiti o comunicati in modo trasparente e quali conflitti di interessi debbano essere eliminati. Inoltre tale politica dovrebbe prevedere una vigilanza e una gestione adeguate delle situazioni in cui il giudizio professionale o il processo decisionale possono essere compromessi.

(10) I verificatori esterni dovrebbero valutare se i prestatori di servizi terzi abbiano la capacità di svolgere attività di valutazione in modo affidabile e professionale. A tale riguardo i verificatori esterni dovrebbero valutare se le competenze e la disponibilità del prestatore di servizi terzo siano adeguate alle attività esternalizzate. A tal fine i verificatori esterni dovrebbero tenere conto di elementi chiave relativi al prestatore di servizi terzo e all'accordo di esternalizzazione, quali il suo modello di business, le qualifiche del suo personale, il quadro di controllo, l'uso dell'automazione e della tecnologia nelle attività di valutazione esternalizzate e la sua conformità alla normativa.

(11) I verificatori esterni dovrebbero garantire che l'esternalizzazione delle attività di valutazione non comprometta sostanzialmente la qualità del loro controllo interno. A tale proposito, i verificatori esterni dovrebbero valutare l'entità della loro dipendenza dal prestatore di servizi terzo e dovrebbero essere responsabili della funzione di monitoraggio dei rischi derivanti dall'esternalizzazione, in particolare per quanto riguarda i Paesi terzi. I verificatori esterni dovrebbero applicare controlli interni al fine di garantire che siano in atto disposizioni adeguate in relazione alla qualità del servizio fornito dal prestatore di servizi terzo. I verificatori esterni dovrebbero mettere in atto pratiche adeguate in relazione alla documentazione e alla tenuta di registri da parte dei prestatori di servizi terzi. Ciò dovrebbe garantire che un verificatore esterno e l'Autorità europea degli strumenti finanziari e dei mercati (Esma – european Securities and Markets Authority) abbiano accesso a tutte le informazioni necessarie e che l'esternalizzazione delle attività di valutazione non comprometta la capacità dell'Esma di vigilare sulla conformità del verificatore esterno rispetto al regolamento (Ue) 2023/2631.

(12) Al fine di garantire un livello sufficiente di vigilanza sulle attività esternalizzate, i verificatori esterni dovrebbero effettuare valutazioni periodiche.

(13) Le norme tecniche di regolamentazione da adottare sulla base dei poteri di cui all'articolo 23, paragrafo 6, terzo comma, all'articolo 27, paragrafo 2, terzo comma, all'articolo 28, paragrafo 3, terzo comma, e all'articolo 33, paragrafo 7, terzo comma, del regolamento (Ue) 2023/2631 dovrebbero essere raggruppate in un unico regolamento delegato della Commissione al fine di garantire che tutte le disposizioni che regolano la registrazione dei verificatori esterni siano consolidate in un unico regolamento.

(14) Le informazioni presentate all'Esma possono contenere informazioni sull'identità dell'alta dirigenza e dei membri del Consiglio di amministrazione di un verificatore esterno richiedente, nonché di analisti, dipendenti e altre persone direttamente coinvolti nelle attività di valutazione della loro idoneità. Tali informazioni comprendono dati personali. Conformemente al principio della minimizzazione dei dati sancito dall'articolo 4, paragrafo 1, lettera c), del regolamento (Ue) 2018/1725 del Parlamento europeo e del Consiglio2, dovrebbero essere richiesti soltanto i dati personali necessari per consentire all'Esma di valutare la capacità dell'alta dirigenza, dei membri del Consiglio di amministrazione di un verificatore esterno richiedente, nonché degli analisti, dei dipendenti e di altre persone direttamente coinvolti nelle attività di valutazione, di rispettare le prescrizioni di cui al regolamento (Ue) 2023/2631.

(15) Il presente regolamento rispetta i diritti fondamentali e osserva i principi riconosciuti nella Carta dei diritti fondamentali dell'Unione europea, in particolare il diritto alla protezione dei dati di carattere personale. Il trattamento di dati personali ai fini del presente regolamento dovrebbe essere effettuato conformemente al diritto dell'Unione in materia di protezione dei dati personali. A questo proposito, qualsiasi trattamento di dati personali da parte dell'Esma in applicazione del presente regolamento dovrebbe essere effettuato in conformità del regolamento (Ue) 2018/1725. Qualsiasi trattamento di dati personali effettuato da soggetti che presentano domanda di registrazione in qualità di verificatore esterno nell'ambito di applicazione del presente regolamento dovrebbe essere effettuato in conformità del regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio3 e delle prescrizioni nazionali in materia di protezione delle persone fisiche con riguardo al trattamento di dati personali.

(16) Al fine di consentire all'Esma di effettuare la valutazione ai fini della registrazione iniziale e della vigilanza continuativa, assicurando nel contempo garanzie adeguate, i dati personali relativi alla buona reputazione dell'alta dirigenza e dei membri del Consiglio di amministrazione di un verificatore esterno dovrebbero essere conservati dai verificatori esterni e dall'Esma per non più di cinque anni dalla data in cui un membro dell'alta dirigenza o del Consiglio di amministrazione ha cessato di svolgere le sue funzioni o in caso di revoca della registrazione del verificatore esterno in questione.

(17) Conformemente all'articolo 42, paragrafo 1, del regolamento (Ue) 2018/1725, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 7 luglio 2025.

(18) Il presente regolamento si basa sui progetti di norme tecniche di regolamentazione che l'Esma ha presentato alla Commissione.

(19) L'Esma ha condotto consultazioni pubbliche aperte sul progetto di norme tecniche di regolamentazione sul quale si basa il presente regolamento, ha analizzato i potenziali costi e benefici collegati e ha chiesto il parere del gruppo delle parti interessate nel settore degli strumenti finanziari e dei mercati istituito dall'articolo 37 del regolamento (Ue) n. 1095/2010 del Parlamento europeo e del Consiglio4,

Ha adottato il presente regolamento:

Articolo 1

Criteri per stabilire se la reputazione dell'alta dirigenza e dei membri del Consiglio di amministrazione di un verificatore esterno richiedente è sufficientemente buona

1. Ai fini dell'articolo 23, paragrafo 2, lettera a), punto i), del regolamento (Ue) 2023/2631, la reputazione dell'alta dirigenza e dei membri del Consiglio di amministrazione di un verificatore esterno richiedente è considerata sufficientemente buona se le precedenti attività delle persone in questione, considerate sotto il profilo della gestione sana e prudente, dimostrano che tali soggetti sono in grado di svolgere le loro funzioni con onestà e integrità.

2. Ai fini del paragrafo 1, l'Esma tiene conto delle informazioni seguenti:

a) prova dell'assenza di precedenti penali per riciclaggio di denaro, finanziamento del terrorismo, prestazione di servizi finanziari o di gestione di dati, frode o appropriazione indebita, in particolare mediante l'estratto del casellario giudiziale o, se questo non è disponibile nello Stato membro interessato, un'autocertificazione del possesso dei requisiti di buona reputazione corredata di una dichiarazione che autorizza l'Esma a chiedere tale informazione alle autorità pertinenti per verificare se la persona abbia subito condanne penali per reati connessi a riciclaggio di denaro, finanziamento del terrorismo, prestazione di servizi finanziari o di gestione di dati ovvero per frode o appropriazione indebita;

b) un'autodichiarazione rilasciata da ciascuno dei membri dell'alta dirigenza e del Consiglio di amministrazione attestante se tale membro:

i) qualora non sia disponibile una prova dell'assenza di precedenti penali, sia stato condannato per qualsiasi reato;

ii) sia incorso in una sanzione a conclusione di un procedimento disciplinare avviato nei suoi confronti da un'autorità di regolamentazione o da un organismo pubblico in rapporto alla prestazione di servizi finanziari o connessi alla sostenibilità;

iii) sia stato condannato in un procedimento civile dinanzi al Giudice connesso alla fornitura di servizi finanziari o connessi alla sostenibilità, o per irregolarità o frode nella gestione di una persona giuridica;

iv) abbia fatto parte dell'alta dirigenza o del Consiglio di amministrazione di un'impresa che è stata condannata o sanzionata da un'autorità di regolamentazione o la cui registrazione o autorizzazione è stata revocata da un'autorità di regolamentazione;

v) si sia visto rifiutare il diritto di svolgere attività che richiedono la registrazione o l'autorizzazione di un'autorità di regolamentazione;

vi) sia stato oggetto di una valutazione della professionalità e onorabilità da parte di un organismo di regolamentazione che ha dato luogo a una decisione negativa o a una valutazione positiva soggetta a condizioni specifiche;

vii) abbia fatto parte dell'alta dirigenza di un'impresa che sia divenuta insolvente, sia stata posta in liquidazione o in amministrazione controllata mentre la persona in questione era un dipendente dell'impresa, oppure entro l'anno successivo alla cessazione del rapporto di lavoro con l'impresa;

viii) sia stato multato, sospeso, escluso dalla funzione o soggetto a qualsiasi altra sanzione da parte di un ordine professionale in relazione ad attività finanziarie o commerciali;

ix) sia stato escluso dalla funzione di amministratore o dal ruolo di dirigente, licenziato o rimosso da altro incarico in un'impresa in seguito a condotta scorretta o irregolarità;

x) abbia o abbia avuto relazioni o ricoperto posizioni oppure sia o sia stato coinvolto in circostanze che potrebbero incidere, direttamente o indirettamente, sugli interessi di un verificatore esterno e sull'integrità delle sue attività di valutazione;

c) il revisore esterno richiedente garantisce che solo le persone responsabili della domanda abbiano accesso alle informazioni di cui al paragrafo 2, lettera a).. Tali informazioni sono conservate separatamente dalle altre informazioni riguardanti l'alta dirigenza e i membri del Consiglio di amministrazione di un verificatore esterno. L'accesso a tali informazioni è registrato. Tali informazioni non sono conservate se riguardano candidati membri dell'alta dirigenza e i membri del Consiglio di amministrazione di un verificatore esterno richiedente che non sono stati nominati;

d) l'Esma garantisce che solo le persone responsabili della valutazione dell'idoneità dell'alta dirigenza e dei membri del Consiglio di amministrazione di un revisore esterno richiedente abbiano accesso alle informazioni di cui al paragrafo 2, lettera a). Tali informazioni sono conservate separatamente dalle altre informazioni riguardanti l'alta dirigenza e i membri del Consiglio di amministrazione di un verificatore esterno. L'accesso a tali informazioni è registrato. Tali informazioni non sono conservate se riguardano candidati membri dell'alta dirigenza e i membri del Consiglio di amministrazione di un verificatore esterno richiedente che non sono stati nominati;

e) i dati personali relativi alla buona reputazione dell'alta dirigenza e dei membri del Consiglio di amministrazione di un valutatore esterno sono conservati dai valutatori esterni e dall'Esma per tutto il tempo necessario alla valutazione della registrazione iniziale e alla vigilanza continuativa, se del caso, e comunque non oltre cinque anni dalla cessazione delle funzioni della persona interessata o dalla revoca della registrazione del valutatore esterno in questione.

Articolo 2

Criteri per stabilire se l'alta dirigenza e i membri del Consiglio di amministrazione del verificatore esterno richiedente possiedano competenze, qualifiche professionali ed esperienza pertinenti sufficienti

1. L'Esma stabilisce che le competenze, le qualifiche professionali e l'esperienza pertinenti dell'alta dirigenza e dei membri del Consiglio di amministrazione di un verificatore esterno richiedente sono sufficienti, conformemente all'articolo 23, paragrafo 2, lettera a), punti da ii) a iv), del regolamento (Ue) 2023/2631, se tali competenze, qualifiche ed esperienza sono adeguate alla natura e alla portata delle verifiche esterne che il verificatore esterno richiedente è tenuto a svolgere, così come ai compiti richiesti ai verificatori esterni a norma di tale regolamento.

2. Ai fini del paragrafo 1, l'Esma tiene conto delle informazioni seguenti:

a) un curriculum vitae aggiornato di ciascun membro dell'alta dirigenza e del Consiglio di amministrazione di un verificatore esterno che contenga informazioni dettagliate pertinenti ai compiti richiesti ai verificatori esterni a norma del regolamento (Ue) 2023/2631, tra cui:

i) informazioni dettagliate sull'istruzione, comprese le certificazioni accademiche e professionali, e altre formazioni pertinenti;

ii) la carriera professionale, comprese la portata e la durata delle funzioni svolte, evidenziando eventuali attività pertinenti per l'attività dei verificatori esterni;

b) la pertinenza delle conoscenze acquisite attraverso l'istruzione e la formazione relativamente ai servizi finanziari o connessi alla sostenibilità per l'attività dei verificatori esterni;

c) la rilevanza dell'esperienza professionale acquisita nello svolgimento di attività correlate ai compiti da effettuare in veste di verificatore esterno, come la garanzia della qualità, il controllo della qualità, lo svolgimento di verifiche pre-emissione e post-emissione e della relazione sull'impatto nonché la formulazione di pareri di allineamento di seconda parte o la prestazione di servizi finanziari;

d) le competenze collettive e aggiornate, le qualifiche professionali e l'esperienza dell'alta dirigenza e dei membri del Consiglio di amministrazione pertinenti per i compiti richiesti ai verificatori esterni a norma del regolamento (Ue) 2023/2631 e i relativi rischi.

Articolo 3

Criteri per stabilire se il numero di analisti, dipendenti e altre persone direttamente coinvolti nelle attività di valutazione sia sufficiente

1. L'Esma stabilisce che il numero di analisti, dipendenti e altre persone direttamente coinvolti nelle attività di valutazione di un verificatore esterno è sufficiente ai sensi dell'articolo 23, paragrafo 2, lettera b), del regolamento (Ue) 2023/2631 se detto numero è adeguato alla natura e alla portata delle verifiche esterne che il verificatore esterno deve svolgere e ai compiti richiesti ai verificatori esterni a norma di tale regolamento.

2. Ai fini del paragrafo 1, l'Esma tiene conto delle informazioni seguenti:

a) il numero totale di analisti, dipendenti e altre persone direttamente coinvolti nelle attività di valutazione, la loro anzianità, le descrizioni delle loro mansioni, la natura permanente o temporanea dei loro contratti di lavoro e i motivi per cui il verificatore esterno ritiene adeguati i numeri e i ruoli;

b) il numero e la durata delle verifiche esterne da fornire nei 24 mesi successivi e i motivi per cui il verificatore esterno ritiene che il numero di dipendenti e di altre persone direttamente coinvolti nelle attività di valutazione sia commisurato al numero e alla durata delle future verifiche esterne.

Articolo 4

Criteri per stabilire se analisti, dipendenti e altre persone direttamente coinvolti nelle attività di valutazione possiedano un livello sufficiente di conoscenze, esperienza e formazione

1. L'Esma stabilisce che le conoscenze, l'esperienza e la formazione degli analisti, dei dipendenti e di altre persone direttamente coinvolti nelle attività di valutazione sono sufficienti a norma dell'articolo 23, paragrafo 2, lettera a), del regolamento (Ue) 2023/2631, qualora le conoscenze, l'esperienza e la formazione siano adeguate alla natura e alla portata delle verifiche esterne che il verificatore esterno è tenuto a svolgere e ai compiti richiesti ai verificatori esterni a norma di tale regolamento.

2. Ai fini del paragrafo 1, l'Esma tiene conto delle informazioni seguenti:

a) il tipo di attività di valutazione che si prevede che le persone direttamente coinvolte nelle attività di valutazione forniscano nei 24 mesi successivi;

b) la carriera professionale delle persone di cui alla lettera a), comprese la natura e la durata dei servizi prestati nei precedenti incarichi e le responsabilità assolte;

c) l'esperienza delle persone di cui alla lettera a) correlate alla garanzia della qualità, al controllo della qualità, allo svolgimento di verifiche pre-emissione e post-emissione e della relazione sull'impatto, alla formulazione di pareri di allineamento di seconda parte o alla prestazione di servizi finanziari;

d) il percorso formativo delle persone di cui alla lettera a) e le pertinenti certificazioni o qualifiche professionali ottenute;

e) altri risultati professionali e accademici delle persone di cui alla lettera a) pertinenti per la natura delle loro funzioni;

f) il piano di formazione e sviluppo per le persone di cui alla lettera a);

g) se del caso, l'uso dell'automazione e della tecnologia nelle attività di valutazione.

3. I verificatori esterni assicurano di tenere conto delle informazioni di cui al paragrafo 2 del presente articolo al fine di stabilire che le conoscenze, l'esperienza e la formazione degli analisti, dei dipendenti e di altre persone i cui servizi sono messi a loro disposizione o sotto il loro controllo e che sono direttamente coinvolti nelle attività di valutazione sono sufficienti ai sensi dell'articolo 28, paragrafo 1, del regolamento (Ue) 2023/2631.

Articolo 5

Criteri per la valutazione di una gestione sana e prudente da parte dei verificatori esterni

1. In sede di valutazione della loro gestione sana e prudente, i verificatori esterni assicurano che siano soddisfatti i criteri seguenti:

a) le disposizioni di governance societaria specificano almeno l'organizzazione, l'ambito di applicazione, la finalità e il funzionamento degli organi di governance del verificatore esterno, compresi linee di riporto, responsabilità dei ruoli e canali di comunicazione chiari;

b) esiste un quadro di controllo interno;

c) le disposizioni organizzative garantiscono la continuità e la regolarità nell'esecuzione delle attività di valutazione, la tutela della riservatezza e della sicurezza delle registrazioni dei servizi forniti, procedure amministrative e contabili solide e sistemi adeguati di trattamento delle informazioni;

d) è tutelato l'anonimato degli informatori e sono vietate le rappresaglie;

e) le operazioni con parti correlate, le operazioni su conti personali dei dipendenti, le attività professionali esterne e l'accettazione di regali e ospitalità sono oggetto di revisione in modo coerente;

f) è garantita l'indipendenza dei dipendenti soggetti ad accordi retributivi variabili;

g) il Consiglio di amministrazione del verificatore esterno adotta le politiche e le procedure previste dal presente regolamento.

2. Ai fini del paragrafo 1, lettera b), i verificatori esterni assicurano che il quadro di controllo interno soddisfi i criteri seguenti:

a) i meccanismi di controllo interno sono adattati alla natura, alla portata e alla complessità del verificatore esterno;

b) le persone responsabili dei controlli interni sono in grado di ottenere le informazioni necessarie per svolgere la loro funzione e comunicano le loro conclusioni al Consiglio di amministrazione del verificatore esterno;

c) le funzioni di controllo interno sono indipendenti e chiaramente separate dalle linee di business che svolgono attività di valutazione.

3. Il verificatore esterno valuta il rispetto dei criteri di cui ai paragrafi 1 e 2 prima di fornire attività di verifica esterna e successivamente almeno una volta ogni 24 mesi, o non appena viene a conoscenza di deviazioni significative dai criteri.

Articolo 6

Criteri di valutazione della gestione dei conflitti di interessi

1. Nel valutare la gestione dei conflitti di interessi, i verificatori esterni assicurano che siano soddisfatti i criteri seguenti:

a) esiste una politica in materia di conflitti di interessi;

b) esiste un processo efficace di conformità che sia adeguato per monitorare l'attuazione della politica in materia di conflitti di interessi, compresa la vigilanza del Consiglio di amministrazione;

c) esistono procedure per la formazione e la sensibilizzazione in merito al contenuto della politica in materia di conflitti di interessi per l'alta dirigenza, i membri del Consiglio di amministrazione, gli analisti, i dipendenti e qualsiasi altra persona fisica i cui servizi sono messi a disposizione o sotto il controllo del verificatore esterno, anche prima che tali persone assumano le loro funzioni per la prima volta;

d) è tenuto un inventario dei conflitti di interessi effettivi o potenziali e delle misure di attenuazione proposte;

e) sono in atto procedure di gestione dei rischi e controlli preventivi e investigativi per quanto riguarda l'individuazione, l'eliminazione, la gestione e l'informazione in materia di conflitti di interessi;

f) sono individuati i conflitti di interessi da eliminare o gestire e divulgare in modo trasparente;

g) è garantita l'indipendenza degli analisti, dei dipendenti e di altre persone direttamente coinvolti nelle attività di valutazione.

2. Il verificatore esterno valuta i criteri di cui al paragrafo 1 prima di fornire attività di verifica esterna e successivamente almeno una volta ogni 24 mesi, o non appena viene a conoscenza di deviazioni significative in relazione alla gestione dei conflitti di interessi.

Articolo 7

Criteri per valutare l'abilità e la capacità dei prestatori di servizi terzi di svolgere attività di valutazione

1. Nel valutare se i prestatori di servizi terzi siano in grado e abbiano la capacità di svolgere attività di valutazione in modo affidabile e professionale, i verificatori esterni garantiscono che siano soddisfatti i criteri seguenti:

a) il prestatore di servizi terzo dispone di competenze nelle materie oggetto delle attività esternalizzate;

b) il prestatore di servizi terzo è disponibile a fornire le attività esternalizzate per la durata dell'esternalizzazione prevista;

c) il prestatore di servizi terzo dispone di un quadro di controllo interno per garantire lo svolgimento adeguato delle attività esternalizzate.

2. La valutazione di cui al paragrafo 1 tiene conto delle informazioni seguenti in relazione al prestatore di servizi terzo:

a) il modello di business, i servizi offerti, la proprietà, la struttura del gruppo e lo status di soggetto regolamentato o sottoposto a vigilanza;

b) le qualifiche del personale coinvolto nelle attività di valutazione esternalizzate;

c) le politiche e le procedure in atto per lo svolgimento delle attività esternalizzate, compreso l'uso di informazioni e dati accurati e affidabili;

d) i controlli e le attività di monitoraggio in atto per garantire l'applicazione efficace delle politiche e delle procedure per lo svolgimento delle attività esternalizzate;

e) se del caso, l'uso dell'automazione e della tecnologia nelle attività di valutazione;

f) le prescrizioni giuridiche e normative applicabili alle attività del prestatore di servizi terzo.

Articolo 8

Criteri per garantire che l'esternalizzazione delle attività di valutazione non comprometta sostanzialmente la qualità del controllo interno del verificatore esterno

Nel garantire che l'esternalizzazione delle attività di valutazione non comprometta sostanzialmente la qualità del loro controllo interno, i verificatori esterni assicurano che siano soddisfatti i criteri seguenti:

a) il numero e il tipo di attività di valutazione da esternalizzare non danno luogo a una dipendenza eccessiva dal prestatore di servizi terzo;

b) sono messe in atto misure di salvaguardia volte a gestire i rischi connessi all'esternalizzazione, compresi i rischi di dipendenza per la fornitura delle attività di valutazione esternalizzate;

c) sono messe in atto disposizioni per la continuità del servizio, compresi piani di emergenza e collaudi periodici dei dispositivi di back-up;

d) sono messe in atto disposizioni per la sicurezza dei dati e dei sistemi, compreso qualsiasi uso della tecnologia cloud;

e) sono messe in atto garanzie volte ad assicurare che il verificatore esterno sia in grado di monitorare e supervisionare le attività di valutazione esternalizzate;

f) se il prestatore di servizi terzo è contrattualmente autorizzato ad esternalizzare a sua volta lo svolgimento delle attività di valutazione, tali attività soddisfano i criteri di cui alle lettere da a) a e).

Articolo 9

Criteri per garantire che l'esternalizzazione delle attività di valutazione non comprometta sostanzialmente la capacità dell'Esma di vigilare sulla conformità dei verificatori esterni

Nel garantire che l'esternalizzazione non comprometta sostanzialmente la capacità dell'Esma di vigilare sulla conformità dei verificatori esterni rispetto al regolamento (Ue) 2023/2631, i verificatori esterni assicurano che siano soddisfatti i criteri seguenti:

a) è mantenuto un livello adeguato di documentazione e tenuta di registri di tutti i nomi e tutte le posizioni delle persone responsabili dell'approvazione e del monitoraggio dell'esternalizzazione;

b) il prestatore di servizi terzo è in grado di fornire al verificatore esterno tutte le informazioni necessarie in merito alle attività di valutazione esternalizzate richieste dal verificatore esterno al fine di dimostrare la conformità del verificatore esterno rispetto al regolamento (Ue) 2023/2631;

c) qualora le attività di valutazione siano esternalizzate a un prestatore di servizi terzo di un Paese terzo, il verificatore esterno e il prestatore di servizi terzo dispongono di procedure che garantiscono la gestione dei rischi derivanti da quanto segue:

i) prescrizioni normative o sistemi giuridici divergenti;

ii) assenza o esecuzione non tempestiva di strategie di uscita in caso di interruzioni di servizio o carenze;

iii) incidenti relativi alla sicurezza delle informazioni e dei dati;

iv) violazioni di informazioni riservate;

v) mancanza di accesso tempestivo da parte dell'Esma e del verificatore esterno alle registrazioni di terzi, anche nei casi in cui tali registrazioni siano conservate in giurisdizioni di Paesi terzi.

Articolo 10

Valutazione dei criteri di esternalizzazione delle attività di valutazione

I verificatori esterni valutano la conformità rispetto ai criteri stabiliti nel presente regolamento prima dell'inizio dell'attività di valutazione esternalizzata e successivamente, almeno una volta ogni 24 mesi, o non appena il verificatore esterno viene a conoscenza di deviazioni significative nella capacità dei prestatori di servizi terzi di svolgere le attività di valutazione in modo affidabile e professionale.

Articolo 11

Entrata in vigore

Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea e si applica a decorrere da tale data.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 12 settembre 2025