Questi i principali contenuti delle Raccomandazioni EBA:

• Sicurezza dei dati: gli istituti finanziari, prima di procedere al cloud outsourcing, sono chiamati a compiere una completa valutazione dei possibili rischi, a garanzia della tutela della riservatezza delle informazioni trattate;
• Localizzazione e trattamento dati: gli istituti finanziari dovrebbero rendere edotte delle attività di outsourcing le autorità governative del Paese in cui il servizio deve essere svolto, proponendo – se opportuno – una revisione della legislazione in materia privacy. Particolare attenzione deve essere prestata laddove il servizio di outsourcing riguardi Paesi extracomunitari;
• Audit: gli istituti finanziari dovrebbero introdurre sistemi che garantiscano il loro accesso – e quello delle singole autorità governative – nei locali in cui si svolge l’attività di cloud outsourcing, con possibilità di analizzare e verificare i sistemi e gli strumenti utilizzati per l’esercizio di tali attività;
• Catene di fornitori: nelle ipotesi di subappalto delle attività di outsourcing, anche il soggetto subappaltatore è tenuto a rispettare le cautele e le raccomandazioni sopra descritte;
• Strategie di uscita: gli istituti finanziari devono prevedere dei piani di emergenza e di uscita completi e ben strutturati e fare in modo che i fornitori di servizi di cloud outsourcing effettuino un ordinato trasferimento del servizio, così da assicurare la continuità del servizio.