1.4 – GRUPPO BANCARIO –RISCHI OPERATIVI

A. Aspetti generali, processi di gestione e metodi di misurazione del rischio operativo

Il rischio operativo è il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni. Sono da considerare rischio operativo anche le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempien-ze contrattuali, catastrofi naturali. Il rischio legale è da ricomprendersi tra i rischi operativi. Il rischio legale comprende, fra l’altro, l’esposizione ad ammende, sanzioni pecuniarie o penalizzazioni derivanti da provve-dimenti assunti dall’Organo di Vigilanza, ovvero da regolamenti privati.

Il metodo di calcolo utilizzato per il rischio operativo è quello Base: il requisito patrimoniale è pari al 15%

della media delle ultime 3 osservazioni dell’indicatore rilevante (margine di intermediazione consolidato) alla data di chiusura degli esercizi considerati.

Ai fini gestionali, l’assunzione del rischio deriva da una serie di fattori (disfunzioni dei processi, errori nei si-stemi informativi, errori umani, eventi esterni) che rilevano nello svolgimento quotidiano delle attività. Nell’in-tervenire su tali fattori, la Banca cerca di prevenire i rischi operativi attraverso adeguati presidi organizzativi finalizzati alla limitazione della frequenza delle perdite ovvero alla riduzione dell’eventuale entità delle stes-se.

L’Autorità di Vigilanza ha ravvisato l’esigenza che anche gli intermediari che utilizzano il metodo Base, effettuino un’analisi compiuta dei rischi operativi cui sono esposti, al fine di identificare eventuali aree di vulnerabilità e predisporre sistemi di gestione e controllo più adeguati. Per tale motivo, al fine di rafforzare i presidi organizzativi in materia di rischi operativi, il Risk Management di Gruppo conduce periodicamente un Risk Assessment con l’obiettivo di mappare i principali rischi cui le varie società del Gruppo sono esposte.

Vengono analizzati i rischi identificando tutti i potenziali rischi (rischio inerente) e valutandoli in funzione di presidi e controlli in essere arrivando così a determinare un Rischio Residuo che deve essere coerente con il Risk Appetite espresso nel RAF. Sono definiti, laddove necessari, i piani d’azione finalizzati al poten-ziamento del sistema dei controlli interni. Il Processo in essere da diversi anni si perfeziona analizzando i nuovi processi, le risultanze emerse dalle verifiche della Revisione Interna e le risultanze della raccolta delle perdite operative (Loss data collection).

Sempre in tema di autovalutazione si richiama la valutazione del Rischio Informatico.

Il rischio informatico consiste nel rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologie dell’informazione e della comunicazione.

Il sistema informatico delle Banche del Gruppo e di Italcredi è esternalizzato presso il C.S.E. (Consorzio Servizi Bancari). Per Sifin il sistema informatico è esternalizzato in Exprivia.

L’analisi del rischio informatico, svolta dall’Ufficio Organizzazione e IT di Gruppo con il supporto del Risk Management di Gruppo, costituisce uno strumento a garanzia dell’efficacia ed efficienza delle misure di protezione delle risorse ICT, permettendo di graduare le misure di mitigazione nei vari ambienti in funzione del proprio profilo di rischio.

L’Ufficio Organizzazione aggiorna periodicamente la metodologia di autovalutazione del rischio informatico, prestando particolare attenzione ad implementare i presidi posti in essere in tema di rischio informatico, innalzando e richiedendo di innalzare ai suoi principali outsourcers gli standards di sicurezza fisica e logica in essere per meglio presidiare i vari aspetti connessi alla tematica dei rischi operativi in genere e del rischio informatico.

Il processo di gestione del rischio informatico si completa con la fase di monitoraggio e reporting e viene riaggiornato periodicamente, verificando l’applicabilità delle singole minacce e la loro valutazione nel tempo.

Le risultanze dell’intero processo sono riepilogate nel “Rapporto Sintetico sulla situazione del rischio infor-matico” sottoposto all’approvazione del CDA.

Il Gruppo realizza il monitoraggio del rischio legale analizzando le cause pendenti passive in sede di Rela-zione Trimestrale. Più in dettaglio, le variabili considerate sono le seguenti:

- numero di posizioni;

- valore della causa;

- previsioni di perdita.

Come sopra anticipato, il rischio operativo è generato anche da fattori esterni, quali:

- l’instabilità del contesto politico-legislativo-fiscale

- l’inadempimento delle obbligazioni finanziarie da parte di fornitori/consulenti - i reclami della clientela

- gli eventi calamitosi (terremoti, inondazioni, ecc.) - gli eventi criminosi (rischio rapina).

In questo ambito, si è maggiormente esposti alla probabilità di accadimento dell’evento rapina.

Le Banche del Gruppo hanno aderito al Protocollo d’intesa per la prevenzione della “criminalità in banca”.

Tale documento si propone di incrementare i rapporti tra banche e Forze dell’Ordine e di diffondere tra gli operatori una maggiore cultura della sicurezza.

Le Banche del Gruppo hanno aderito anche al database anticrimine OSSIF, al fine di migliorare la cono-scenza della distribuzione sul territorio nazionale degli atti criminali nei confronti degli istituti di credito e delle truffe che possono interessare la clientela.

Le Banche del Gruppo si sono dotate anche di opportune coperture assicurative al fine di contenere i danni conseguenti alla manifestazione di tali eventi.

Un’altra importante sottocategoria di rischio è senz’altro quella dei reclami della clientela.

Essi sono continuativamente oggetto di monitoraggio da parte della Compliance di Gruppo. Ai fini di una sempre maggiore trasparenza del rapporto con la clientela, sono stati revisionati i Fogli Informativi per ren-derli più semplici e comprensibili, sottoponendoli anche ad Associazioni di Consumatori di cui si sono poi recepiti i suggerimenti. Il Gruppo ha inoltre aderito all’Arbitro Bancario Finanziario (ABF - per controversie inerenti a prodotti e servizi bancari e finanziari) e all'Arbitro per le Controversie Finanziarie (ACF - per con-troversie inerenti a servizi d’investimento), organismi indipendenti che consentono di ottenere una soluzione stragiudiziale dei reclami evitando o comunque riducendo il rischio legale e quello reputazionale.

Si rammenta che esiste un processo di monitoraggio delle perdite operative, in carico all’Ufficio Risk mana-gement, che prevede:

• la raccolta-dati di dette perdite

• la segnalazione dati all’Associazione DIPO (flussi di andata)

• la storicizzazione dei flussi di andata e di ritorno al fine di produrre reporting quali-quantitativi a livello aziendale.

Impatti derivanti dalla pandemia Covid-19

Molteplici sono stati gli impatti derivanti dalla pandemia Covid-19 sui rischi operativi, soprattutto con riferi-mento al rischio informatico.

Sulla scia di quanto già avviato nel corso del 2020, l’Ufficio Organizzazione e IT di Gruppo con le sue diver-se aree funzionali ha razionalizzato le risordiver-se disponibili dando priorità a richieste e progetti “strategici” e a quelli che prevedevano specifiche scadenze normative.

In tale ottica si è terminata l’attività sulla riorganizzazione della connettività (avviata nel 2020), sulla revisio-ne delle logiche di sicurezza e sul potenziamento delle infrastrutture e degli apparati disponibili, al firevisio-ne di supportare i maggiori flussi di traffico dati e la sempre maggiore operatività a distanza.

Per poter operare al meglio fino al ritorno alla normalità, si è agito valutando attentamente eventuali vulnera-bilità dei sistemi IT e considerando l’impatto causato da elementi esogeni (ad es. la carenza di forza lavoro) prevedendo rigorosi piani di distanziamento e di alternanza di presenza tra le varie risorse “critiche” preven-tivamente individuate e mettendo a punto dei piani di mitigazione del rischio, elemento imprescindibile per garantire la continuità aziendale.

Si è continuato l’utilizzo del lavoro agile, cui si è ricorso in particolare nelle fasi più acute della pandemia;

parimenti ci si è concentrati nella revisione dei processi e relativa semplificazione per l’esecuzione di attività a distanza; al rafforzamento rete internet e MPLS con relativi back up; al programma di sostituzione ATM obsoleti, nella progressiva estensione dell’uso della firma digitale. Tutte le connessioni da remoto sono state impostate garantendo il massimo controllo degli accessi (ulteriormente rafforzate con l’introduzione di ap-positi strumenti di autenticazione forte che verranno progressivamente rilasciati a tutto il Gruppo nel 2022).

Al pari di quanto si è già sperimentato nel 2020, durante il 2021 il supporto alla rete, fornito dalle varie aree dell’Ufficio Organizzazione e IT, è stato fondamentale ed ha consentito di orchestrare una risposta efficace alla crisi scatenata dal COVID-19. Il supporto alla rete, coordinato per gestire un volume maggiore di richie-ste, ha seguito un processo strutturato di definizione delle priorità, escalation e routing, con un centro di comando per i lavoratori in remoto che ha impattato positivamente sull'efficacia della risposta.

Di rilievo, ancor più nel 2021, è stata la revisione e la verifica dei piani di continuità operativa (approvato nella sua ultima versione in data 16 dicembre 2021), costantemente aggiornati anche con il supporto della revisione interna.

Specifica attenzione è stata posta altresì alla Business Continuity predisposta dal CSE (outsourcer informa-tico). L'architettura di Business Continuity di CSE è progettata in un “campus”, ripartito in due edifici collocati a congrua distanza, in ciascuno dei quali è alloggiato un CED in grado di assicurare la continuità dei sistemi in caso di indisponibilità totale o parziale di uno dei due.

Uno di questi CED si trova all’interno di un “bunker” interrato, realizzato in cemento armato con caratteristi-che costruttive antisismicaratteristi-che. Le due Sale Server sono completamente indipendenti l’una dall’altra e altresì, i collegamenti dei due CED con la rete di telecomunicazioni geografica prevedono percorsi alternativi e separati.

La soluzione “campus” prevede un aggiornamento sincrono dei 2 CED su cui vengono effettuate le elabora-zioni. È altresì previsto un riallineamento asincrono dei dati sul terzo sito posto in altra località.

La soluzione di disastro predisposta dal CSE è stata testata con successo nel 2021, simulando svariate si-tuazioni emergenziali per verificare la robustezza delle infrastrutture e la qualità del servizio offerto ai propri clienti i quali hanno potuto partecipare alle attività di test.

Informazioni di natura quantitativa

Si rilevano n. 31 eventi segnalati al monitoraggio DIPO nell’anno 2021 per un totale di 1,734 milioni di euro di perdita effettiva lorda così dettagliati:

- Cause/Accordi transattivi: 249 mila euro;

- Rapine e malversazioni: 262 mila euro;

- Altri rischi operativi: 85 mila euro;

- Perdite operative da Covid-19: 1.138 mila euro.

PARTE F - INFORMAZIONI SUL PATRIMONIO CONSOLIDATO