PRINCIPI GENERAL

Intesa Sanpaolo ritiene fondamentale, per il raggiungimento dei propri obiettivi di business e di responsabilità sociale, la protezione del proprio patrimonio informativo individuando le corrette modalità di tutela mediante la comprensione del rischio a cui i propri asset sono sottoposti. Essa esplicita questo principio riconoscendo all’interno della propria normativa di Gruppo66 che:

 L’insieme di dati ed informazioni trattate dalle Banche e Società del Gruppo, a prescindere dalla forma con cui sono elaborate, gestite o archiviate, determina il patrimonio informativo aziendale che costituisce un elemento competitivo di fondamentale importanza sia per guidare le scelte tattiche o strategiche che per supportare i processi operativi aziendali;

 Il patrimonio informativo deve essere protetto, in ogni fase del ciclo di vita delle informazioni, mediante l’adozione di contromisure di tipo organizzativo, tecnologico o normativo adeguate;

 L’adeguatezza delle contromisure deve essere valutata in funzione del rischio, devono essere rispettati i requisiti di riservatezza, integrità e disponibilità delle informazioni necessari alla banca per raggiungere i propri obiettivi di business;

 La valutazione del rischio sul patrimonio informativo, nonché l’identificazione delle migliori contromisure o la comprensione del valore di business delle informazioni, deve avvenire secondo modalità sistematiche, opportune metodologie operative e mediante l’istituzione di presidi stabili sui rischi.

Pertanto Intesa Sanpaolo ritiene necessario dotarsi di una metodologia specifica e univoca per l’attività di Analisi del Rischio del patrimonio informativo in grado di:

66 _{Il Gruppo è composto da: Intesa Sanpaolo S.p.A., la Capogruppo; Intesa Sanpaolo Group Services S.c.p.A, all’interno}

64

 Agevolare il rispetto dei suddetti principi da parte di tutte le funzioni aziendali e di tutte le società del gruppo;

 Supportare l’individuazione delle adeguate contromisure a tutela degli asset del patrimonio informativo;

 Facilitare un presidio omogeneo dei rischi IT e la gestione dei rischi operativi da essi derivanti;

 Garantire, anche nel tempo, modalità armoniche e coerenti di valutazione del rischio del patrimonio informativo;

 Indirizzare l’utilizzo dinamico e ciclico delle attività di analisi;

 Permettere la realizzazione di efficienze di costo nell’esecuzione delle attività di analisi e nell’individuazione degli interventi di mitigazione del rischio del patrimonio informativo.

Il Gruppo considera il sistema informativo uno strumento di primaria importanza per il conseguimento dei propri obiettivi strategici, di business e di responsabilità sociale, anche in considerazione della criticità dei processi aziendali che da esso dipendono. Per questo motivo, Intesa Sanpaolo si è dotata di un sistema di principi e regole finalizzati ad indentificare e misurare i rischi in ambito ICT a cui sono esposti gli asset aziendali, valutare i presidi esistenti ed individuare le adeguate modalità di trattamento di tali rischi, prevedendo, ove necessario, opportuni interventi di mitigazione per ridurne i livelli ai limiti prestabiliti. Il Gruppo pone particolare attenzione al conseguimento di un equilibrio ottimale tra obiettivi di crescita e di redditività e i rischi conseguenti. A tal fine stabilisce il proprio livello di rischio informatico accettabile (ICT Risk Appetite) finalizzato al contenimento delle perdite operative e di reputazione entro un limite tale da mantenere il livello dei propri servizi e la propria redditività in linea con le aspettative dei diversi stakeholder67.

I criteri e le logiche utilizzate nel disegno e nell’implementazione del modello organizzativo per la gestione del rischio ICT di Intesa Sanpaolo si basano su: la coerenza con il più generale modello organizzativo del Gruppo e il rispetto dei vincoli e delle relazioni interne

67

Individuo o gruppo che può influenzare o è influenzato dal raggiungimento di un obiettivo aziendale, in quanto ‘titolare di fatto di interessi d’impresa’. Questi ‘interessi’ possono essere specifiche risorse in grado di ridurre sensibilmente la redditività se repentinamente distolte dai processi o se non perfettamente integrate (istituti di credito, dipendenti, fornitori, clienti, ecc.). http://www.treccani.it/enciclopedia/stakeholder_%28Dizionario-di-Economia-e- Finanza%29/ , data ultima consultazione 27 novembre 2017.

65 stabilite; il coinvolgimento di tutti le Unità Organizzative nell’ambito del più ampio processo di gestione del rischio operativo; l’ottimizzazione e l’integrazione dell’approccio di gestione del rischio ICT con gli altri modelli aziendali sviluppati a fronte di specifici rischi; la trasparenza e la diffusione dei modelli, delle metodologie e dei criteri di analisi e valutazione utilizzati, al fine di facilitare il processo di diffusione culturale e la comprensione delle logiche sottostanti le scelte adottate.

In linea con il quadro metodologico definito per il governo dei rischi aziendali e, in particolare, per i rischi operativi, il modello di gestione del rischio informatico è sviluppato in ottica di integrazione e coordinamento delle competenze specifiche delle strutture coinvolte. In dettaglio si possono individuare i seguenti obiettivi:

 Assicurare che tutti i rischi ICT potenzialmente presenti nelle differenti aree di operatività del Gruppo siano correttamente identificati, misurati, controllati e gestiti secondo metodologie e procedure formalizzate, condivise e continuativamente aggiornate;

 Valutare preventivamente il livello del rischio informatico connesso all’introduzione di nuovi prodotti, processi o sistemi, all’inserimento di nuovi mercati, a progetti innovativi o derivante da modifiche a componenti rilevanti del sistema informativo;

 Garantire la condivisione e l’omogeneità delle procedure essenziali di gestione dei rischi all’interno del Gruppo;

 Assicurare che il sistema di controlli interni sul rischio ICT sia in grado di individuare i rischi in oggetto;

 Identificare in maniera integrata il rischio informatico e definire gli interventi di mitigazione;

 Mantenere la qualità dei sistemi e dei processi di gestione del rischio allineata agli standard delle migliori prassi internazionali;

 Mantenere la rispondenza del sistema di gestione dei rischi informatici alle esigenze aziendali e all’evoluzione del mercato di riferimento;

 Garantire la produzione di informativa e reportistica accurate, tempestive ed integrate per i diversi livelli organizzativi responsabili delle attività di gestione e di controllo nonché per gli Organi Societari;

66

 Promuovere la diffusione sistematica di una cultura coerente ed omogenea di gestione del rischio ICT.