BANCA ARNER ITALIA S.P.A. MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO AI SENSI DEL D. LGS. 8 GIUGNO 2001 N. 231 APPROVATO IL 23 DICEMBRE 2009 DAI COMMISSARI STRAORDINARI NOMINATI DA BANCA D’ITALIA AGGIORNATO IL 27 DICEMBRE 2013 DAL CONSIGLIO DI AMMINISTRAZIONE DELLA BANCA 1 SOMMARIO SOMMARIO .................................................................................................................................... 2 PREMESSA ..................................................................................................................................... 7 1. Introduzione ............................................................................................................................... 7 2. Definizioni ................................................................................................................................. 7 3. Il contesto normativo .................................................................................................................. 9 3.1. Natura e caratteri della responsabilità prevista dal D.Lgs. n. 231/2001................................. 9 3.2. I Reati e gli Illeciti che determinano la responsabilità amministrativa ................................ 10 3.3. L’adozione del Modello come esimente della responsabilità amministrativa ...................... 11 3.3.1. I Reati e gli Illeciti commessi dai Soggetti Apicali ..................................................... 11 3.3.2. I Reati e gli Illeciti commessi dai Soggetti Sottoposti ................................................ 12 3.3.3. I Reati commessi all’estero........................................................................................ 12 3.3.4. L’efficace attuazione del Modello ............................................................................. 12 3.4. Le sanzioni irrogabili all’Ente ........................................................................................... 13 3.5. Le Linee Guida dettate dalle Associazioni di Categoria ..................................................... 14 PARTE GENERALE ..................................................................................................................... 15 4. Il Modello di organizzazione, gestione e controllo di Banca Arner Italia S.p.A.......................... 16 4.1. Il contesto aziendale.......................................................................................................... 16 4.2. Le finalità del Modello...................................................................................................... 16 4.3. I Destinatari del Modello .................................................................................................. 17 4.4. L’implementazione del Modello........................................................................................ 17 4.5. Il monitoraggio delle attività sensibili ............................................................................... 19 4.6. Il Modello di Governo della Banca e gli strumenti aziendali a supporto del Modello ......... 20 4.6.1. Il Modello di Governo della Banca ............................................................................ 20 4.6.2. Gli strumenti aziendali esistenti a supporto del Modello ............................................ 23 4.7. Adozione, efficace attuazione, modificazione e aggiornamento del Modello ...................... 25 4.7.1. Adozione del Modello ............................................................................................... 25 4.7.2. Efficace attuazione, modificazione e aggiornamento del Modello .............................. 25 2 5. 4.8. Attività oggetto di outsourcing .......................................................................................... 29 4.9. Prestazione di servizi infragruppo ..................................................................................... 29 4.9.1. Prestazioni di servizi svolte a favore di altre società appartenenti al Gruppo .............. 29 4.9.2. Banca Prestazioni di servizi svolte da altre società appartenenti al Gruppo in favore della ................................................................................................................................. 30 L’Organismo di Vigilanza ........................................................................................................ 31 5.1. Funzione ........................................................................................................................... 31 5.2. Requisiti ........................................................................................................................... 31 5.3. Composizione, nomina, verifica dei requisiti, durata e compensi dell’OdV ........................ 32 5.3.1. Composizione e nomina ............................................................................................ 32 5.3.2. Verifica dei requisiti .................................................................................................. 32 5.3.3. Durata ....................................................................................................................... 33 5.3.4. Compensi .................................................................................................................. 33 5.4. Cause di revoca, decadenza e sospensione dell’Organismo di Vigilanza ............................ 33 5.4.1. Cause di revoca ......................................................................................................... 33 5.4.2. Cause di decadenza ................................................................................................... 33 5.4.3. Cause di sospensione................................................................................................. 34 5.5. Compiti dell’Organismo di Vigilanza ................................................................................ 34 5.6. Funzione e poteri dell’Organismo di Vigilanza .................................................................. 35 5.7. Obblighi di informazione specifica nei confronti dell’Organismo di Vigilanza .................. 38 5.8. Documentazione dell’attività dell’Organismo e raccolta e conservazione delle informazioni . ......................................................................................................................................... 39 6. L’accesso al database è consentito esclusivamente all’ Organismo ed alle persone specificamente individuate nel regolamento dell’ Organismo Comunicazione e Formazione sul Modello ................. 40 7. 6.1. Comunicazione interna ..................................................................................................... 40 6.2. Formazione ....................................................................................................................... 40 Il sistema disciplinare/sanzionatorio ......................................................................................... 41 7.1. Principi generali................................................................................................................ 41 7.2. Provvedimenti per inosservanza da parte dei dipendenti .................................................... 42 7.2.1. Aree professionali e quadri direttivi ........................................................................... 42 3 7.2.2. Personale dirigente .................................................................................................... 43 7.3. Provvedimenti per inosservanza da parte dei Sindaci della Banca ...................................... 43 7.4. Provvedimenti per inosservanza da parte degli amministratori della Banca ........................ 43 7.5. Provvedimenti per inosservanza da parte dei soggetti esterni destinatari del Modello ......... 44 PARTI SPECIALI ......................................................................................................................... 45 PARTE SPECIALE I - REATI CONTRO LA PUBBLICA AMMINISTRAZIONE E REATO DI “CORRUZIONE TRA PRIVATI”.................................................................................................... 46 Premessa .......................................................................................................................................... 46 Le fattispecie di reato ....................................................................................................................... 48 Le attività sensibili ........................................................................................................................... 49 Protocollo per la gestione delle attività inerenti alle richieste di autorizzazioni o all’esecuzione di adempimenti verso la Pubblica Amministrazione .......................................................................... 49 Protocollo per la gestione dei rapporti con le Autorità di Vigilanza ............................................... 51 Protocollo per la gestione dei contenziosi e degli accordi transattivi.............................................. 53 Protocollo per la gestione del processo di selezione e assunzione del personale ............................. 55 Protocollo per la gestione dei rapporti contrattuali con la clientela e con le terze parti (intermediari negoziatori, broker, market maker) ............................................................................................... 57 Protocollo per la gestione della formazione finanziata................................................................... 59 Protocollo per la gestione degli acquisti di beni e servizi e degli incarichi professionali ................ 60 Protocollo per la gestione di omaggi e spese di rappresentanza ..................................................... 62 Protocollo per la gestione di beneficenze e sponsorizzazioni ......................................................... 64 PARTE SPECIALE II – REATI DI FALSITÀ IN MONETE, IN CARTE DI PUBBLICO CREDITO, IN VALORI DI BOLLO E IN STRUMENTI O SEGNI DI RICONOSCIMENTO ........................... 67 Premessa .......................................................................................................................................... 67 Le fattispecie di reato ....................................................................................................................... 67 Le attività sensibili ........................................................................................................................... 68 Protocollo per la gestione dei valori .............................................................................................. 68 PARTE SPECIALE III - REATI SOCIETARI ................................................................................. 71 Premessa .......................................................................................................................................... 71 Le fattispecie di reato ....................................................................................................................... 71 Le attività sensibili ........................................................................................................................... 72 4 Protocollo per la gestione dei rapporti con il Collegio Sindacale e la Società di Revisione ............ 73 Protocollo per la gestione delle operazioni societarie e degli adempimenti relativi al funzionamento degli Organi Societari................................................................................................................... 74 Protocollo per la gestione della contabilità e per la predisposizione del bilancio ............................ 76 Protocollo per la gestione dei rapporti con le Autorità di Vigilanza ............................................... 78 PARTE SPECIALE IV - REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO, BENI O UTILITÀ DI PROVENIENZA ILLECITA, DELITTI CON FINALITÀ DI TERRORISMO O DI EVERSIONE DELL’ORDINE DEMOCRATICO, DELITTI DI CRIMINALITÀ ORGANIZZATA E REATI TRANSAZIONALI .............................................................................. 81 Premessa .......................................................................................................................................... 81 Le fattispecie di reato ....................................................................................................................... 81 Le attività sensibili ........................................................................................................................... 82 Protocollo per il contrasto ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita e ai delitti con finalità di terrorismo o di eversione dell’ordine democratico ... 84 Protocollo per il contrasto ai delitti di criminalità organizzata e ai reati transazionali .................... 86 PARTE SPECIALE V - REATI E ILLECITI AMMINISTRATIVI DI ABUSO DI MERCATO....... 89 Premessa .......................................................................................................................................... 89 Le fattispecie di reato ....................................................................................................................... 89 Le attività sensibili ........................................................................................................................... 89 Protocollo per la gestione e la divulgazione delle informazioni e per la gestione delle operazioni di mercato ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato 90 PARTE SPECIALE VI – DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI.... 93 Premessa .......................................................................................................................................... 93 Le fattispecie di reato ....................................................................................................................... 93 Le attività sensibili ........................................................................................................................... 94 Protocollo per la gestione e l’utilizzo dei sistemi informativi, degli asset IT e del patrimonio informativo aziendale ................................................................................................................... 94 PARTE SPECIALE VII – DELITTI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO .. 98 Premessa .......................................................................................................................................... 98 Le fattispecie di reato ....................................................................................................................... 98 Le attività sensibili ........................................................................................................................... 98 Protocollo per la gestione dei rischi in materia di salute e sicurezza sul lavoro .............................. 99 5 ALLEGATO - ELENCO E DESCRIZIONE DEI REATI E DEGLI ILLECITI AMMINISTRATIVI PREVISTI DAL D.LGS. 231/2001 ................................................................................................ 106 6 PREMESSA 1. Introduzione Il presente documento, corredato di tutti i suoi allegati, costituisce il Modello di organizzazione, gestione e controllo (di seguito anche il “Modello”) di Banca Arner Italia S.p.A. (di seguito anche “Banca Arner”, la “Banca” o la “Società”), adottato ai sensi del Decreto Legislativo n. 231/2001 (di seguito denominato anche il “Decreto” o “D.Lgs. n. 231/2001”) con delibera dei Commissari Straordinari del 23 dicembre 2009 e aggiornato dal Consiglio di Amministrazione della Banca in data 27 dicembre 2013. Il Modello è così articolato: • Premessa: parte nella quale viene sintetizzato il contesto normativo di riferimento; • Parte Generale: parte del documento volta a descrivere le finalità del Modello e il relativo processo di adozione, di efficace attuazione e di aggiornamento, i compiti dell’Organismo di Vigilanza e i flussi informativi verso lo stesso, il sistema disciplinare e le attività di formazione e comunicazione interna; • Parti Speciali: parti che descrivono per ogni attività sensibile ai sensi del D.Lgs. n. 231/2001 identificata dalla Banca, i principi di controllo e di comportamento volti alla prevenzione della possibile commissione delle diverse fattispecie di reato di cui al Decreto. Costituisce parte integrante del Modello l’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. 2. Definizioni Attività Sensibili: attività aziendali nel cui ambito potrebbero astrattamente crearsi le occasioni, le condizioni e/o gli strumenti per la commissione dei Reati e degli Illeciti. Banca Arner, la Banca o la Società: BANCA ARNER ITALIA S.P.A.. C.D.A.: Consiglio di Amministrazione della Banca. Codice Etico: documento adottato in data 23 dicembre 2009 con delibera dei Commissari Straordinari, contenente l’insieme dei principi etici di comportamento che i soggetti che operano per la Banca sono tenuti ad adottare, anche in relazione alle attività che possono integrare le fattispecie di reato previste dal D.Lgs. n. 231/2001. Collaboratori: soggetti che intrattengono con la Banca rapporti di collaborazione senza vincolo di subordinazione, di rappresentanza commerciale ed altri rapporti che si concretino in una prestazione professionale non a carattere subordinato, sia continuativa sia occasionale nonché quanti, in forza di specifici mandati e procure, rappresentano la Banca verso terzi. Consulenti: coloro i quali forniscono informazioni e pareri ed assistono la Banca nello svolgimento di determinati atti, sulla base di accertata esperienza e pratica in specifiche materie, in forza di un contratto di mandato o di altro rapporto contrattuale. D.Lgs. n. 231/2001 o Decreto: il Decreto Legislativo 8 giugno 2001, n. 2311, recante “Disciplina 1 E successive integrazioni e modificazioni: tale precisazione vale per qualsivoglia legge, regolamento o complesso normativo, che siano richiamati nel Modello. 7 della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della Legge 29 settembre 2000, n. 300”, nel contenuto di tempo in tempo vigente. Destinatari: i soggetti ai quali si applicano tutte le disposizioni del Modello come specificati nel paragrafo 4.3. Dipendenti: persone sottoposte alla direzione o alla vigilanza di soggetti che rivestono funzioni di rappresentanza, amministrazione o di direzione della Banca, ossia tutti i soggetti che intrattengono un rapporto di lavoro subordinato, di qualsivoglia natura, con la Banca, nonché i lavoratori con contratti di lavoro parasubordinato, ancorché distaccati dall’estero e/o all’estero per lo svolgimento dell’attività. Documento Informatico: qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificatamente destinati a elaborarli. Ente: ai sensi del Decreto n. 231/2001, qualsiasi società, consorzio, associazione o fondazione o altro soggetto di diritto, sia esso dotato o meno di personalità giuridica, nonché qualsiasi ente pubblico economico. Esponenti Aziendali: il Presidente e i componenti del Consiglio di Amministrazione e del Collegio Sindacale, il Dirigente Generale, nonché qualsiasi altro soggetto in posizione apicale, per tale intendendosi qualsiasi persona che rivesta funzioni di rappresentanza, amministrazione o direzione della Banca o di una sua funzione, ai sensi del Decreto. Fornitori: i fornitori di beni e servizi non professionali della Banca che non rientrano nella definizione di Partner. Illeciti: gli illeciti amministrativi di abuso di informazioni privilegiate (art. 187-bis TUF) e di manipolazione del mercato (art. 187-ter TUF). Incaricato di pubblico servizio: colui che presta un servizio pubblico, ma non è dotato dei poteri del pubblico ufficiale, ovvero che, pur agendo nell’ambito di un’attività disciplinata nelle forme della pubblica funzione, non esercita i poteri tipici di questa e non svolge semplici mansioni d’ordine né presta opera meramente materiale. Linee Guida: Linee Guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi sulla responsabilità amministrativa delle banche. Modello: il presente Modello di organizzazione, gestione e controllo ed i suoi allegati. Organi Sociali: Consiglio di Amministrazione, Direttore Generale e Collegio Sindacale. Organismo di Vigilanza, Organismo o OdV: organismo previsto dal D. Lgs. 231/2001, dotato di autonomi poteri di iniziativa e controllo. Ha il compito di vigilare sull’adeguatezza, sul funzionamento, sull’osservanza e sull’aggiornamento del Modello. Partner: controparti contrattuali con le quali la Banca addivenga ad una qualche forma di collaborazione contrattualmente regolata (associazione temporanea d'impresa, joint venture, consorzi, licenza, agenzia, collaborazione in genere, etc.), ove destinati a cooperare con la Banca nell'ambito delle attività sensibili. 8 Protocolli: specifiche sezioni delle Parti Speciali del Modello della Banca che individuano per ciascuna attività sensibile, i ruoli e le responsabilità, nonché i principi di controllo e di comportamento a presidio dei relativi rischi-reato ex D.Lgs. n. 231/2001, cui tutti i Destinatari devono attenersi nello svolgimento propria operatività. Ad ogni Protocollo è associata la relativa normativa interna ritenuta sensibile ai sensi del D.Lgs. n. 231/2001. Pubblica Amministrazione o P.A.: gli enti pubblici e/o soggetti ad essi assimilati (es.: i concessionari di un pubblico servizio) regolati dall’ordinamento dello Stato italiano, delle Comunità Europee, degli Stati esteri e/o dal diritto internazionale, e, con riferimento ai Reati nei confronti della pubblica amministrazione, i pubblici ufficiali e gli incaricati di un pubblico servizio che per essi operano. Pubblici ufficiali: ai sensi dell’art. 357 del codice penale, sono “coloro i quali esercitano una pubblica funzione legislativa, giudiziaria o amministrativa. Agli stessi effetti è pubblica la funzione amministrativa disciplinata da norme di diritto pubblico e da atti autoritativi e caratterizzata dalla formazione e dalla manifestazione della volontà della pubblica amministrazione o dal suo svolgersi per mezzo di poteri autoritativi o certificativi ”. Rientrano, tra gli altri, nella categoria, gli ufficiali giudiziari, i consulenti tecnici del giudice, i notai, gli esattori di aziende municipalizzate, le guardie giurate, i dipendenti comunali, i dipendenti INPS, etc. Reati: le fattispecie di reato che costituiscono presupposto della responsabilità amministrativa dell’Ente prevista dal D.L. n. 231/2001. Sistema Disciplinare: insieme delle sanzioni applicabili in caso di violazione del Modello. Soggetti Apicali: persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione della Banca o di una sua unità dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione od il controllo della stessa. Soggetti Sottoposti: soggetti sottoposti alla direzione o alla vigilanza di Soggetti Apicali. T.U.B.: il Decreto Legislativo 1° settembre 1993, n. 385 (Testo Unico Bancario). T.U.F.: il Decreto Legislativo 24 febbraio 1998, n. 58 (Testo Unico della Finanza). 3. Il contesto normativo 3.1. Natura e caratteri della responsabilità prevista dal D.Lgs. n. 231/2001 Il D.Lgs. n. 231/2001, emanato l’8 giugno 2001 in attuazione della Legge delega del 29 settembre 2000, n. 300, disciplina – introducendola per la prima volta nell’ordinamento giuridico nazionale – la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica (c.d. Enti). Tale Legge delega ratifica, tra l’altro, la Convenzione sulla tutela finanziaria delle Comunità europee del 26 luglio 1995, la Convenzione U.E. del 26 maggio 1997 relativa alla lotta contro la corruzione e la Convenzione OCSE del 17 settembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali e ottempera agli obblighi previsti da siffatti strumenti internazionali e, in specie, comunitari i quali dispongono appunto la previsione di paradigmi di responsabilità delle persone giuridiche e di un corrispondente sistema sanzionatorio, che colpisca la criminalità d’impresa. 9 L’istituzione della responsabilità amministrativa delle società nasce dalla considerazione empirica che frequentemente le condotte illecite, commesse all’interno dell’impresa, lungi dal conseguire a un’iniziativa privata del singolo, rientrano piuttosto nell’ambito di una diffusa politica aziendale e conseguono a decisioni di vertice dell’Ente medesimo. Si tratta di una responsabilità “amministrativa” sui generis, poiché, pur comportando sanzioni amministrative (si veda il successivo capitolo 3.4), consegue da reato e presenta le garanzie proprie del procedimento penale. La sanzione amministrativa per gli Enti può essere applicata esclusivamente dal giudice penale e solo se sussistono tutti i requisiti oggettivi e soggettivi fissati dal legislatore: la commissione di determinati Reati elencati nel Decreto, nell’interesse2 o a vantaggio3 dell’Ente, da parte di: a) persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso (cosiddetti “Soggetti Apicali”); b) persone sottoposte alla direzione o alla vigilanza di uno dei soggetti apicali (cosiddetti “Soggetti Sottoposti”). La responsabilità dell’Ente si aggiunge a quella della persona fisica che ha commesso materialmente l’illecito e sussiste in maniera autonoma rispetto a quest’ultima, anche quando l’autore materiale del reato non è stato identificato o non è imputabile ovvero nel caso in cui il reato si estingua per una causa diversa dall’amnistia. L’Ente, però, non è responsabile se il fatto illecito è stato commesso da uno dei soggetti indicati dal Decreto “nell’interesse esclusivo proprio o di terzi”4. Ai fini dell’affermazione della responsabilità dell’Ente, oltre all’esistenza dei richiamati requisiti che consentono di collegare oggettivamente il reato all’Ente, il legislatore impone l’accertamento della colpevolezza dell’Ente. Tale condizione si identifica con una colpa da organizzazione, intesa come violazione di adeguate regole di diligenza autoimposte dall’Ente medesimo e volte a prevenire lo specifico rischio da reato. Specifiche disposizioni sono state dettate dal legislatore per i casi di trasformazione, fusione, scissione e cessione d’azienda per i quali si rimanda, per maggiori dettagli, a quanto specificamente previsto dagli artt. 28-33 del D.Lgs. n. 231/2001. 3.2. I Reati e gli Illeciti che determinano la responsabilità amministrativa L’Ente può essere chiamato a rispondere solo della commissione di Reati e di Illeciti tassativamente previsti dal D.Lgs. n. 231/2001, nella formulazione risultante dal suo testo originario e dalle successive integrazioni, nonché dalle leggi che espressamente richiamano la disciplina del Decreto. Si riporta di seguito l’elencazione dei Reati e degli Illeciti ad oggi rilevanti ai sensi del D.Lgs. n. 231/2001 e si rinvia all’Allegato per un maggior dettaglio esplicativo: • Reati commessi nei rapporti con la Pubblica Amministrazione (artt. 24 e 25 del Decreto); • Delitti informatici e trattamento illecito dei dati (art. 24-bis del Decreto); 2 Favorire l’Ente, senza che sia in alcun modo necessario il conseguimento effettivo e concreto dell’obiettivo. Si tratta dunque di un criterio che si sostanzia nella finalità – anche non esclusiva – con la quale il Reato o l’Illecito è stato realizzato. 3 Beneficio che l’Ente ha obiettivamente tratto dalla commissione del Reato o dell’Illecito, a prescindere dall’intenzione di chi l’ha commesso. 4 La responsabilità dell’Ente si configura anche in relazione a Reati commessi all’estero, purché per la loro repressione non proceda lo Stato del luogo in cui siano stati commessi e l’Ente abbia nel territorio dello Stato italiano la sede principale. 10 • Delitti di criminalità organizzata (art. 24-ter del Decreto); • Reati di falsità in monete, in carte di pubblico credito e in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis del Decreto); • Delitti contro l’industria e il commercio (art. 25-bis.1 del Decreto); • Reati societari (art. 25-ter del Decreto); • Delitti aventi finalità di terrorismo o di eversione dell’ordine democratico previsti dal codice penale e dalle leggi speciali e delitti posti in essere in violazione di quanto previsto dall’articolo 2 della Convenzione internazionale per la repressione del finanziamento del terrorismo sottoscritta a New York in data 9.12.1999 (art. 25-quater del Decreto); • Pratiche di mutilazione degli organi genitali femminili (art. 25-quater.1 del Decreto); • Delitti contro la personalità individuale (art. 25-quinquies del Decreto); • Reati e Illeciti Amministrativi di Abusi di mercato (art. 25-sexies del Decreto e art. 187quinquies TUF); • Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro (art. 25-septies del Decreto); • Reati di ricettazione, riciclaggio, impiego di denaro, beni o utilità di provenienza illecita (art. 25-octies del Decreto); • Delitti in materia di violazione del diritto d’autore (art. 25-novies del Decreto); • Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 25-decies del Decreto); • Reati transnazionali (art. 10 L. 146/2006); • Reati ambientali (art. 25-undecies del Decreto); • Impiego di cittadini di paesi terzi il cui soggiorno è irregolare (art. 25-duodecies del Decreto). 3.3. L’adozione del Modello come esimente della responsabilità amministrativa Il Decreto prevede una forma specifica di esonero dalla responsabilità amministrativa dipendente dai Reati (c.d. condizione esimente), a seconda che il reato sia commesso dai Soggetti Apicali o dai Soggetti Sottoposti. 3.3.1. I Reati e gli Illeciti commessi dai Soggetti Apicali Per i Reati commessi da Soggetti Apicali, l’Ente, per essere esente da colpa, dovrà dimostrare che (art. 6, comma 1 del D.Lgs. n. 231/2001): • l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un Modello di organizzazione, gestione e controllo idoneo a prevenire Reati della specie di quelli verificatosi; • il compito di verificare il funzionamento e l’osservanza del Modello nonché di curarne l’aggiornamento sia stato affidato ad un organo dell’Ente, dotato di autonomi poteri di iniziativa e controllo; • le persone che hanno commesso il reato hanno agito eludendo fraudolentemente il Modello; • non vi sia stata omessa o insufficiente vigilanza da parte dell’organo di cui al secondo punto. Le condizioni sopra elencate devono concorrere tutte e congiuntamente affinché la responsabilità dell’Ente possa essere esclusa. 11 3.3.2. I Reati e gli Illeciti commessi dai Soggetti Sottoposti Per i Reati commessi da Soggetti Sottoposti alla direzione o alla vigilanza di uno dei soggetti apicali, l’Ente è responsabile se la “commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione e vigilanza” dei Soggetti Apicali, inosservanza che è in ogni caso esclusa “se l’Ente, prima della commissione del reato, ha adottato ed efficacemente attuato un Modello di organizzazione, gestione e controllo idoneo a prevenire Reati della specie di quello verificatosi”. La responsabilità dell’Ente è pertanto ricondotta alla c.d. “colpa da organizzazione”, ossia alla mancata adozione o al mancato rispetto di standard doverosi attinenti all’organizzazione e all’attività dell’Ente medesimo. 3.3.3. I Reati commessi all’estero In forza dell’art. 4 del Decreto, l’Ente può essere considerato responsabile, in Italia, per la commissione all’estero di taluni reati. I presupposti su cui si fonda tale responsabilità sono: • il reato deve essere commesso all’estero da un soggetto funzionalmente legato all’Ente (un Soggetto Apicale o Subordinato); • l’Ente deve avere la propria sede principale nel territorio dello Stato italiano; • l’Ente può rispondere solo nei casi e alle condizioni previste dagli artt. 7, 8, 9, 10 c.p. (e qualora la legge preveda che la persona fisica colpevole sia punito a richiesta del Ministro della Giustizia, si procede contro l’ente solo se la richiesta è formulata anche nei confronti dell’ente stesso); • se sussistono i casi e le condizioni previsti dai predetti articoli del c.p., l’Ente risponde purché nei suoi confronti non procedano le Autorità dello Stato del luogo in cui è stato commesso il fatto. 3.3.4. L’efficace attuazione del Modello La mera adozione del Modello non è sufficiente a garantire l’esonero dalla responsabilità per l’Ente; come previsto dall’art. 6, co. 1 del D.Lgs. n. 231/2001, infatti, il Modello deve essere “efficacemente attuato” e rispondere alle seguenti esigenze, previste dall’art. 6, co. 2 del Decreto: • individuazione delle attività nel cui ambito esiste la possibilità che vengano commessi Reati previsti dal D.Lgs. n. 231/2001; • previsione di specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai Reati da prevenire; • individuazione delle modalità di gestione delle risorse finanziarie idonee a impedire la commissione di Reati; • previsione degli obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza del Modello; • introduzione di un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello. L’efficace attuazione del Modello, inoltre, richiede ai sensi dell’art. 7, co. 4 del D.Lgs. n. 231/2001: • la verifica periodica nonché l’eventuale modifica del Modello, ogniqualvolta l’Ente modifichi la propria struttura organizzativa o l’oggetto delle attività sociali o si rilevino significative violazioni delle prescrizioni; • la previsione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure 12 indicate nel Modello. 3.4. Le sanzioni irrogabili all’Ente A carico dell’Ente che ha tratto vantaggio dalla commissione del reato, o nel cui interesse sono stati compiuti i Reati, sono irrogabili (art. 9 del D.Lgs. n. 231/2001) le seguenti misure sanzionatorie: • sanzione pecuniaria: si applica ogniqualvolta è riconosciuta la responsabilità dell'Ente ed è determinata dal giudice penale attraverso un sistema basato su «quote». Per i Reati previsti dall’art. 25-sexies del D.Lgs. n. 231/2001 e gli Illeciti di cui all’art. 187-quinquies del TUF, se il prodotto o il profitto conseguito dall’Ente è di rilevante entità “la sanzione pecuniaria è aumentata fino a dieci volte tale prodotto o profitto”. • Il Decreto prevede altresì l’ipotesi di riduzione della Sanzione pecuniaria, allorquando l’autore del Reato abbia commesso il fatto nel prevalente interesse proprio o di terzi e l’Ente non ne abbia ricavato un vantaggio ovvero ne abbia ricavato un vantaggio minimo, oppure quando il danno cagionato risulti di particolare tenuità. La Sanzione pecuniaria, inoltre, è ridotta da un terzo alla metà se, prima della dichiarazione di apertura del dibattimento di primo grado, l’Ente ha risarcito integralmente il danno ed ha eliminato le conseguenze dannose o pericolose del Reato, o si è comunque adoperato in tal senso. La sanzione pecuniaria è, infine, ridotta nel caso in cui l’Ente abbia adottato un modello idoneo alla prevenzione di Reati della specie di quello verificatosi. Del pagamento della Sanzione pecuniaria inflitta risponde soltanto l’Ente, con il suo patrimonio o il fondo comune; si esclude, pertanto, una responsabilità patrimoniale diretta dei soci o degli associati, indipendentemente dalla natura giuridica dell’Ente; • sanzione interdittiva: si applica per alcune tipologie di Reati e per le ipotesi di maggior gravità. Si traduce: - nell’interdizione dall’esercizio dell’attività aziendale; - nella sospensione e nella revoca delle autorizzazioni, delle licenze o delle concessioni funzionali alla commissione dell’illecito; - nel divieto di contrattare con la pubblica amministrazione (salvo che per ottenere le prestazioni di un pubblico servizio); - nell’esclusione da agevolazioni, finanziamenti, contributi o sussidi e nell’eventuale revoca di quelli concessi; - nel divieto di pubblicizzare beni o servizi. In ogni caso, le sanzioni interdittive non si applicano (o sono revocate, se già applicate in via cautelare) qualora l’Ente – prima della dichiarazione di apertura del dibattimento di primo grado: - abbia risarcito il danno, o lo abbia riparato; - abbia eliminato le conseguenze dannose o pericolose del Reato (o, almeno, si sia adoperato in tal senso); - abbia messo a disposizione dell’Autorità Giudiziaria, per la confisca, il profitto del Reato; - abbia eliminato le carenze organizzative che hanno determinato il Reato, adottando modelli organizzativi idonei a prevenire la commissione di nuovi Reati. Qualora ricorrano tutti questi comportamenti – considerati di ravvedimento operoso – anziché la sanzione interdittiva si applicherà quella pecuniaria; 13 • confisca: consiste nell’acquisizione del prezzo o del profitto del Reato da parte dello Stato o nell’acquisizione di somme di danaro, beni o altre utilità di valore equivalente al prezzo o al profitto del Reato: non investe, tuttavia, quella parte del prezzo o del profitto del Reato che può restituirsi al danneggiato. La confisca è sempre disposta con la sentenza di condanna; • pubblicazione della sentenza: può essere disposta quando all’Ente viene applicata una sanzione interdittiva; viene effettuata a cura della cancelleria del Giudice, a spese dell’Ente, ai sensi dell'articolo 36 del codice penale nonché mediante affissione nel comune ove l’Ente ha la sede principale. 3.5. Le Linee Guida dettate dalle Associazioni di Categoria L’art. 6 del Decreto dispone che il Modello possa essere adottato sulla base di codici di comportamento redatti da associazioni rappresentative di categoria e comunicati al Ministero della Giustizia. La Banca, nella predisposizione del presente Modello, si è ispirata, in particolare, alle “Linee Guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi sulla responsabilità amministrativa delle banche” emanate dall’ABI in data 2 marzo 2004 (e successivi aggiornamenti). Si sono altresì tenuti in espressa considerazione i provvedimenti giurisprudenziali in materia di responsabilità amministrativa degli enti. In particolare, nella definizione del Modello ci si è altresì ispirati, oltre alle Linee Guida sopra enunciate, al c.d. “Decalogo 231”5. 5 Cfr, Ordinanza emessa dal Giudice per le Indagini Preliminari presso il Tribunale di Milano, dott.ssa Secchi, in data 20 settembre 2004. 14 PARTE GENERALE 15 4. Il Modello di organizzazione, gestione e controllo di Banca Arner Italia S.p.A. 4.1. Il contesto aziendale Nella predisposizione del presente Modello si è tenuto conto della specifica realtà aziendale della Banca, avente per oggetto sociale la raccolta del risparmio e l’esercizio del credito, nelle sue varie forme. La Banca può compiere, con l’osservanza delle disposizioni vigenti e previo ottenimento delle prescritte autorizzazioni, tutte le operazioni e i servizi bancari e finanziari consentiti, ivi compresi l’esercizio dei servizi di investimento ai sensi del D.Lgs. 24 febbraio 1998, n. 58 e dei relativi regolamenti attuativi e la gestione di fondi pensione. La Banca, inoltre, può assumere partecipazioni in altre società ed imprese italiane ed estere, con attività analoga, affine o connessa alla propria nonché compiere operazioni ed esercitare in genere ogni altra attività finanziaria nonché le attività connesse o strumentali al raggiungimento dell’oggetto sociale. 4.2. Le finalità del Modello La Banca ha ritenuto opportuno adottare uno specifico Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. n. 231/2001, conforme alle indicazioni dello stesso, nella convinzione che ciò costituisca, oltre che un valido strumento di sensibilizzazione di tutti coloro che operano per conto della Banca, affinché tengano comportamenti corretti e lineari, anche un più efficace mezzo di prevenzione contro il rischio di commissione dei Reati e degli Illeciti di cui al Decreto. In particolare, attraverso l’adozione del presente Modello, la Banca intende perseguire le seguenti finalità: • adeguarsi alla normativa sulla responsabilità amministrativa degli Enti, nonché verificare e valorizzare i presidi già in essere, atti a prevenire la realizzazione di condotte illecite rilevanti ai sensi del D.Lgs. n. 231/2001; • informare tutti coloro che operano per conto della Banca del contenuto del Decreto, della sua rilevanza e delle sanzioni penali e amministrative che possono essere comminate alla Banca e nei loro confronti, in caso di violazione degli obblighi impartiti in materia, nonché delle conseguenze disciplinari e/o contrattuali che possono derivarne nei loro confronti; • diffondere e affermare una cultura d’impresa improntata alla legalità, nella consapevolezza dell’espressa riprovazione da parte della Banca di condotte che, anche se possono apparentemente favorire l’interesse della stessa, sono contrarie, oltre che alle disposizioni di legge, alla normativa di settore e ai regolamenti aziendali, anche ai principi etici ai quali la Banca intende attenersi nell’esercizio dell’attività aziendale; • diffondere e affermare una cultura del controllo, che presieda al raggiungimento degli obiettivi che, nel tempo, la Banca – esclusivamente sulla base delle decisioni regolarmente assunte degli Organi Sociali competenti - si pone; • raggiungere un’efficiente ed equilibrata organizzazione, con particolare riguardo alla chiara attribuzione dei poteri, alla formazione delle decisioni e alla loro trasparenza e motivazione, ai controlli, preventivi e successivi, sugli atti e le attività, nonché alla correttezza e veridicità dell’informazione interna ed esterna. In rapporto alla natura e alla dimensione dell’organizzazione specificamente interessata nonché al tipo di attività svolta, devono essere assunte misure concretamente idonee a migliorare l’efficienza nello svolgimento delle attività stesse, assicurando il costante rispetto della legge e di 16 tutte le altre regole che intervengono a disciplinare l’attività o la funzione. 4.3. I Destinatari del Modello Il Modello e le disposizioni ivi contenute e richiamate devono essere rispettate da tutti i soggetti interni alla Banca che svolgono funzioni di gestione, amministrazione, direzione e controllo della stessa e da tutti i suoi Dipendenti. Al fine di garantire l’efficace ed effettiva prevenzione dei Reati e degli Illeciti, il Modello è destinato anche ai soggetti esterni (intendendosi per tali, a titolo esemplificativo e non esaustivo, i collaboratori, i professionisti, i consulenti, i fornitori, i partner commerciali) che, in forza di rapporti contrattuali, prestino la loro collaborazione alla Banca per la realizzazione delle sue attività. La Banca richiede ai soggetti esterni il rispetto del Modello anche mediante l’apposizione di una clausola contrattuale che impegni il contraente ad attenersi ai principi del Modello. L’insieme dei soggetti interni ed esterni alla Banca che devono attenersi al rispetto di quanto prescritto nel Modello costituiscono i “Destinatari” del Modello. 4.4. L’implementazione del Modello Al fine di implementare il proprio Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. n. 231/2001, la Banca ha proceduto per passi logici successivi (che dovranno essere tenuti presenti anche per gli aggiornamenti successivi) ed in particolare alla: • individuazione delle attività nel cui ambito possono essere commessi i Reati di cui al Decreto (cosiddette “attività sensibili”) e conseguente identificazione dei profili di rischio di commissione dei Reati di cui al Decreto mediante l’analisi della normativa interna in vigore e lo svolgimento di interviste con i Responsabili delle Aree/Funzioni della Banca; • rilevazione dei presidi di controllo atti a prevenire la commissione dei Reati di cui al Decreto e conseguente valutazione dell’adeguatezza degli stessi. Sono state, pertanto, identificate le attività a rischio di commissione dei Reati e degli Illeciti rilevanti ai sensi del D.Lgs. n. 231/2001 e quelle strumentali, intendendosi rispettivamente le attività il cui svolgimento può dare direttamente adito alla commissione di una delle fattispecie di reato contemplate dal D.Lgs. n. 231/2001 e le attività in cui, in linea di principio, potrebbero configurarsi le condizioni, le occasioni o i mezzi per la commissione dei Reati e degli Illeciti. Successivamente è stata effettuata un’analisi intesa a valutare l’adeguatezza del sistema dei controlli esistente, ossia l’attitudine a prevenire o individuare comportamenti illeciti quali quelli sanzionati dal D.Lgs. n. 231/2001. In specifico, le aree rilevanti ai fini del D.Lgs. n. 231/2001 sono state valutate rispetto al sistema dei presidi/controlli esistenti presso la Banca, per evidenziare eventuali disallineamenti rispetto alla best practice e per ricercare possibili soluzioni utili e porvi rimedio. Particolare attenzione è stata posta ai principi generali di un adeguato sistema di controllo interno nelle materie rilevanti ai fini del D.Lgs. n. 231/2001 ed in particolare a: • articolazione di poteri autorizzativi coerenti con le responsabilità assegnate; • rispetto del principio di separazione delle funzioni; • verificabilità e documentabilità di ogni operazione rilevante ai fini del D.Lgs. n. 231/2001 (sia con riferimento al processo di decisione che con riferimento all’effettiva esecuzione dei controlli ritenuti rilevanti ai fini della prevenzione dei rischi individuati). 17 Particolare attenzione è stata, inoltre, dedicata ad individuare e regolare i processi di gestione e di controllo delle risorse finanziarie nelle attività ritenute sensibili alla realizzazione dei comportamenti illeciti rilevanti ai sensi del D.Lgs. n. 231/2001. I risultati di tali attività sono stati formalizzati nei documenti denominati “Memorandum” che, con riferimento alle attività di competenza di ciascuna funzione intervistata, identificano i profili di rischio di commissione dei Reati e degli Illeciti di cui al Decreto e i presidi di controllo rilevati. Tali documenti sono a disposizione dell’Organismo di Vigilanza ai fini dello svolgimento dell’attività istituzionale ad esso demandata. Nel corso degli incontri è stato altresì svolto un processo di sensibilizzazione dei Responsabili delle Aree/Funzioni della Banca con riferimento sia alla funzione del Modello sia ai principi comportamentali cui si ispira la Banca. Le attività sensibili ai sensi del D.Lgs. n. 231/2001 L’analisi delle attività svolte dalla Banca ha portato all’individuazione delle seguenti principali attività sensibili ai fini del D.Lgs. n. 231/2001: • gestione dei rapporti contrattuali con la clientela, inclusa l’erogazione creditizia, e gestione del rapporto con le terze parti (ad. intermediari negoziatori, broker, market maker); • gestione delle attività inerenti alla richiesta di autorizzazioni o l’esecuzione di adempimenti verso la Pubblica Amministrazione; • gestione della formazione finanziata; • gestione degli acquisti di beni e servizi e degli incarichi professionali; • gestione dei contenziosi e degli accordi transattivi; • gestione del processo di selezione e assunzione del personale; • gestione dei rapporti con le Autorità di Vigilanza; • gestione degli omaggi e delle spese di rappresentanza; • gestione di beneficenze e sponsorizzazioni; • gestione dei rapporti con il Collegio Sindacale e la Società di Revisione; • gestione della contabilità e predisposizione del bilancio; • gestione delle operazioni societarie e degli adempimenti relativi al funzionamento degli Organi Societari; • situazioni di conflitto di interessi degli amministratori; • gestione dei valori; • gestione delle operazioni di cassa disposte dalla clientela; • gestione delle attività previste dalla normativa antiriciclaggio in tema di segnalazioni di operazioni sospette; • esecuzione di servizi e attività bancarie, finanziarie e/o di investimento come definite nel D.Lgs. 385/1993 (TUB) e nel D.Lgs. 58/1998 (TUF), e relative norme di attuazione; • gestione di investimenti diversi dai servizi bancari e finanziari (quali ad es. acquisizioni di partecipazioni o aziende, accordi strategici, altre operazioni di finanza straordinaria); • gestione del processo di selezione dei partner commerciali/finanziari e gestione dei relativi rapporti; • gestione e divulgazione delle informazioni e delle comunicazioni esterne, ai fini della 18 prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato; • gestione delle operazioni di mercato, ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato; • gestione delle segnalazioni di operazioni sospette in materia di abusi di mercato; • gestione e utilizzo dei sistemi informativi, degli asset IT e del patrimonio informativo aziendale; • gestione degli adempimenti in materia di salute e sicurezza sul lavoro (D.Lgs. 81/08). Inoltre, si rileva che dall’analisi delle attività svolte dalla Banca, sono stati ritenuti remoti i rischi di realizzazione, anche in concorso, dei reati contro l’industria e il commercio (art.25-bis.1), dei reati di mutilazione degli organi genitali femminili (art.25-quater.1), dei delitti contro la personalità individuale (25-quinquies), dei delitti in materia di violazione del diritto d’autore (25novies) e dei reati ambientali (25-undecies), commessi nell’interesse o a vantaggio della Banca medesima. Pertanto, per quanto concerne i principi di controllo e di comportamento volti alla prevenzione degli stessi, appare esaustivo quanto previsto dall’insieme dei principi e delle regole contenuti nel presente Modello, nonché dal Codice Etico, contenente i principi e le regole fondamentali che devono orientare le condotte dei Destinatari affinché qualsiasi loro comportamento sia conforme, oltre che alla legge, ai principi di onestà, correttezza, fedeltà, lealtà, trasparenza, imparzialità e riservatezza. 4.5. Il monitoraggio delle attività sensibili Agli specifici fini del Decreto, i Responsabili delle Aree/Funzioni hanno la responsabilità: • dell'esecuzione, del buon funzionamento e dell’efficace applicazione nel tempo dei processi; • di proporre modifiche alle procedure di loro competenza, con particolare riferimento alle procedure riguardanti le “attività sensibili”; • di segnalare all’Organismo di Vigilanza eventuali situazioni di irregolarità o comportamenti anomali; • di monitorare continuamente le attività sensibili presidiate al fine di individuare eventuali carenze/rischi di commissione dei reati ex del D.Lgs. n. 231/2001, nonché suggerire eventuali aggiornamenti determinati da variazioni organizzative ovvero da variazioni delle incombenze funzionali e gestionali. In particolare, i Responsabili, con riferimento alle “attività sensibili”, devono prestare la massima e costante cura nel verificare l’esistenza e nel porre rimedio ad eventuali carenze nella normativa interna che potrebbero dar luogo a potenziali rischi di commissione di Reati o Illeciti nell’ambito delle attività di propria competenza. La Banca periodicamente e in ogni caso: • quando intervengano apprezzabili mutamenti o modifiche normative (sia interne sia esterne) e organizzative; • nell’ipotesi di emersione di rischi in precedenza non evidenziati; • nel caso di significative e/o ripetute violazioni delle prescrizioni del Modello; procede alla revisione della mappatura delle “attività sensibili”, ossia delle attività nel cui ambito potrebbero determinarsi il rischio di commissione di uno dei Reati e degli Illeciti espressamente richiamati dal Decreto e, conseguentemente, all’aggiornamento del Modello. 19 4.6. Il Modello di Governo della Banca e gli strumenti aziendali a supporto del Modello 4.6.1. Il Modello di Governo della Banca Consiglio di Amministrazione Il Consiglio di Amministrazione è investito di tutti i più ampi poteri di ordinaria e straordinaria amministrazione finalizzati al raggiungimento dell’oggetto sociale, ad eccezione di quanto espressamente riservato dalla legge o dallo Statuto all’Assemblea dei soci. Sono statutariamente riservati all’esclusiva competenza del Consiglio di Amministrazione, tra gli altri, i seguenti compiti: • definizione delle politiche di gestione dei rischi; • nomina di un Direttore Generale6, determinandone i relativi poteri e compensi; • nomina dei Responsabili delle funzioni di Internal Audit, Compliance e Antiriciclaggio; • nomina di eventuali comitati o commissioni con funzioni consultive o di coordinamento, ivi incluso, in ogni caso, il Comitato per le remunerazioni, il cui funzionamento deve essere disciplinato da appositi regolamenti; • approvazione e modifica di eventuali regolamenti interni fatta eccezione per l’eventuale regolamento dei lavori assembleari la cui competenza è riservata all’assemblea ordinaria; • assunzione e cessione di partecipazioni nel rispetto dei limiti di cui all’art. 2361 comma 2 del codice civile e fatta eccezione delle compravendita di strumenti finanziari per negoziazione; • definizione delle procedure atte a disciplinare le modalità di gestione dei conflitti di interesse; • indicazione degli amministratori con poteri di rappresentanza della società; • adeguamento dello statuto a disposizioni normative. In materia di antiriciclaggio e antiterrorismo il Consiglio di Amministrazione: • individua gli orientamenti strategici e le politiche di gestione dei rischi connessi con il riciclaggio e il finanziamento del terrorismo; • provvede alla chiara e appropriata allocazione dei compiti e delle responsabilità in materia di antiriciclaggio e di contrasto al finanziamento del terrorismo; • definisce criteri per assicurare che il sistema dei flussi informativi verso gli organi sociali e al loro interno sia adeguato, completo e tempestivo; • definisce l’assetto dei controlli interni e ne assicura l’efficacia nel tempo; • con cadenza almeno annuale, esamina le relazioni sull’attività svolta dal responsabile antiriciclaggio e sui controlli eseguiti dalle funzioni competenti; • assicura che le carenze e le anomalie riscontrate in esito ai controlli di vario livello siano portate tempestivamente a sua conoscenza quando occorra promuovere l’adozione di adeguate misure correttive. Con riferimento al sistema dei controlli interni, il Consiglio di Amministrazione: • fissa le linee guida di indirizzo del sistema dei controlli interni in coerenza con la 6 Lo Statuto della Banca prevede che il Consiglio di Amministrazione della stessa nomini un Direttore Generale, salvo non sia stato nominato un Amministratore Delegato. Sul punto, si rileva che il Consiglio di Amministrazione della Banca, nominato in data 30 aprile 2013, non ha provveduto a nominare un Amministratore Delegato, bensì un Direttore Generale. 20 propensione al rischio prescelta, riesaminandoli periodicamente al fine di assicurarne la funzionalità, l’efficacia nel tempo ed adeguate misure correttive nel caso in cui emergano carenze o anomalie; • verifica che le funzioni di controllo abbiano un grado di autonomia di giudizio appropriato e che siano fornite di risorse quali/quantitativamente adeguate; • promuove in ambito aziendale la funzione di controllo, rendendo il personale consapevole del ruolo ad esso attribuito nel sistema dei controlli interni ed esserne pienamente coinvolto; • stabilisce le linee di indirizzo del sistema dei controlli interni in coerenza con la propensione al rischio prescelta, provvedendo al loro riesame periodico al fine di assicurarne la funzionalità, l’efficacia e l’efficienza nel tempo e la tempestività di adeguate misure correttive nel caso in cui emergano carenze o anomalie. Con specifico riferimento, infine, al processo ICAAP, al Consiglio di Amministrazione della Banca compete definire e approvare le linee generali del processo, assicurando l’adeguamento tempestivo, in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento, nonché promuovendo il pieno utilizzo delle risultanze dell’ICAAP a finalità strategiche e nelle decisioni d’impresa. Il Consiglio di Amministrazione si avvale dell’azione del Direttore Generale per sviluppare il coordinamento operativo del processo, a completamento del quale approva la rendicontazione finale di valutazione del processo di formazione del capitale di vigilanza attuale e prospettico da trasmettere alla Banca d’Italia. In particolare, il Direttore Generale, attraverso le funzioni preposte, dà attuazione al processo ICAAP, che deve considerare e soddisfare i seguenti elementi: • considerare tutti i rischi rilevanti della Banca; • utilizzare appropriate metodologie compatibili con il criterio di proporzionalità; • fornire adeguato livello di informativa alla struttura aziendale; • accertare un adeguato livello di formalizzazione e documentazione del processo; • individuare ruoli e responsabilità assegnate alle funzioni ed alla struttura aziendale preposte alla realizzazione del processo; • incorporare valutazioni prospettiche; • costituire parte integrante dell’attività gestionale. Presidente del Consiglio di Amministrazione Il Presidente del Consiglio di Amministrazione è nominato dal Consiglio stesso ove non abbia provveduto l’Assemblea. Il Presidente rappresenta, ai sensi di Statuto, la Banca di fronte ai terzi e in giudizio, senza l’attribuzione di deleghe operative. Il Presidente del Consiglio di Amministrazione, in coerenza con i compiti in tema di organizzazione dei lavori del Consiglio stesso e di circolazione delle informazioni attribuiti dall’articolo 2381 del codice civile, svolge funzioni tese a: • favorire la dialettica interna al Consiglio; • assicurare il bilanciamento dei poteri e l’adeguata informativa societaria. E’ compito del Presidente promuovere l’effettivo funzionamento del sistema di governo societario garantendo l’equilibrio di poteri rispetto al Direttore Generale ed altri eventuali amministratori esecutivi e ponendosi quale interlocutore dei Responsabili delle funzioni di controllo. In particolare, le funzioni Internal Audit e Compliance riportano direttamente al Presidente del 21 Consiglio di Amministrazione (mentre il loro coordinamento è gestito da un Consigliere indipendente). Al fine di consentire al Presidente di svolgere efficacemente la propria funzione, quest’ultimo riveste un ruolo non esecutivo e non svolge, neppure di fatto, funzioni gestionali. Direttore Generale Al Direttore Generale è attribuita la sovraordinazione della gestione aziendale; egli, inoltre, è preposto all'esecuzione delle deliberazioni del Consiglio di Amministrazione ed alla gestione degli affari correnti ed è a capo del personale. Laddove i poteri di seguito indicati, attribuiti al Direttore Generale, siano concorrenti a quelli attribuiti ai Responsabili di Area/Funzione, gli stessi dovranno essere esercitati dal Direttore Generale solo in caso il Responsabile di Area/Funzione sia impedito per qualsivoglia ragione all’esercizio del potere stesso. Il Direttore Generale svolge, tra gli altri, i seguenti compiti: • attuazione delle politiche aziendali e di quelle del sistema di gestione dei rischi, definite dal Consiglio di Amministrazione, verificandone nel continuo l’adeguatezza; • definizione dei flussi e predisposizione degli strumenti informativi per assicurare agli Organi Sociali la conoscenza dei fatti aziendali e una consapevole gestione di tutti i rischi rilevanti, nel rispetto della normativa interna; • mantenimento nel tempo di un processo integrale di misurazione e segnalazione dei rischi; • assicurazione di un’efficace gestione della struttura, dell’operatività della Banca, nonché dei rischi da essa assunti; • monitoraggio dell’andamento e dello sviluppo delle principali poste dell’attivo e del passivo al fine di verificare che siano sempre correlate fra di loro e rispettino i coefficienti patrimoniali e di rischio fissati dalla normativa di vigilanza prudenziale. Con riferimento alla gestione del personale, il Direttore Generale è responsabile nei confronti del Consiglio di Amministrazione dell’adeguatezza quantitativa e qualitativa del personale e del comportamento dello stesso. Il Direttore Generale è altresì il “datore di lavoro” ai sensi della vigente normativa in materia di igiene e sicurezza sui luoghi di lavoro. In tale ambito, il datore di lavoro ha la facoltà di delegare compiti e conseguenti poteri a soggetti con adeguate competenze, quali “dirigenti”, “preposti” e addetti ai servizi di emergenza. In materia di antiriciclaggio e antiterrorismo il Direttore Generale: • cura l’attuazione delle delibere del Consiglio di Amministrazione in materia; • assicura l’adozione e l’efficace attuazione del Modello organizzativo e delle procedure operative antiriciclaggio e antiterrorismo, affinché sia evitato l’inconsapevole coinvolgimento della Banca in fatti illeciti di tal natura; • assicura che le procedure operative e i sistemi informativi consentano il corretto adempimento degli obblighi di adeguata verifica della clientela, l’acquisizione e il costante aggiornamento di tutte le informazioni funzionali all’esame del suo profilo di rischio e all’individuazione delle motivazioni economiche sottostanti ai rapporti instaurati e alle operazioni effettuate, appronta le procedure per l’assolvimento degli obblighi di conservazione dei documenti e di registrazione delle informazioni nell’archivio unico informatico. 22 Amministratore Delegato (qualora nominato) Il Consiglio di Amministrazione delega all’Amministratore Delegato, se nominato, nei limiti di legge, le proprie attribuzioni, determinando i limiti della delega stessa. All’Amministratore Delegato è attribuita la sovraordinazione della gestione aziendale; egli, inoltre, è preposto all’esecuzione delle deliberazioni del Consiglio di Amministrazione ed è a capo del personale. L’Amministratore Delegato riferisce al Consiglio di Amministrazione e al Collegio Sindacale, almeno ogni 2 mesi, sul generale andamento della gestione e sulla sua prevedibile evoluzione nonché sulle operazioni di maggior rilievo, per le loro dimensioni o caratteristiche, effettuate dalla Banca e dalle sue controllate. Organismo di Vigilanza7 Si rimanda al Capitolo 5 della Parte Generale del presente Modello. Collegio Sindacale L’Assemblea ordinaria nomina il Collegio Sindacale, che è composto da tre membri effettivi, fra i quali elegge il Presidente, e due supplenti. I requisiti, le funzioni e le responsabilità del Collegio Sindacale, sono regolati dalla normativa vigente e/o dallo Statuto Sociale. Il Collegio Sindacale, anche avvalendosi delle funzioni interne di controllo: • vigila sull’osservanza della legge e dello Statuto, sul rispetto dei principi di corretta amministrazione e, in particolare, sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla Banca; • vigila sulla funzionalità del complessivo sistema dei controlli interni; accerta l’efficacia delle strutture e funzioni coinvolte nel sistema dei controlli e l’adeguato coordinamento tra le stesse; • promuove interventi correttivi delle carenze e delle irregolarità rilevate; • vigila sull’adeguatezza del sistema di gestione e controllo dei rischi e, in particolare, sui sistemi per la determinazione dei requisiti patrimoniali e sul relativo processo ICAAP, avuto riguardo sia ai profili organizzativi, sia a quelli quantitativi; • vigila sull’osservanza della normativa e sull’adeguatezza del sistema di gestione e controllo del rischio di riciclaggio. Nell’esercizio delle proprie attribuzioni, il Collegio si avvale delle strutture interne per lo svolgimento delle verifiche e degli accertamenti necessari e utilizza flussi informativi provenienti dagli altri Organi Sociali, dal Responsabile Antiriciclaggio e dalle altre funzioni di controllo interno, prima fra tutte l’Internal Audit. 4.6.2. Gli strumenti aziendali esistenti a supporto del Modello Nella predisposizione del presente Modello si è tenuto conto degli strumenti aziendali già esistenti e operanti nella Banca. In particolare, gli strumenti già esistenti, che costituiscono anche idonei presidi di prevenzione di Reati e comportamenti illeciti in genere, inclusi quelli previsti dal D.Lgs. n. 231/2001, sono rappresentati dall’insieme di regole, sistemi e procedure di cui la Banca si è dotata per disciplinare il funzionamento delle attività in essa svolte. In particolare, quali specifici strumenti aziendali già esistenti e diretti a programmare la formazione e l’attuazione delle decisioni aziendali e ad effettuare i controlli, anche in relazione ai Reati e agli Illeciti da prevenire, la Banca ha individuato: 7 Con delibera del Consiglio di Amministrazione del 6 giugno 2013 l’Organismo di Vigilanza è composto dai componenti effettivi del Collegio Sindacale. 23 • la normativa interna; • il Codice Etico; • il sistema dei controlli interni; • il sistema dei poteri e delle deleghe. Le regole, le procedure e i principi di cui agli strumenti sopra elencati fanno parte del più ampio sistema di organizzazione, gestione e controllo che il Modello intende integrare e che tutti i soggetti Destinatari sono tenuti a rispettare, in relazione al tipo di rapporto in essere con la Banca. La Banca è particolarmente attiva nel promuovere iniziative volte a sensibilizzare tutto il personale nonché i propri soci, clienti, fornitori, consulenti, collaboratori esterni e partner commerciali, al rispetto dei fondamentali principi di etica degli affari e delle norme giuridiche vigenti, nel perseguimento dell’oggetto sociale. Di seguito si illustrano i principi di riferimento del Codice Etico, il sistema dei controlli interni, nonché il sistema dei poteri e delle deleghe della Banca. Il Codice Etico La Banca, al fine di definire il complesso dei valori ai quali intende orientare la propria attività per raggiungere gli obiettivi imprenditoriali e in accoglimento di quanto prescritto nel D.Lgs. n. 231/2001, ha adottato un Codice Etico che stabilisce i principi generali di comportamento, per orientare l’impegno professionale di coloro che a vario titolo collaborano con la Banca. Il Codice Etico costituisce parte integrante e sostanziale del presente Modello e il suo rispetto è obbligatorio. L’osservanza dei principi previsti dal Codice è considerata fondamentale per l’affidabilità della gestione e il regolare funzionamento della Banca. A tali principi si richiamano le operazioni, i comportamenti e i rapporti, sia interni che esterni alla Banca. Il Codice Etico, pertanto, rappresenta lo strumento attraverso cui la Banca intende formalmente adottare principi di onestà, correttezza, fedeltà, lealtà, trasparenza, imparzialità e riservatezza su cui improntare la propria attività. Il Sistema di Controlli Interni La Banca ha adottato un Sistema dei Controlli Interni che risponde all’esigenza di garantire una sana e prudente gestione delle attività della Banca, coniugando il raggiungimento degli obiettivi aziendali di profittabilità con il corretto e puntuale monitoraggio dei rischi e relativa consapevole assunzione e una condotta operativa improntata a criteri di correttezza. Le principali tipologie di controlli svolti dalle diverse strutture organizzative della Banca riguardano: • i controlli di linea (I livello): controlli delle attività, diretti ad assicurare il corretto svolgimento delle operazioni; sono effettuati dalle stesse strutture produttive o incorporati nelle procedure ovvero eseguiti nell’ambito dell’attività di middle/back office ed hanno carattere sistematico; • i controlli sulla gestione dei rischi (II livello): controlli con l’obiettivo di concorrere alla definizione di metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio/rendimento assegnati per le singole fattispecie di rischio (esempio: di conformità, operativo, di credito, di reputazione). Tali controlli sono necessariamente affidati a strutture diverse da quelle produttive; • l’attività di internal audit (III livello): attività volta ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo sistema dei controlli interni. L’attività di internal audit viene condotta in 24 maniera continuativa, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive e da quelle di II livello, anche attraverso verifiche in loco. Le funzioni di controllo interno della Banca sono: • Gestione Rischi (controllo di II livello); • Compliance (controllo di II livello); • Antiriciclaggio (controllo di II livello); • Internal Audit (controllo di III livello). Il sistema di deleghe e poteri La Banca si è dotata di un sistema di distribuzione dei poteri di governo e di controllo dei processi decisionali distinguendo i ruoli e le responsabilità, l’appropriato bilanciamento dei poteri, l’equilibrata composizione degli organi, l’efficacia dei controlli, il presidio di tutti i rischi aziendali e l’adeguatezza dei flussi informativi. Il sistema organizzativo e di governo della Banca è fortemente imperniato sugli assunti relativi al ruolo del Consiglio di Amministrazione, alla corretta gestione delle situazioni di conflitto di interessi, alla trasparenza nella gestione e nell’attuazione degli indirizzi deliberati e all’efficienza del proprio sistema di controlli interni, anche attraverso un efficace sistema di flussi informativi. Lo Statuto attribuisce al Consiglio di Amministrazione tutti i più ampi poteri di ordinaria e straordinaria amministrazione finalizzati al raggiungimento dell’oggetto sociale, ad eccezione di quanto espressamente riservato dalla legge o dallo Statuto all’Assemblea dei soci. Il Presidente del Consiglio di Amministrazione rappresenta, ai sensi di Statuto, la Banca di fronte ai terzi e in giudizio, senza l’attribuzione di deleghe operative. II Consiglio di Amministrazione, se non è stato nominato un Amministratore Delegato, nomina un Direttore Generale, determinandone i relativi poteri e compensi. Inoltre, il Consiglio può delegare singoli membri del Consiglio di Amministrazione o Dipendenti della Banca al compimento di determinati atti o categorie di atti. 4.7. Adozione, efficace attuazione, modificazione e aggiornamento del Modello 4.7.1. Adozione del Modello L’adozione e l’efficace attuazione del Modello costituiscono, ai sensi dell’art. 6, comma 1, lett. a) del Decreto, atti di competenza e di emanazione del Consiglio di Amministrazione che approva, mediante apposita delibera, il Modello. 4.7.2. Efficace attuazione, modificazione e aggiornamento del Modello Il Consiglio di Amministrazione assicura l’efficace attuazione del Modello, mediante valutazione e approvazione delle azioni necessarie per implementarlo o modificarlo. Per l’individuazione di tali azioni, il Consiglio di Amministrazione si avvale, in particolare, del supporto dell’Organismo di Vigilanza. Il Consiglio di Amministrazione modifica tempestivamente il Modello qualora siano state individuate, da parte dell’Organismo di Vigilanza o da altra funzione della Banca, significative violazioni delle prescrizioni in esso contenute che ne evidenziano l’inadeguatezza, anche solo parziale, a garantire l’efficace prevenzione dei Reati di cui al Decreto e aggiorna, in tutto o in parte, i contenuti del Modello qualora intervengano mutamenti nell’organizzazione, nell’attività o nel contesto normativo di riferimento. 25 Nello specifico, il Consiglio di Amministrazione aggiorna tempestivamente, in tutto o in parte, il Modello, anche su proposta dell’Organismo di Vigilanza, qualora intervengano i seguenti mutamenti/modifiche: a) nel sistema normativo e regolamentare, anche nella parte autoformata, che disciplina l’attività della Banca; b) nella struttura societaria o nell’organizzazione o articolazione della Banca; c) nei rapporti con altri enti operanti nel sistema creditizio, con gli intermediari finanziari; d) nell’attività della Banca o dei suoi servizi o beni offerti alla clientela, compresi strumenti o prodotti finanziari; e) in riferimento ad altri e diversi elementi e circostanze essenziali per l’esito della mappatura dei rischi. Le proposte di modifica al Modello sono preventivamente comunicate all’Organismo, il quale deve tempestivamente esprimere un parere. Qualora il Consiglio di Amministrazione ritenga di discostarsi dal parere dell’Organismo, deve fornire adeguata motivazione. Il Direttore Generale della Banca può apportare al Modello modifiche di natura non sostanziale, qualora lo ritenga necessario. Le modifiche sono immediatamente comunicate all’Organismo e al Consiglio di Amministrazione, per la ratifica. L’Organismo deve prontamente segnalare, in forma scritta, al Presidente del Consiglio di Amministrazione e al Direttore Generale i fatti che suggeriscono l’opportunità o la necessità di modifica o revisione del Modello. Il Presidente del Consiglio di Amministrazione, in tal caso, deve convocare il Consiglio, affinché adotti le deliberazioni di sua competenza. Nella gestione del Modello sono inoltre coinvolte le funzioni di seguito indicate, alle quali sono affidati specifici ruoli e responsabilità. Si rileva che nel prosieguo del presente documento sarà utilizzato il termine “funzione” per indicare indistintamente le Direzioni/Strutture/Unità previste dall’organigramma della Banca. Funzione di Internal Audit La Funzione di Internal Audit è posta in staff al Consiglio di Amministrazione. Alla Funzione di Internal Audit sono attribuiti i seguenti compiti: • valutare l’adeguatezza e la coerenza del sistema dei controlli interni, dei processi, delle procedure e dei meccanismi di controllo aziendali; • accertare la regolare e corretta operatività della Banca nel suo complesso anche mediante verifiche in loco; • valutare l’adeguatezza dei sistemi di gestione dei rischi operativi e del processo di autovalutazione (ICAAP); • verificare la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli, mediante specifici interventi (follow-up). La Funzione di Internal Audit espleta compiti di accertamento anche con riguardo a specifiche irregolarità e/o comportamenti fraudolenti da parte di personale della Banca, ove richiesto dal Consiglio di Amministrazione o dal Collegio Sindacale. La Funzione, inoltre, supporta direttamente l’Organismo di Vigilanza nel vigilare sul rispetto e sull’adeguatezza delle regole contenute nel Modello, attivando, a fronte delle eventuali criticità 26 riscontrate nel corso della propria attività, le funzioni di volta in volta competenti per le opportune azioni di mitigazione. Funzione Compliance8 La Funzione Compliance, è posta in staff al Consiglio di Amministrazione. La Funzione, tra le altre, svolge le seguenti attività: • identificare nel continuo le norme applicabili alla Banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali; • proporre modifiche organizzative e procedurali finalizzate ad assicurare l’adeguato presidio dei rischi di non conformità identificati; • controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure interne adottate per rimediare ad eventuali carenze nell’adempimento degli obblighi; • verificare l’efficacia degli adeguamenti organizzativi (strutture, processi, procedure, anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità; • valutare ex ante la conformità alla normativa dei progetti che la Banca intende intraprendere. La Funzione, inoltre, supporta l’attività di controllo dell’Organismo di Vigilanza, monitorando nel tempo l’efficacia delle regole e dei principi di comportamento indicati nel Modello a prevenire i Reati di cui al Decreto e collaborando, insieme alle altre funzioni e al Datore di lavoro ai sensi del D.Lgs. n. 81/2008, per quanto di loro competenza, all’aggiornamento del Modello in coerenza con l’evoluzione della normativa di riferimento e con le modifiche della struttura organizzativa aziendale. Infine, partecipa, in raccordo con le altre funzioni aziendali competenti in materia di formazione, alla predisposizione di un adeguato piano di formazione. Funzione Antiriciclaggio La Funzione Antiriciclaggio sovraintende le attività di prevenzione e gestione del rischio di riciclaggio e finanziamento al terrorismo, verificando nel continuo l’idoneità delle procedure interne in materia, anche per le finalità di cui al Decreto. La Funzione collabora, insieme alle altre funzioni e al Datore di lavoro ai sensi del D.Lgs. n. 81/2008, per quanto di loro competenza, all’aggiornamento del Modello, per quel che concerne in particolare la gestione dei rischi in materia di antiriciclaggio e di finanziamento al terrorismo. La Funzione partecipa, inoltre, in raccordo con le altre funzioni aziendali competenti in materia di formazione, alla predisposizione di un adeguato piano di formazione. Funzione Legale9 (qualora istituita) Per il perseguimento delle finalità di cui al Decreto, la Funzione Legale fornisce assistenza e supporto legale alle funzioni della Banca, seguendo l’evolversi della normativa specifica e degli orientamenti giurisprudenziali in materia. 8 Si precisa che in considerazione dell’attuale struttura organizzativa della Banca i ruoli e le responsabilità attribuite alle funzioni coinvolte nella gestione dell’attività potrebbero essere svolti da parte del relativo Responsabile di riferimento ovvero affidati in outsourcing a consulenti terzi, coerentemente all’effettiva operatività prestata dalla Banca. 9 L’ordinaria operatività della Funzione viene gestita in outsourcing tramite affidamento a consulenti legali esterni, mentre l’organizzazione, supervisione e coordinamento dei legali esterni, che si interfacciano con la Banca per la gestione delle liti pendenti, è attualmente in capo al Direttore Generale della Banca.. 27 La Funzione Legale collabora con le altre funzioni della Banca e con il Datore di lavoro ai sensi del D.Lgs. n. 81/2008 all’adeguamento del Modello, segnalando anche eventuali estensioni dell’ambito della responsabilità amministrativa degli Enti. Funzione Organizzazione10 (qualora istituita) La Funzione Organizzazione, al fine di meglio presidiare la coerenza della struttura organizzativa e dei meccanismi di governance rispetto agli obiettivi perseguiti col Modello, ha la responsabilità di: • definire le regole per il disegno, la divulgazione e la gestione dei processi organizzativi; • supportare la progettazione dei processi aziendali ovvero validare procedure definite da altre funzioni, garantendone la coerenza con il disegno organizzativo complessivo; • collaborare con le funzione Risorse Umane per la definizione e l’implementazione delle modifiche alla struttura organizzativa; • collaborare con le funzioni Internal Audit, Compliance e Antiriciclaggio, con il Datore di lavoro ai sensi del D.Lgs. n. 81/2008 e con le altre funzioni aziendali interessate, ognuna per il proprio ambito di competenza, all’adeguamento del sistema normativo e del Modello (a seguito di modifiche nella normativa applicabile, nell’assetto organizzativo aziendale e/o nelle procedure operative, rilevanti ai fini del Decreto); • diffondere la normativa interna a tutta la Banca. Funzione Risorse Umane Con riferimento al Decreto, la Funzione Risorse Umane, la cui gestione operativa è attualmente affidata all’Ufficio Contabilità e Segnalazioni: • programma piani di formazione e interventi di sensibilizzazione rivolti a tutti i Dipendenti sull’importanza di un comportamento conforme alle regole aziendali, sulla comprensione dei contenuti del Modello, del Codice Etico, nonché specifici corsi destinati al personale che opera nelle attività sensibili con lo scopo di chiarire in dettaglio le criticità, i segnali premonitori di anomalie o irregolarità, le azioni correttive da implementare per le operazioni anomale o a rischio; • presidia, con il supporto delle funzioni Internal Audit, Compliance e Antiriciclaggio il processo di rilevazione e gestione delle violazioni del Modello, nonché il conseguente processo sanzionatorio e, a sua volta, fornisce tutte le informazioni emerse in relazione ai fatti e/o ai comportamenti rilevanti ai fini del rispetto della normativa del Decreto all’Organismo di Vigilanza, il quale le analizza al fine di prevenire future violazioni, nonché di monitorare l’adeguatezza del Modello. Datore di lavoro ai sensi del D.Lgs. n. 81/2008 Il soggetto individuato quale Datore di Lavoro ai sensi del D.Lgs. n. 81/2008, limitatamente all’ambito di competenza per la gestione dei rischi in materia di salute e sicurezza nei luoghi di lavoro, individua e valuta l’insorgenza di fattori di rischio dai quali possa derivare la commissione di Reati di cui al Decreto e promuove eventuali modifiche organizzative volte a garantire un presidio dei rischi individuati. Per gli ambiti di propria competenza, esso partecipa alla definizione della struttura del Modello e all’aggiornamento dello stesso, nonché alla predisposizione del piano di formazione. 10 Si rimanda a quanto indicato alla nota n. 8. 28 4.8. Attività oggetto di outsourcing La Banca esternalizza alcune attività aziendali, o parti di esse, presso soggetti terzi (di seguito anche “outsourcer”). L’affidamento delle attività ad outsourcer è realizzato in conformità alle prescrizioni delle competenti Autorità di Vigilanza ed è formalizzato attraverso la stipula di specifici contratti che consentono alla Banca: • di assumere ogni decisione nell’esercizio della propria autonomia, conservando le necessarie competenze e responsabilità sulle attività relative ai servizi esternalizzati; • di mantenere conseguentemente i poteri di indirizzo e controllo sulle attività esternalizzate. I contratti di outsourcing devono indicare: • una descrizione dettagliata delle attività esternalizzate; • i livelli di servizio attesi, espressi in termini oggettivi e misurabili, e le informazioni necessarie per la verifica del loro rispetto; • le modalità di tariffazione dei servizi resi; • le procedure di back up per assicurare la continuità del servizio; • la possibilità per la Banca e per l’Autorità di Vigilanza di accedere alle informazioni di cui necessita per fini di controllo; • la produzione di reportistica regolare sul servizio prestato (follow-up sulla prestazione); • la limitazione della possibilità per il fornitore di delegare una terza parte o di modificare il servizio prestato senza l’assenso della Società; • la facoltà della Società di risolvere il contratto in caso di violazione da parte dell’outsourcer, nell’esecuzione delle attività esternalizzate: (i) di norme di legge e altre disposizioni regolamentari che possano comportare sanzioni a carico del committente; (ii) dei principi contenuti nel Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. n. 231/2001 adottato dalla Società, nonché nel Codice Etico. Ogni contratto viene sottoposto all’approvazione della Funzione Legale che verifica il rispetto dei suddetti requisiti oltre a quelli previsti dalle normative vigenti. Apposite funzioni della Società, inoltre, verificano nel continuo la rispondenza del servizio prestato dall’outsourcer ai termini stabiliti contrattualmente. 4.9. Prestazione di servizi infragruppo 4.9.1. Prestazioni di servizi svolte a favore di altre società appartenenti al Gruppo Le prestazioni di servizi svolte dalla Banca a favore di altre società appartenenti al Gruppo che possono interessare attività e operazioni a rischio di cui alla successiva “Parte Speciale”, devono essere disciplinate da un contratto scritto. Il contratto è comunicato all’Organismo della Banca. In particolare, il contratto di prestazione di servizi deve prevedere: • l’obbligo da parte della società beneficiaria del servizio di attestare la veridicità e completezza della documentazione o delle informazioni comunicate alla Banca, ai fini dello svolgimento dei servizi richiesti; • il potere dell’Organismo della Banca di richiedere informazioni all’Organismo di Vigilanza, o funzione equivalente, della società beneficiaria del servizio, al fine del corretto svolgimento dei propri compiti in relazione allo svolgimento dei servizi richiesti alla Banca; • l’obbligo dell’Organismo della Banca di redigere, almeno una volta all’anno, una relazione 29 concernente lo svolgimento delle proprie funzioni in relazione allo svolgimento dei servizi richiesti alla stessa. Tale relazione è comunicata al C.d.A. e all’Organismo di Vigilanza, o funzione equivalente, della società beneficiaria del servizio; • il potere dell’Organismo di Vigilanza della società beneficiaria del servizio di richiedere informazioni all’Organismo della Banca, ovvero, previa informazione a quest’ultimo, alle funzioni della stessa al fine del corretto svolgimento della vigilanza. Nelle prestazioni di servizi la Banca si attiene, oltre che al Codice Etico, a quanto previsto dal Modello. La Banca, qualora svolga, per conto di altre società appartenenti al Gruppo, servizi nell’ambito di attività od operazioni a rischio non contemplate dal proprio Modello, si dota di regole adeguate e idonee a prevenire la commissione dei Reati e degli Illeciti. Qualora la società del Gruppo beneficiaria dei servizi resi richieda motivatamente alla Banca il rispetto di regole nuove o diverse da quelle previste dal presente Modello o stabilite per la sua attuazione, la Banca si attiene a tali regole solo dopo che il proprio Organismo le abbia considerate idonee a prevenire il compimento dei Reati e degli Illeciti. 4.9.2. Prestazioni di servizi svolte da altre società appartenenti al Gruppo in favore della Banca Le prestazioni di servizi svolte da altre società appartenenti al Gruppo in favore della Banca che possono interessare attività e operazioni a rischio di cui alla successiva “Parte Speciale”, devono essere disciplinate da un contratto scritto. Il contratto è comunicato all’Organismo. In particolare, il contratto di prestazione di servizi deve prevedere: • l’obbligo, da parte della Banca, di attestare la veridicità e completezza della documentazione o delle informazioni fornite ai fini dello svolgimento delle prestazioni richieste; • il potere dell’Organismo della Banca di richiedere informazioni all’Organismo di vigilanza, o altra funzione equivalente, della Società che presta i servizi, ovvero previa informazione di quest’ultimo alle funzioni della Società che presta i servizi, al fine del corretto svolgimento della propria funzione di vigilanza; • il dovere dell’Organismo di vigilanza, o altra funzione equivalente della società che presta i servizi, di redigere, almeno una volta all’anno, una relazione concernente lo svolgimento delle proprie funzioni in relazione allo svolgimento dei servizi richiesti dalla Banca e di comunicare tale relazione al Consiglio di Amministrazione e all’Organismo della Banca. I contratti devono prevedere che la società del Gruppo alla quale è richiesto il servizio si doti di un Modello idoneo a prevenire la commissione dei Reati e degli Illeciti. Qualora non sia prevista l’adozione del Modello dalla legislazione che regola l’attività della società del Gruppo, la Banca deve verificare, sentito il proprio Organismo, se l’assetto organizzativo le regole interne della società siano idonee a prevenire la commissione dei Reati e degli Illeciti. La Banca può chiedere motivatamente alla società che svolge le prestazioni di servizi, il rispetto di procedure nuove o diverse da quelle previste dal suo Modello, o stabilite per la sua attuazione. La società che presta i servizi dovrà attenersi a tali regole solo dopo che il proprio Organismo le abbia considerate idonee a prevenire il compimento dei Reati e degli Illeciti. L’Organismo, qualora lo consideri necessario al fine della prevenzione dei Reati e degli Illeciti, propone, sentite le funzioni competenti, che i contratti prevedano l’adozione, da parte della società del Gruppo che presta il servizio, di specifiche regole di controllo. 30 5. L’Organismo di Vigilanza 5.1. Funzione In attuazione di quanto previsto dal Decreto e in coerenza con le norme statutarie, il Consiglio di Amministrazione della Banca nomina l’Organismo di Vigilanza (di seguito anche “Organismo” o “OdV”), al quale è affidato il compito di vigilare sul funzionamento e sull’osservanza del Modello, nonché di curarne l’aggiornamento. Il funzionamento dell’Organismo di Vigilanza è disciplinato da un apposito Regolamento, approvato dal medesimo. In ossequio a quanto previsto dal D.Lgs. n. 231/2001, è necessario che l’Organismo di Vigilanza impronti le proprie attività a criteri di autonomia ed indipendenza, professionalità e continuità di azione, così da assicurare un’effettiva ed efficace attuazione del Modello. 5.2. Requisiti I componenti dell’OdV devono essere dotati dei requisiti di onorabilità, professionalità, autonomia e indipendenza indicati nel presente Modello. L’OdV deve svolgere le funzioni ad esso attribuite garantendo la necessaria continuità di azione. Onorabilità I componenti dell’OdV non possono essere nominati o decadono nel caso in cui: • siano stati condannati con sentenza irrevocabile o con sentenza non definitiva anche se a pena condizionalmente sospesa, fatti salvi gli effetti della riabilitazione, o con sentenza emessa ai sensi degli artt. 444 e ss. c.p.p., per uno dei Reati tra quelli per i quali è applicabile il D. Lgs. n. 231/2001; • siano stati condannati per un reato che importi e abbia importato la condanna ad una pena da cui derivi l’interdizione, anche temporanea, dai pubblici uffici, ovvero l’interdizione temporanea dagli uffici direttivi delle persone giuridiche e delle imprese; • abbiano rivestito la qualifica di componente dell’Organismo di Vigilanza in seno a società nei cui confronti siano state applicate, anche con provvedimento non definitivo (compresa la sentenza emessa ai sensi dell’art. 63 del decreto), le sanzioni previste dall’art. 9 del Decreto per illeciti commessi durante la loro carica. I candidati alla carica di componenti dell’Organismo di Vigilanza debbono autocertificare con dichiarazione sostitutiva di notorietà di non trovarsi in alcuna delle condizioni di ineleggibilità sopra indicate, impegnandosi espressamente a comunicare eventuali variazioni rispetto al contenuto di tali dichiarazioni. Professionalità L’OdV deve essere composto da soggetti dotati di specifiche competenze nelle attività di natura ispettiva, nell’analisi dei sistemi di controllo e in ambito giuridico (in particolare penalistico), affinché sia garantita la presenza di professionalità adeguate allo svolgimento delle relative funzioni. L’OdV può essere coadiuvato dalle funzioni interne della Banca, ed in primis dalla funzione di Internal Audit. Laddove ne ravvisi la necessità, in funzione della specificità degli argomenti trattati, può inoltre avvalersi di consulenti esterni. Autonomia e indipendenza L’autonomia e l’indipendenza dell’OdV si traducono nell’autonomia dell’iniziativa di controllo rispetto ad ogni forma d’interferenza o di condizionamento da parte di qualunque esponente 31 dell’Ente e in particolare dell’organo dirigente. Per questo l’OdV riporta esclusivamente al Consiglio di Amministrazione nel suo complesso ed è privo di mansioni operative che, rendendolo partecipe di decisioni e attività operative, ne metterebbero a repentaglio l’obiettività di giudizio. Al fine di garantire all’OdV una piena autonomia nell’espletamento delle proprie funzioni, senza limitazioni che possano conseguire ad insufficienti risorse finanziarie, è assegnato a tale Organismo un fondo annuo, approvato dal Consiglio di Amministrazione su proposta dell’Organismo stesso. L’OdV può autonomamente impegnare risorse che eccedono i propri poteri di spesa, qualora l’impiego di tali risorse sia necessario per fronteggiare situazioni eccezionali e urgenti. In questi casi l’OdV deve informare senza ritardo il Consiglio di Amministrazione della Banca. L’OdV deve altresì godere di garanzie tali da impedire che esso stesso o uno dei suoi componenti possano essere rimossi o penalizzati in conseguenza dell’espletamento dei loro compiti. Nell’esercizio delle loro funzioni i membri dell’OdV non devono trovarsi in situazioni, anche potenziali, di conflitto di interesse derivanti da qualsivoglia ragione di natura personale, familiare o professionale. In tale ipotesi essi sono tenuti ad informare immediatamente gli altri membri dell’Organismo e devono astenersi dal partecipare alle relative deliberazioni. Continuità di azione L’OdV deve essere in grado di garantire la necessaria continuità nell’esercizio delle proprie funzioni, anche attraverso la calendarizzazione dell’attività e dei controlli, la verbalizzazione delle riunioni e la disciplina dei flussi informativi provenienti dalle funzioni aziendali. 5.3. Composizione, nomina, verifica dei requisiti, durata e compensi dell’OdV 5.3.1. Composizione e nomina Si evidenzia che l’art. 14, comma 12 della legge 12 novembre 2011 n. 183 (“Disposizioni per la formazione del bilancio annuale e pluriennale dello stato – Legge di stabilità 2012”), ha introdotto nel D.Lgs. n. 231/2001, all’art. 6, il comma 4-bis che recita “nelle società di capitali, il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell'organismo di vigilanza di cui al comma 1, lettera b)”. Con delibera del Consiglio di Amministrazione del 6 giugno 2013, la Banca ha deciso di attribuire le funzioni di Organismo di Vigilanza ai componenti effettivi del Collegio Sindacale. Dell’avvenuto affidamento di tali funzioni al Collegio Sindacale è data formale comunicazione a tutti i livelli aziendali. Il Collegio nello svolgimento di dette funzioni opera sulla base di uno specifico Regolamento approvato dal medesimo, mantenendo distinte e separate le attività svolte quale Organismo da quelle svolte nella sua qualità di Organo di controllo della Banca. Ogni disposizione contenuta nel Modello, concernente l’Organismo, deve intendersi riferita al Collegio Sindacale, nell’esercizio delle specifiche funzioni ad esso assegnate dal Decreto. 5.3.2. Verifica dei requisiti Il Consiglio di Amministrazione esamina le informazioni fornite dagli interessati, o comunque a disposizione della Banca, al fine di valutare l’effettivo possesso dei necessari requisiti. All’atto dell’accettazione della carica i membri dell’OdV, presa visione del Modello e data formale adesione al Codice Etico, si impegnano a svolgere le funzioni loro attribuite garantendo la necessaria continuità di azione e comunicando immediatamente al Consiglio di Amministrazione qualsiasi avvenimento suscettibile di incidere sul mantenimento dei requisiti sopra citati. 32 Successivamente alla nomina dell’OdV, almeno una volta all’anno, il Consiglio di Amministrazione della Banca verifica il permanere dei requisiti soggettivi in capo ai componenti dell’OdV ed all’Organismo nella sua interezza. Ogni componente dell’Organismo deve comunicare tempestivamente al Segretario ed agli altri componenti l’avvenuta perdita dei requisiti. Il venir meno dei requisiti soggettivi in capo ad un componente dell’OdV ne determina l’immediata decadenza dalla carica. In caso di decadenza, morte, dimissione o revoca, il Consiglio di Amministrazione provvede tempestivamente alla sostituzione del membro cessato. 5.3.3. Durata Il Collegio Sindacale svolge le funzioni di Organismo per tutto il periodo in cui resta in carica e nella composizione tempo per tempo determinata in applicazione delle regole di sostituzione, integrazione, sospensione e decadenza dei suoi membri proprie dell’Organismo, fatto salvo quanto previsto ai successivi paragrafi. 5.3.4. Compensi II compenso spettante per lo svolgimento delle funzioni di Organismo è stabilito dall’Assemblea degli azionisti in sede di nomina del Collegio Sindacale. 5.4. Cause di revoca, decadenza e sospensione dell’Organismo di Vigilanza 5.4.1. Cause di revoca I componenti dell’OdV possono essere revocati dal loro incarico nel caso in cui si verifichino rilevanti inadempimenti rispetto al mandato conferito, in ordine ai compiti indicati nel Modello, tra cui: • la violazione degli obblighi di riservatezza con riferimento alle notizie e alle informazioni acquisite in ragione del mandato; • la violazione degli obblighi di cui al Regolamento dell’OdV; • la mancata indicazione, in fase di autocertificazione, delle predette cause di ineleggibilità, anteriori alla nomina a componente dell’OdV, di cui il Consiglio di Amministrazione dovesse venire a conoscenza successivamente; • l’insorgere delle cause di decadenza di seguito specificate. 5.4.2. Cause di decadenza I componenti dell’Organismo di Vigilanza decadono dalla carica nel momento in cui successivamente alla loro nomina: • siano in una delle situazioni contemplate nell’art. 2399 c.c.; • perdano i requisiti di professionalità, onorabilità e indipendenza di cui all’art. 26 del D.Lgs. n. 385/1993; • siano condannati, con sentenza definitiva (ivi compresa quella pronunciata ai sensi dell’art. 444 c.p.p.), anche se a pena sospesa condizionalmente ai sensi dell’art. 163 c.p., per uno dei Reati presupposto del Decreto; • il Consiglio di Amministrazione accerti negligenza, imperizia o colpa grave nello svolgimento dei compiti assegnati all’OdV, in particolare, nell’individuazione e conseguente eliminazione di violazioni del Modello, nonché, nei casi più gravi, di perpetrazione di Reati; • si trovino in una delle altre cause di decadenza previste dal Regolamento dell’OdV. 33 5.4.3. Cause di sospensione Costituiscono cause di sospensione dalla funzione di componente dell’Organismo di Vigilanza: • l’applicazione di una misura cautelare personale; • l’applicazione provvisoria di una delle misure di prevenzione previste dall’art. 10, comma 3, della legge 31 maggio 1965, n. 575, come sostituito dall’articolo 3 della legge 19 marzo 1990, n. 55 e successive modificazioni. 5.5. Compiti dell’Organismo di Vigilanza All’Organismo di Vigilanza è affidato il compito di: • vigilare sull’efficienza, efficacia ed adeguatezza del Modello nel prevenire e contrastare la commissione degli illeciti di cui al Decreto; • vigilare costantemente sull’osservanza delle prescrizioni contenute nel Modello da parte dei Destinatari, rilevando la coerenza e gli eventuali scostamenti dei comportamenti attuati, attraverso l’analisi dei flussi informativi e le segnalazioni pervenute dai Destinatari del Modello nonché da soggetti tenuti al rispetto dei principi etici societari ed alle norme specifiche di cui al Modello; • effettuare un’adeguata attività ispettiva per accertare il verificarsi di violazioni del Modello, coordinandosi di volta in volta con le funzioni interessate per acquisire tutti gli elementi utili all’indagine; • vigilare, a seguito dell’accertata violazione del Modello, sull’avvio e sullo svolgimento del procedimento di irrogazione di un’eventuale sanzione disciplinare; • curare l’aggiornamento del Modello nel caso in cui si riscontrino esigenze di adeguamento, formulando proposte agli Organi Societari competenti, ovvero laddove si rendano opportune modifiche e/o integrazioni in conseguenza di significative violazioni delle prescrizioni del Modello stesso, di significativi mutamenti dell’assetto organizzativo e procedurale della Banca, nonché delle novità legislative intervenute in materia; • vigilare, ai sensi dell’art. 52 del D.Lgs. n. 231/2007, sull’osservanza delle norme contenute in detto decreto, relative alla prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo; • assolvere gli obblighi di comunicazione previsti dal secondo comma dell’art. 52 del D. Lgs. n. 231/2007; • verificare l’attuazione del piano di formazione del personale di volta in volta approvato; • conservare tutta la documentazione relativa alle attività sopra specificate. Nello svolgimento delle predette attività, l’OdV può avvalersi del supporto di altre funzioni interne della Banca e di consulenti esterni, il cui apporto professionale si renda di volta in volta necessario, senza necessità di ottenere specifiche autorizzazioni da parte del vertice societario. In particolare, l’Organismo si avvale ordinariamente delle strutture della Banca per l’espletamento dei suoi compiti di vigilanza e controllo ed in primis della funzione di Internal Audit, struttura istituzionalmente dotata di competenze tecniche e risorse, umane e operative, idonee a garantire lo svolgimento su base continuativa delle verifiche, delle analisi e degli altri adempimenti necessari. Per quanto concerne in particolare le materie della tutela della salute e della sicurezza sul luogo di lavoro e del contrasto al riciclaggio ed al finanziamento del terrorismo, l’Organismo potrà avvalersi anche di tutte le risorse attivate per la gestione dei relativi aspetti (Datore di lavoro, Responsabile del Servizio prevenzione e protezione, Rappresentante dei Lavoratori per la 34 sicurezza, Medico competente, Responsabile della Funzione Antiriciclaggio, Responsabile delle segnalazioni di operazioni sospette), nonché di quelle ulteriori previste dalle normative di settore. L’Organismo di Vigilanza, direttamente o per il tramite delle varie strutture aziendali all’uopo designate, ha accesso a tutte le attività svolte dalla Banca e dagli outsourcer e alla relativa documentazione, sia presso gli uffici centrali sia presso le strutture periferiche della Banca e degli outsourcer. Onde poter svolgere, in assoluta indipendenza, le proprie funzioni, l’Organismo di Vigilanza dispone di autonomi poteri di spesa sulla base di un preventivo annuale, approvato dal Consiglio di Amministrazione, su proposta dell’Organismo stesso. 5.6. Funzione e poteri dell’Organismo di Vigilanza L’Organismo dispone di autonomi poteri di iniziativa, intervento e controllo, che si estendono a tutti i settori e funzioni della Banca, compreso l’organo decisionale ed i suoi componenti, collaboratori esterni e consulenti. Tali poteri possono essere esercitati al solo fine di svolgere efficacemente e tempestivamente le funzioni previste nel Modello e dalle norme di attuazione del medesimo ovvero vigilare: • sull’efficacia ed adeguatezza del Modello in riferimento alla struttura aziendale e alla effettiva capacità di prevenire la commissione dei Reati; a questo fine l’Organismo procede, secondo le cadenze temporali ritenute opportune dall’Organismo stesso, a: - interpretare la normativa rilevante; - condurre ricognizioni sull’attività aziendale ai fini dell’aggiornamento della mappatura delle attività di rischio e dei relativi processi sensibili; - coordinarsi con la funzione preposta per la definizione e l’attuazione dei programmi di formazione di tutto il personale della Banca, finalizzati a fornire la necessaria sensibilizzazione e le conoscenze di base della normativa 231; - monitorare le iniziative per la diffusione della conoscenza del modello all’interno e all’esterno della Banca; - predisporre ed aggiornare con continuità le informazioni rilevanti, al fine di consentire una piena e consapevole adesione alle regole di condotta della Banca; • sull’osservanza del Modello da parte degli Organi Sociali, del personale e degli altri soggetti terzi; perciò procede a: - effettuare periodicamente, secondo le cadenze temporali ritenute opportune dall’Organismo, verifiche mirate su determinate operazioni o specifici atti posti in essere dalla società nell’ambito dei processi sensibili; - coordinarsi con le funzioni aziendali, anche attraverso apposite riunioni, per il miglior monitoraggio dell’attività. A tal fine l’Organismo ha libero accesso a tutta la documentazione aziendale che ritiene rilevante e deve essere costantemente informato dagli organi sociali e dai dipendenti: a) sugli aspetti dell’attività aziendale che possono esporre la Banca a rischio di commissione di uno dei Reati; b) sui rapporti con le società di service e gli altri soggetti terzi che operano per conto della Banca nell’ambito di aree ed operazioni sensibili; c) sulle operazioni straordinarie della Banca; - raccogliere, elaborare e conservare le informazioni rilevanti in ordine al rispetto del Modello nonché aggiornare la lista di informazioni che devono essere trasmesse o tenute a 35 disposizione dell’Organismo stesso; - disporre le inchieste interne, raccordandosi di volta in volta con le funzioni aziendali interessate per acquisire ulteriori elementi di valutazione, nel rispetto del segreto istruttorio e delle competenze esclusive degli Organi Sociali e delle funzioni aziendali delegate; • sull’opportunità di aggiornamento del Modello e sul relativo monitoraggio, laddove si riscontrino esigenze di adeguamento dello stesso in relazione alle mutate condizioni aziendali e/o normative; a tal fine procede a: - sulla base delle risultanze emerse dall’attività di verifica e controllo, esprimere periodicamente una valutazione sull’adeguatezza del Modello, rispetto alle prescrizioni del Decreto e del presente documento nonché sull’operatività dello stesso; - in relazione a tali valutazioni, presentare al C.d.A. apposita relazione; - verificare periodicamente, secondo le cadenze temporali ritenute opportune dall’Organismo e comunque almeno ogni sei mesi, l’attuazione ed effettiva funzionalità delle soluzioni/azioni correttive proposte; - coordinarsi con i responsabili delle competenti funzioni aziendali per valutare l’adozione di eventuali sanzioni disciplinari, ferma restando la competenza del competente organo/funzione aziendale per l’irrogazione della sanzione ed il relativo procedimento disciplinare. All’Organismo non competono né possono essere attribuiti, neppure in via sostitutiva, poteri di intervento gestionale, decisionale, organizzativo o disciplinare, ancorché relativi ad oggetti o questioni afferenti allo svolgimento delle attività dell’Organismo. Anche l’attività di controllo e di verifica, svolta dall’Organismo, è strettamente funzionale agli obiettivi di efficace attuazione del Modello e non può surrogare o sostituire le funzioni di controllo istituzionali della Banca. I componenti dell’Organismo nonché i soggetti dei quali l’Organismo, a qualsiasi titolo, si avvale, sono tenuti all’obbligo di riservatezza su tutte le informazioni conosciute nell’esercizio delle loro funzioni o attività. L’Organismo, nell’ambito della sua attività volta a vigilare sull’effettiva ed efficace attuazione del Modello, è titolare, tra gli altri, dei seguenti poteri di iniziativa e controllo, che esercita nel costante rispetto delle norme di legge e dei diritti individuali dei lavoratori e delle persone interessate: • svolge periodica attività ispettiva e di controllo, anche a campione, la cui cadenza temporale è, nel minimo, motivatamente predeterminata dall’Organismo stesso; si riunisce almeno trimestralmente; • ha accesso a tutte le informazioni, da chiunque detenute, concernenti le attività a rischio; • può, anche senza preavviso, chiedere informazioni o l’esibizione di documenti, anche informatici, pertinenti alle attività a rischio, ai dirigenti della Banca, nonché a tutto il personale dipendente che svolga, continuativamente o occasionalmente, attività a rischio o che alle stesse sovrintenda; • può chiedere informazioni o l’esibizione di documenti, pertinenti alle attività a rischio, agli amministratori, al Comitato di Controllo interno, alla società di revisione, ai collaboratori, consulenti e rappresentanti esterni alla Banca e in genere a tutti i soggetti esterni tenuti, nei limiti previsti, all’osservanza del Modello; • riceve periodicamente, secondo una frequenza temporale motivatamente predeterminata dall’Organismo, rapporti e informazioni dai responsabili delle aree funzionali nelle quali si 36 collocano le attività a rischio o sono da queste interessate, anche se in parte; • riceve preventivamente dalle funzioni di Internal Audit e Compliance i piani annuali di lavoro, con specifico dettaglio sulle aree a rischio; l’Organismo può motivatamente richiedere l’integrazione dei piani, informandone il Consiglio di Amministrazione; • sottopone al Direttore Generale ed al Responsabile Risorse Umane le segnalazioni per l’eventuale adozione di procedure sanzionatorie, fermo restando che l’adozione dei provvedimenti rimane di competenza delle funzioni a ciò preposte; • sottopone il Modello adottato per la sua concreta attuazione a verifica periodica, secondo le cadenze temporali ritenute opportune dall’Organismo e comunque almeno ogni sei mesi, e ne propone l’aggiornamento all’Organo decisionale; • salvo criticità rilevate che richiedano maggior tempestività nella segnalazione, redige periodicamente, e comunque almeno ogni sei mesi, una relazione scritta sull’attività svolta, inviandola, unitamente a un motivato rendiconto delle spese sostenute, al Presidente del C.d.A. e al Presidente del Comitato per il Controllo Interno. Le relazioni, riportate nel libro dei verbali, contengono altresì eventuali proposte di integrazione e modifica del Modello per la sua attuazione. In sintesi, le relazioni periodiche predisposte dall’Organismo devono quanto meno contenere, svolgere o segnalare: a) eventuali problematiche sorte riguardo alle modalità di attuazione del Modello o delle procedure adottate in attuazione o in funzione del Modello e del Codice Etico; b) il resoconto delle segnalazioni ricevute da soggetti interni ed esterni in ordine al Modello; c) le procedure disciplinari e le sanzioni eventualmente applicate dalle funzioni della Banca, con riferimento esclusivo alle attività a rischio; d) una valutazione complessiva sull’attuazione e sull’efficacia del Modello, con eventuali indicazioni per integrazioni, correzioni o modifiche con particolare attenzione alle integrazioni ai sistemi di gestione delle risorse finanziarie sia in entrata che in uscita necessarie per introdurre accorgimenti idonei a rilevare l’esistenza di flussi finanziari atipici connotati da maggiori margini di discrezionalità; e) una review di tutte le segnalazioni ricevute nel corso dell’anno e delle informazioni trasmesse all’Organismo dalle strutture aziendali nonché dell’attività di sensibilizzazione dei dipendenti. Secondo l’art. 52 (Organi di controllo) del Decreto legislativo del 16 novembre 2007, n. 231 di attuazione della Direttiva 2005/60/CE – Direttiva 2006/70/CE “fermo restando quanto disposto dal c.c. e da leggi speciali, l’O.d.V. vigila (insieme ad altri organi di controllo) sull’osservanza delle norme del decreto medesimo”. In particolare, l’Organismo comunica: • senza ritardo, alle Autorità di Vigilanza di settore, tutti gli atti o i fatti di cui venga a conoscenza nell’esercizio dei propri compiti che possano costituire una violazione delle disposizioni emanate ai sensi dell’art. 7 co. 2° del D. Lgs. 231/07; • senza ritardo, al titolare delle attività o al Legale Rappresentante o a un suo delegato, le infrazioni alle disposizioni di cui all’art. 41 del D. Lgs. 231/07 di cui ha notizia; • entro 30 gg. al Ministero dell’Economia e delle Finanze le infrazioni alle disposizioni di cui agli artt. 49 co. 1°, 5, 6, 7, 12 e 13 e 14 e all’art. 50 del D. Lgs. 231/07 di cui ha notizia; • entro 30 gg. alla UIF le infrazioni alle disposizioni contenute nell’art. 36 del D. Lgs. 231/07 di cui ha notizia. Ai sensi del Provvedimento di Banca d’Italia in materia di organizzazione antiriciclaggio degli 37 intermediari, del marzo 2011, anche al fine di garantire il pieno rispetto degli obblighi di comunicazione di cui sopra, l’Organismo di Vigilanza (i) contribuisce in via preventiva alla definizione del Modello di prevenzione del rischio di reato, (ii) monitora nel continuo il rispetto delle procedure ivi previste, (iii) riceve flussi informativi dalle Funzioni aziendali e (iv), nel caso in cui un reato sia comunque commesso, ne analizza le cause per individuare le misure correttive più idonee. 5.7. Obblighi di informazione specifica nei confronti dell’Organismo di Vigilanza L’Organismo deve essere tempestivamente informato, mediante apposito sistema di segnalazione, da parte dei Dipendenti, degli Organi Sociali, dei consulenti e dei partner commerciali in merito a comportamenti, atti od eventi che potrebbero determinare violazione od elusione del Modello o delle relative procedure e che potrebbero, quindi, ingenerare responsabilità della Banca ai sensi del Decreto. Gli obblighi di informazione su eventuali comportamenti contrari alle disposizioni contenute nel Modello rientrano nel più ampio dovere di diligenza e obbligo di fedeltà del prestatore di lavoro di cui agli artt. 2104 e 2105 c.c. Valgono al riguardo le seguenti prescrizioni di carattere generale: • i Dipendenti, i Dirigenti e gli Organi Sociali hanno il dovere di trasmettere all’Organismo eventuali segnalazioni relative alla violazioni del Modello e alla commissione, o alla ragionevole convinzione di commissione, dei Reati; • i Dipendenti, i Dirigenti e gli Organi Sociali hanno l’obbligo di segnalare all’Organismo eventuali violazioni poste in essere da Dipendenti, consulenti e partner commerciali, di cui essi siano venuti a conoscenza; • le segnalazioni aventi ad oggetto l’evidenza o il sospetto di violazione del Modello devono essere inviate per iscritto all'indirizzo mail: [email protected]; • i segnalanti in buona fede devono essere garantiti contro qualsiasi forma di ritorsione, discriminazione o penalizzazione o qualsivoglia conseguenza derivante dalle segnalazioni stesse ed in ogni caso sarà assicurata la riservatezza dell’identità del segnalante, fatti salvi gli obblighi di legge e la tutela dei diritti della Banca o delle persone accusate erroneamente e/o in mala fede. È compito dell’Organismo garantire la riservatezza del soggetto segnalante; il venir meno di tale obbligo rappresenta grave violazione al Modello. I consulenti e i partner, per quanto riguarda la loro attività svolta nei confronti o per conto della Banca, effettuano la segnalazione direttamente all’Organismo. L’Organismo valuta le segnalazioni ricevute, ascoltando, se necessario l’autore della segnalazione e/o il responsabile della presunta violazione; gli eventuali provvedimenti conseguenti sono applicati in conformità a quanto previsto al successivo paragrafo 7. L’Organismo non è tenuto a prendere in considerazione le segnalazioni anonime che appaiano prima facie irrilevanti, destituite di fondamento o non circostanziate. Oltre alle segnalazioni relative a violazioni di carattere generale sopra descritte, devono essere obbligatoriamente ed immediatamente trasmesse all’Organismo le informazioni concernenti: • le operazioni significative che ricadono nelle aree definite a rischio, come definite nella Parte Speciale del presente Modello; • i provvedimenti e/o notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini per i Reati, anche nei confronti di ignoti, qualora tali indagini coinvolgano la Banca o suoi Dipendenti, Organi Societari, 38 collaboratori o partner; • le richieste di assistenza legale o altre segnalazioni inoltrate dai Dipendenti in caso di avvio di procedimento giudiziario nei loro confronti per i Reati di cui al Decreto; • i rapporti preparati dai responsabili di altre funzioni aziendali della Banca nell’ambito della loro attività di controllo e dai quali potrebbero emergere fatti, atti, eventi od omissioni con profili di criticità rispetto all’osservanza delle norme del Decreto; • le notizie relative ai procedimenti sanzionatori svolti ed alle eventuali misure irrogate (ivi compresi i provvedimenti verso i Dipendenti) ovvero i provvedimenti di archiviazione di tali procedimenti con le relative motivazioni, qualora essi siano legati a commissione di Reati o violazione delle regole di comportamento o procedurali del Modello; • in via periodica, ogni altra informazione che, sebbene non ricompresa nell’elenco che precede, risulti rilevante ai fini di una corretta e completa attività di vigilanza ed aggiornamento del Modello. Periodicamente, l’Organismo propone al C.d.A. eventuali modifiche/integrazioni da apportare all’elenco sopra indicato. Gli obblighi di segnalazione di collaboratori, consulenti o partner saranno specificati in apposite clausole inserite nei contratti che legano tali soggetti alla Banca. 5.8. Documentazione dell’attività dell’Organismo e raccolta e conservazione delle informazioni Le attività di verifica dell’Organismo sono supportate da opportune evidenze documentali. Per ogni intervento è necessario: • definire un piano di lavoro dettagliato per le singole attività previste nel programma annuale delle verifiche. Il piano di lavoro serve da guida nello svolgimento dei controlli ed è archiviato a fine lavoro insieme a tutta la documentazione relativa a quanto sino ad allora è stato svolto; • formulare per iscritto le richieste alle unità organizzative coinvolte; • archiviare accuratamente tutta la documentazione prodotta e ricevuta sulla base di un ordine cronologico e in modo tale da consentire la tracciabilità delle attività. Analoga procedura è prevista per la conservazione di materiale in formato elettronico; • al termine di ogni intervento produrre una relazione che descriva il lavoro svolto e le evidenze emerse; • aggiornare il registro delle attività. L’Organismo ha il compito di costituire un dossier a documentazione delle attività svolte. In particolare tiene un registro cronologico in cui sono sintetizzate le attività dell’Organismo. Tale registro contiene il repertorio: • delle attività di formazione intraprese riportando i relativi risultati, suddivisi per categoria e livello gerarchico; • delle attività di verifica svolte, indicando durata, motivazione della verifica, unità organizzative interessate ed eventuali suggerimenti; • delle segnalazioni ricevute, organizzate per attività sensibile e indicando il numero di segnalazioni che hanno avuto seguito e le strutture coinvolte; • delle attività periodiche di aggiornamento del Modello indicando i principali interventi seguiti. 39 È cura del Segretario tenere un libro delle adunanze dell’Organismo. Ogni informazione, segnalazione, report previsti nel presente Modello è conservata dall'Organismo in un apposito database (informatico e cartaceo) per un periodo di 10 anni, salvo l’osservanza delle disposizioni in materia di riservatezza dei dati personali e dei diritti garantiti in favore degli interessati. 6. L’accesso al database è consentito esclusivamente all’ Organismo ed alle persone specificamente individuate nel regolamento dell’ Organismo Comunicazione e Formazione sul Modello La Banca al fine di dare efficace attuazione al Modello, intende assicurare una corretta divulgazione dei contenuti dello stesso sia verso i propri Dipendenti sia verso i soggetti che intrattengono rapporti di lavoro, anche occasionali, con la Banca. In particolare, obiettivo della Banca è quello di estendere la comunicazione dei contenuti del Modello a tutti i suoi Destinatari. L’attività di comunicazione e formazione, diversificata a seconda dei destinatari cui essa si rivolge, è improntata a principi di completezza, chiarezza, accessibilità e continuità al fine di consentire ai diversi Destinatari del Modello la piena consapevolezza di quelle disposizioni aziendali che sono tenuti a rispettare e delle norme etiche che devono ispirare i loro comportamenti. 6.1. Comunicazione interna La Banca comunica l’adozione del presente Modello a tutto il personale, al quale deve essere garantita la possibilità di accedere e consultare la documentazione costituente il Modello anche direttamente sulla intranet aziendale. Ogni Dipendente è tenuto ad acquisire consapevolezza dei contenuti del Modello e contribuire attivamente, in relazione al proprio ruolo e alle proprie responsabilità, alla sua efficace attuazione. I nuovi assunti ricevono, all’atto dell’assunzione, copia del Modello e del Codice Etico e sottoscrivono un’apposita dichiarazione di presa visione, di conoscenza integrale e osservanza dei contenuti ivi descritti. La Banca adotta idonei strumenti di comunicazione per aggiornare i dipendenti su eventuali modifiche apportate al Modello, nonché su ogni rilevante cambiamento procedurale, normativo o organizzativo che dovesse intervenire. Per i contratti stipulati con soggetti operanti nella attività sensibili ai sensi del D.Lgs. n. 231/2001, la Banca richiede, di norma, una dichiarazione della controparte di condivisione del Codice Etico e di impegno a non porre in essere, nella propria attività, comportamenti in contrasto con le previsioni del presente Modello. 6.2. Formazione Ai fini dell’efficace attuazione del Modello, è obiettivo generale della Banca garantire a tutti i Destinatari del Modello la conoscenza dei principi e delle disposizioni in esso contenuti. La Banca persegue, attraverso un adeguato programma di formazione aggiornato periodicamente e rivolto a tutti i Dipendenti, una loro sensibilizzazione continua sulle problematiche attinenti al Modello, al fine di raggiungere la piena consapevolezza delle direttive aziendali e di essere posti in condizioni di rispettarle in pieno. Al fine di garantire un’efficace attività di formazione, la Banca promuove e agevola la conoscenza dei contenuti del Modello da parte dei Dipendenti, con grado di approfondimento diversificato a seconda del loro coinvolgimento nelle attività individuate come sensibili ai sensi del Decreto. 40 Gli interventi formativi, che potranno essere erogati in modalità e-learning o in aula, hanno ad oggetto: • una parte generale, indirizzata a tutti i Dipendenti, volta a illustrare il quadro normativo di riferimento della responsabilità amministrativa degli Enti e i contenuti generali del Modello; • una parte specifica, differenziata per aree di attività dei dipendenti, diretta a illustrare le attività individuate come sensibili ai sensi del Decreto e i relativi protocolli contenuti nella parte speciale del Modello; • una verifica del grado di apprendimento della formazione ricevuta. I contenuti formativi sono opportunamente aggiornati in relazione all’evoluzione del contesto normativo e del Modello. La partecipazione ai corsi formativi è obbligatoria e deve essere documentata attraverso la richiesta della firma di presenza. L’OdV, per il tramite delle preposte funzioni aziendali, raccoglie e archivia le evidenze relative all’effettiva partecipazione ai suddetti interventi formativi. Periodicamente, in coerenza con l’evoluzione della normativa di riferimento e con le modifiche della struttura organizzativa aziendale, si procede alla reiterazione dei corsi, al fine di verificare l’effettiva applicazione del Modello da parte dei Destinatari nonché la loro sensibilizzazione alle prescrizioni dello stesso, secondo modalità indicate dall’OdV al Presidente del Consiglio di Amministrazione, in coordinamento le funzioni aziendali competenti. Ad ogni modo, è compito dell’OdV valutare l’efficacia del piano formativo con riferimento al contenuto dei corsi, alle modalità di erogazione, alla loro reiterazione, ai controlli sull’obbligatorietà della frequenza e alle misure adottate nei confronti di quanti non li frequentino senza giustificato motivo. 7. Il sistema disciplinare/sanzionatorio Il presente paragrafo definisce il sistema disciplinare/sanzionatorio inerente esclusivamente alle violazioni delle regole e dei principi di controllo e di comportamento definiti nel Modello di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001, fatte salve le sanzioni previste dalla Banca per altre tipologie di infrazioni. 7.1. Principi generali L’art. 6, comma 2, lett. e) e l’art. 7, comma 4, lett. b) del D.Lgs. n. 231/2001 indicano, quale condizione per un’efficace attuazione del modello di organizzazione, gestione e controllo, l’introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello stesso. Pertanto, l’adozione di un adeguato sistema disciplinare che sanzioni le violazioni dei principi contenuti nel presente Modello rappresenta un requisito imprescindibile per una piena ed efficace attuazione del Modello. La definizione di uno specifico sistema di sanzioni, oltre a prevenire la commissione di infrazioni, consente all’OdV di esercitare la funzione di vigilanza con maggiore efficienza e garantisce l’effettiva osservanza del Modello stesso. Il sistema disciplinare è diretto a sanzionare il mancato rispetto dei principi e alle regole di condotta prescritti nel presente Modello (ivi compresi il Codice Etico e quelle procedure e norme interne che formano parte integrante del Modello stesso), da parte dei dipendenti e dei soggetti esterni. Su tale presupposto, la Banca adotterà nei confronti: • del personale dipendente, il sistema sanzionatorio stabilito dal Codice Etico della Banca e 41 dalle leggi che regolano la materia; • di tutti i soggetti esterni, i provvedimenti stabiliti dalle disposizioni contrattuali e di legge che regolano la materia. L’attivazione, sulla base delle segnalazioni pervenute dall’Organismo di Vigilanza, lo svolgimento e la definizione del procedimento disciplinare nei confronti dei dipendenti, a seguito di riscontrate violazioni del presente Modello (ivi compresi il Codice Etico e quelle procedure e norme interne che formano parte integrante del Modello stesso), sono affidati, nell’ambito delle competenze alla stesso attribuite, al Responsabile della funzione Risorse Umane; questi sentito il superiore gerarchico dell’autore della condotta ed effettuati gli opportuni approfondimenti, è chiamato a determinare e ad adottare il relativo provvedimento disciplinare. Gli interventi sanzionatori nei confronti dei soggetti esterni sono affidati alla funzione che gestisce il contratto o presso cui opera il lavoratore autonomo ovvero il fornitore. Le sanzioni sono commisurate al livello di responsabilità ed autonomia operativa del lavoratore, all’eventuale esistenza di precedenti disciplinari a carico dello stesso, all’intenzionalità e gravità della condotta, ovvero a tutte le altre particolari circostanze che possono aver caratterizzato la violazione del Modello. Le sanzioni sono applicate in conformità all’art. 7 della Legge 20 maggio 1970 n. 300 (Statuto dei Lavoratori), al CCNL vigente all’interno della Banca, nonché al Codice disciplinare della Banca. La Funzione Risorse Umane, pertanto, nel deliberare sulla sanzione applicabile al caso concreto, deve considerare la tipologia di rapporto di lavoro instaurato con il prestatore (subordinato dirigenziale e non dirigenziale), la specifica disciplina legislativa e contrattuale, nonché i seguenti criteri: • gravità della violazione; • tipologia dell’illecito perpetrato; • circostanza in cui si sono svolti i comportamenti illeciti; • eventualità che i comportamenti integrino esclusivamente un tentativo di violazione; • eventuale recidività del soggetto. L’Organismo di vigilanza, nell’ambito dei compiti allo stesso attribuiti, monitora costantemente i procedimenti di irrogazione delle sanzioni nei confronti dei dipendenti, nonché gli interventi nei confronti dei soggetti esterni. In applicazione dei suddetti criteri, viene stabilito il seguente sistema sanzionatorio. 7.2. Provvedimenti per inosservanza da parte dei dipendenti 7.2.1. Aree professionali e quadri direttivi Al personale appartenente alle aree professionali ed ai quadri direttivi sono applicabili i seguenti provvedimenti: • rimprovero verbale, in caso di lieve inosservanza dei principi e delle regole di comportamento previsti dal presente Modello, ovvero di violazione delle procedure e norme interne previste e/o richiamate, ovvero ancora di adozione, nell’ambito delle attività sensibili, di un comportamento non conforme o non adeguato alle prescrizioni del Modello; • rimprovero scritto, in caso di inosservanza dei principi e delle regole di comportamento previste dal presente Modello, ovvero di violazione delle procedure e norme interne previste e/o richiamate, ovvero ancora di adozione, nell’ambito delle attività sensibili, di un comportamento non conforme o non adeguato alle prescrizioni del Modello in misura tale da 42 poter essere considerata, ancorché non lieve, comunque non grave; • sospensione dal servizio e dal trattamento economico fino ad un massimo di 10 giorni, in caso di inosservanza dei principi e delle regole di comportamento previste dal presente Modello, ovvero di violazione delle procedure e norme interne previste e/o richiamate, ovvero ancora di adozione, nell’ambito delle attività sensibili, di un comportamento non conforme o non adeguato alle prescrizioni del Modello in misura tale da essere considerata di una certa gravità, anche se dipendente da recidiva; • licenziamento per giustificato motivo, in caso di adozione, nell’espletamento delle attività sensibili, di un comportamento caratterizzato da notevole inadempimento delle prescrizioni e/o delle procedure e/o delle norme interne stabilite dal presente Modello, anche se sia solo suscettibile di configurare uno degli illeciti per i quali è applicabile il Decreto; • licenziamento per giusta causa, in caso di adozione, nell’espletamento delle attività sensibili, di un comportamento consapevole in contrasto con le prescrizioni e/o le procedure e/o le norme interne del presente Modello, che, ancorché sia solo suscettibile di configurare uno degli illeciti per i quali è applicabile il Decreto, leda l’elemento fiduciario che caratterizza il rapporto di lavoro ovvero risulti talmente grave da non consentirne la prosecuzione dello stesso, neanche provvisoria. 7.2.2. Personale dirigente Il rapporto dirigenziale si caratterizza per la natura eminentemente fiduciaria. Il comportamento del Dirigente oltre a riflettersi all’interno della Banca, costituendo modello ed esempio per tutti coloro che vi operano, si ripercuote anche sull’immagine esterna della medesima. Pertanto, il rispetto da parte dei dirigenti della Banca delle prescrizioni del Modello, del Codice Etico, e delle relative procedure di attuazione costituisce elemento essenziale del rapporto di lavoro dirigenziale. Nei confronti dei Dirigenti che abbiano commesso una violazione del Modello, del Codice Etico o delle procedure stabilite in attuazione del medesimo, vengono avviati i procedimenti di competenza per effettuare le relative contestazioni e applicare le misure sanzionatorie più idonee, in conformità con quanto previsto dal CCNL Dirigenti vigente e, ove necessario, con l’osservanza delle procedure di cui all’art. 7 della Legge 30 maggio 1970, n. 300. Le sanzioni devono essere applicate nel rispetto dei principi di gradualità e proporzionalità rispetto alla gravità del fatto e della colpa o dell’eventuale dolo. Tra l’altro, con la contestazione può essere disposta cautelativamente la revoca delle eventuali procure affidate al soggetto interessato, fino alla eventuale risoluzione del rapporto in presenza di violazioni così gravi da far venir meno il rapporto fiduciario con la Banca. 7.3. Provvedimenti per inosservanza da parte dei Sindaci della Banca Nel caso in cui la violazione del Modello sia posta in essere da un componente del Collegio Sindacale, è necessario dare immediata comunicazione al Consiglio di Amministrazione, in persona del Presidente, se non direttamente coinvolto, mediante relazione scritta. Il Consiglio di Amministrazione e il Collegio Sindacale potranno assumere, conformemente a quanto previsto dallo Statuto e dalla Legge, gli opportuni provvedimenti tra cui, anche la convocazione dell’Assemblea dei Soci. 7.4. Provvedimenti per inosservanza da parte degli amministratori della Banca Nel caso in cui la violazione del Modello sia posta in essere da un componente del Consiglio di Amministrazione, l’OdV deve darne immediata comunicazione al Consiglio di Amministrazione, in persona del Presidente, se non direttamente coinvolto, e al Collegio Sindacale, in persona del Presidente, mediante relazione scritta. 43 Il Consiglio di Amministrazione, con astensione del soggetto responsabile della violazione, procede agli accertamenti necessari e assume, sentito il Collegio Sindacale, i provvedimenti opportuni, che possono includere anche la revoca in via cautelare dei poteri delegati nonché la convocazione dell’Assemblea dei Soci per disporre l’eventuale sostituzione. Nell’ipotesi in cui a commettere la violazione siano stati più membri del Consiglio di Amministrazione e non sia possibile, in assenza dei soggetti coinvolti, adottare una decisione con la maggioranza dei componenti del Consiglio, il Presidente del Consiglio di Amministrazione convoca senza indugio l’Assemblea dei Soci per deliberare in merito alla possibile revoca del mandato. Nel caso in cui il responsabile della violazione sia il Presidente del Consiglio di Amministrazione, si rinvia a quanto previsto dalla legge in tema di urgente convocazione dell’Assemblea dei Soci. 7.5. Provvedimenti per inosservanza da parte dei soggetti esterni destinatari del Modello Ogni comportamento in violazione del Modello o che sia suscettibile di comportare il rischio di commissione di uno degli illeciti per i quali è applicabile il Decreto, posto in essere da fornitori, consulenti, collaboratori e partner commerciali, comunque denominati, ovvero da altri soggetti terzi collegati alla Banca medesima da un rapporto contrattuale di lavoro non dipendente, determinerà, secondo quanto previsto dalle specifiche clausole contrattuali inserite nelle lettere di incarico o negli accordi di convenzione, la risoluzione anticipata del rapporto contrattuale per giusta causa, fatta ovviamente salva l’ulteriore riserva di risarcimento qualora da tali comportamenti derivino danni concreti alla Banca. 44 PARTI SPECIALI 45 PARTE SPECIALE I - REATI CONTRO LA PUBBLICA AMMINISTRAZIONE E REATO DI “CORRUZIONE TRA PRIVATI” Premessa La presente Parte Speciale è volta a presidiare il rischio di commissione dei reati contro la Pubblica Amministrazione, di cui agli articoli 24 e 25 del D.Lgs. n. 231/2001. Tali articoli, infatti, contemplano una serie di reati previsti dal codice penale accomunati dall’identità del bene giuridico da essi tutelato, individuabile nell’imparzialità e nel buon andamento della Pubblica Amministrazione. La presente Parte Speciale, inoltre, intende presidiare anche il rischio di commissione del reato di “Corruzione tra privati” che, benché elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto, è assimilabile, per modalità di compimento e per principi di controllo e di comportamento che impattano sullo stesso, alle fattispecie di reato di “Corruzione” di cui all’art. 25 del D.Lgs. n. 231/2001. Considerato altresì che rientrano tra la Pubblica Amministrazione le Autorità di Vigilanza, i Destinatari sono tenuti ad osservare, in presenza di rapporti con le stesse, le regole di comportamento riportate di seguito e quanto previsto nella Parte Speciale III – Reati Societari, con riferimento alla fattispecie di “ostacolo all’esercizio delle Autorità di Vigilanza”, di cui all’art. 25-ter del D.Lgs. n. 231/2001. Reati contro la Pubblica Amministrazione: Gli artt. 24 e 25 del Decreto rientrano nell’impianto originario del D.Lgs. n. 231/2001 attraverso cui è stata introdotta nell’ordinamento giuridico italiano la disciplina della responsabilità amministrativa delle persone giuridiche e delle società, associazioni od enti privi di personalità giuridica che non svolgono funzioni di rilievo costituzionale. L’articolo 25 è stato recentemente aggiornato dalla Legge n. 190/2012 contenente le “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella Pubblica Amministrazione” (c.d. “Legge AntiCorruzione”) che ha introdotto nel novero dei reati-presupposto del Decreto il reato di “Induzione indebita a dare o promettere utilità” (art. 319-quater). L’articolo 4 della legge n. 116 del 3 agosto 2009 “Ratifica ed esecuzione della Convenzione dell'Organizzazione delle Nazioni Unite contro la corruzione, adottata dalla Assemblea generale dell'ONU il 31 ottobre 2003 con risoluzione n. 58/4, firmata dallo Stato italiano il 9 dicembre 2003, nonché norme di adeguamento interno e modifiche al codice penale e al codice di procedura penale” ha modificato i contenuti del D.Lgs. n. 231/2001 introducendo il reato di “Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’Autorità Giudiziaria” inizialmente rubricato all’art. 25-novies, poi rinominato art. 25-decies dal D.Lgs. 7 luglio 2011, n. 121. Ai fini della presente Parte Speciale, per Pubblica Amministrazione, si intendono: • i soggetti pubblici, ossia, principalmente, membri del Parlamento della Repubblica Italiana, le amministrazioni pubbliche, quali le amministrazioni dello Stato, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le regioni, le province, i comuni e loro consorzi e associazioni, le istituzioni scolastiche di qualsivoglia ordine e grado, le camere di commercio, industria, artigianato e agricoltura, gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del servizio sanitario nazionale; • i Pubblici ufficiali, ossia coloro che, pubblici dipendenti o privati, possano o debbano formare e manifestare la volontà della Pubblica Amministrazione, ovvero esercitare poteri autoritativi o certificativi, nell’ambito di una potestà di diritto pubblico (a titolo 46 esemplificativo e non esaustivo: ufficiali giudiziari, consiglieri comunali, ufficiali sanitari, dipendenti dell’INPS, dell’Agenzia delle Entrate, consulenti tecnici del giudice, insegnanti delle scuole pubbliche, etc.); • gli Incaricati di pubblico servizio, ossia coloro che prestano un servizio pubblico ma non sono dotati dei poteri del pubblico ufficiale ovvero che, pur agendo nell’ambito di un’attività disciplinata nelle forme della pubblica funzione, non esercitano i poteri tipici di questa e non svolgono semplici mansioni d’ordine né prestano opera meramente materiale (a titolo esemplificativo e non esaustivo: esattori dell’Enel, guardie giurate che conducono furgoni portavalori, dipendenti del Poligrafo di Stato, etc.); • le Autorità di Vigilanza, ossia, quegli enti dotati di particolare autonomia e imparzialità il cui obiettivo è la tutela di alcuni interessi di rilievo costituzionale, quali il buon andamento della Pubblica Amministrazione, la libertà di concorrenza, la tutela della sfera di riservatezza professionale (a titolo esemplificativo e non esaustivo: Banca d’Italia, CONSOB, Autorità Garante per la Privacy, Autorità Garante per la Concorrenza e il Mercato, etc.). Si evidenzia, inoltre che, ai sensi dell’art. 322-bis c.p., la condotta del corruttore è penalmente sanzionata non solo allorché abbia quali destinatari i Pubblici ufficiali e gli Incaricati di pubblico servizio nell’ambito della Pubblica Amministrazione italiana, ma anche quando: (i) si realizzi verso quei soggetti espletanti funzioni o attività corrispondenti nell’ambito delle Istituzioni delle Comunità Europee, o degli Enti costituiti sulla base dei Trattati che istituiscono le Comunità europee, o, infine, nell’ambito degli altri Stati membri dell’Unione europea; (ii) sia posta in essere nei confronti di quei soggetti espletanti funzioni o attività corrispondenti nell’ambito di altri Stati esteri o Organizzazioni pubbliche internazionali, purché, in quest’ultimo caso, il corruttore persegua un indebito vantaggio per sé o per altri con riferimento ad un’operazione economica internazionale ovvero agisca al fine di ottenere o di mantenere un’attività economica o finanziaria. In relazione all’operatività della Banca, a titolo esemplificativo e non esaustivo, si possono individuare quali soggetti appartenenti alla Pubblica Amministrazione: • Amministrazioni dello Stato, anche a ordinamento autonomo, Comuni, Regioni e Province; • Ministeri, Dipartimenti e Commissioni; • Aziende municipalizzate ed Enti pubblici trasformati in S.p.A. (ad es.: Poste Italiane, FS, etc.); • Camere di commercio, industria, artigianato, agricoltura e l’Ufficio del Registro; • Enti pubblici economici ed Enti pubblici non economici nazionali, regionali e locali (INPS, INAIL, ISTAT, etc.); • amministrazioni, aziende ed enti del Servizio Sanitario regionale; • Banca d’Italia, CONSOB, Agenzia delle Entrate, AGCM, Autorità Garante della Privacy, etc. Per le finalità previste dal presente documento, si considerano non solo i rapporti “diretti”, ma anche quelli “indiretti” con soggetti che – notoriamente – intrattengono rapporti di qualsivoglia natura (parentela, affinità, convivenza, etc.) con Pubblici ufficiali o Incaricati di pubblico servizio. Reato di corruzione tra privati: Il 28 novembre 2012 è entrata in vigore la già menzionata Legge Anti-Corruzione. Tra le principali novità introdotte, ai fini del D.Lgs. n. 231/2001, rileva l’estensione dell'ambito di applicazione della disciplina della responsabilità amministrativa degli enti al reato di "Corruzione tra i privati" nei casi previsti dal terzo comma dell'art. 2635 c.c., come riformulato. Tale estensione ha portato all’aggiunta della lettera s-bis al primo comma dell’art. 25-ter “Reati societari” del D.Lgs. n. 231/2001. 47 Ai fini della presente Parte Speciale, per soggetti privati si intendono amministratori, direttori generali, dirigenti preposti alla redazione dei documenti contabili societari, sindaci, liquidatori o soggetti sottoposti alla direzione o alla vigilanza di uno di questi ultimi. Infine, si rileva che tale Parte Speciale integra la normativa interna e i principi generali di comportamento già istituiti dalla Banca. Le fattispecie di reato La presente Parte Speciale si riferisce alle fattispecie di reato realizzabili nell’ambito della gestione dei rapporti con la Pubblica Amministrazione e con soggetti privati, previste dagli artt. 24 e 25, nonché dall’art. 25-decies e dall’art. 25-ter, comma 1, lettera s-bis del D.Lgs. n. 231/2001. Si riportano di seguito i reati potenzialmente rilevanti, rimandando per una descrizione completa ed esaustiva all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. Art. 24 D.Lgs. 231/2001 - Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico • Malversazione a danno dello Stato (art. 316-bis c.p.); • Truffa aggravata per il conseguimento di erogazioni pubbliche (art. 640-bis c.p.); • Indebita percezione di erogazioni a danno dello Stato (art. 316-ter c.p.); • Truffa (art. 640 c.p.); • Frode informatica (art. 640-ter c.p.). Art. 25 D.Lgs. 231/2001 – Concussione, Induzione indebita a dare o promettere utilità e Corruzione • Concussione (art. 317 c.p.); • Corruzione per l’esercizio della funzione (art. 318 c.p.); • Corruzione per un atto contrario ai doveri d’ufficio (art. 319 c.p.); • Circostanze aggravanti (art. 319-bis c.p.); • Corruzione in atti giudiziari (art. 319-ter c.p.); • Corruzione di persona incaricata di un pubblico servizio (art. 320 c.p.); • Pene per il corruttore (art. 321 c.p.); • Induzione indebita a dare o promettere utilità (art. 319-quater c.p.); • Istigazione alla corruzione (art. 322 c.p.); • Peculato, concussione, induzione indebita a dare o promettere utilità, corruzione e istigazione alla corruzione di membri degli organi delle Comunità europee e di Stati esteri (art. 322-bis c.p.). Art. 25-decies D.Lgs. 231/2001 - Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria • Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria (art. 377-bis c.p.). 48 Art. 25-ter, comma 1, lettera s-bis del D.Lgs. n. 231/2001 – Reati Societari • Corruzione tra privati (art. 2635 c.c.). Le attività sensibili Le attività sensibili nelle quali è maggiore il rischio che siano astrattamente commessi i reati contro la Pubblica Amministrazione e/o il reato di “Corruzione tra privati” sono le seguenti: • gestione delle attività inerenti alla richiesta di autorizzazioni o l’esecuzione di adempimenti verso la Pubblica Amministrazione; • gestione dei rapporti con Autorità di Vigilanza; • gestione dei contenziosi e degli accordi transattivi; • gestione del processo di selezione e assunzione del personale; • gestione dei rapporti contrattuali con la clientela, inclusa l’erogazione creditizia, e gestione del rapporto con le terze parti (ad es. intermediari negoziatori, broker, market maker); • gestione della formazione finanziata; • gestione degli acquisti di beni e servizi e degli incarichi professionali; • gestione degli omaggi e delle spese di rappresentanza; • gestione di beneficenze e sponsorizzazioni. Si riportano di seguito i protocolli che definiscono i principi di controllo ed i principi di comportamento cui attenersi nella gestione delle suddette attività sensibili e che si completano con la normativa aziendale che ne regolamenta la relativa operatività. Protocollo per la gestione delle attività inerenti alle richieste di autorizzazioni o all’esecuzione di adempimenti verso la Pubblica Amministrazione Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione delle attività inerenti alla richiesta di autorizzazioni o all’esecuzione di adempimenti verso la Pubblica Amministrazione quali, a titolo esemplificativo e non esaustivo: • gestione dei rapporti con gli enti assistenziali e previdenziali e realizzazione degli adempimenti di legge in materia di lavoro e previdenza (INPS, INAIL, ecc.); • gestione dei rapporti con le amministrazioni statali, regionali, comunali o enti locali (ispettori dell’A.S.L., ispettori del lavoro, Vigili del Fuoco, etc.) per l’esecuzione di adempimenti in materia di sicurezza sui luoghi di lavoro (D.Lgs. 81/08); • gestione delle dichiarazioni e/o degli altri adempimenti fiscali della Banca nei confronti dell’Agenzia delle Entrate, Equitalia e degli enti pubblici locali; • gestione degli adempimenti nei confronti di enti pubblici per l’ottenimento di autorizzazioni e/o permessi per lo svolgimento dell’attività. Ai sensi del D.Lgs. n. 231/2001, le predette attività potrebbero presentare potenzialmente occasioni per la commissione dei reati di “corruzione”, “induzione indebita a dare o promettere utilità” e “truffa”. A mero titolo esemplificativo e non esaustivo, si riportano di seguito alcuni esempi di possibile commissione di suddetti reati. In particolare: 49 • i reati di “corruzione” e di “induzione indebita a dare o promettere utilità” potrebbero potenzialmente essere commessi attraverso la promessa o effettiva elargizione di denaro o altra utilità a soggetti appartenenti alla Pubblica Amministrazione, al fine di indurre lo stesso ad ignorare eventuali inadempimenti di legge; • il reato di “truffa” potrebbe potenzialmente essere commesso nel caso in cui, nella predisposizione di documenti o dati per la richiesta di un’autorizzazione, si forniscano agli enti della Pubblica Amministrazione, mediante artifizi o raggiri, informazioni supportate da documentazione artefatta, alterata o falsa, al fine di indurre in errore l’ente stesso. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le modalità operative per la gestione di detti rapporti sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • rispetto della normativa interna vigente da parte di tutti i soggetti che intervengono nella gestione delle attività inerenti alla richiesta di autorizzazioni alla Pubblica Amministrazione; • attribuzione della gestione dei rapporti con la Pubblica Amministrazione, in caso di accertamenti/sopralluoghi effettuati anche allo scopo di verificare l’ottemperanza alle disposizioni di legge che regolamentano l’operatività dell’area di propria competenza, agli Esponenti Aziendali o ai Dipendenti competenti secondo le norme interne della Banca o espressamente autorizzati, con il conferimento di adeguati poteri. In ogni caso, è individuato in base alle norme interne della Banca, un responsabile del procedimento, con il compito, tra l’altro, di coordinare i soggetti incaricati e di vigilare sul rispetto del Codice Etico; • previsione di una segregazione dei compiti tra i differenti soggetti coinvolti nel processo di gestione delle attività inerenti alla richiesta di autorizzazioni o all’esecuzione di adempimenti verso la Pubblica Amministrazione, al fine di assicurare, per tutte le fasi del processo, un meccanismo di controllo sulla correttezza dell’attività da parte di soggetti diversi rispetto a quelli deputati all’esecuzione operativa dell’attività; • verifica della documentazione predisposta dalle competenti funzioni, anche con l’eventuale supporto di professionisti terzi, da parte del responsabile competente prima dell’invio agli enti pubblici; ciò al fine di garantire la veridicità, la completezza, la congruità e la tempestività nella predisposizione dei dati e delle informazioni a supporto dell’istanza di autorizzazione o forniti in esecuzione degli adempimenti previsti ai sensi di legge. Inoltre, al fine di consentire la ricostruzione delle responsabilità e delle motivazioni delle scelte effettuate, ciascuna funzione è responsabile dell’archiviazione e della conservazione – a livello di sistema informativo e/o in termini documentali – della documentazione di competenza inerente all’esecuzione degli adempimenti o alle richieste di autorizzazione verso la Pubblica Amministrazione. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella gestione dei rapporti con la Pubblica Amministrazione sono tenuti ad osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare: 50 • improntare i comportamenti dei soggetti coinvolti nella gestione dei rapporti con la Pubblica Amministrazione alla massima trasparenza, collaborazione, disponibilità e al pieno rispetto del ruolo istituzionale a cui si rivolgono; • effettuare gli adempimenti nei confronti della Pubblica Amministrazione con la massima diligenza e professionalità in modo da fornire informazioni chiare, accurate, complete, fedeli e veritiere, evitando e comunque segnalando nella forma e nei modi idonei, situazioni di conflitto di interesse; • sospendere immediatamente ogni rapporto e informare i propri superiori gerarchici in caso di ricezione di benefici di qualsiasi natura da parte di soggetti della Pubblica Amministrazione; • prevedere contrattualmente apposita dichiarazione di conoscenza della normativa di cui al Decreto e di impegno al suo rispetto, qualora sia previsto il coinvolgimento di soggetti terzi nell’espletamento dei rapporti con la Pubblica Amministrazione; • prevedere, con riferimento alla corresponsione di onorari o compensi a collaboratori o professionisti esterni eventualmente coinvolti nello svolgimento di attività per conto della Banca, un preventivo visto rilasciato dalla funzione competente a valutare la qualità della prestazione e la conseguente congruità del corrispettivo richiesto; • instaurare le relazioni con la Pubblica Amministrazione sulla base di principi di integrità, correttezza e professionalità; • incaricare appositamente i soggetti che hanno la responsabilità di firmare atti o documenti con rilevanza all’esterno della Banca. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • promettere o versare somme di denaro, doni, benefici o altre utilità – direttamente o indirettamente – anche su induzione degli stessi – a soggetti della Pubblica Amministrazione, con la finalità di promuovere o favorire interessi della Banca; • esibire documenti incompleti e/o comunicare dati falsi o alterati e tenere una condotta ingannevole, anche tramite omissione di informazioni dovute, che possa indurre gli enti pubblici in errore al fine di orientare a proprio favore le decisioni della Pubblica Amministrazione. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione dei rapporti con le Autorità di Vigilanza Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione dei rapporti con le Autorità di Vigilanza anche in occasione, in particolare, di visite ispettive. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe presentare potenzialmente occasioni per la commissione dei reati di “corruzione”, “induzione indebita a dare o promettere utilità” e “ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza”11. 11 Con riferimento ai principi di controllo e di comportamento volti al presidio del rischio di commissione del reato di “ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza”, elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto, si rinvia alla Parte Speciale III – Reati Societari del presente documento. 51 A mero titolo esemplificativo, con riferimento ai reati di “corruzione” e di “induzione indebita a dare o promettere utilità”, vi è potenziale rischio di commissione degli stessi nell’ipotesi in cui i Destinatari, nell’ambito di una visita ispettiva, promettano o corrispondano denaro o altra utilità ai pubblici ufficiali o agli incaricati di pubblico servizio (ad es.: rappresentanti/funzionari di Banca d’Italia, etc.) – anche su induzione degli stessi – affinché costoro omettano di formulare rilievi o evidenziare irregolarità. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti con le Autorità di Vigilanza tra cui rientrano, a titolo esemplificativo e non esaustivo: • Banca d’Italia; • CONSOB • Autorità Garante per la Concorrenza e il Mercato (AGCM); • Autorità Garante per la Privacy. Le modalità operative per la gestione del processo sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • attribuzione alla funzione competente del potere e della responsabilità di gestire i rapporti con le Autorità di Vigilanza nei casi di ispezioni o in altri casi da cui derivasse un contatto diretto con le stesse; • presenza di opportuni flussi informativi che devono essere attivati nei casi di incontri/contatti significativi con le Autorità di Vigilanza; • rispetto dei poteri di spesa attribuiti dagli Organi Societari e svolgimento da parte della funzione competente di specifici controlli in merito; Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle suddette attività sensibili sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, i Destinatari sono tenuti a: • osservare la normativa specialistica vigente e le disposizioni emanate dalle Autorità di Vigilanza; • instaurare con le predette Autorità rapporti improntati ai principi di integrità, correttezza e professionalità; • gestire gli incontri con i funzionari delle Autorità nell’ambito delle ispezioni effettuate presso la Banca alla presenza di almeno due soggetti della stessa, fatte salve le situazioni in cui i funzionari richiedano colloqui diretti con personale specificamente individuato; • non dare seguito e segnalare immediatamente, per le azioni del caso, al proprio superiore gerarchico qualunque richiesta di indebiti vantaggi o tentativo di induzione da parte di un funzionario delle Autorità di Vigilanza di cui dovesse essere destinatario o semplicemente a conoscenza; il responsabile/superiore gerarchico, a sua volta, ha l’obbligo di trasmettere la 52 segnalazione ricevuta alla funzione competente per le specifiche valutazioni del caso. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • promettere o offrire, anche per interposta persona, denaro o altra utilità nei confronti di soggetti appartenenti alle Autorità di Vigilanza, al fine di instaurare illecitamente relazioni personali di favore, influenza e ingerenza, idonee a condizionare il loro operato; • chiedere o indurre i soggetti appartenenti alle Autorità di Vigilanza a trattamenti di favore. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione dei contenziosi e degli accordi transattivi Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione dei contenziosi e degli accordi transattivi. Ai sensi del D.Lgs. n. 231/2001, le attività sensibili in oggetto potrebbero presentare astrattamente potenziali occasioni per la commissione dei reati di “corruzione”, “corruzione tra privati”12, “corruzione in atti giudiziari” e “induzione indebita a dare o promettere utilità”, nonché del reato di “induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’Autorità Giudiziaria”, sia direttamente che per tramite di professionisti terzi, in occasione di rapporti con l’Autorità Amministrativa e Giudiziaria. A mero titolo esemplificativo e non esaustivo, i reati di “corruzione”, nelle sue varie tipologie, e di “induzione indebita a dare o promettere utilità” potrebbero potenzialmente essere commessi attraverso l’elargizione di denaro, regali o altra utilità a Giudici o Membri di Collegi Arbitrali – anche su induzioni degli stessi – in sede di incontri formali e informali, per persuadere gli stessi a favorire indebitamente gli interessi della Banca. Il reato di “induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’Autorità Giudiziaria” potrebbe potenzialmente essere commesso, a titolo esemplificativo, inducendo – con violenza o minaccia o, alternativamente, con offerta o promessa di denaro o di altra utilità – a tacere o a mentire la persona chiamata a rendere davanti all’Autorità Giudiziaria dichiarazioni in un procedimento penale, al fine di favorire indebitamente gli interessi della Banca. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • identificazione dei soggetti e delle funzioni coinvolte nelle attività di gestione dei contenziosi 12 Si ricorda che il reato di “corruzione tra privati”, introdotto nel D.Lgs. 231/2001 dalla Legge N. 190/2012 (c.d. “Legge Anti-Corruzione”), è elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto. 53 e degli accordi transattivi, definendo i ruoli e le relative responsabilità, nonché i relativi limiti operativi; • identificazione dei soggetti abilitati a rappresentare la Banca nei rapporti con la Pubblica Amministrazione e con i soggetti privati e a stipulare transazioni attinenti alle sfere di operatività rilevanti; • attribuzione di ruoli e responsabilità alle funzioni incaricate di valutare e autorizzare le pratiche da affidare ai legali esterni; • attribuzione alla funzione competente del compito e della responsabilità di intrattenere i rapporti con i legali esterni in caso di contenzioso giuslavoristico; • attribuzione al Consiglio di Amministrazione della competenza decisionale di autorizzare i relativi responsabili competenti a stare in giudizio davanti a tutti i giudici di merito e di legittimità in ogni fase e grado, in tutti i procedimenti civili, amministrativi e/o giuslavoristici; • svolgimento di attività di coordinamento e supervisione in merito all’operato e alle strategie tenute dai legali esterni che assistono in giudizio la Banca; ciò al fine di assicurare che gli interessi della stessa siano salvaguardati e di monitorare il rispetto delle scadenze e delle linee-guida operative predefinite; • informativa costante da parte dei responsabili competenti nei confronti del Consiglio di Amministrazione in merito all’andamento contenzioso in essere e sulle relative transazioni. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle suddette attività sensibili, sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, i Destinatari sono tenuti a: • agire secondo i principi di onestà, integrità e nel rispetto delle leggi vigenti, nonché improntare le relazioni instaurate con interlocutori esterni ai principi di correttezza, lealtà e collaborazione; • cooperare pienamente, nel caso di controversie legali, indagini, inquisitorie e reclami, con le autorità inquirenti in merito ad ogni richiesta e fornire informazioni veritiere; • individuare chiaramente, attraverso appositi atti, i soggetti coinvolti nel processo e che hanno la responsabilità di firmare atti o documenti con rilevanza esterna alla Banca; • segnalare al proprio superiore gerarchico, per le azioni del caso, qualunque richiesta di indebiti vantaggi o tentativi di induzione da parte di un soggetto della Pubblica Amministrazione di cui dovesse essere destinatario o semplicemente venire a conoscenza; il superiore gerarchico a sua volta ha l’obbligo di trasmettere la segnalazione ricevuta alla funzione competente per le valutazioni del caso; • prevedere nei contratti/lettere di incarico, qualora sia previsto il coinvolgimento di soggetti terzi nella gestione del contenzioso e degli accordi transattivi con la Pubblica Amministrazione o con soggetti privati, l’inserimento di apposita dichiarazione di conoscenza della normativa di cui al D.Lgs. n. 231/2001 e di impegno al suo rispetto. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • promettere o offrire, anche per interposta persona, denaro o altra utilità a soggetti della Pubblica Amministrazione o a soggetti privati, al fine di instaurare illecitamente relazioni 54 personali di favore, influenza e ingerenza idonee a condizionare il loro operato; • chiedere o indurre soggetti della Pubblica Amministrazione o soggetti privati a trattamenti di favore ovvero omettere informazioni dovute al fine di influenzare impropriamente la decisione; • effettuare pagamenti o compensi sotto qualsiasi forma offerti o promessi, anche indirettamente, per indurre, facilitare o remunerare il compimento di un atto d’ufficio o contrario ai doveri d’ufficio; • riconoscere compensi che non trovino adeguata giustificazione in relazione al tipo di incarico da svolgere e/o nel valore della controversia rapportato alle tariffe professionali applicabili; • adottare comportamenti contrari alle leggi, in sede di incontri con le Autorità, anche attraverso l’impiego di professionisti esterni, per indurre Giudici o Membri di Collegi Arbitrali (compresi gli ausiliari e i periti d’ufficio) a favorire indebitamente gli interessi della Banca; • adottare comportamenti contrari alle leggi nel corso di tutte le fasi del procedimento, anche attraverso l’impiego di professionisti esterni, per: - indurre al superamento di vincoli o criticità ai fini della tutela degli interessi della Banca; - favorire indebitamente gli interessi della Banca inducendo – con violenza o minaccia o, alternativamente, con offerta o promessa di denaro o di altra utilità – a tacere o a mentire la persona chiamata a rendere davanti all’Autorità Giudiziaria dichiarazioni utilizzabili in un procedimento penale; - adottare comportamenti contrari alle leggi, in sede di ispezioni/controlli/verifiche da parte degli organismi pubblici o nominati dall’organo giudicante, anche indirettamente attraverso l’impiego di professionisti esterni, per influenzarne il giudizio/parere nell’interesse della Banca; • affidare incarichi a professionisti esterni eludendo criteri documentabili ed obiettivi incentrati su competitività, utilità, prezzo, integrità, solidità e capacità di garantire un’efficace assistenza continuativa. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione del processo di selezione e assunzione del personale Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nel processo di selezione e assunzione del Personale. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe costituire strumentalmente un’occasione per il compimento dei reati di “corruzione e di “corruzione tra privati”13. A mero titolo esemplificativo, una gestione non trasparente del processo di selezione e assunzione del personale potrebbe consentire la commissione di tali reati attraverso la promessa di assunzione verso rappresentanti della Pubblica Amministrazione o soggetti privati, al fine di influenzarne l’indipendenza di giudizio o di assicurare un qualsivoglia vantaggio per la Banca. Tale protocollo intende, inoltre, prevenire il rischio di commissione dei reati di “impiego di 13 Si ricorda che il reato di “corruzione tra privati”, introdotto nel D.Lgs. 231/2001 dalla Legge N. 190/2012 (c.d. “Legge Anti-Corruzione”), è elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto. 55 cittadini di Paesi terzi il cui soggiorno è irregolare” 14 e dei “delitti con finalità di terrorismo o di eversione dell’ordine democratico” (cfr. “Protocollo per il contrasto ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita e ai delitti con finalità di terrorismo o di eversione dell’ordine democratico”, di cui alla Parte Speciale IV). Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • definizione, per iscritto, del profilo tipo della risorsa da selezionare prima dell’avvio dei colloqui conoscitivi; • effettuazione, da parte delle competenti funzioni, della valutazione dell’adeguatezza professionale dei candidati, in relazione al profilo di selezione e alla posizione da ricoprire, per giungere alla formulazione di una valutazione. • Verifica dei eventuali legami di parentela del candidato con membri/funzionari della PA o di aziende fornitrici della Banca, verifica del grado di rischiosità connesso all’assunzione e valutazione delle misure organizzative da implementare in caso di assunzione; • predisposizione, al termine del colloquio tecnico per la selezione delle risorse da assumere, di specifiche schede di valutazione sulla base delle quali sono scelti i candidati che hanno accesso alle successive fasi di recruitment; • verifica delle professionalità attestate dal candidato da parte di fonti terze; • attribuzione agli organi con funzioni di controllo della responsabilità di garantire la corretta attuazione delle politiche di remunerazione; • verifica, al momento dell’assunzione di una nuova risorsa, dell’avvenuta consegna da parte del neo assunto della documentazione di competenza; • archiviazione di tutta la documentazione di supporto al processo di selezione e assunzione di ciascun dipendente della Banca da parte della funzione competente. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle suddette attività sensibili sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, i Destinatari sono tenuti a: • improntare le relazioni con la Pubblica Amministrazione e con i soggetti privati ai principi di correttezza, onestà, professionalità e trasparenza; • prevedere nei contratti con soggetti terzi eventualmente coinvolti nella gestione del processo 14 Il reato di impiego di cittadini di paesi terzi con soggiorno irregolare, previsto all’art. 25-duodecies del D.Lgs. 231/2001), è stato introdotto nel Decreto a seguito dell’entrata in vigore del D.Lgs. 16 luglio 2012, n. 109 di attuazione della Direttiva 2009/52/CE. Si rimanda, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. 56 di selezione e assunzione del personale, apposita dichiarazione di conoscenza della normativa di cui al D.Lgs. n. 231/2001 e di impegno al suo rispetto; • non dare seguito e segnalare immediatamente, per le azioni del caso, al proprio superiore gerarchico qualunque richiesta di indebiti vantaggi da parte di un soggetto della Pubblica Amministrazione o di un soggetto privato cui dovesse essere destinatario o semplicemente a conoscenza; il superiore gerarchico, a sua volta, ha l’obbligo di trasmettere la segnalazione ricevuta alla funzione competente per le specifiche valutazioni del caso. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • promettere o offrire, anche per interposta persona, denaro o altra utilità a soggetti della Pubblica Amministrazione o a soggetti privati, al fine di instaurare illecitamente relazioni personali di favore, influenza e ingerenza, idonee a condizionare il loro operato; • intrattenere relazioni, dirette o indirette, con persone delle quali sia conosciuta, o solamente sospettata, l’appartenenza a organizzazioni criminali o che comunque operino al di fuori della legalità. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione dei rapporti contrattuali con la clientela e con le terze parti (intermediari negoziatori, broker, market maker) Premessa Il presente protocollo si applica ai Destinatari del Modello, coinvolti a qualsiasi titolo nella gestione dei rapporti contrattuali con la clientela e le terze parti (intermediari, negoziatori, broker, market maker, etc.), sia pubbliche sia private. Ai sensi del D.Lgs. n. 231/2001, le attività connesse alla gestione dei rapporti contrattuali con la clientela e le terze parti potrebbero presentare potenzialmente occasioni per la commissione dei reati di “corruzione”, “corruzione tra privati”15, “induzione indebita a dare o promettere utilità” e “truffa”. A mero titolo esemplificativo e non esaustivo, i reati di “corruzione”, di “induzione indebita a dare o promettere utilità” e “corruzione tra privati” potrebbero potenzialmente essere commessi attraverso la promessa o l’effettiva elargizione di denaro o altra utilità a soggetti della Pubblica Amministrazione – anche su induzione degli stessi – o a soggetti privati, al fine di favorire gli interessi della Banca. Si rileva che i principi di controllo e di comportamento di seguito rappresentati possono essere ritenuti ulteriori presidi avversi alla commissione dei reati di “ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita”, dei “delitti con finalità di terrorismo o di eversione dell’ordine democratico”, dei “delitti di criminalità organizzata” e dei reati “transnazionali” (cfr. “Protocollo per il contrasto ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita e ai delitti con finalità di terrorismo o di eversione dell’ordine democratico”, di cui alla Parte Speciale IV). Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella 15 Si ricorda che il reato di “corruzione tra privati”, introdotto nel D.Lgs. 231/2001 dalla Legge N. 190/2012 (c.d. “Legge Anti-Corruzione”), è elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto. 57 gestione dei rapporti in oggetto. Le modalità operative per la gestione di detti rapporti sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • definizione delle facoltà di autonomia gestionale in materia di erogazione creditizia per natura di spesa ed impegno nel sistema dei poteri e delle deleghe; • previsione del coinvolgimento di diverse funzioni della Banca, responsabili ciascuna per gli ambiti di rispettiva competenza; • previsione di riunioni periodiche tra le competenti funzioni della Banca, al fine di fornire le necessarie linee guida e verificare l’efficacia delle azioni intraprese; • previsione della raccolta di tutta la documentazione necessaria all’apertura del rapporto, ivi inclusa quella prevista dalla normativa antiriciclaggio da parte della funzione competente; • definizione di attività di verifica periodica in merito alla redditività; • definizione di attività di controllo di secondo livello in merito alla completezza e alla correttezza dell’attività istruttoria; • previsione di specifiche attività di controllo sui crediti e di monitoraggio sull’andamento del credito erogato, adottando le soluzioni più idonee per dare attivazione ad un sistema di reportistica con flussi informativi indirizzati agli Organi Sociali e ad eventuali Comitati istituiti; • archiviazione e conservazione della documentazione da parte di ciascuna funzione competente. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella stipula e nella gestione dei rapporti contrattuali con la clientela e le controparti, pubbliche e private, sono tenuti ad osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare: • improntare le relazioni con la Pubblica Amministrazione e i soggetti privati ai principi di correttezza, onestà, professionalità e trasparenza; • diffondere una cultura aziendale rivolta a perseguire l’obiettivo di soddisfare i propri clienti, fornendo loro prodotti e servizi di qualità a condizioni e prezzi congrui, nel pieno rispetto delle norme e dei regolamenti applicabili nei mercati in cui opera; • sospendere immediatamente ogni rapporto e informare i propri superiori gerarchici in caso di richieste di benefici di qualsiasi natura da parte di soggetti della Pubblica Amministrazione o di soggetti privati. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • promettere o versare somme di denaro, doni, benefici o altre utilità – direttamente o indirettamente – anche a seguito di illecite pressioni, ai rappresentanti della Pubblica Amministrazione – anche su induzione degli stessi – ovvero a soggetti privati, con la finalità di promuovere o favorire interessi della Banca; 58 • aprire od intrattenere relazioni, dirette o indirette, con persone delle quali sia conosciuta, o solamente sospettata, l’appartenenza a organizzazioni criminali o che comunque operino al di fuori della legalità; • concedere condizioni di favore a soggetti della Pubblica Amministrazione – anche su induzione degli stessi – o a soggetti privati, nella trattativa commerciale o nella gestione del successivo rapporto contrattuale; • chiedere o indurre soggetti della Pubblica Amministrazione o soggetti privati a omettere informazioni dovute al fine di influenzare impropriamente la decisione di stipulare accordi/convenzioni/contratti con la Banca. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione della formazione finanziata Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti nelle attività inerenti alla formazione finanziata, ossia nelle attività concernenti la richiesta di finanziamenti, sovvenzioni e contributi per la formazione concessi da soggetti pubblici nazionali ed esteri. Ai sensi del D.Lgs. n. 231/2001, la predetta attività sensibile potrebbe presentare potenzialmente occasioni per la commissione dei reati di “truffa aggravata per il conseguimento di erogazioni pubbliche”, “malversazione a danno dello Stato” e “indebita percezione di erogazioni a danno dello Stato”. A mero titolo esemplificativo e non esaustivo, si riportano di seguito alcuni esempi di possibile commissione di suddetti reati. In particolare: • reati di “truffa aggravata per il conseguimento di erogazioni pubbliche” e di “indebita percezione di erogazioni a danno dello Stato” potrebbero potenzialmente essere commessi, anche mediante artifizi o raggiri, attraverso l’esibizione di documenti incompleti e/o contenenti dati falsi e alterati, al fine di indurre gli enti finanziatori/erogatori in errore di valutazione tecnico-economica della documentazione presentata, ottenendo quindi, senza averne i requisiti necessari, il finanziamento pubblico; • il reato di “malversazione a danno dello Stato” potrebbe, invece, essere commesso allorquando, a seguito di finanziamenti connessi all’attività di formazione del personale, la Banca utilizzasse tali fondi per scopi diversi da quelli ai quali era legato il finanziamento. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le modalità operative per la gestione di detti rapporti sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • previsione dell’autorizzazione, da parte del Legale Rappresentante, alla presentazione di richieste di contributi per la formazione al personale della Banca; 59 • definizione di verifiche di coerenza dei contenuti del progetto di formazione rispetto a quanto disposto dalle direttive del bando di finanziamento, nonché in merito alla regolarità dal punto di vista formale della documentazione da consegnare all’ente per l’accesso al bando di finanziamento; • definizione di verifiche di coerenza dei contenuti del progetto di formazione rispetto a quanto disposto dalle direttive del bando di finanziamento, nonché in merito alla regolarità dal punto di vista formale della documentazione da consegnare all’ente per l’accesso al bando di finanziamento • tenuta di appositi registri durante l’erogazione dei progetti formativi per la registrazione delle presenze e delle relative attività svolte; • conservazione e archiviazione di tutta la documentazione attestante la partecipazione ai corsi organizzati da enti/associazioni esterne da parte dell’ufficio competente. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella gestione della formazione finanziata sono tenuti ad osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare: • improntare i comportamenti dei soggetti coinvolti nella gestione dei rapporti con la Pubblica Amministrazione alla massima trasparenza, collaborazione, disponibilità e al pieno rispetto del ruolo istituzionale; • prevedere espressa autorizzazione dei soggetti che, in fase di richiesta e gestione dei finanziamenti o contributi pubblici, intrattengono rapporti con la Pubblica Amministrazione per conto della Banca ovvero dei soggetti che hanno la responsabilità di firmare atti o documenti con rilevanza all’esterno della Banca; In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • esibire documenti incompleti e/o comunicare dati falsi o alterati ovvero tenere una condotta ingannevole che possa indurre gli enti pubblici e/o enti finanziatori/erogatori in errore; • destinare contributi, sovvenzioni, finanziamenti pubblici a finalità diverse da quelle per le quali sono stati ottenuti; • utilizzare, modificandone la destinazione originaria, finanziamenti ricevuti dalla Pubblica Amministrazione ovvero appropriarsi indebitamente di finanziamenti comunitari; • tenere una condotta ingannevole che possa indurre gli enti pubblici in errore, al fine di ottenere un indebito vantaggio. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione degli acquisti di beni e servizi e degli incarichi professionali Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione degli acquisti di beni e servizi, tra cui le consulenze, e degli incarichi professionali. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe astrattamente presentare 60 potenziali occasioni strumentali alla commissione dei reati di “corruzione”, “corruzione tra privati”16 e “falsità in moneta, in carte di pubblico credito, in valore di bollo e in strumenti o segni di riconoscimento” (cfr. “Protocollo per la gestione dei valori”, di cui alla Parte Speciale II). Una gestione non trasparente del processo, potrebbe, infatti, consentire la commissione di tali reati, ad esempio, attraverso l’assegnazione di incarico a soggetti legati alla Pubblica Amministrazione o a soggetti privati, così come in precedenza definiti, al fine di ottenere un ingiusto vantaggio per la Banca. Oppure ancora mediante la creazione di fondi “neri” a seguito del pagamento di prezzi superiori all’effettivo valore del bene/servizio ottenuto. Tale protocollo intende, inoltre, prevenire il rischio di commissione dei “delitti contro la personalità individuale”17 e del reato di “impiego di cittadini di Paesi terzi il cui soggiorno è irregolare”18. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le modalità operative per la gestione di detti rapporti sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • scelta di fornitori di beni o servizi, a cura delle funzioni competenti, sulla base di requisiti di professionalità, affidabilità, economicità, uguale trattamento, trasparenza nelle procedure di selezione; • previsione della nomina di un responsabile dell'esecuzione del contratto ("gestore del contratto") con indicazione di compiti, poteri e responsabilità a esso attribuiti; • definizione dei requisiti minimi in possesso dei soggetti offerenti e fissazione dei criteri di valutazione delle offerte prima della ricezione delle stesse; • previsione della segregazione dei compiti tra le funzioni coinvolte nelle diverse fasi connesse al processo di acquisizione di beni e servizi e degli incarichi professionali; in particolare, per tutte le fasi del processo, deve essere assicurato il rispetto del principio di separazione dei compiti tra le funzioni coinvolte nelle attività autorizzative, esecutive e di controllo; • previsione della validazione, da parte della funzione competente, dei pagamenti dei fornitori, previa verifica degli stessi; • verifica, da parte della funzione competente, della coincidenza dei dati tra contratto/ordine di acquisto, fattura ed eventuale documento di trasporto, nonché verifica con l’unità organizzativa che ha emesso l’ordine, dell’effettiva fruizione del servizio/consegna del bene prima dell’autorizzazione della funzione competente; 16 Si ricorda che il reato di “corruzione tra privati”, introdotto nel D.Lgs. 231/2001 dalla Legge N. 190/2012 (c.d. “Legge Anti-Corruzione”), è elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto. 17 I delitti contro la personalità individuale, previsti all’art. 25-quinquies D.Lgs. 231/2001, sono stati introdotti nel Decreto dall’art. 5 della Legge 11/08/2003 n. 228, e successivamente modificati dalla Legge 6 febbraio 2006, n. 38 "Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet". Si rimanda, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. 18 Il reato di impiego di cittadini di paesi terzi con soggiorno irregolare, previsto all’art. 25-duodecies del D.Lgs. 231/2001), è stato introdotto nel Decreto a seguito dell’entrata in vigore del D.Lgs. 16 luglio 2012, n. 109 di attuazione della Direttiva 2009/52/CE. Si rimanda, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. 61 • previsione dell’autorizzazione del superiore gerarchico, diverso dal gestore del contratto, di eventuali modifiche sostanziali/integrazioni e/o rinnovi del contratto stesso. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle attività di gestione degli acquisti di beni e servizi e degli incarichi professionali, sono tenuti ad osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare: • rispettare il principio per il quale la selezione e la gestione del fornitore devono essere improntati a criteri meritocratici e nel rigoroso rispetto delle procedure interne; • instaurare relazioni con la Pubblica Amministrazione e con soggetti privati basate su principi di integrità, correttezza e professionalità; • prevedere una dichiarazione di conoscenza della normativa di cui al D.Lgs. n. 231/2001 e di impegno al suo rispetto, nella documentazione contrattuale che regola il conferimento di incarichi di fornitura di beni e servizi e di incarichi professionali. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • intrattenere relazioni, dirette o indirette, con persone delle quali sia conosciuta, o solamente sospettata, l’appartenenza a organizzazioni criminali o che, comunque, operino al di fuori della legge; • promettere o offrire, anche per interposta persona, denaro o altra utilità a soggetti della Pubblica Amministrazione o soggetti privati, al fine di instaurare illecitamente relazioni personali di favore, influenza e ingerenza, idonee a condizionare il loro operato; • cedere a terzi il diritto alla riscossione del compenso o attribuire a terzi il mandato all’incasso. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione di omaggi e spese di rappresentanza Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nel processo di gestione degli omaggi e delle spese di rappresentanza. Ai fini del presente protocollo, valgono le seguenti definizioni: • per omaggi si intendono le elargizioni di beni di modico valore offerte, nell’ambito delle ordinarie relazioni di affari, al fine di promuovere l’immagine della Banca; • per spese di rappresentanza si intendono le spese sostenute dalla Banca nell’espletamento delle relazioni commerciali, destinate a promuovere e migliorare l’immagine della Banca stessa (ad esempio: spese per colazioni di lavoro, spese per forme di accoglienza ed ospitalità, etc.). Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe costituire una delle modalità 62 strumentali attraverso cui commettere i reati di “corruzione”, “corruzione tra privati”19 e “induzione indebita a dare o promettere utilità”. Una gestione non trasparente del processo relativo agli omaggi e alle spese di rappresentanza potrebbe, infatti, consentire la commissione di tali reati, ad esempio, attraverso il riconoscimento/concessione di vantaggi ad esponenti della Pubblica Amministrazione o a soggetti privati, al fine di favorire interessi della Banca, ovvero la creazione di disponibilità utilizzabili per la realizzazione dei reati in questione. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • identificazione dei soggetti muniti di idonee facoltà per la gestione dei beni destinati ad omaggi, l’approvazione della richiesta di acquisto, il perfezionamento del contratto e l’emissione dell’ordine; la normativa interna illustra i meccanismi autorizzativi, fornendo l’indicazione dei soggetti aziendali cui sono attribuiti i necessari poteri; • identificazione di attori/soggetti differenti, chiaramente identificabili, per lo svolgimento delle attività di cui alle diverse fasi, caratterizzanti l’iter di gestione degli omaggi; • identificazione di meccanismi di controllo che assicurino, in tutte le fasi del processo di gestione degli omaggi, il rispetto del principio di separazione dei compiti tra le funzioni coinvolte nelle attività autorizzative, esecutive e di controllo; • identificazione delle funzioni competenti al mantenimento dei rapporti con i fornitori e al monitoraggio dell’intero processo di approvvigionamento degli omaggi; • svolgimento di attività di controllo da parte delle funzioni competenti, volte a riscontrare la corrispondenza tra le note spese presentate e i relativi giustificativi; • svolgimento di attività di verifica da parte del responsabile gerarchico del dipendente che presenta la note spese, svolta attraverso una valutazione di ammissibilità della stessa sulla base dei criteri procedurali definiti; • tracciabilità, a livello documentale e di sistema, dei processi di gestione degli omaggi e delle spese di rappresentanza. Principi di comportamento Premesso che le spese per omaggi sono consentite, purché di modico valore e, comunque, tali da non compromettere l’integrità e la reputazione di una delle parti e da non influenzare l’autonomia di giudizio del beneficiario, i Destinatari, a qualsiasi titolo coinvolti nelle attività di gestione degli omaggi, nonché delle spese di rappresentanza, sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. 19 Si ricorda che il reato di “corruzione tra privati”, introdotto nel D.Lgs. 231/2001 dalla Legge N. 190/2012 (c.d. “Legge Anti-Corruzione”), è elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto. 63 In particolare, i Destinatari sono tenuti a: • non dare seguito e segnalare immediatamente, per le azioni del caso, al proprio superiore gerarchico qualunque richiesta di indebiti vantaggi o tentativo di induzione da parte di un soggetto della Pubblica Amministrazione di cui dovesse essere destinatario o semplicemente a conoscenza; il responsabile/superiore gerarchico, a sua volta, ha l’obbligo di trasmettere la segnalazione ricevuta alla funzione competente per le specifiche valutazioni del caso; • prevedere, da parte di tutti i referenti agli acquisti, la tenuta di un archivio delle richieste ricevute e degli ordini emessi. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • riconoscere rimborsi per spese di rappresentanza che non trovino adeguata giustificazione in relazione al tipo di incarico svolto dal personale della Banca; • promettere o versare somme di denaro, doni, benefici o altre utilità – direttamente o indirettamente – a esponenti/rappresentanti della Pubblica Amministrazione/delle Autorità di Vigilanza o ad altre organizzazioni/persone collegate, ovvero a esponenti apicali o a persone a loro subordinate appartenenti a società private, con finalità di promuovere o favorire interessi della Banca, anche a seguito di illecite pressioni o induzione; • erogare, senza le necessarie autorizzazioni, omaggi di importo superiore a quello “ragionevole” definito dalla normativa interna e, comunque, tali da compromettere l’integrità e la reputazione di una delle parti o influenzare l’autonomia di giudizio del beneficiario. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione di beneficenze e sponsorizzazioni Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nel processo di gestione di beneficenze e sponsorizzazioni. Ai fini del presente protocollo, valgono le seguenti definizioni: • per iniziative di beneficenza si intendono le elargizioni in denaro e altre attività a natura liberale che la Banca destina esclusivamente ad enti senza fini di lucro; • per sponsorizzazioni si intendono la promozione, la valorizzazione ed il potenziamento dell’immagine della Banca attraverso la stipula di contratti atipici (in forma libera, di natura patrimoniale, a prestazioni corrispettive) con enti esterni. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe costituire una delle modalità strumentali attraverso cui commettere i reati di “corruzione”, “corruzione tra privati”20, “induzione indebita a dare o promettere utilità”, “ricettazione, riciclaggio, impiego di denaro, beni o utilità di provenienza illecita”, “criminalità organizzata” e “transnazionali”, nonché delitti con “finalità di terrorismo o eversione dell’ordine democratico” (cfr. “Protocollo per il contrasto ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita e ai delitti con finalità di terrorismo o di eversione dell’ordine democratico”, di cui alla Parte Speciale IV) e contro la “personalità individuale”. 20 Si ricorda che il reato di “corruzione tra privati”, introdotto nel D.Lgs. 231/2001 dalla Legge N. 190/2012 (c.d. “Legge Anti-Corruzione”), è elencato tra i “Reati societari” di cui all’art. 25-ter del Decreto. 64 Una gestione non trasparente del processo relativo alle beneficenze e alle sponsorizzazioni potrebbe, infatti, consentire la commissione di tali reati, ad esempio attraverso il riconoscimento/concessione di vantaggi ad esponenti della Pubblica Amministrazione o soggetti privati, al fine di favorire interessi della Banca ovvero la creazione di disponibilità utilizzabili per la realizzazione dei reati in questione. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • approvazione delle erogazioni per beneficenze e sponsorizzazioni da parte dei soggetti/organi autorizzati in base al sistema dei poteri e delle deleghe; • svolgimento di attività di verifica della controparte, da parte delle competenti funzioni, preliminari alle erogazioni per beneficenze e sponsorizzazioni; • segnalazione tempestiva, da parte del personale della Banca all’Organismo di Vigilanza, di ogni comportamento della controparte contrattuale che appaia in contrasto con il Codice Etico; • tracciabilità a livello documentale dei processi di gestione delle sponsorizzazioni e beneficenze. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle attività di gestione di beneficenze e sponsorizzazioni sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare: • effettuare erogazioni per beneficenze o sponsorizzazioni al fine di sostenere iniziative di controparti regolarmente costituite ai sensi di legge; • instaurare rapporti solo con controparti affidabili, che godano di buona reputazione e la cui cultura etica aziendale sia omologa a quella della Banca; tali rapporti devono essere ispirati ai seguenti principi: - la Banca si astiene dal concludere accordi contrari alla legge, simulati o segreti; - i rapporti con le controparti contrattuali sono intrattenuti nel rispetto del Codice Etico; - i rapporti devono essere intrattenuti da soggetti professionalmente preparati e competenti, individuati secondo le norme interne della Banca; • improntare l’iter di selezione e di gestione della controparte sulla base di criteri meritocratici e nel rigoroso rispetto delle procedure interne. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • intrattenere relazioni, dirette o indirette, con persone delle quali sia conosciuta, o solamente 65 sospettata, l’appartenenza a organizzazioni criminali o che comunque operino al di fuori della legge; • effettuare erogazioni, per iniziative di beneficenza o di sponsorizzazione, a favore di controparti coinvolte in note vicende giudiziarie, pratiche non rispettose dei diritti umani o dell’ambiente; • effettuare sponsorizzazioni di attività le cui finalità siano in contrasto con la legge e/o con la normativa interna in materia; • promettere o concedere vantaggi di qualsiasi natura – direttamente o indirettamente – a rappresentanti della Pubblica Amministrazione – anche su induzione degli stessi – o a soggetti privati, con finalità di promuovere o favorire interessi della Banca, anche a seguito di illecite pressioni; • erogare sponsorizzazioni di importo superiore a quello “ragionevole” e, comunque, tali da compromettere l’integrità e la reputazione della Banca o influenzare l’autonomia di giudizio del beneficiario. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. 66 PARTE SPECIALE II – REATI DI FALSITÀ IN MONETE, IN CARTE DI PUBBLICO CREDITO, IN VALORI DI BOLLO E IN STRUMENTI O SEGNI DI RICONOSCIMENTO Premessa La presente Parte Speciale è volta a presidiare il rischio di commissione dei reati di “falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento”, di cui all’art. 25-bis del D.Lgs. n. 231/2001, integrando la normativa interna e i principi generali di comportamento già istituiti dalla Banca. L’art. 25-bis del Decreto contempla una serie di reati previsti dal codice penale a tutela della fede pubblica, ossia della certezza e dell’affidamento sociale nella genuinità e integrità di alcuni specifici simboli, essenziale ai fini di un rapido e certo svolgimento del traffico economicogiuridico attraverso la moneta o i valori di bollo o i segni di riconoscimento. Le condotte punite hanno ad oggetto monete – a cui sono equiparate le carte di pubblico credito, vale a dire le banconote e le carte e cedole al portatore emesse da Governi o da Istituti a ciò autorizzati – valori di bollo, carte filigranate e strumenti od oggetti destinati al falso nummario21. Le fattispecie di reato Si riporta di seguito l’elenco delle fattispecie di reato previste dall’art. 25-bis del Decreto, rimandando, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. Art. 25-bis D. Lgs. n. 231/2001 - Reati di falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento • Falsificazione di monete, spendita e introduzione nello Stato, previo concerto, di monete falsificate (art. 453 c.p.); • Alterazione di monete (art. 454 c.p.); • Spendita e introduzione nello Stato, senza concerto, di monete falsificate (art. 455 c.p.); • Spendita di monete falsificate ricevute in buona fede (art. 457 c.p.) • Falsificazione di valori di bollo, introduzione nello Stato, acquisto, detenzione o messa in circolazione di valori di bollo falsificati (art. 459 c.p.); • Contraffazione di carta filigranata in uso per la fabbricazione di carte di pubblico credito o di valori di bollo (art. 460 c.p.); • Fabbricazione o detenzione di filigrane o di strumenti destinati alla falsificazione di monete, di valori di bollo o di carta filigranata (art. 461 c.p.); • Uso di valori di bollo contraffatti o alterati (art. 464 c. 1 c.p. e art. 464 c.2, c.p.); • Contraffazione, alterazione o uso di segni distintivi di opere dell'ingegno o di prodotti industriali e contraffazione, alterazione o uso di marchi o segni distintivi ovvero di brevetti, modelli e disegni (art. 473 c.p.); • Introduzione nello Stato e commercio di prodotti con segni falsi (art. 474 c.p.). 21 La L. n. 99/2009 ha modificato l’art. 25-bis, aggiungendo ai reati in tema di falso nummario i reati in tema di contraffazione di marchi, segni distintivi, brevetti e modelli (artt. 473 e 474 c.p.). 67 Le attività sensibili Le attività sensibili nelle quali è maggiore il rischio che siano astrattamente commessi i reati oggetto della presente Parte Speciale sono le seguenti: • gestione degli acquisti di beni e servizi e degli incarichi professionali; • gestione dei valori. Per la descrizione dei principi di controllo e di comportamento volti alla mitigazione della prima attività sensibile, concernente la possibilità che la Banca acquisti a prezzo agevolato beni contraffatti, si rimanda al protocollo “Gestione degli acquisti di beni e servizi e degli incarichi professionali”, di cui alla Parte Speciale I. Si riporta di seguito il protocollo che definisce i principi di controllo e i principi di comportamento cui attenersi nella gestione della suddetta attività sensibile e che si completa con la normativa aziendale di dettaglio che regolamenta le attività medesime. Protocollo per la gestione dei valori Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti nei processi aziendali di gestione dei valori, ossia qualsiasi attività inerente alla trattazione di valori di qualsiasi natura con particolare riferimento a banconote, monete, valori di bollo aventi corso legale nello Stato e all’estero. Ai sensi del D.Lgs. n. 231/2001, l’attività sensibile in oggetto potrebbe presentare astrattamente potenziali occasioni per la commissione dei reati di “falsificazione di monete, spendita e introduzione nello Stato, previo concerto di monete falsificate” (art. 453 c.p.), “alterazione di monete” (art. 454 c.p.), “spendita e introduzione nello Stato, senza concerto, di monete falsificate” (art. 455 c.p.), “spendita di monete falsificate ricevute in buona fede” (art. 457 c.p.). A mero titolo esemplificativo e non esaustivo, tali reati potrebbero potenzialmente configurarsi qualora i Destinatari pongano in essere, autonomamente ovvero in concorso con terzi, nell’interesse della Banca, fatti di alterazione o contraffazione di valori. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nell’esecuzione delle attività in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata e aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • definizione di specifici livelli autorizzativi per lo svolgimento delle attività di competenza delle funzioni; • attribuzione di appositi poteri al soggetto competente per firmare le lettere di apertura di rapporti con la clientela, lettere di addebito/accredito e estratti conto o posizioni titoli di detti rapporti nonché rilasciare ricevute di deposito titoli e altri valori, sottoscrivere certificazioni da rilasciare in qualità di sostituto d’imposta; • attribuzione di differenti compiti tra i soggetti coinvolti nel processo; • previsione di attività di controllo di autenticità, anche tramite l’utilizzo di apposite 68 apparecchiature in dotazione alla Banca, per accertare le caratteristiche distintive e di sicurezza sulle banconote, al fine di individuare quelle sospette di falsità; • archiviazione e conservazione di tutta la documentazione prodotta, da parte della funzione competente, inerente all’esecuzione degli adempimenti svolti nell’ambito delle attività proprie del processo di gestione dei valori. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella suddetta attività sensibile, sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, i Destinatari che nell’espletamento delle attività di propria competenza, si trovino a qualunque titolo a dover trattare valori, devono: • essere appositamente incaricati; • operare con onestà, integrità, correttezza e buona fede; • prestare particolare attenzione in relazione alle negoziazioni con clientela non sufficientemente conosciuta ovvero avente ad oggetto importi di rilevante entità; • effettuare uno scrupoloso controllo sui valori ricevuti, al fine di individuare, ove presente, quelli sospetti di falsità. L’attività di identificazione può avvenire anche attraverso l’utilizzo di apparecchiature di selezione e accettazione delle banconote, atte a verificare sia l’autenticità sia l’idoneità alla circolazione delle banconote oppure a verificarne esclusivamente l’autenticità, oppure mediante controlli di autenticità da parte di personale addestrato, attraverso accertamenti manuali e senza l’ausilio di dispositivi di selezione e accettazione; • predisporre tempestivamente, in presenza di banconote sospette di falsità, un verbale di ritiro delle banconote sospette di falsità e farne segnalazione alle competenti Autorità (ad es. Banca d’Italia) con le modalità ed entro i termini prescritti dalla normativa interna; • custodire le banconote sospette di falsità per le quali è stato redatto il verbale nel periodo intercorrente tra la data di accertamento/ritiro del valore a quella di inoltro alla Banca d’Italia; immediatamente segnalare per le azioni del caso al proprio responsabile qualunque tentativo di messa in circolazione di banconote o valori sospetti di falsità da parte della clientela o di terzi; • segnalare immediatamente al proprio responsabile, per le azioni del caso, qualunque tentativo di messa in circolazione di banconote o valori sospetti di falsità da parte della clientela o di terzi del quale il personale risulti destinatario o semplicemente a conoscenza. Il responsabile a sua volta ha l’obbligo di trasmettere la segnalazione ricevuta alla funzione competente per le valutazioni del caso; • effettuare accurati controlli con riferimento all’operatività in oggetto (disposizioni di bonifico, movimentazione del c/c, negoziazione di assegni), al fine di individuare qualsiasi presenza di irregolarità o anomalie nella gestione del contante e dei valori di bollo; • rispettare gli adempimenti previsti dalla normativa antiriciclaggio primaria e secondaria protempore vigente; • rispettare le procedure interne in materia di rilevazione e denuncia di accertate o sospette falsità e le procedure di controllo dei valori trattati; • provvedere, in caso di sospetta falsità o alterazione in riferimento al denaro o ai valori, all’immediato arresto dell’operazione e al blocco di denaro o di valori, informando subito il responsabile del procedimento e l’Organismo di Vigilanza; 69 In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • mettere in circolazione, in concorso o meno con terzi, valori falsi; • contravvenire a quanto previsto dalla normativa vigente in materia di ritiro dalla circolazione e trasmissione alla Banca d’Italia delle banconote, denominate in Euro, sospette di falsità. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. 70 PARTE SPECIALE III - REATI SOCIETARI Premessa La presente Parte Speciale è volta a presidiare il rischio di commissione dei reati societari di cui all’art. 25-ter del D.Lgs. n. 231/2001, integrando la normativa interna e i principi generali di comportamento già istituiti dalla Banca. Con specifico riferimento al reato di “Corruzione tra privati”22, elencato tra i reati societari, si rinvia alla Parte Speciale I – Reati contro la Pubblica Amministrazione e reato di “corruzione tra privati” del presente Modello, in considerazione delle analogie esistenti con le fattispecie di reato di “Corruzione” di cui all’art. 25 del D.Lgs. n. 231/2001, in termini di modalità di compimento del reato e di principi di controllo e di comportamento volti alla sua prevenzione. L’art. 25-ter è stato introdotto nell’elenco dei reati presupposto della responsabilità amministrativa degli enti ex D.Lgs. n. 231/2001 dal D.Lgs. 11 aprile 2002, n. 61 in materia di “Disciplina degli illeciti penali e amministrativi riguardanti le società commerciali”. Tale articolo è stato successivamente modificato con l'emanazione della Legge 28 dicembre 2005, n. 262 (c.d. "legge risparmio"), che ha apportato alcune modifiche agli articoli del codice civile richiamati quali reati presupposto all’interno del Decreto; tra le modifiche apportate dalla “legge risparmio” rileva, ai fini ex D.Lgs. n. 231/2001, l’abrogazione del reato di “Falso in prospetto”23 (art. 2623 c.c.). La "legge risparmio", inoltre, ha ampliato il novero delle disposizioni penali in materia di società e consorzi del codice civile, introducendo, in particolare, il reato di “omessa comunicazione del conflitto di interessi”, disciplinato dall’art. 2629-bis c.c.. Ulteriori modifiche all’art. 25-ter del Decreto sono state apportate dal D. Lgs. 27 gennaio 2010, n. 39, il quale ha riformulato il reato di “impedito controllo” di cui all’art. 2625 c.c.. Il nuovo disposto non contempla più la fattispecie incriminatrice relativa all’attività dei revisori, ad oggi disciplinata dall’art. 29 del D.Lgs. n. 39/2010, in riferimento al quale non è stato inserito alcun richiamo all’interno dell’art. 25-ter del D.Lgs. n. 231/2001. Sembra pertanto potersi presumere l’esclusione della fattispecie in esame dal novero dei reati presupposto della responsabilità amministrativa degli enti, anche alla luce della sentenza espressa in tale direzione dalla Corte di Cassazione (n. 34476/2011 delle Sezioni Unite penali). In questa sede, tuttavia, si è deciso, in via prudenziale, ti tenere conto dei profili di rischio-reato di impedito controllo anche verso la Società di Revisione. Le fattispecie di reato Si riporta di seguito l’elenco delle fattispecie di reato previste dall’art. 25-ter del Decreto, rimandando, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”: • False comunicazioni sociali (art. 2621 c.c.); • False comunicazioni sociali in danno della società, dei soci o dei creditori (art. 2622 c.c.); • Impedito controllo (art. 2625 c.c., così come modificato dal D.Lgs. 27 gennaio 2010, n. 39); • Indebita restituzione dei conferimenti (art. 2626 c.c.); 22 La fattispecie di reato della “Corruzione tra privati” è stata inclusa tra i reati societari di cui all’art.25-ter del D.Lgs. n. 231/01 attraverso la Legge 6 novembre 2012, n.190. 23 Il reato di “Falso in prospetto”, contemplato prima dell’entrata in vigore della L. 262/2005 nell'art. 2623 del codice civile, è stato abrogato e riformulato con il predetto dettato normativo e introdotto nel Testo Unico della Finanza all'art. 173-bis. Il legislatore non è tuttavia intervenuto a recepire la modifica all’interno del D.Lgs. n. 231/2001. 71 • Illegale ripartizione degli utili e delle riserve (art. 2627 c.c.); • Illecite operazioni sulle azioni o quote sociali o della società controllante (art. 2628 c.c); • Operazioni in pregiudizio dei creditori (art.2629 c.c); • Omessa comunicazione del conflitto d'interessi (art. 2629-bis c.c); • Formazione fittizia del capitale (art. 2632 c.c.); • Indebita ripartizione dei beni sociali da parte dei liquidatori (art. 2633 c.c.); • Corruzione tra privati (art. 2635 c.c.)24; • Illecita influenza sull'assemblea (art. 2636 c.c.); • Aggiotaggio (art. 2637 c.c.); • Ostacolo all'esercizio delle funzioni delle Autorità Pubbliche di Vigilanza (art. 2638 c.c.). Le attività sensibili Le attività sensibili nelle quali è maggiore il rischio che siano astrattamente commessi i reati societari sono le seguenti: • gestione dei rapporti con il Collegio Sindacale e la Società di Revisione; • gestione delle operazioni societarie e degli adempimenti relativi al funzionamento degli Organi Societari; • situazioni di conflitto di interessi degli amministratori; • gestione della contabilità e predisposizione del bilancio; • gestione dei rapporti con Autorità di Vigilanza. Per quanto riguarda l’attività “gestione dei rapporti con le Autorità di Vigilanza” – sensibile anche alla commissione dei reati contro la Pubblica Amministrazione di “corruzione” e “induzione indebita a dare o promettere utilità” – la presente Parte Speciale disciplina i principi di controllo e di comportamento che i Destinatari sono tenuti ad osservare, in presenza di rapporti con le stesse, con specifico riferimento alla fattispecie di reato “ostacolo all’esercizio delle Autorità di Vigilanza”, di cui all’art. 25-ter del D.Lgs. n. 231/2001. Per quanto riguarda, invece, il dettaglio dei principi di controllo e di comportamento applicabili alle attività di seguito riportate • gestione dei rapporti contrattuali con la clientela e gestione del rapporto con le terze parti (ad es. intermediari negoziatori, broker, market maker); • gestione degli acquisti di beni e servizi e degli incarichi professionali; • gestione degli omaggi e delle spese di rappresentanza; • gestione dei contenziosi e degli accordi transattivi; • gestione del processo di selezione e assunzione del personale; • gestione di beneficenze e sponsorizzazioni, 24 Si ricorda che, in considerazione delle analogie esistenti con le fattispecie di reato di “Corruzione” di cui all’art. 25 del D.Lgs. n. 231/2001, in termini di modalità di compimento del reato e di principi di controllo e di comportamento volti alla sua prevenzione, il reato di “Corruzione tra privati” è stato trattato nella Parte Speciale I – Reati contro la Pubblica Amministrazione e reato di “corruzione tra privati” del presente Modello. 72 nell’ambito delle quali potrebbero astrattamente essere commessi i reati di “Corruzione tra privati”, si rinvia alla Parte Speciale I – Reati contro la Pubblica Amministrazione e reato di “corruzione tra privati”25 del presente Modello. Si riportano di seguito i protocolli che definiscono i principi di controllo e i principi di comportamento cui attenersi nella gestione delle suddette attività sensibili e che si completano con la normativa aziendale che ne regolamenta la relativa operatività. Protocollo per la gestione dei rapporti con il Collegio Sindacale e la Società di Revisione Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione dei rapporti con il Collegio Sindacale e la Società di Revisione in occasione di richieste o verifiche svolte in ottemperanza alle prescrizioni di legge. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe presentare potenzialmente occasioni per la commissione del reato di “impedito controllo”. A mero titolo esemplificativo, il reato di “impedito controllo” potrebbe essere commesso mediante l’esibizione di documenti e dati falsi o alterati ovvero l’occultamento di documenti e/o l’esibizione parziale, inducendo in errore di valutazione il Collegio Sindacale, al fine nascondere fatti aziendali rilevanti ovvero evitare qualsiasi tipo di rilievo. Limitatamente alla gestione dei rapporti con la Società di Revisione potrebbe sussistere anche il rischio di commissione del reato di “corruzione tra privati”, i cui principi di controllo e comportamento sono trattati nel presente protocollo, in considerazione della specificità dell’attività sensibile in esame. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione delle attività in oggetto. Le regole operative per la gestione delle attività sono inoltre disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo e dalla specifica normativa esterna in materia. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • indirizzo di tutte le richieste dei revisori esterni e/o del Collegio Sindacale al responsabile dell’unità organizzativa interessata dall’attività di controllo; • evasione tempestiva e completa, da parte delle funzioni competenti, delle richieste avanzate dal Collegio Sindacale e dalla Società di Revisione nell’espletamento delle proprie attività di verifica e controllo; • verifica, da parte del responsabile di riferimento comprovata della firma dello stesso sulla documentazione prodotta, in merito all’operato degli addetti, al fine di assicurare la corretta e tempestiva collaborazione con gli organi di controllo. 25 I principi di controllo e di comportamento relativi alla prevenzione della commissione del reato di “corruzione tra privati” sono disciplinati nella Parte Speciale I, ad eccezione, di quelli relativi alla Società di Revisione. 73 Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella gestione dei rapporti con il Collegio Sindacale e la Società di Revisione, sono tenuti alla massima correttezza, diligenza, professionalità, trasparenza, collaborazione, disponibilità e al pieno rispetto del ruolo istituzionale degli stessi, dando puntuale e sollecita esecuzione alle prescrizioni e agli eventuali adempimenti richiesti nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, devono: • improntare i rapporti con il Collegio Sindacale e la Società di Revisione alla massima collaborazione, correttezza e trasparenza nel pieno rispetto del ruolo da essi rivestito, impegnandosi a dare sollecita esecuzione alle loro disposizioni non ostacolando in alcun modo le attività di controllo; • predisporre la relativa documentazione con la massima diligenza e professionalità, in modo da fornire informazioni chiare, accurate, complete, fedeli e veritiere; tutto ciò evitando situazioni di conflitto d’interesse. L’addetto che produce la richiamata documentazione deve apporre la propria sigla sulla stessa a comprova dell’accuratezza, completezza e fedeltà dei contenuti della stessa; • mantenere traccia della documentazione richiesta dal Collegio Sindacale e dalla Società di Revisione e di quella consegnata; • garantire la completa tracciabilità dell’iter decisionale e autorizzativo e delle attività di controllo svolte nell’ambito delle attività di relativa competenza; • promuovere all’interno della struttura aziendale la cultura del controllo. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo, e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • occultare documenti e informazioni richiesti dal Collegio Sindacale o dalla Società di Revisione; • fornire documenti e informazioni incompleti e/o fuorvianti; • tenere una condotta ingannevole che possa indurre il Collegio Sindacale o la Società di Revisione in errore di valutazione tecnico-economica della documentazione presentata; • promettere versare/offrire somme di denaro non dovute, doni o gratuite prestazioni (al di fuori dalle prassi dei regali di cortesia di modico valore) o accordare vantaggi o altre utilità di qualsiasi natura - direttamente o indirettamente, per sé o per altri - a favore di esponenti apicali o di persone a loro subordinate appartenenti alla Società di Revisione, al fine di favorirne indebitamente gli interessi, oppure minacciarli di un danno ingiusto per le medesime motivazioni. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione delle operazioni societarie e degli adempimenti relativi al funzionamento degli Organi Societari Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione degli adempimenti relativi al funzionamento degli Organi Sociali (Assemblea dei Soci, 74 Consiglio di Amministrazione e Collegio Sindacale), nonché nella gestione delle operazioni societarie e delle situazioni di conflitto di interesse degli Amministratori. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe presentare potenzialmente occasioni per la commissione dei reati di “impedito controllo”, “indebita restituzione dei conferimenti”, “illegale ripartizione di utili e riserve”, “illecite operazioni sulle azioni o quote sociali o della società controllante”, “operazioni in pregiudizio dei creditori”, “formazione fittizia del capitale” e “illecita influenza sull’assemblea”, nonché del reato di “omessa comunicazione del conflitto di interessi”. A mero titolo esemplificativo e non esaustivo, il reato di “illecita influenza sull’assemblea” potrebbe potenzialmente configurarsi nel caso di simulazione o fraudolenta predisposizione di atti da sottoporre all’approvazione dell’assemblea, al fine di ottenere il consenso della maggioranza dei soci. I reati di “omessa comunicazione del conflitto di interessi” o “operazione con parte collegata”, invece, potrebbero potenzialmente configurarsi nel caso di mancata notizia agli altri Amministratori e al Collegio Sindacale degli interessi che, per conto proprio o di terzi, l’Amministratore o il Sindaco o il Socio rilevante abbiano in una o più operazioni della Banca ovvero nel caso di mancata notizia agli altri Amministratori e Sindaci degli interessi che, per conto proprio o di terzi, il Direttore Generale abbia in una o più operazioni della Banca. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente, e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione delle attività in oggetto. Le regole operative per la gestione delle attività sono, inoltre, disciplinate nell’ambito della normativa interna, sviluppata e aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo e dalla specifica normativa esterna in materia. In attuazione di quanto previsto dalle Nuove Disposizioni di Vigilanza Prudenziali per le Banche e dalle disposizioni di legge e amministrative, sono state adottate misure volte ad assicurare la trasparenza e la correttezza sostanziale e procedurale delle operazioni poste in essere dalla Banca con i propri esponenti aziendali e soci rilevanti. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • attribuzione agli Organi Sociali dei più ampi poteri, al fine di compiere tutti gli atti di ordinaria e straordinaria amministrazione per il conseguimento dell’oggetto sociale, conformemente alle disposizioni normative e regolamentari vigenti, nonché allo Statuto; • presenza di apposita documentazione organizzativa interna che disciplini la gestione degli adempimenti relativi al funzionamento degli Organi Sociali e definisca i ruoli e le responsabilità attribuiti agli stessi; • verifica, da parte del responsabile della funzione competente comprovata della firma dello stesso sulla documentazione prodotta, della documentazione predisposta e/o fornita dalle altre funzioni aziendali, propedeutica allo svolgimento delle adunanze degli Organi Sociali; • definizione delle modalità di censimento dei soggetti che, potenzialmente, possono effettuare operazioni in conflitto d’interesse con la Banca; • verifica periodica della Banca circa l’identificazione da parte degli esponenti aziendali delle Parti Collegate e Soggetti Connessi; • definizione dell’iter istruttorio e deliberativo delle operazioni con Parti Collegate con riferimento alle diverse discipline emanate in materia. 75 Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella gestione delle operazioni societarie e degli adempimenti relativi al funzionamento degli Organi sociali, sono tenuti alla massima diligenza, professionalità, trasparenza, collaborazione, disponibilità e al pieno rispetto del ruolo istituzionale degli stessi, dando puntuale e sollecita esecuzione alle prescrizioni e agli eventuali adempimenti richiesti nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, i Destinatari devono assicurare il regolare funzionamento della Banca e degli Organi Sociali, garantendo e agevolando ogni forma di controllo interno sulla gestione sociale previsto dalla legge, nonché la libera e corretta formazione della volontà assembleare. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo, e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • porre in essere azioni finalizzate a ledere gli interessi di soci e creditori attraverso azioni mirate e fraudolente; • omettere di comunicare, in presenza di operazioni in conflitto di interessi, l’esistenza del conflitto stesso; • restituire conferimenti ai soci o liberare gli stessi dall’obbligo di eseguirli, al di fuori dei casi di riduzione del capitale sociale previsti dalla legge; • ripartire utili o acconti sugli utili non effettivamente conseguiti o destinati per legge a riserva, nonché ripartire riserve che non possono essere distribuite; • acquistare o sottoscrivere azioni della Banca fuori dai casi previsti dalla legge, con lesione all’integrità del capitale sociale o delle riserve non distribuibili per legge; • procedere in ogni modo alla formazione o ad aumenti fittizi del capitale sociale; • ripartire i beni sociali tra i soci - in fase di liquidazione - prima del pagamento dei creditori sociali o dell’accantonamento delle somme necessarie per soddisfarli; • porre in essere, in occasione di assemblee, atti simulati o fraudolenti finalizzati ad alterare il regolare procedimento di formazione della volontà assembleare. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione della contabilità e per la predisposizione del bilancio Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti nella gestione della contabilità e nella predisposizione dei documenti che contengono comunicazioni ai soci e/o al mercato relative alla situazione economica, patrimoniale e finanziaria della Banca (bilancio di esercizio, relazione sulla gestione, reporting package, etc.). Ai sensi del D.Lgs. n. 231/2001, le attività inerenti alla gestione della contabilità e alla predisposizione dell’informativa relativa alla situazione economica, patrimoniale e finanziaria della Banca potrebbero presentare potenzialmente profili di rischio di commissione dei reati di “false comunicazioni sociali” e “false comunicazioni sociali in danno della società, dei soci o dei creditori”. 76 I reati di “false comunicazioni sociali” e di “false comunicazioni sociali in danno della società, dei soci e dei creditori” potrebbero potenzialmente configurarsi, a titolo esemplificativo e non esaustivo, nel caso di rappresentazione di dati falsi o non corretti nei sistemi di contabilità che possano comportare una rappresentazione non veritiera della situazione economica, patrimoniale e finanziaria della Banca. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nell’esecuzione delle attività in oggetto. Le regole operative per la gestione delle attività sono inoltre disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo e nella specifica normativa esterna in materia. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • attribuzione di specifiche responsabilità in relazione allo svolgimento dei processi che contribuiscono alla produzione delle voci contabili e/o delle attività valutative ad essa demandate; • segregazione dei compiti nella gestione delle fasi del processo di predisposizione dell’informativa relativa alla situazione economica, patrimoniale e finanziaria della Banca; è previsto il coinvolgimento di distinte funzioni in base a quanto riportato nella normativa interna definita in materia; • svolgimento, da parte della funzione competente, di periodici controlli in merito alla corretta alimentazione del sistema contabile della Banca; • svolgimento, da parte della funzione competente, di un controllo quotidiano sulle poste transitorie al fine di verificarne l’anzianità e la loro chiusura contabile; • archiviazione della documentazione di supporto alla stesura del bilancio presso la funzione deputata alla sua gestione. Principi di comportamento I Destinatari del Modello, a qualsiasi titolo coinvolti nelle attività inerenti alla gestione della contabilità e alla predisposizione delle comunicazioni in merito alla situazione economico e patrimoniale della Banca (bilancio di esercizio, relazione sulla gestione, reporting package, etc.) sono tenute ad osservare i principi esposti nel presente protocollo, le previsioni di legge esistenti in materia, le norme contenute nelle procedure che disciplinano le relative attività, nonché le previsioni del Codice Etico della Banca. In particolare, i Destinatari sono tenuti a: • improntare le relazioni instaurate con interlocutori esterni ai principi di integrità, correttezza e professionalità; • tenere un comportamento corretto, trasparente e collaborativo, nel rispetto delle norme di legge e delle procedure aziendali interne, in tutte le attività finalizzate alla formazione del bilancio e delle altre comunicazioni sociali, al fine di fornire ai soci ed ai terzi un’informazione veritiera e corretta sulla situazione economica, patrimoniale e finanziaria della Banca; • comportarsi secondo i principi di onestà e integrità, nel rispetto delle leggi vigenti. 77 In ogni caso, è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e, più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • porre in essere azioni finalizzate a fornire informazioni fuorvianti con riferimento alla corretta rappresentazione della situazione economica, patrimoniale e finanziaria della Banca; • omettere dati ed informazioni imposti dalla legge sulla situazione economica, patrimoniale e finanziaria della Banca; • rappresentare o trasmettere per l'elaborazione e la rappresentazione in bilanci, relazioni e prospetti o altre comunicazioni sociali, dati falsi, lacunosi o, comunque, non rispondenti alla realtà, sulla situazione economica, patrimoniale e finanziaria della Banca; I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. Protocollo per la gestione dei rapporti con le Autorità di Vigilanza Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione dei rapporti con le Autorità di Vigilanza in occasione di visite ispettive, di adempimenti e di comunicazioni, previsti dalla normativa di riferimento. Ai sensi del D.Lgs. n. 231/2001, il processo in oggetto potrebbe presentare potenzialmente occasioni per la commissione dei reati di “corruzione”, “induzione indebita a dare o promettere utilità” e “ostacolo all’esercizio delle funzioni delle Autorità Pubbliche di Vigilanza”. Come già menzionato nel documento, si ricorda che la presente Parte Speciale disciplina i principi di controllo e di comportamento specifici per la prevenzione della fattispecie di reato “ostacolo all’esercizio delle Autorità di Vigilanza”, di cui all’art. 25-ter del D.Lgs. n. 231/2001. Per quanto riguarda i principi per la prevenzione dei reati di “corruzione” e di “induzione indebita a dare o promettere utilità” si rimanda alla Parte Speciale I – Reati contro la Pubblica Amministrazione e reato di “Corruzione tra privati”. Pertanto, con riferimento al reato di “ostacolo all’esercizio delle funzioni delle Autorità Pubbliche di Vigilanza”, a mero titolo esemplificativo, vi è potenziale rischio di commissione dello stesso nell’ipotesi in cui gli amministratori, i direttori generali, i dirigenti preposti alla redazione dei documenti contabili societari, i sindaci, al fine di ostacolare l'esercizio delle funzioni di vigilanza, espongano fatti materiali non rispondenti al vero, ancorché oggetto di valutazioni, sulla situazione economica, patrimoniale o finanziaria dei sottoposti alla vigilanza ovvero, allo stesso fine, occultino con altri mezzi fraudolenti, in tutto o in parte fatti che avrebbero dovuto comunicare, concernenti la situazione medesima o nel caso in cui essi omettano le comunicazioni dovute alle predette autorità. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nell’esecuzione delle attività in oggetto. Le regole operative per la gestione delle attività sono inoltre disciplinate nell’ambito della normativa interna, sviluppata ed aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo e nella specifica normativa esterna in materia. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: 78 • protocollazione della corrispondenza intrattenuta con le Autorità di Vigilanza e archiviazione a cura del responsabile competente; • consegna immediata di tutte le richieste provenienti dalle Autorità di Vigilanza alla funzione di competenza, che si adopera affinché le stesse siano evase con sollecitudine e indirizzamento delle stesse per conoscenza al Direttore Generale, al Presidente del Consiglio di amministrazione, al Presidente del Collegio Sindacale, al Responsabile della funzione Internal Audit e al Responsabile della funzione Compliance; • collaborazione attiva e tempestiva con le Autorità di Vigilanza, fornendo puntualmente e in modo esaustivo, veritiero e corretto la documentazione e le informazioni richieste; • verifica periodica da parte del Responsabile competente dell’esecuzione degli adempimenti periodici di informativa verso le Autorità di Vigilanza con apposizione della propria firma ad attestazione dell’avvenuto controllo; • collaborazione attiva e tempestiva con le Autorità di Vigilanza nel corso delle ispezioni on site con tempestiva informativa degli esiti degli eventuali colloqui avuti dai diversi dipendenti dell’azienda con il corpo ispettivo al Direttore Generale e al Responsabile dell’Internal audit. Quest’ultimo è tenuto ad informare tempestivamente il Presidente del Consiglio di amministrazione e il Presidente del Collegio Sindacale dell’emersione di problematiche emerse nel corso dei colloqui e a verificare di concerto con il Direttore Generale la documentazione fornita ai rappresentanti delle Autorità di Vigilanza; • verifica a cura dei Responsabili delle diverse unità operative, dell’Internal Audit e del Direttore Generale della correttezza, veridicità e esaustività delle informazioni indirizzate alle Autorità di Vigilanza in risposta a verbali ispettivi consegnati dalle stesse all’azienda. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle suddette attività sensibili sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, i Destinatari sono tenuti a: • instaurare con le predette Autorità rapporti improntati ai principi di integrità, correttezza e professionalità e ottemperare tempestivamente ad ogni richiesta proveniente dalle stesse, fornendo piena collaborazione ed evitando comportamenti ostruzionistici; • osservare la normativa specialistica vigente e le disposizioni emanate dalle Autorità di Vigilanza; • gestire gli incontri con i funzionari delle Autorità nell’ambito delle ispezioni effettuate presso la Banca alla presenza di almeno due soggetti della stessa, fatte salve le situazioni in cui i funzionari richiedano colloqui diretti con personale specificamente individuato. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • effettuare registrazioni false e occultare la relativa documentazione; • effettuare, senza la dovuta chiarezza, completezza e tempestività, nei confronti delle Autorità di Vigilanza tutte le comunicazioni, periodiche e non, previste dalla legge e dalla ulteriore normativa di settore, nonché la trasmissione dei dati e documenti previsti dalle norme in vigore e/o specificamente richiesti dalle suddette Autorità; • porre in essere qualsiasi comportamento che sia di ostacolo all’esercizio delle funzioni da parte delle Autorità di Vigilanza, anche in sede di ispezione, quali a titolo esemplificativo, comportamenti ostruzionistici o di mancata collaborazione, ritardi nelle comunicazioni o 79 nella messa a disposizione di documenti. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. 80 PARTE SPECIALE IV - REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO, BENI O UTILITÀ DI PROVENIENZA ILLECITA, DELITTI CON FINALITÀ DI TERRORISMO O DI EVERSIONE DELL’ORDINE DEMOCRATICO, DELITTI DI CRIMINALITÀ ORGANIZZATA E REATI TRANSAZIONALI Premessa La presente Parte Speciale è volta a presidiare il rischio di commissione dei “reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita”, dei “delitti con finalità di terrorismo o di eversione dell’ordine democratico”, dei “delitti di criminalità organizzata” e dei “reati transnazionali”, di cui rispettivamente agli artt. 25-octies, 25-quater, 24-ter del D.Lgs. n. 231/2001 e all’art. 10 L. 146/2006, integrando la normativa interna e i principi generali di comportamento già istituiti dalla Banca. Il D.Lgs. n. 231/2007 (c.d. Decreto Antiriciclaggio) ha introdotto nel D.Lgs. n. 231/2001 l’art. 25octies, estendendo la responsabilità amministrativa dell’ente ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita. Il Decreto Antiriciclaggio e il D.Lgs. n. 109/2007, in attuazione di disposizioni comunitarie (Direttiva 2005/60/CE, c.d. “Terza Direttiva Antiriciclaggio”), hanno profondamente riordinato la normativa in tema di prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di contrasto al finanziamento del terrorismo, prevedendo specifici adempimenti a carico degli intermediari finanziari in genere (adeguata verifica della clientela; registrazione e conservazione delle operazioni; segnalazione di operazioni sospette; comunicazioni delle violazioni dei divieti in tema di contante e titoli al portatore; comunicazione, da parte degli Organi di controllo degli intermediari, delle eventuali infrazioni riscontrate). L’art. 25-quater del Decreto dispone la punibilità dell’ente, ove ne sussistano i presupposti, nel caso in cui siano commessi, nell’interesse o a vantaggio dell’ente stesso, delitti aventi finalità di terrorismo o di eversione dell’ordine democratico, previsti dal codice penale, dalle leggi speciali o in violazione della Convenzione internazionale per la repressione del finanziamento del terrorismo, sottoscritta a New York il 9.12.1999. L’art. 24-ter, inoltre, è stato inserito nel D.Lgs. n. 231/2001 dalla Legge 15 luglio 2009, n. 94 "Disposizioni in materia di sicurezza pubblica”. Infine, l’art. 10 della Legge 16 marzo 2006 n. 146, con la quale è stata ratificata e data esecuzione alla Convenzione e ai Protocolli aggiuntivi delle Nazioni Unite contro il crimine organizzato transnazionale, adottati dall’Assemblea Generale il 15 Novembre 2000 ed il 31 maggio 2001, ha ulteriormente ampliato il numero di reati rilevanti al compimento dei quali può derivare l’applicazione delle sanzioni amministrative a carico dell’ente coinvolto, ove sussista il carattere di “transnazionalità” della condotta criminosa. Le fattispecie di reato Si riporta di seguito l’elenco delle fattispecie di reato previste dagli artt. 25-octies, 25-quater e 24ter del Decreto, nonché dalla Legge 16 marzo 2006, n. 146, rimandando, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. Art. 25-octies D.Lgs. 231/2001 - Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita • Ricettazione (art. 648 c.p.); • Riciclaggio (art. 648-bis c.p.); 81 • Impiego di denaro, beni o utilità di provenienza illecita (art. 648-ter c.p.). Art. 25-quater D.Lgs. 231/2001 - Delitti con finalità di terrorismo o di eversione dell'ordine democratico • Associazioni con finalità di terrorismo anche internazionale o di eversione dell’ordine democratico (art. 270-bis c.p.); • Delitto di finanziamento del terrorismo derivanti da Convenzioni Internazionali (art. 2 della convenzione di New York del 9 dicembre 1999). Art. 24-ter D.Lgs. 231/2001 - Delitti di criminalità organizzata • Associazioni per delinquere (art. 416 c.p.); • Associazione di tipo mafioso (art. 416-bis c.p.); • Scambio elettorale politico-mafioso (Art. 416-ter c.p.); • Sequestro di persona a scopo di rapina o di estorsione (art. 630 c.p.); • Associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope (art. 74 DPR 309/90); • Illegale fabbricazione, introduzione nello Stato, messa in vendita, cessione, detenzione e porto in luogo pubblico o aperto al pubblico di armi da guerra o tipo guerra o parti di esse, di esplosivi, di armi clandestine nonché di più armi comuni da sparo (art. 407, co. 2, lett. a), numero 5), c.p.). Legge n. 146/2006 – Reati Transnazionali • Associazione per delinquere (Art. 416 c.p.); • Associazione di tipo mafioso (Art. 416 bis c.p.); • Associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope (Art. 74 D.P.R. 9.10.1990 n. 309); • Associazione per delinquere finalizzata al contrabbando di tabacchi lavorati esteri (Art. 291quater D.P.R. 23.1.1973 n. 43); • Reati in tema di immigrazioni clandestine (art. 12, commi 3, 3-bis, 3-ter e 5 del D. Lgs. n. 286/1998); • Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria (art. 377-bis c.p.); • Favoreggiamento personale (art. 378 c.p.). Le attività sensibili Le attività sensibili nelle quali è maggiore il rischio che siano astrattamente commessi i “reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita”, i “delitti con finalità di terrorismo o di eversione dell’ordine democratico”, i “delitti di criminalità organizzata” e i “reati transnazionali” sono le seguenti: • Gestione dei rapporti contrattuali con la clientela, inclusa l’erogazione creditizia, e con le terze parti (intermediari negoziatori, broker, market maker); • Gestione del processo di selezione e assunzione del personale; • Gestione di beneficenze e sponsorizzazioni; • Gestione delle operazioni di cassa disposte dalla clientela; 82 • Gestione delle attività previste dalla normativa antiriciclaggio in tema di segnalazioni di operazioni sospette; • Gestione dei contenziosi e degli accordi transattivi; • Esecuzione di servizi e attività bancarie, finanziarie e/o di investimento come definite nel D.Lgs. 385/1993 (TUB) e nel D.Lgs. 58/1998 (TUF), e relative norme di attuazione; • Gestione di investimenti diversi dai servizi bancari e finanziari (quali ad es. acquisizioni di partecipazioni o aziende, accordi strategici, altre operazioni di finanza straordinaria); • Negoziazione, stipula ed esecuzione di contratti di mandato, intermediazione, consulenza, promozione finanziaria e brokeraggio; • Gestione del processo di selezione dei partner commerciali/finanziari e gestione dei relativi rapporti. Si evidenzia, inoltre, che i profili di rischio ex D.Lgs. n. 231/2001, inerenti alla commissione dei “reati di criminalità organizzata” (art. 24-ter D.Lgs. n. 231/2001), sono integrabili ogni volta che tre persone diano vita ad un gruppo che si propone di commettere una serie non precisata di illeciti; quindi, ciascuna attività aziendale sensibile – che può essere commessa anche solo in parte nel territorio italiano e su base sistematica da parte di un'associazione composta da tre o più persone – a cui partecipi almeno un dipendente della Banca potrebbe integrare una fattispecie di reato rilevante per la stessa e perciò rilevante per l’applicazione dei principi di controllo contenuti nella presente Parte Speciale. A titolo esemplificativo e non esaustivo, i sopraindicati reati potrebbero astrattamente configurarsi nell’ambito della realtà della Banca, mediante l’instaurazione di rapporti con soggetti implicati in attività illecite di cui ai suddetti reati. Si riportano di seguito i protocolli che definiscono i principi di controllo e i principi di comportamento cui attenersi nella gestione delle suddette attività sensibili e che si completano con la normativa di dettaglio che regolamenta le attività medesime. Con riferimento alle suddette attività sensibili si rimanda, inoltre, al “Protocollo per la gestione dei rapporti contrattuali con la clientela e con le terze parti (intermediari negoziatori, broker, market maker)”, al “Protocollo per la gestione del processo di selezione e assunzione del personale”, al “Protocollo per la gestione estione dei contenziosi e degli accordi transattivi” e al “Protocollo per la gestione estione di beneficenze e sponsorizzazioni”, di cui alla Parte Speciale I, per la descrizione dei principi di controllo e di comportamento a mitigazione dei rischi di commissione dei reati di “corruzione“, “induzione indebita a dare o promettere utilità”, “corruzione tra privati” e “induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria” quali ulteriori presidi avversi alla commissione dei reati di cui alla presente Parte Speciale. Per quanto concerne l’attività sensibile “Gestione delle operazioni di cassa disposte dalla clientela”, si rimanda al relativo protocollo, di cui alla Parte Speciale II, per una descrizione dei principi di controllo e di comportamento a mitigazione dei rischi di commissione dei reati di “falsità in monete, in carte di pubblico credito, in valore di bollo e in strumenti o segni di riconoscimento”, quale ulteriore presidio avverso alla commissione dei reati di cui alla presente Parte Speciale. 83 Protocollo per il contrasto ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita e ai delitti con finalità di terrorismo o di eversione dell’ordine democratico Premessa Il presente protocollo si applica ai Destinatari del Modello, inclusi i collaboratori esterni coinvolti a qualsiasi titolo, nelle attività sensibili sopra riportate. Ai sensi del D.Lgs. n. 231/2001, le attività sensibili in oggetto potrebbero presentare astrattamente potenziali occasioni per la commissione dei reati di “ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita” e dei delitti con “finalità di terrorismo o di eversione dell’ordine democratico”. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata e aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. Principi di controllo La Banca adotta un sistema di individuazione e gestione del rischio di riciclaggio e finanziamento del terrorismo conforme a quanto previsto dalle disposizioni normative tempo per tempo vigenti. In particolare, il sistema di controllo a presidio delle suddette attività sensibili si deve basare sui seguenti principi: • individuazione, da parte della normativa interna, dei soggetti e delle funzioni coinvolti nelle attività sensibili in oggetto, nonché definizione dei ruoli e delle responsabilità a ciascuno assegnati, con particolare riferimento agli adempimenti in materia di antiriciclaggio e contrasto al finanziamento del terrorismo; • identificazione, da parte della normativa interna, dei controlli che devono essere svolti da ciascuna funzione coinvolta nelle attività sensibili in oggetto, e delle relative attività di monitoraggio, con particolare riferimento agli adempimenti rilevanti in materia di: identificazione e adeguata verifica della clientela e delle controparti, registrazione delle informazioni e segnalazione dei dati aggregati, individuazione, valutazione e segnalazione di operazioni sospette, limitazioni all’uso del contante e obblighi di formazione; • verifica, all’atto dell’accensione del rapporto, della correttezza e completezza dei dati censiti in anagrafica, nonché in merito alle informazioni acquisite in relazione alla attività economica svolta e alle motivazioni economiche sottostanti al rapporto instaurato; • verifica, all’atto di instaurazione del rapporto e nel continuo, dell’eventuale presenza del nominativo nelle versioni aggiornate delle liste o elenchi emanati al fine di contrastare il finanziamento al terrorismo; • svolgimento di un controllo costante nel corso del rapporto continuativo sia nei confronti della clientela sia della controparte; • previsione che tutti i rapporti continuativi con la clientela e le operazioni che comportano la trasmissione di mezzi di pagamento, siano processati con modalità che consentano la registrazione procedurale nell’AUI con dati corretti e completi; • presenza di adeguati strumenti di controllo utilizzati per l’individuazione di eventuali anomalie nelle registrazioni; 84 • attività di controllo periodiche da parte della funzione preposta in merito alla corretta registrazione dei dati per le segnalazioni dei dati aggregati all’UIF al fine di individuare eventuali anomalie riconducibili alle registrazioni sottostanti; • monitoraggio e valutazione degli indicatori di anomalia; • analisi, da parte della funzione competente, circa le richieste di informazioni su rapporti continuativi in essere e/o estinti provenienti dalle Autorità Giudiziaria concernenti indagini che richiamano al D.Lgs. n. 231/2007; • valutazione, da parte del Delegato ex art. 42 del D.Lgs. 231/2007, delle operazioni anomale pervenutegli, tenendo conto dell'insieme degli elementi a sua disposizione; • previsione di controlli periodici, al fine di inibire le operazioni di incasso in contanti per importi superiori o uguali al limite previsto dalla normativa esterna in vigore; • presenza di specifici e periodici programmi di formazione per il personale e i collaboratori sui profili di rischio legati alla normativa antiriciclaggio e di contrasto al finanziamento del terrorismo; • monitoraggio, da parte delle funzioni competenti, circa l’assolvimento degli obblighi formativi da parte del personale. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle suddette attività sensibili, sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, devono: • rispettare gli adempimenti previsti dalla normativa antiriciclaggio primaria e secondaria protempore vigente; • promuovere all’interno della struttura una cultura aziendale rivolta ad evitare qualsiasi implicazione in operazioni idonee, anche potenzialmente, a fornire il riciclaggio di denaro, beni o altra utilità proveniente da attività illecite o criminali; • seguire scrupolosamente la normativa interna in materia di antiriciclaggio con particolare riferimento alla valutazione della congruenza, ragionevolezza e affidabilità dell’operato del cliente rispetto al profilo di rischio riciclaggio assegnato dalla Banca al medesimo; • non comunicare alla clientela informazioni connesse al processo di valutazione e autorizzazione in materia di antiriciclaggio; • instaurare relazioni con le pubbliche amministrazioni, loro dipendenti e familiari basate su principi di integrità, correttezza e professionalità; • effettuare una “collaborazione attiva” in termini di monitoraggio delle operazioni poste in essere dalla clientela che possano destare sospetti sulla loro reale origine, natura e motivazione; • rispettare l’obbligo di censimento dei rapporti continuativi in Archivio Unico Informatico (AUI) e delle transazioni da chiunque effettuate per importi superiori alla soglia definita dalla normativa per tempo vigente in materia di adempimento dell’obbligo di registrazione in AUI; • effettuare, durante l’operatività in oggetto (disposizioni di bonifico, movimentazione del c/c, negoziazione di assegni), accurati controlli, sia formali sia di merito, al fine di individuare qualsiasi presenza di irregolarità o anomalie nella gestione del contante e dei valori di bollo; • applicare iter autorizzativi più stringenti e richiedere documentazione a supporto della 85 provenienza lecita dei fondi, ove previsto dalla normativa interna. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • instaurare rapporti continuativi, o mantenere in essere quelli preesistenti, ed eseguire operazioni quando non è possibile attuare gli obblighi di adeguata verifica nei confronti del cliente, ad esempio per il rifiuto del cliente a fornire le informazioni richieste; • eseguire le operazioni per le quali si sospetta vi sia una relazione con il riciclaggio o con il finanziamento del terrorismo; • ricevere od occultare denaro o cose provenienti da un qualsiasi delitto o compiere qualunque attività che ne agevoli l’acquisto, la ricezione o l’occultamento; • sostituire o trasferire denaro, beni o altre utilità provenienti da illeciti, ovvero compiere in relazione ad essi altre operazioni che possano ostacolare l'identificazione della loro provenienza delittuosa; • partecipare ad uno degli atti di cui ai punti precedenti, associarsi per commetterli, tentare di perpetrarli, aiutare, istigare o consigliare qualcuno a commetterli o agevolarne l'esecuzione. Protocollo per il contrasto ai delitti di criminalità organizzata e ai reati transazionali Premessa Il presente protocollo si applica ai Destinatari del Modello, inclusi i collaboratori esterni coinvolti a qualsiasi titolo, nelle attività sensibili sopra riportate. Ai sensi del D.Lgs. n. 231/2001, le attività sensibili individuate potrebbero presentare astrattamente potenziali occasioni per la commissione dei delitti di “criminalità organizzata” e dei reati “transnazionali”. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata e aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. I rischi che siano posti in essere i reati di criminalità organizzata e i reati transnazionali nell’ambito dell’attività bancaria riguardano principalmente le attività di instaurazione dei rapporti con la clientela, di trasferimento di fondi, l’operatività di “sportello” e, in particolare, il processo di erogazione del credito. Tali attività ai fini della prevenzione dei reati in questione si devono basare sul fondamentale principio dell’adeguata conoscenza della clientela. Tale principio rappresenta uno dei requisiti stabiliti dal D. Lgs. n. 231/2007 concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. Al fine della prevenzione dei delitti con finalità associativa, il rischio maggiore è quindi rappresentato dalla “controparte” e, pertanto, la principale attività di prevenzione per questa categoria di reati è rappresentata dalla verifica che la persona fisica o giuridica con la quale la Banca intrattiene rapporti commerciali sia in possesso di adeguati requisiti di professionalità e di onorabilità. Inoltre, per quanto concerne il reato di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria, si individua quale attività aziendale sensibile quella inerente alla gestione dei contenziosi e degli accordi transattivi. Si precisa, infatti, che tale reato 86 può dar luogo alla responsabilità dell’ente anche se commesso senza le caratteristiche della transnazionalità, essendo richiamato, oltre che dalla Legge n.146/2006, anche dall’art. 25-decies del Decreto. Alla luce della struttura e della natura delle condotte punite dalle fattispecie criminose qui illustrate, si ritiene che i rischi di commissione di tali reati trovino copertura, oltre che nei presidi del presente protocollo, anche nei presidi individuati all’interno dei seguenti protocolli: Parte Speciale I • “Protocollo per la gestione dei rapporti contrattuali con la clientela e con le terze parti (intermediari negoziatori, broker, market maker)”; • “Protocollo per la gestione del processo di selezione e assunzione del personale”; • “Protocollo per la gestione dei contenziosi e degli accordi transattivi”; • “Protocollo per la gestione di beneficenze e sponsorizzazioni”; Parte Speciale II • “Protocollo per la gestione dei valori”; Parte Speciale IV • “Protocollo per il contrasto ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita e ai delitti con finalità di terrorismo o di eversione dell’ordine democratico”. Principi di controllo Il sistema di controllo a presidio delle attività sensibili identificate si basa sui seguenti principi: • aggiornamento continuo, da parte dei Destinatari, sulle regole e i presidi vigenti all’interno della Banca, posti a prevenzione dei delitti/reati di cui al presente protocollo; • promozione all’interno della Banca di una cultura aziendale volta ad evitare qualsiasi comportamento che potrebbe, anche potenzialmente, dare causa alla realizzazione dei delitti/reati in oggetto; • instaurazione di relazioni basate su principi di integrità, correttezza e professionalità; • individuazione, da parte della normativa interna, dei soggetti e delle funzioni coinvolti nelle attività sensibili in oggetto, nonché definizione dei ruoli e delle responsabilità a ciascuno assegnati; • utilizzo costante di criteri di selezione del personale volti a garantire che la scelta avvenga in modo trasparente, sulla base dei seguenti criteri: - professionalità adeguata rispetto all'incarico o alle mansioni da assegnare; - parità di trattamento; - affidabilità rispetto al rischio di infiltrazione criminale. A tale ultimo riguardo, la Banca assicura che vengano prodotti da ciascun Dipendente prima dell'assunzione i seguenti documenti: - casellario giudiziario; - certificato dei carichi pendenti, non anteriore a tre mesi. • previsione di adeguate procedure interne che disciplinino la gestione delle operazioni di 87 cassa disposte dalla clientela e relativa attribuzione di appositi poteri alla funzione competente per l’esecuzione delle operazioni in oggetto; • svolgimento di opportuni controlli, nell’ambito dell’attività di autorizzazione o esecuzione di servizi bancari e altri servizi finanziari, prima di procedere alla prestazione del servizio, attraverso il sistema di controllo anagrafico della clientela e la consultazione automatica dei nominativi inseriti nelle liste di riferimento predisposte da organismi ufficiali; • previsione di idonee attività di verifica finalizzate all’ottenimento di un’adeguata conoscenza dei consulenti, degli intermediari, dei promotori finanziari e dei broker a supporto della prestazione dei servizi bancari; tali attività di verifica dovrebbero riguardare, anche mediante attestazione degli interessati, la sussistenza dei requisiti di onorabilità previsti per i partecipanti al capitale sociale delle banche e l’assenza di situazioni di conflitto di interesse in capo ad essi stessi. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nelle attività sensibili identificate, sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca. In particolare, devono: • fornire la massima collaborazione nell’attuazione degli accordi, per la prevenzione delle infiltrazioni criminali, previsti da specifiche disposizioni di legge; • nella scelta e nella successiva gestione del rapporto contrattuale con i Fornitori, la Banca si impegna ad attuare efficacemente le procedure aziendali volte a garantire che il processo di selezione avvenga nel rispetto dei criteri di trasparenza, pari opportunità di accesso, professionalità, affidabilità ed economicità, fermo restando la prevalenza dei requisiti di legalità rispetto a tutti gli altri. I Destinatari, inoltre, devono astenersi da: • intrattenere relazioni, dirette o indirette, con persone delle quali sia conosciuta, o solamente sospettata, l’appartenenza a organizzazioni criminali o che comunque operino al di fuori della legalità; • utilizzare, anche occasionalmente, la Banca o una sua funzione allo scopo di consentire o agevolare la commissione di delitti di criminalità organizzata e/o di reati transnazionali; • mettere a disposizione di clientela appartenente o comunque contigua alla malavita organizzata servizi, risorse finanziarie o disponibilità economiche che risultino strumentali al perseguimento di attività illecite. 88 PARTE SPECIALE V - REATI E ILLECITI AMMINISTRATIVI DI ABUSO DI MERCATO Premessa La Legge n. 62/2005 ha introdotto, agli artt. 184 e 185 del D.Lgs. n. 58/1998 (Testo Unico delle disposizioni in materia di intermediazione finanziaria, di seguito anche “T.U.F.”), i reati di “abuso di informazioni privilegiate” e di “manipolazione del mercato”, oltre a due corrispondenti fattispecie di illecito amministrativo, disciplinate agli artt. 187-bis e 187-ter del T.U.F.. La responsabilità amministrativa dell’ente a fronte delle fattispecie delittuose, di cui agli artt. 184 e 185 del T.U.F., è sancita dall’art. 25-sexies del D.Lgs. n. 231/2001. Si rileva altresì che tra i reati societari che possono dar luogo alla responsabilità amministrativa degli enti vi è anche il reato di aggiotaggio (cfr. Parte Speciale III) riconducibile, al tempo stesso, alla materia degli abusi di mercato in senso lato riferiti, in particolare, agli strumenti finanziari non quotati o per i quali non é stata presentata una richiesta di ammissione alla negoziazione in un mercato regolamentato. A fronte degli illeciti amministrativi di cui agli artt. 187-bis e 187-ter, la responsabilità dell’ente discende dalla previsione contenuta nell’art. 187-quinquies del T.U.F., il quale rimanda ai medesimi principi, condizioni ed esenzioni del Decreto, in quanto compatibili, ad eccezione di quanto concerne la prova secondo cui l’autore dell’illecito ha agito esclusivamente nell’interesse proprio o di un terzo, che grava sempre sulla Banca. Le predette norme mirano a garantire l’integrità, la trasparenza, la correttezza e l’efficienza dei mercati finanziari in ottemperanza al principio per cui tutti gli investitori debbono operare in condizioni di uguaglianza sotto il profilo dell’accesso all’informazione, della conoscenza del meccanismo di fissazione del prezzo e della conoscenza delle origini delle informazioni pubbliche. Le fattispecie di reato Si riportano di seguito i reati e gli illeciti amministrativi previsti rispettivamente dall’art. 25sexies del Decreto e dall’art. 187-quinquies del T.U.F., rimandando, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. Art. 25-sexies D.Lgs. n. 231/2001 – Abusi di mercato • Reato di abuso di informazioni privilegiate (art. 184 del T.U.F. ); • Reato di manipolazione del mercato (art. 185 del T.U.F.). Art. 187-quinquies del T.U.F. • Illecito amministrativo di abuso di informazioni privilegiate (art. 187-bis del T.U.F.); • Illecito amministrativo di manipolazione del mercato (art. 187-ter del T.U.F.). Le attività sensibili Le attività sensibili identificate dal Modello nelle quali è maggiore il rischio che siano posti in essere i reati e gli illeciti amministrativi riconducibili ad abusi di mercato sono le seguenti: • gestione e divulgazione delle informazioni e delle comunicazioni esterne ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato; • gestione delle operazioni di mercato ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato; 89 • gestione delle segnalazioni di operazioni sospette in materia di abusi di mercato. Si riporta di seguito il protocollo che definisce i principi di controllo e i principi di comportamento cui attenersi nella gestione delle suddette attività sensibili e che si completa con la normativa aziendale che ne regolamenta la relativa operatività. Protocollo per la gestione e la divulgazione delle informazioni e per la gestione delle operazioni di mercato ai fini della prevenzione degli illeciti penali e amministrativi in tema di abusi di mercato Premessa Il presente protocollo si applica a tutti i componenti degli Organi Societari e ai Dipendenti della Banca che: • abbiano accesso ad informazioni privilegiate, nell’accezione di cui alla vigente normativa di legge e regolamentare, ovvero che gestiscano le comunicazioni della Banca al mercato, intendendosi con tale espressione qualsiasi diffusione di notizie, dati o informazioni nell’ambito dei rapporti di business, delle attività di marketing o promozionali, dei rapporti con i mezzi di informazione, oltre che le comunicazioni di carattere obbligatorio c.d. price sensitive; • siano coinvolti nella gestione delle operazioni di mercato su strumenti finanziari. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione delle attività in oggetto. Le regole operative per la gestione delle attività sono inoltre disciplinate sia nell’ambito della normativa interna, sviluppata e aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo, sia dalla specifica normativa esterna in materia. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • implementazione di misure procedurali e organizzative per la prevenzione degli illeciti in tema di abusi di mercato; • implementazione di sistemi di sicurezza logica e fisica e di altre procedure rispondenti alle migliori prassi, a garanzia della corretta gestione delle informazioni; • adozione di specifiche procedure per la formazione, l’attuazione e la comunicazione interna ed esterna delle decisioni della Banca e degli eventi che accadono nella sfera di attività della stessa; • separatezza dei ruoli tra chi fornisce, chi approva e chi diffonde le informazioni relative alla Banca destinate a investitori, analisti finanziari, giornalisti o altri rappresentanti dei mezzi di comunicazione di massa; • separatezza organizzativa tra le funzioni che hanno a disposizione informazioni privilegiate e quelle che operano sui mercati sulla base di informazioni di pubblico dominio o che intraprendono attività di gestione di investimenti; • tracciabilità dei processi sia a livello di sistema informativo sia in termini documentali; in particolare, le operazioni di compravendita di strumenti finanziari sono gestite attraverso sistemi applicativi dedicati, nei quali sono mantenuti tutti i dettagli delle transazioni effettuate; 90 • previsione, a salvaguardia della veridicità e completezza delle informazioni, di misure idonee a verificare i contenuti dei prospetti, dei documenti informativi, dei comunicati, del materiale informativo in qualunque forma predisposto, destinati alle Autorità di Vigilanza e di Controllo oppure agli investitori, agli analisti finanziari o ai giornalisti; • previsione di regole che individuano gli adempimenti e i limiti cui sono soggetti, tra gli altri, i componenti degli Organi Societari, i Dipendenti e i collaboratori quando vogliono effettuare operazioni di investimento su strumenti finanziari a titolo personale: dette regole prevedono, unitamente ai divieti generali applicabili a tutti i soggetti predetti, divieti e restrizioni specifiche per i dipendenti e collaboratori che operano in funzioni nelle quali è maggiore la presenza di informazioni privilegiate, nonché obblighi di comunicazione, registrazione e monitoraggio delle operazioni personali consentite; • svolgimento di attività di controllo sulle operazioni di compravendita titoli eseguite sui mercati, attraverso un sistema di controlli differenziato che tenga conto delle diverse tipologie di strumenti finanziari trattati e della specificità del mercato di riferimento; • svolgimento di attività di verifica, da parte della funzione competente, in merito alla qualità del servizio fornito dai soggetti identificati per l’esecuzione degli ordini; in particolare, è prevista la verifica dell’adozione da parte degli stessi di tutte le misure ragionevoli per ottenere la best execution, con riferimento ai fattori di esecuzione e ai criteri definiti; • svolgimento, da parte delle funzioni competenti, di analisi di primo e di secondo livello, finalizzate alla valutazione delle operazioni sospette ed eventualmente all’effettuazione delle opportune segnalazioni. Principi di comportamento Le funzioni della Banca, come pure i singoli Dipendenti e collaboratori, a qualsiasi titolo coinvolti nelle attività di gestione e divulgazione delle informazioni privilegiate e nella gestione delle operazioni di mercato su strumenti finanziari, sono tenuti ad osservare le modalità esposte nel presente protocollo, le disposizioni di legge esistenti in materia, la normativa interna nonché le eventuali previsioni del Codice Etico. In particolare, devono: • assicurare la riservatezza e la protezione delle informazioni acquisite nello svolgimento delle attività assegnate; tali informazioni non possono essere utilizzate, comunicate o divulgate, sia all’interno sia all’esterno della Banca, se non nel rispetto della normativa vigente e delle procedure operative interne; • diffondere informazioni privilegiate all’interno della Banca solo nei riguardi di coloro che abbiano effettiva necessità di conoscerle per motivi attinenti al normale esercizio del lavoro e nel rispetto delle misure di separazione previste, evidenziando la natura riservata delle informazioni; • ispirare le relazioni con i terzi e con i mass media ai principi di trasparenza, di riservatezza e di professionalità; solamente i soggetti espressamente autorizzati possono rilasciare dichiarazioni ai mass media; • tenere conto, nell’avviare relazioni commerciali e nella gestione di quelle già in essere, delle informazioni disponibili, evitando di intrattenere rapporti con soggetti implicati in attività illecite; • prevedere, in caso di legittima comunicazione dell’informazione privilegiata a soggetti esterni alla Banca, clausole contrattuali che vincolino la parte terza alla riservatezza dell’informazione, eventualmente prevedendo l’adozione, da parte di tali soggetti, di idonee misure di protezione dell’informazione ricevuta; 91 In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato o illeciti considerati nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • porre in essere comportamenti che possano favorire fenomeni di insider trading e/o market abuse; • produrre e diffondere studi e ricerche o altre comunicazioni di marketing in violazione delle norme, interne ed esterne, specificamente dettate per tale attività e, in particolare, senza garantire un’informazione chiara, corretta e non fuorviante e senza comunicare nei modi richiesti dalla normativa gli interessi rilevanti e/o i conflitti eventualmente sussistenti; • compiere operazioni che anticipino le operazioni della clientela sugli stessi strumenti, considerandosi a tal fine informazione privilegiata anche l’informazione concernente gli ordini del cliente in attesa di esecuzione; • discutere di informazioni privilegiate in luoghi pubblici o in locali in cui siano presenti estranei o comunque soggetti che non hanno necessità di conoscere tali informazioni; • trasmettere a terzi informazioni sugli ordini o sulle informazioni ricevute dalla clientela; • porre in essere operazioni simulate o altri artifizi concretamente idonei a provocare una sensibile alterazione del prezzo di strumenti finanziari; • compiere operazioni o impartire ordini di compravendita che forniscano o siano idonei a fornire indicazioni false o fuorvianti in merito all’offerta, alla domanda o al prezzo di strumenti finanziari; • compiere operazioni o ordini di compravendita che consentano, anche tramite l’azione di concerto di più persone, di fissare il prezzo di mercato di strumenti finanziari ad un livello anomalo o artificiale; • compiere operazioni od ordini di compravendita che utilizzano artifizi od ogni altro tipo di inganno o di espediente; • utilizzare altri artifizi idonei a fornire indicazioni false o fuorvianti in merito all’offerta, alla domanda o al prezzo di strumenti finanziari. 92 PARTE SPECIALE VI – DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI Premessa La presente Parte Speciale è volta a presidiare il rischio di commissione dei delitti informatici e trattamento illecito dei dati, di cui all’art. 24-bis del D.Lgs. n. 231/2001, integrando la normativa interna e i principi generali di comportamento già istituiti dalla Banca. La Legge 18 marzo 2008, n. 48, ha ratificato la Convenzione del Consiglio d’Europa, stipulata a Budapest il 23 novembre 2001, avente quale obiettivo la promozione della cooperazione internazionale tra gli Stati firmatari al fine di contrastare il proliferare di reati a danno della riservatezza, dell’integrità e della disponibilità di sistemi, reti e dati informatici, specie in considerazione della natura di tali illeciti, che spesso, nelle modalità della loro preparazione o realizzazione, coinvolgono Paesi diversi. La riforma della disciplina della criminalità informatica è stata realizzata sia introducendo nel codice penale nuove fattispecie di reato, sia riformulando alcune norme incriminatrici già esistenti. L’art. 7 di tale Legge ha inoltre aggiunto al D.Lgs. n. 231/2001 l’art. 24-bis, che elenca la serie dei reati informatici che possono dar luogo alla responsabilità amministrativa degli enti. Le fattispecie di reato Si riporta di seguito l’elenco delle fattispecie di reato previste dall’art. 24-bis “Delitti informatici e trattamento illecito di dati” del D.Lgs. n. 231/2001, rimandando, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. Art. 24-bis – Delitti informatici e trattamento illecito di dati • Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); • Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); • Installazione d’apparecchiature per intercettare, impedire od interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.); • Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.); • Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro Ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); • Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); • Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.); • Detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.); • Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); • Falsità nei documenti informatici (art. 491-bis c.p.); • Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.). 93 Le attività sensibili L’attività sensibile nella quale è maggiore il rischio che siano astrattamente commessi i delitti informatici è la seguente: • gestione e utilizzo dei sistemi informativi, degli asset IT e del patrimonio informativo aziendale. Si riporta di seguito il protocollo che definisce i principi di controllo e i principi di comportamento cui attenersi nella gestione della suddetta attività sensibile e che si completa con la normativa aziendale di dettaglio che regolamenta le attività medesime. Protocollo per la gestione e l’utilizzo dei sistemi informativi, degli asset IT e del patrimonio informativo aziendale Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti nei processi aziendali che utilizzano i sistemi informativi e gli asset IT della Banca e trattano i dati del patrimonio informativo aziendale. In particolare, il protocollo si applica alle funzioni: • coinvolte nella gestione e nell’utilizzo dei sistemi informativi che si interconnettono e/o utilizzano software della Pubblica Amministrazione (incluse le Autorità di Vigilanza); • deputate alla realizzazione o gestione di strumenti informatici, tecnologici o di telecomunicazioni; • responsabili di realizzare interventi di tipo organizzativo, normativo e tecnologico per garantire la protezione degli asset IT e del patrimonio informativo della Banca. Ai sensi del D.Lgs. n. 231/2001, l’attività sensibile in oggetto potrebbe presentare astrattamente potenziali occasioni per la commissione dei “delitti informatici e trattamento illecito dei dati”26, nonché del reato di “frode informatica”27. A titolo esemplificativo e non esaustivo, i “delitti informatici” potrebbero potenzialmente configurarsi qualora i Destinatari: • accedano abusivamente ai sistemi aziendali interni, all'intranet di enti concorrenti, pubblici o privati, al fine di acquisire informazioni riservate commerciali o industriali; • modifichino, senza apposita autorizzazione, programmi e applicativi al fine di danneggiare enti concorrenti, pubblici o privati; • introducano o trasmettano dati, informazioni o programmi atti a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento; • falsifichino materialmente o ideologicamente documenti informatici pubblici o privati aventi efficacia probatoria. Si evidenzia che il presente protocollo è volto anche a mitigare i rischi di commissione dei reati di “falsità in strumenti o segni di riconoscimento”28 (cfr. Parte Speciale II). 26 Tutti i reati elencati nel capitolo 1, ad eccezione della “Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies c.p.)”. 27 Previsto dall’art. 640-ter del codice penale e richiamato dall’art. 24 del D.Lgs. n. 231/2001. Si rimanda, per la descrizione del reato, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. 94 Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione dei rapporti in oggetto. Le regole operative per la gestione delle relative attività sono disciplinate nell’ambito della normativa interna, sviluppata e aggiornata a cura delle funzioni competenti, che costituisce parte integrante e sostanziale del presente protocollo. La Banca ha predisposto appositi presidi organizzativi e si è dotata di adeguate soluzioni di sicurezza in conformità alle disposizioni di Vigilanza, al Codice della Privacy, ai provvedimenti dell’Autorità Garante per la Protezione dei dati personali, per controllare e prevenire i rischi in tema di tecnologie dell’informazione, a tutela del proprio patrimonio informativo e dei dati personali della clientela. Principi di controllo Le attività inerenti alla gestione e all’utilizzo dei sistemi informativi e del patrimonio informativo aziendale sono soggette a una costante attività di controllo che si esplica attraverso l’utilizzo di adeguate misure per la protezione delle informazioni, salvaguardando la loro riservatezza, integrità e disponibilità con particolare attenzione al trattamento dei dati personali. Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: • utilizzo del sistema informatico sulla base di modalità che permettano un adeguato riscontro delle password di abilitazione per l’accesso ai sistemi informativi eventualmente posseduti da determinati dipendenti appartenenti a specifiche funzioni; • predisposizione di strumenti informatici che impediscano l’accesso e/o la ricezione del materiale relativo alla pornografia minorile e, in generale, limitino gli accessi a siti internet potenzialmente a rischio di reato; • definizione dell’ambito del corretto e consentito utilizzo, ovvero per fini aziendali, degli strumenti informatici in possesso dei dipendenti; • conformazione al D.Lgs. n. 196 del 2003 – e successive modifiche e integrazioni, anche regolamentari – con riferimento all’accesso ai dati personali in possesso della Banca; • controllo, a livello centralizzato presso la Capogruppo, del sistema informativo della Banca (firewall, controllo dei siti, gestione dei virus, ecc); • previsione che le richieste di accesso siano autorizzate dal responsabile competente e inoltrate dall'utente all’Amministratore di Sistema; • presenza di un sistema di autenticazione delle credenziali utente per l’accesso ai sistemi informativi della Banca; • rilascio, da parte della funzione deputata al governo dei sistemi informativi, di concerto con la funzione di controllo, delle firme digitali a seguito della richiesta degli utenti; • presenza di un sistema che assicuri la tracciabilità delle attività degli utenti privilegiati, quali gli amministratori di sistema, attraverso la tracciabilità dei login degli utenti, nel rispetto dei 28 Contraffazione, alterazione o uso di segni distintivi di opere dell'ingegno o di prodotti industriali e contraffazione, alterazione o uso di marchi o segni distintivi ovvero di brevetti, modelli e disegni (Art. 473 c.p.) e Introduzione nello Stato e commercio di prodotti con segni falsi (Art. 474 c.p.), previste dall’art. 25-bis del D.Lgs. n. 231/2001. Si rimanda, per la descrizione delle due fattispecie di reato, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. 95 requisiti minimi previsti dalla normativa in materia di protezione dei dati personali; • attribuzione di specifiche responsabilità a soggetti distinti, in coerenza con il relativo ruolo, al fine di presidiare gli ambiti di governo, gestione, progettazione, implementazione, sicurezza, esercizio e controllo dei sistemi informativi; • attribuzione, a livello organizzativo, a funzioni differenti rispetto agli utenti, delle attività di implementazione e modifica dei software, gestione delle procedure informatiche, controllo degli accessi fisici, logici e della sicurezza del software; • previsione dello svolgimento periodico di vulnerability assessment e penetration test; • previsione di attività di assessment periodici dei rischi che incombono sui dati e sulle infrastrutture e di periodiche attività di monitoraggio; • indipendenza della rete aziendale rispetto alla rete esterna, garantita da apposite misure tecniche; • presenza di soluzioni antivirus finalizzati alla protezione dei computer e dei server connessi alla rete della Banca; • presenza di sistemi di protezione e di controllo dei locali tecnici finalizzati ad evitare tentativi di accesso non autorizzati e non desiderati; gli accessi ai locali sono riservati al solo personale autorizzato dalla funzione responsabile della sicurezza delle informazioni; • archiviazione e conservazione della documentazione di competenza prodotta, a livello di sistema informativo e/o in termini documentali da parte della funzione competente. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella suddetta attività sensibile, sono tenuti a osservare le modalità esposte nel presente protocollo, in osservanza delle disposizioni di legge esistenti in materia, nonché delle previsioni del Codice Etico della Banca, e in particolare: • mantenere riservate e opportunamente protette nonché non utilizzare, comunicare o divulgare, le informazioni acquisite nello svolgimento delle attività assegnate sia all’interno sia all’esterno della Banca, se non nel rispetto della normativa vigente; • instaurare relazioni basate su principi di integrità, correttezza e professionalità; • osservare la normativa specialistica vigente e le disposizioni emanate dalle Autorità di Vigilanza; • utilizzare gli strumenti aziendali nel rispetto delle procedure interne definite dalla Banca; • impedire l’accesso alle aree riservate (quali server room, locali tecnici, etc.) alle persone che non dispongono di idonea autorizzazione, temporanea o permanente e, in ogni caso, nel rispetto della normativa (interna ed esterna) vigente in materia di tutela dei dati personali; • predisporre e mantenere il censimento degli applicativi che si interconnettono con la Pubblica Amministrazione o con le Autorità di Vigilanza e/o dei loro specifici software in uso; • segnalare eventuali incidenti di sicurezza (anche concernenti attacchi al sistema informatico da parte di hacker esterni) mettendo a disposizione e archiviando tutta la documentazione relativa all’incidente e attivando l’eventuale escalation che può condurre anche all’apertura di uno stato di crisi; • prevedere, qualora siano coinvolti soggetti terzi/outsourcer nella gestione dei sistemi informativi della Banca, nonché nell’interconnessione/utilizzo dei software della Pubblica Amministrazione o delle Autorità di Vigilanza, i contratti con tali soggetti devono contenere apposita dichiarazione di conoscenza della normativa di cui al D.Lgs. n. 231/2001 e di 96 impegno al suo rispetto. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • installare personalmente software sui personal computer della Banca; • intrattenere relazioni, dirette o indirette, con persone delle quali sia conosciuta, o solamente sospettata, l’appartenenza a organizzazioni criminali o che comunque operino al di fuori della legalità; • introdursi abusivamente, ossia eludendo una qualsiasi forma, anche minima, di barriere ostative all’accesso, in un sistema informatico o telematico protetto da misure di sicurezza contro la volontà di chi ha diritto di escluderlo; • effettuare registrazioni false e occultare la relativa documentazione; • aggirare o tentare di aggirare i meccanismi di sicurezza aziendali (antivirus, firewall, ecc.); • utilizzare o installare programmi diversi da quelli autorizzati dal personale della funzione competente della Banca; • rivelare ad altri le proprie credenziali di autenticazione (nome utente e password) alla rete aziendale; • detenere o diffondere abusivamente codici di accesso a sistemi informatici o telematici di terzi o di enti pubblici; • accedere al sistema informatico o telematico, o a parti di esso, ovvero a banche dati della Banca, o a parti di esse, non possedendo le credenziali d’accesso o mediante l’utilizzo delle credenziali di altri colleghi abilitati; • distruggere, deteriorare, cancellare, alterare, sopprimere informazioni, dati o programmi informatici altrui o anche solo mettere in pericolo l’integrità e la disponibilità di informazioni, dati o programmi utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti o comunque di pubblica utilità; • introdurre o trasmettere dati, informazioni o programmi al fine di distruggere, danneggiare, rendere in tutto o in parte inservibili, ostacolare il funzionamento dei sistemi informatici o telematici di pubblica utilità. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. 97 PARTE SPECIALE VII – DELITTI IN MATERIA DI SALUTE E SICUREZZA SUL LAVORO Premessa La presente Parte Speciale è volta a presidiare il rischio di commissione dei delitti in materia di salute e sicurezza sul lavoro, di cui all’articolo 25-septies del D.Lgs. n. 231/2001, integrando la normativa interna e i principi generali di comportamento già istituiti dalla Banca. La Legge 3 agosto 2007, n. 123 “Misure in tema di tutela della salute e della sicurezza sul lavoro e delega al Governo per il riassetto e la riforma della normativa in materia” ha introdotto nel D.Lgs. n. 231/2001 l’art. 25-septies, che aggiunge all’elenco dei reati presupposto della responsabilità amministrativa degli enti i delitti di “Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro”. Successivamente, il D.Lgs. 9 aprile 2008, n. 81 (c.d. Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro, di seguito “Testo Unico”), come modificato dal D.Lgs. 3 agosto 2009, n.106, ha profondamente riordinato le molteplici fonti normative previgenti in materia. Per quanto concerne la responsabilità amministrativa degli enti, l’art. 300 ha modificato l’art. 25-septies del D.Lgs. n. 231/2001 rinominandolo “Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro”, ma lasciando nella sostanza immutata l’individuazione delle fattispecie penali che costituiscono reati presupposto; l’art. 30 del D.Lgs. 81/2008 ha inoltre esplicitato le caratteristiche che deve presentare il Modello di organizzazione, gestione e controllo al fine della prevenzione dei reati in esame. Le fattispecie di reato Si riporta di seguito l’elenco delle fattispecie di reato previste dall’art. 25-septies del Decreto, rimandando, per una descrizione completa ed esaustiva, all’Allegato “Elenco e descrizione dei reati e degli illeciti amministrativi previsti dal D.Lgs. n. 231/2001”. Art. 25-septies D.Lgs. 231/2001 - Delitti di omicidio colposo e lesioni colpose gravi o gravissime commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro • Omicidio colposo (Art. 589 c.p.); • Lesioni personali colpose (Art. 590 c.p.). Le attività sensibili La gestione degli adempimenti in materia di salute e sicurezza sul lavoro (D.Lgs. 81/08) risulta essere l’area di attività nella quale è maggiore il rischio che siano astrattamente commessi i “delitti in materia di salute e sicurezza sul lavoro”. Si riporta di seguito il protocollo che definisce i principi di controllo ed i principi di comportamento cui attenersi nella gestione della suddetta area sensibile e che si completano con la normativa aziendale che ne regolamenta la relativa operatività. 98 Protocollo per la gestione dei rischi in materia di salute e sicurezza sul lavoro Premessa Il presente protocollo si applica ai Destinatari del Modello coinvolti, a qualsiasi titolo, nella gestione dei rischi in materia di salute e sicurezza sul lavoro. Si precisa che la gestione dei rischi in materia di salute e sicurezza sul lavoro riguarda qualunque tipologia di attività finalizzata a sviluppare e assicurare un sistema di prevenzione e protezione dei rischi esistenti sul luogo di lavoro, in ottemperanza a quanto previsto dal D.Lgs. 81/2008. Ai sensi del D.Lgs. n. 231/2001, le attività sensibili in oggetto potrebbero presentare potenzialmente occasioni per la commissione dei reati di “omicidio colposo” e “lesioni personali colpose”. A titolo meramente esemplificativo e non esaustivo, sussiste un possibile rischio di commissione dei menzionati reati di “omicidio colposo” e “lesione personali colpose” qualora vengano violate o trascurate le disposizioni in materia di salute e sicurezza sui luoghi di lavoro. Ai sensi del Testo Unico compete al Datore di lavoro la responsabilità per la definizione della politica aziendale riguardante la salute e la sicurezza dei lavoratori sul luogo di lavoro e compete al Committente e/o ai suoi delegati la responsabilità e la gestione dei cantieri temporanei o mobili disciplinati dal Titolo IV del Testo Unico, nonché compete ad entrambi, per gli ambiti di rispettiva pertinenza, il rispetto degli obblighi relativi all’affidamento di contratti d’appalto, d’opera o di somministrazione previsti dall’art. 26 del medesimo Testo Unico. Quanto definito dal presente protocollo è volto a garantire il rispetto, da parte della Banca, della normativa vigente e dei principi di trasparenza, correttezza, oggettività e tracciabilità nella gestione delle attività in oggetto. Le regole operative per la gestione delle attività sono inoltre disciplinate nell’ambito della normativa interna, sviluppata e aggiornata a cura delle competenti funzioni, che costituisce parte integrante e sostanziale del presente protocollo. Si precisa che, ai fini del presente protocollo, sono escluse le attività sensibili relative alla gestione delle richieste o degli adempimenti verso la Pubblica Amministrazione e alla gestione degli acquisti di beni e servizi e degli incarichi professionali, per le quali si rimanda rispettivamente ai relativi protocolli previsti nella Parte Speciale I, quali: “Gestione delle attività inerenti alla richiesta di autorizzazioni o esecuzione di adempimenti verso la Pubblica Amministrazione” e “Gestione degli acquisti di beni e servizi e degli incarichi professionali”. Gli obblighi giuridici elencati dall’art 30 del D.Lgs. n. 81/2008, sanciscono l’articolazione delle attività di prevenzione nelle otto sezioni di seguito riportate: a) rispetto degli standard tecnico-strutturali di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici; b) attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti; c) attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza; d) attività di sorveglianza sanitaria; e) attività di informazione e formazione dei lavoratori; f) attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori; 99 g) acquisizione di documentazioni e certificazioni obbligatorie di legge; h) periodiche verifiche dell'applicazione e dell'efficacia delle procedure adottate. Principi di controllo Il sistema di controllo a presidio delle suddette attività sensibili si basa sui seguenti principi: Rispetto degli standard tecnico-strutturali di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici: • il Datore di Lavoro/Dirigente Delegato, laddove nominato, con l’eventuale supporto del Servizio di Prevenzione e Protezione e di eventuali ulteriori funzioni aziendali deve individuare, anche a seguito della redazione del Documento di Valutazione dei Rischi (di seguito anche “DVR”) e successivi aggiornamenti, lo stato di conformità (e le eventuali azioni di miglioramento) rispetto agli standard tecnico-strutturali di legge, di attrezzature, impianti (ad esclusivo titolo esemplificativo, impianti termici ed elettrici, di messa a terra, di prevenzione incendi sia propri sia di terzi), luoghi di lavoro, agenti chimici, fisici e biologici, e le relative responsabilità di attuazione; • gli ambienti di lavoro sono visitati e valutati da soggetti in possesso dei requisiti di legge e di adeguata formazione tecnica. Il Medico Competente e il Responsabile del Servizio Prevenzione e Protezione (di seguito anche “R.S.P.P.”) visitano i luoghi di lavoro ove sono presenti lavoratori esposti a rischi specifici ed effettuano a campione sopralluoghi negli altri ambienti; • le figure specialistiche di alta professionalità, con i titoli e i requisiti previsti dalle norme specifiche, contribuiscono alla valutazione e all’elaborazione di misure di tutela nel caso di rischi specifici (ad es.: rischio di incendio) nonché nei cantieri temporanei e mobili (Responsabili dei lavori, Coordinatori per la Sicurezza, etc.); • i soggetti individuati effettuano un monitoraggio continuo sull’evoluzione degli standard tecnico-strutturali e della normativa. Attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti: • il Datore di Lavoro - in coordinamento con il Dirigente Delegato, laddove nominato, il R.S.P.P. con il supporto dei soggetti nominati in materia di salute e sicurezza, il Medico Competente e i Rappresentanti dei Lavoratori per la Sicurezza con il supporto dei vari responsabili aziendali competenti - deve effettuare una valutazione dei rischi per la salute e la sicurezza, al fine di identificare ed attuare le misure di prevenzione e protezione dei lavoratori, riducendo a misure accettabili i pericoli ed i rischi connessi, in relazione alle conoscenze acquisite e alla priorità definita; • l’analisi dei rischi è formalizzata in appositi documenti, i DVR, così come previsto dal D.Lgs. 81/2008 e s.m.i. e dalla normativa vigente in materia di salute e sicurezza sul lavoro, contenente, tra l’altro, l’identificazione e la valutazione dei rischi per ogni mansione aziendale, le misure di prevenzione e protezione e i dispositivi di protezione individuale assegnati a ciascun lavoratore, nonché quanto previsto in materia di DVR dall’art. 28 comma 2 del D.Lgs. 81/2008, sottoscritto a cura del Datore di Lavoro; • le funzioni competenti devono verificare che tutte le misure di prevenzione e protezione programmate siano attuate, assicurando un costante monitoraggio delle situazioni di rischio e dell’avanzamento dei programmi di intervento previsti dagli specifici documenti di valutazione dei rischi. Tali funzioni si avvalgono, laddove occorra, della collaborazione della funzione Risorse Umane, nonché delle funzioni di gestione e realizzazione di interventi immobiliari, di progettazione e gestione dei processi lavorativi, della sicurezza fisica e dei sistemi informativi di gestione e manutenzione; 100 • le competenti funzioni individuate dal Datore di Lavoro provvedono alla verifica dell'idoneità tecnico-professionale delle imprese appaltatrici o dei lavoratori autonomi in relazione ai lavori da affidare. Con riferimento alla gestione delle attività e dei servizi erogati da terzi presso la sede della Banca (di proprietà o meno) o dalla Banca presso sedi o siti di terzi, e prima di avviare i lavori, si deve inoltre procedere ad effettuare l’elaborazione (in coordinamento con il/i Datore/i di Lavoro delle società terze e/o delle società prestatrici di opera in subappalto), di un documento, da allegare al contratto, che indichi le misure adottate per eliminare o, ove ciò non sia possibile, ridurre al minimo i rischi da interferenze, al fine di promuovere la cooperazione ed il coordinamento tra i datori di lavoro, provvedendo anche alla stima dei relativi oneri delle misure preventive e protettive finalizzate alla sicurezza e salute dei lavoratori. Tale documento, in funzione delle richieste normative, potrà configurarsi in: • Piano di Sicurezza e Coordinamento (PSC), nel caso di appalti che ricadano nell’ambito di applicazione del titolo IV del T.U.S. È redatto dal Coordinatore per la Sicurezza in fase di Progettazione (CSP), nominato dal soggetto Committente; • Documento Unico di Valutazione dei Rischi di interferenza (di seguito anche “DUVRI”), per le restanti tipologie di appalti. È redatto, ove previsto dall’art. 26 del D. Lgs. 81/2008, dal Dirigente Delegato dal Datore di Lavoro, laddove nominato. Attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza: • la Banca è dotata di un sistema di procure e deleghe che definisce le responsabilità, i compiti e i poteri in materia di sicurezza, prevenzione infortuni e igiene sul lavoro. In particolare, sono state individuate le figure aziendali che rivestono il ruolo rispettivamente di Datore di Lavoro, Dirigente Delegato, laddove nominato, Responsabile Servizio di Prevenzione e Protezione e Medico Competente; • il Datore di lavoro / Dirigente Delegato, laddove nominato, provvede a designare preventivamente i lavoratori incaricati dell’attuazione delle misure di prevenzione incendi, di evacuazione dei luoghi di lavoro in caso di pericolo grave ed immediato, di salvataggio, di primo soccorso e, comunque, di gestione dell’emergenza (addetti al primo soccorso e addetti alle emergenze in caso d’incendio, etc.); • il Datore di Lavoro deve, in particolare, definire continuativamente, emettere e divulgare a tutti i lavoratori, almeno relativamente ai rischi definiti nel DVR, istruzioni e/o procedure operative finalizzati a: - garantire la sicurezza e salute sul luogo di lavoro; - gestire le attività in appalto e subappalto ed i relativi rischi di interferenza; - garantire l’effettuazione di attività operative e definire istruzioni per svolgere correttamente ed in sicurezza le attività relative ad ogni figura professionale; - garantire la corretta gestione delle situazioni d’emergenza e prevedere prove di emergenza periodiche; - definire le modalità operative da seguire nell’appalto di lavori a terzi, al fine di assicurare adeguate condizioni di prevenzione e protezione secondo quanto previsto dalle norme vigenti; • il Datore di Lavoro, con il supporto del R.S.P.P., dei vari responsabili aziendali competenti ed eventualmente di professionisti specializzati in materia, deve garantire tutti gli adempimenti previsti dal D. Lgs. 81/2008, e in particolare: - che siano indette, come previsto dall’art. 35 del D.Lgs. 81/2008 almeno una volta all’anno, riunioni periodiche alle quali partecipino tutte le figure chiave della sicurezza; 101 - che sia assicurata la continua formazione, sensibilizzazione e competenza in materia di Sicurezza e Salute del Lavoro, di tutti i lavoratori, per le linee guida generali e sui rischi specifici connessi alla loro mansione, nonché del personale responsabile, per le relative specifiche competenze; - che sia effettuata la registrazione dell’avvenuta effettuazione delle suddette attività, nonché l’archiviazione della documentazione relativa; • il Datore di Lavoro (o un suo Rappresentante), nel corso della riunione annuale, sottopone all’esame dei partecipanti almeno i seguenti argomenti: - il documento di valutazione dei rischi e le conseguenti misure di prevenzione; - l’andamento degli infortuni, delle malattie professionali e della sorveglianza sanitaria; - i criteri di scelta, le caratteristiche tecniche e l’efficacia degli eventuali Dispositivi di Protezione Individuale (DPI); - i programmi di informazione e formazione dei lavoratori ai fini della sicurezza e della protezione della loro salute; • le funzioni operative che hanno il compito di realizzare e di gestire gli interventi (di natura immobiliare, informatica, di sicurezza fisica, ovvero attinenti a processi di lavoro e alla gestione del personale), sono distinte e separate dalla funzione alla quale, per legge e/o normativa interna, sono attribuiti compiti di consulenza in tema di valutazione dei rischi e di controllo sulle misure atte a prevenirli e a ridurli; • i Rappresentanti dei Lavoratori per la Sicurezza collaborano attivamente con il Servizio Prevenzione e Protezione, al fine di segnalare criticità ed individuare le conseguenti soluzioni. Attività di sorveglianza sanitaria: • il Datore di Lavoro / Dirigente Delegato, laddove nominato, ha la responsabilità di assicurare al Medico Competente le condizioni necessarie per lo svolgimento della sorveglianza sanitaria dei lavoratori alle dipendenze della Banca, dotandolo degli adeguati spazi per l’esecuzione dell’attività di propria competenza e per la registrazione dell’avvenuto adempimento degli obblighi di legge indicati di seguito, nonché per l’archiviazione della relativa documentazione; • il Datore di Lavoro / Dirigente Delegato, laddove eletto, deve provvedere inoltre, con il supporto del RSPP, e del Medico Competente: - al continuo aggiornamento del Registro Infortuni; - alla definizione delle responsabilità inerenti l’indagine successiva a incidenti e/o infortuni; • il Medico Competente ha la responsabilità di valutare l’adeguatezza ed eventualmente aggiornare il programma di sorveglianza in base alle eventuali sopravvenute esigenze. In particolare, il Medico Competente deve, così come previsto dall’art. 25 del TUS, tra l’altro: - collaborare con il Datore di Lavoro e con il Servizio Prevenzione e Protezione nella valutazione dei rischi; - programmare ed effettuare: (i) accertamenti preventivi intesi a constatare l’assenza di controindicazioni al lavoro cui i lavoratori sono destinati, ai fini della valutazione della loro idoneità alla mansione specifica, (ii) accertamenti periodici, volti a controllare lo stato di salute dei lavoratori ed esprimere il giudizio di idoneità alla mansione specifica; - istituire e aggiornare la cartella sanitaria e di rischio di ogni lavoratore; - visitare gli ambienti di lavoro in coerenza con i dettami legislativi; - collaborare alle attività di formazione e informazione; 102 - collaborare alla predisposizione del servizio di pronto soccorso; - formalizzare e comunicare al lavoratore l’esito delle analisi svolte, contenente giudizi di idoneità o inidoneità, rilasciandone duplice copia (una al lavoratore e una al Datore di Lavoro per la relativa archiviazione); - partecipare alla riunione periodica ex art. 35 sulla sicurezza, rendicontando sulle visite effettuate e sull’andamento degli infortuni e delle malattie professionali; • gli obblighi di sorveglianza sanitaria sono riferiti a tutti i lavoratori della Banca. La Banca promuove azioni di sensibilizzazione e formazione ai terzi collaboratori. Attività di informazione e formazione dei lavoratori: • il Datore di lavoro / Dirigente Delegato, laddove nominato, assicura, con il supporto del SPP, dei referenti aziendali competenti, nonché di eventuali società terze, che siano attivate le azioni necessarie a: - predisporre il Piano Annuale di Formazione con individuazione delle necessità di formazione ai lavoratori; - organizzare ed erogare programmi di formazione/addestramento ai lavoratori neoassunti/ soggetti a cambio mansione; - organizzare ed erogare programmi di formazione specifici e periodici suddivisi per gruppi particolari (ad esempio antincendio, primo soccorso e formazione del RLS); - registrare le attività di formazione su apposito supporto e conservare le tabelle riassuntive della formazione svolta nel corso dell’anno con relativa documentazione (fogli presenza dei partecipanti, eventuali schede di verifica apprendimento e gradimento, materiale didattico distribuito); - organizzare prove di simulazione di emergenza (ad es. prove di evacuazione con periodicità almeno annuale); - fornire ai fornitori, ai clienti, agli appaltatori e a tutti gli eventuali visitatori dettagliate informazioni sui rischi specifici esistenti nella sede della Banca nonché le regole comportamentali e di controllo adottate dalla Banca, definite nel presente documento e nelle procedure aziendali; - garantire la registrazione dell’avvenuta effettuazione delle suddette attività e la valutazione della sua efficacia, nonché l’archiviazione della documentazione relativa; - provvedere all’erogazione della necessaria formazione, informazione ed addestramento dei lavoratori a seguito di aggiornamenti normativi ed a seguito di mutamenti organizzativi, tecnici o procedurali con impatto sulla attività lavorativa ai fini della sicurezza. Attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori: • il Datore di Lavoro, tramite la collaborazione dei Dirigenti e dei Preposti, ciascuno nell’ambito delle proprie competenze, vigila sull’osservanza, da parte dei lavoratori, degli obblighi di legge e delle disposizioni aziendali in materia di salute e sicurezza sul lavoro; • la vigilanza si esplica anche mediante i sopralluoghi svolti dal R.S.P.P. e dal Medico Competente. Acquisizione di documentazioni e certificazioni obbligatorie di legge: • ciascuna funzione di volta in volta interessata, al fine di consentire la ricostruzione delle responsabilità, deve dotarsi di idonei sistemi di registrazione dell’avvenuta effettuazione delle attività, dell’archiviazione e della conservazione di tutta la documentazione prodotta - a 103 livello di sistema informativo e/o in termini documentali - inerente alla esecuzione degli adempimenti svolti nell’ambito delle attività proprie del processo della gestione dei rischi in materia di sicurezza e salute dei lavoratori, nonché della relativa attività di controllo; • ciascuna funzione di volta in volta interessata è responsabile altresì dell’acquisizione di documentazioni e certificazioni obbligatorie di legge e della relativa conservazione e archiviazione; • qualora la documentazione prevista dal Testo Unico sia tenuta su supporto informatico, la competente funzione verifica che le modalità di memorizzazione dei dati e di accesso al sistema di gestione della predetta documentazione assicurino quanto previsto dall’art. 53 del Testo Unico. Periodiche verifiche dell'applicazione e dell'efficacia delle procedure adottate: • il Datore di Lavoro, anche attraverso i soggetti preposti, deve effettuare attività di sorveglianza sull’applicazione, anche da parte dei lavoratori, della normativa e degli adempimenti previsti in materia di salute e sicurezza sul lavoro, nonché effettuare periodiche attività di controllo atte a verificare l’efficacia delle procedure adottate e a garantire il mantenimento nel tempo delle condizioni di idoneità delle misure adottate. Principi di comportamento I Destinatari, a qualsiasi titolo coinvolti nella gestione dei rischi in materia di salute e sicurezza sul lavoro sono tenuti ad osservare la politica di gestione aziendale che rappresenta il generale presidio di controllo, da rispettare ad opera di tutti i lavoratori, integrato dalle procedure operative e dai principi definiti nel presente protocollo, nonché le previsioni del Codice Etico della Banca. In particolare, sono tenuti a: • operare in coerenza con il sistema di deleghe e procure in essere; • rispettare gli obblighi previsti dal D.Lgs. 81/2008 in materia di salute e sicurezza sul lavoro nonché osservare scrupolosamente le disposizioni e le istruzioni impartite dai soggetti preposti al fine di preservare la salute e la sicurezza propria e di tutti i lavoratori; • collaborare, mediante i propri rappresentanti, alla valutazione dei rischi per la sicurezza e salute del lavoro, compresi quelli interferenziali; • segnalare tempestivamente alle funzioni individuate e con le modalità definite nelle procedure aziendali vigenti, eventuali situazioni di pericolo e rischio, infortuni, malattie professionali, e violazioni ai principi di comportamento e alle procedure aziendali; • segnalare ogni anomalia, situazione o rischio per la sicurezza e salute differenti da quelli noti o particolarmente significativi; • partecipare alle sessioni formative e di addestramento organizzate dalla Banca, anche con il supporto di società terze specializzate, sui rischi per la sicurezza e salute del lavoro. Gli esponenti aziendali specificatamente responsabili sono inoltre tenuti a: • mantenere aggiornato e rispettare il corpo regolamentare ed il sistema di procure e deleghe in materia di sicurezza, prevenzione infortuni e igiene in vigore; • perseguire l'obiettivo di "nessun danno alle persone"; • promuovere una cultura nella quale tutti i lavoratori – compreso il personale delle ditte terze in subappalto operante presso le funzioni della Banca con rischi di interferenza per la sicurezza e salute del lavoro – partecipino a questo impegno; • garantire l’idoneità delle risorse umane – in termini di numero, qualifiche professionali e formazione – e dei materiali, necessaria al raggiungimento degli obiettivi prefissati dalla 104 Banca per il mantenimento e/o miglioramento dei livelli di sicurezza e salute dei lavoratori; • garantire l’acquisizione e la gestione dei mezzi, delle attrezzature, degli impianti e, in generale, delle funzioni aziendali nel rispetto degli standard tecnico-strutturali di legge, anche attraverso un processo continuo di manutenzione (ordinaria e straordinaria) degli stessi; • definire gli obiettivi per la sicurezza e la salute dei lavoratori, valutando i rischi connessi con l’attività svolta presso le proprie sedi e filiali; • garantire un adeguato livello di formazione e informazione ai lavoratori, nonché richiedere che un adeguato livello di formazione e informazione sia garantito dai Datori di Lavoro ai lavoratori delle ditte terze in subappalto per quanto di loro competenza e relativamente ai rischi da interferenza, sul sistema di gestione della sicurezza definito dalla Banca e sulle conseguenze derivanti da un mancato rispetto delle norme di legge e delle regole di comportamento e controllo definite dalla Banca stessa; • segnalare tempestivamente alle funzioni individuate a norma di legge e/o internamente eventuali segnali / eventi di rischio / pericolo indipendentemente dalla loro gravità. In ogni caso è fatto esplicito divieto di porre in essere, collaborare o dare causa alla realizzazione di comportamenti che possano rientrare nelle fattispecie di reato considerate nel presente protocollo, e più in particolare, a titolo meramente esemplificativo e non esaustivo, di: • utilizzare le attrezzature presenti sul luogo di lavoro, nonché i dispositivi di sicurezza e protezione, ove previsti, non rispettando le istruzioni impartite; • compiere di propria iniziativa operazioni o manovre che possano compromettere la sicurezza propria o di altri lavoratori o che possano esporre se stessi, i propri colleghi o terzi a situazioni di pericolo; • porre in essere, collaborare o dare causa alla realizzazione di comportamenti (anche omissivi) che possano rientrare nelle fattispecie di reato considerate ai fini dell’art. 25-septies del D. Lgs. n. 231/2001. I Destinatari coinvolti nelle attività sensibili di cui al presente protocollo sono tenuti a porre in essere gli adempimenti necessari a garantire l’efficace attuazione dei suddetti principi di controllo e di comportamento. 105 ALLEGATO - ELENCO E DESCRIZIONE DEI REATI E DEGLI ILLECITI AMMINISTRATIVI PREVISTI DAL D.LGS. 231/2001 106
© Copyright 2025 ExpyDoc