di Lorenzo BIZZI
Avviare una nuova impresa, lanciare una startup, aprire una succursale sul territorio italiano: tutti aspetti che affascinano e che stanno popolando sempre più il panorama italiano e l’immaginario collettivo di fare impresa, in particolare tra le nuove generazioni.
Nonostante i dati nazionali indichino una leggera contrazione rispetto agli anni precedenti(1), e che la tendenza demografica nel nostro Paese sia inferiore rispetto ad altri big in Europa, i moderni processi di avviamento connessi con il nuovo modo di fare impresa – sostenuti in particolare dall’evoluzione digitale e dal PNRR – sono diventati ormai una prassi consolidata nel nostro ecosistema.
Negli step iniziali, sia che si parli di intermediari vigilati da un’Autorità (es. Banca d’Italia, IVASS, etc.) o di imprese di altro genere, sottoposte lato sensu a minori vincoli, la tendenza rimane spesso quella di procedere per “gradi”, rinviando ad un secondo momento l’implementazione dei giusti presidi, specie se su temi di conformità. È infatti consuetudine concentrarsi inizialmente per lo più su aspetti pratici, connessi prevalentemente al prodotto da offrire, e o all’immagine da presentare al mercato, elementi quest’ultimi, assolutamente necessari per costituire il proprio core business o la propria brand identity, ma del tutto marginali in ottica di contenimento dei rischi.
Questo, di fatto, rappresenta il primo scoglio da superare, in quanto, un’analisi preliminare, piuttosto che un assessment sui più immediati presidi, permetterebbero di predisporre fin da subito un set iniziale di quelle che possono, a ragion veduta, essere considerate le prime fondamenta su cui cimentarsi inizialmente. Questo per poi procedere successivamente costituendo, od integrando, i dovuti supporti, limitando così il rischio di sanzioni o di danni reputazionali, o più banalmente, quello di perdere qualche buona occasione di dimostrare il valore del proprio progetto.
Laddove l’impresa rientrasse nei perimetri della vigilanza, tali processi iniziali, come meglio descritto in seguito, sono molto spesso individuabili per merito dei principali Provvedimenti (o Regolamenti) che disciplinano i requisiti minimi che devono essere apportati fin dalle primissime fasi; ne consegue pertanto che una loro disattesa applicazione porta a conseguenze piuttosto rilevanti per il prosieguo dell’iniziativa.
Per quanto riguarda le società non vigilate, nonostante la presenza di documentazione altrettanto valida e dettagliata per singolo settore di attività, l’inclinazione ad aspettare il momento più propizio per rafforzarsi, potrebbe pregiudicare invece importanti avvenimenti, come la conclusione di una prestigiosa ed ambita partnership.
Le Startup Vigilate
Quando si parla di startup vigilate le tematiche più ricorrenti dalle quali è utile iniziare a strutturarsi, sono prevalentemente di due tipi, ovvero:
- (i) gli aspetti connessi al contenimento del rischio di riciclaggio, con la redazione o l’adattamento della cd. “Policy Antiriciclaggio“, a cui fanno seguito l’implementazione o l’integrazione di specifici requisiti per soddisfare gli obblighi di identificazione, conservazione e segnalazione(2);
- (ii) gli aspetti di compliance connessi con i principali pilastri derivanti dal rispetto dei requisiti di trasparenza nei rapporti con la clientela e di governance aziendale(3).
Ne consegue che il complesso documentale finalizzato al rispetto di questi ultimi requisiti, ha un forte impatto nella predisposizione della principale documentazione contrattuale che deve essere messa a punto (le c.d. “T&C, Terms and Conditions”), e, di conseguenza, anche a disposizione della clientela, e che pertanto deve riflettere un prodotto o un servizio finale, quanto più preciso e completo nelle varie funzionalità, parametrizzazioni, limitazioni d’uso e costi.
Nei contesti neocostituiti questa fase rappresenta un processo piuttosto laborioso, in quanto gli aspetti derivanti dalle prime implementazioni devono adattarsi al meglio al prodotto in corso di definizione. Questo di fatto, si traduce in un intenso lavoro di squadra all’interno della società, che deve fare del rapporto di confronto con le Funzioni di Controllo, una vera e propria sinergia per poter raggiungere gli obiettivi e prepararsi per il lancio delle attività.
Nei contesti derivanti da succursali comunitarie, tutti questi aspetti iniziali, sono forse meglio individuabili in quanto spesso già presenti a livello centrale (es. Casa Madre, etc.); di fatto, le normative europee sono pressoché armonizzate, pertanto si tratta, laddove necessario, di replicare ed integrare localmente quanto magari già convenuto nei territori d’oltralpe e valutabili da un occhio esperto come strettamente necessarie. È infatti prevedibile che le scelte e le iniziative applicabili localmente, riflettano in linea generale quanto già predisposto a livello centrale, e pertanto molte attività attese possano essere, seppur parzialmente, già state implementate.
In questo caso, per accelerare sui tempi di lancio dell’iniziativa, potrebbe essere più produttiva una gap analysis che possa concentrarsi sulle differenze sostanziali evidenziate dalla normativa ripercorrendo i temi principali già indicati, concentrandosi abilmente sui corretti adattamenti.
Le Startup tecnologiche
Per quanto riguarda le startup non vigilate – ovvero quelle che al giorno d’oggi possono definirsi innovative – e che possono accompagnare i processi di società vigilate, oppure fornire prodotti e servizi ad alto valore aggiunto ma in contesti completamente diversi da quelli finanziari, gli scenari possono cambiare, evolvendosi in aspetti meno stringenti, seppur non di meno accorti.
Ambiti connessi ai servizi HR, travel, food & beverage, ristorazione, mobilità o servizi condivisi, etc., anche quando riescono a rimanere entro i limiti delle disposizioni normative o di regolamenti specifici, che ne abilitano la corretta esecuzione, richiedono comunque una buona dose di predisposizione documentale in ambito governance. Sicuramente, un elemento che accomuna tutte queste realtà quando sono neocostituite, sono le tematiche connesse con la contrattualistica e la privacy, per le quali si cerca di dotarsi dei giusti supporti; esistono tuttavia una serie di elementi, spesso trascurati, che qualora adottati fin dai primi passi migliorerebbero il profilo aziendale, se non dal punto di vista dell’adeguatezza, quanto almeno dal punto di vista della professionalità.
Essendo praticamente ormai tutte realtà che basano i propri servizi in contesti digital, ci sono elementi connessi con tematiche derivanti da business continuity, valutazione di impatti e rischi, esternalizzazioni e data breach che se trattate con le dovute proporzioni permettono di strutturarsi fin da subito e valutare magari le corrette impostazioni anche dal punto di vista operativo, permettendo di presentare l’azienda in modo più strutturato e competente, anche qualora questa si trovasse ancora in una fase progettuale, precedente all’avviamento.
È infatti in questo momento che la ricerca di deal e partnership con altre società o major dei rispettivi settori è particolarmente attiva: essa infatti permette alla startup una spinta nella crescita, ottenendo un significativo aumento dei volumi, tali da permettere la consistente produzione di elementi quantitativi che costituiscono le metriche utili da presentare ai potenziali investitori nelle fasi di ricerca dei vari round di finanziamento.
Ritrovarsi nel mezzo di un processo di due diligence e vedere l’accordo sospeso o addirittura sfumato per via di una documentazione incompleta o insufficiente dal punto di vista delle procedure interne di selezione adottate dal partner, porta senza dubbio a riconsiderare le priorità nel dotarsi dei dovuti frameworks.
La Compliance ICT
Se si volesse stabilire un punto di incontro fra le due macroaree trattate in questo articolo, trovando un elemento che possa guidare nella costruzione della società, questo si potrebbe facilmente individuare nell tematiche ICT(4). Tralasciando – per il momento – gli obblighi derivanti dal DORA(5), ad oggi attivi prevalentemente solo nel settore finanziario, ci sono tuttavia molteplici situazioni che possono ricorrere anche nei contesti non vigilati. A tal proposito, infatti, è ricorrente la necessità di ottenere alcune delle certificazioni necessarie a livello informatico nei contesti più strutturati (es. ISO 27001(6)).
In tali contesti diventa di fatto possibile relazionarsi con le società con le quali si intende operare, fornendo un adeguato profilo delle proprie strutture tecnologiche e mettendo a disposizione quelle informazioni sostanziali sui elementi di continuità ed efficienza operativa e valutazioni di rischio che, sempre in ottica di big deal, potrebbero fare la differenza.
Per questo motivo, al fine di anticipare o valutare circa la possibilità di strutturarsi su tutte le tematiche relative all’acquisizione di tali certificazioni, è utile ricordare come gli aspetti fin qui descritti e finalizzati al rafforzamento dell’infrastruttura documentale e procedurale della startup, siano pertanto da ritenersi altresì necessari in ogni contesto.
Conclusioni
L’implementazione del DORA, prevista nel 2025, introdurrà nuovi requisiti tecnologici e normativi che definiranno ulteriormente le modalità con cui le startup dovranno strutturarsi in termini di sicurezza e resilienza. Allo stesso tempo, i diversi aspetti legati alla gestione e contenimento dei rischi di riciclaggio e non solo, e alla tutela degli interessi dei clienti diventeranno sempre più cruciali, dato l’aumento dei rischi legati all’innovazione digitale e alla crescente attenzione nei confronti dell’utente finale, cittadino d’Europa.
Nella fase iniziale, considerare gli obblighi di compliance non come un semplice centro di costo, ma come veri e propri abilitatori di business, può pertanto fare la differenza per una startup. Rinviare questi aspetti significa spesso doverli affrontare in un secondo momento in modo frettoloso e meno efficace, con un impatto potenzialmente negativo sia sulle operazioni che sulla crescita.
Al contrario, integrare fin dall’inizio una solida struttura di compliance, che punti su una governance efficace ma obiettiva, calata all’interno della realtà aziendale con le dovute proporzioni, può trasformarsi in un elemento distintivo e competitivo, favorendo la scalabilità dell’azienda e aumentandone l’attrattività agli occhi di investitori e partner.
Intervento di Lorenzo BIZZI, Founder LB – Launch the Business
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Al termine del 2° trimestre 2024, il numero di startup innovative iscritte alla sezione speciale del Registro delle Imprese ai sensi del decreto-legge 179/2012 è pari a 12.871, in diminuzione di 83 unità (-0,64%) rispetto al primo trimestre del 2024, confrontato con una popolazione di riferimento rappresentata dal totale delle startup innovative registrate al 1° luglio 2024. Fonte: Ministero delle Imprese e del Made in Italy, Cruscotto di Indicatori Statistici – Startup innovative, Report con dati strutturali, T2-2024
(2) Cfr. Provvedimento del 26 marzo 2019 “Disposizioni in materia di organizzazione, procedure e controlli interni in materia antiriciclaggio volti a prevenire l’utilizzo degli intermediari a fini di riciclaggio e di finanziamento del terrorismo” così come modificato dal Provvedimento del 1° agosto 2023. Analoghe disposizioni sono altresì valide in ambito insurtech, con Regolamento Ivass n. 44 del 12 febbraio 2019 e ss. mm. e ii.
(3) A titolo di esempio, Provvedimento del 29 luglio 2009 e successive modifiche riguardanti la trasparenza delle operazioni e dei servizi bancari e finanziari.
(4) Information and Communications Technology
(5)Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, sulla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011. Il Digital Operational Resilience Act (DORA) è un regolamento dell’UE entrato in vigore il 16 gennaio 2023 e che si applicherà a partire dal 17 gennaio 2025. Esso mira a rafforzare la sicurezza informatica di entità finanziarie come banche, compagnie assicurative e società di investimento e ad assicurare che il settore finanziario in Europa sia in grado di rimanere resiliente in caso di grave interruzione operativa. Inoltre DORA porta l’armonizzazione delle norme relative alla resilienza operativa per il settore finanziario, applicandosi a 20 diversi tipi di entità finanziarie e fornitori di servizi ICT di terze parti.
(6) ISO/IEC 27001:2013 (ISO 27001) è lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni, anche detto SGSI, in italiano) consistente in un sistema di processi, documenti, tecnologie e persone che aiutano a gestire, monitorare, controllare e migliorare la sicurezza delle informazioni aziendali attraverso una gestione del rischio efficiente.
