News

Redazione

Un modello aziendale che vede nella Governance, nel Risk e nella Compliance (GRC)  il perno – su cui poggia il business aziendale -attraverso la creazione di un Centro di Eccellenza. In questo caso il GRC diventa una competenza che consente all’azienda di raggiungere gli obiettivi (Governance), gestire le opportunità ed i rischi con efficacia e efficienza (Gestione dei Rischi e Controlli/Monitoraggio), agire con integrità (Compliance) e mantenere la qualità (Quality Assurance) con un’azione di lungo periodo (Continuità/Sostenibilità).

Vediamo come è possibile trasformare un’azienda e far sì che il GRC diventi non solo parte del DNA di ogni dipendente ma anche indispensabile per assicurare una performance aziendale eccellente con soddisfazione di azionisti e stakeholder.

Continua a leggere

di Massimo BALDUCCI

Nel 2019 e nel 2020 la UE (la Commissione ed il Consiglio) hanno indirizzato all’Italia una serie di raccomandazioni relative alla necessità di migliorare il rendimento della nostra amministrazione pubblica e della nostra giustizia. Tali raccomandazioni sono state riprese dalle linee guida indirizzate all’Italia in relazione alla Recovery Facility come le riforme orizzontali ed abilitanti per poter usufruire dei fondi.

Qui vogliamo concentrarci su quanto ci viene richiesto in relazione alla giustizia civile. In maniera particolare sulle richieste in relazione alla riduzione dei tempi della giustizia civile.

Le proposte che stanno arrivando dall’Italia non piacciono (così come non piacciono quelle relative alla pubblica amministrazione). Secondo noi, alla base di questa insoddisfazione possiamo ritrovare un equivoco culturale, equivoco che tocca direttamente il modo di concepire la compliance.

Continua a leggere

di Florinda SCICOLONE

L’espressione che in questi ultimi giorni riecheggia alla mente a ritmo serrato è senza ombra di dubbio “Recovery plan”.

Il Piano per la ripresa dell’Unione Europea, denominato “Next Generation EU”, meglio conosciuto come “Recovery plan” presentato dalla Commissione europea nel maggio 2020 che contiene un pacchetto di misure e iniziative che come fine si prefigge quello di supportare economicamente gli Stati membri al fine di fronteggiare la gravissima crisi economica conseguente alla pandemia da Covid-19.

Piano che ha trovato la sua applicazione definitiva dal Parlamento e Consiglio UE nel Febbraio 2021 con approvazione del Regolamento n. 2021/241(1) prevedendo fondi per Euro 750 MLD articolato in tre pilastri ed in diversi programmi e iniziative.

Nell’ambito del Piano, la parte più importante è costituita dal meccanismo per la ripresa e la resilienza nel quale sono stati stanziati euro 672,5 MLD per le riforme ed investimenti, di cui euro 360 MDL di prestiti e euro 312, 5 MLD di sovvenzioni a fondo perduto.

Continua a leggere

Redazione

Vogliamo raccontare il caso di un’organizzazione che distribuisce energia con un fatturato di Euro 2 mld, utile Euro 24o mln e circa 5.000 dipendenti e di come – con successo – sia riuscita ad accentrare e integrare le attività di Governance, Risk e Compliance (GRC). Il percorso intrapreso è comune a molte organizzazioni che, negli ultimi anni, hanno realizzato dei progetti per migliorare la collaborazione fra gli uffici incaricati delle attività di Governance, Risk e Compliance.

Queste iniziative nascono dalla volontà e dalla necessità di organizzare le attività nel modo più adeguato, efficiente e trasparente possibile. L’esecuzione in maniera accentrata e integrale delle attività di GRC significa:

passare dalla specializzazione per silos con sotto-aree funzionali; ad una nuova realtà costituita da responsabilità gestionali del management e supporto centrale.

Questo passaggio richiede non solo cooperazione fra le persone ma anche molta attenzione per i fattori umani ossia la cultura, l’atteggiamento e il comportamento e, quindi, si tratta di un processo di cambiamento importante e delicato.

Cercheremo di chiarire, alla luce del caso aziendale reale, come è possibile trasformare le attività di GRC.

Continua a leggere

Redazione

Il recente caso di Colonial Pipeline riporta l’attenzione sugli attacchi hacker che avvengono continuamente.

In questo caso specifico, ci sono alcuni modi di reagire per Colonial Pipeline:

pagare il riscatto – che tutti sconsigliano perché fondamentalmente l’azienda aiuta la sopravvivenza del network dei criminali informatici; oppure, siccome non è stata hackerata l’infrastruttura delle tubazioni (pipeline) ma il sistema automatizzato di controllo – che ha sede negli uffici – una soluzione temporanea può essere l’intervento attraverso i comandi manuali dell’infrastruttura (oleodotto).

Si comprende subito che non solo i computer possono essere hackerati ma anche le infrastrutture. Molte persone dimenticano che ovunque oggi vengono usati computer per la gestione delle infrastrutture. Oltretutto da 10-15 anni a questa parte questi computer di gestione e controllo sono anche collegati a internet e per questo è diventato più facile e accessibile hackerare aziende, istituzioni e privati. E succede regolarmente.

L’impatto è piuttosto rilevante e crea un danno all’intera infrastruttura aziendale. Si pensi al caso Colonial Pipeline ma anche a quello che può succedere in un ospedale. Fino al ripristino dell’oleodotto, negli USA c’è stato un vero sconvolgimento sociale: lunghe file di persone con la tanica da riempire di carburante e con tutte le preoccupazioni che ne derivano per potenziali rischi e pericoli.

Continua a leggere

di Francesco Domenico ATTISANO

Lo scorso mese (il 13 aprile) è stata pubblicata la nuova norma ISO 37301, “Compliance management systems – Requirements with guidance for use“.

L’introduzione della ISO 37301 è un ulteriore passo del rinnovamento della cornice regolamentare ISO, poichè entro la fine del 2021 è prevista l’emanazione della ISO 37000 (Linea Guida per la Governance delle Organizzazioni) e della ISO 37002 (Linea Guida per Sistemi di Gestione Whistleblowing).

Lo standard è applicabile a tutte le organizzazioni, quindi sia private che pubbliche, profit e non.

La nuova norma indica i requisiti per progettare, definire e mantenere, in ottica di un miglioramento continuo, un sistema di gestione della compliance per il controllo dei rischi.

Continua a leggere

di Marco CASSARO

Se il consenso è un punto fondamentale della normativa di tutela e protezione dei dati personali, vediamo quali sono le altre basi giuridiche idonee affinché il Titolare del Trattamento possa operare senza incorrere in sanzioni.

3. L’ESECUZIONE DI UN CONTRATTO DI CUI L’INTERESSATO È PARTE O L’ESECUZIONE DI MISURE CONTRATTUALI

Tale condizione di liceità, che all’apparenza pare di facile comprensione, riguarda esclusivamente il rapporto contrattuale o le misure precontrattuali di cui l’interessato risulta essere parte.

Generalmente l’esecuzione di un contratto o di misure precontrattuali richiede, per sua natura, un trattamento di dati riferibili al soggetto interessato che come richiamato ut supra non può essere condizionato al consenso il quale risulterebbe non liberamente prestato. Infatti, è insito in ciascuna tipologia contrattuale un trattamento di dati necessario per la soddisfazione del servizio/rapporto contrattualizzato.

Sul punto, al fine di risultare il più esaustivo possibile ma anche con la speranza di stimolare la curiosità dei lettori, vale la pena richiamare le “Linee guida 2/2019(1) sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati” che benché riferita ad uno specifico ambito di utilizzo forniscono chiare e precise indicazioni generale sulla liceità del trattamento a norma dell’art. 6 comma b) del GDPR(2).

Continua a leggere

di Ian ROSS

Negli ultimi tre anni si è assistito a cambiamenti epocali, in Europa e nel Regno Unito, in tema di legislazione antiriciclaggio dei relativi report di attuazione della normativa. Nel 2017 sono stati emanati gli aggiornamenti dei Regolamenti Antiriciclaggio. All’inizio del 2018, il Tesoro ha istituito un nuovo organismo: l’OPBAS, Office for Professional Body Anti-Money Laundering Supervision (Ufficio per la vigilanza antiriciclaggio degli organismi professionali) che opera in qualità di “supervisore” delle autorità di vigilanza antiriciclaggio con la responsabilità di monitorare l’attività di riciclaggio di denaro.

Il 2018 ha visto anche l’emanazione del primo “Unexplained Wealth Order” (UWO) ossia un ingiunzione del tribunale per costringere un soggetto a rivelare l’origine della sua ricchezza (perché ritenuta inspiegabile). E, grazie al Parlamento dell’UE è entrata in vigore la VI Direttiva Antiriciclaggio che comprende alcune drastiche modifiche in relazione alle sanzioni e alle politiche di segnalazione e condivisione dei dati/informazioni.

All’inizio, tutti questi sviluppi sembravano davvero promettenti. Con una promozione fatta attraverso noti cliché come “nuove misure rigorose” e “repressione”, le nuove misure promettono “miglioramenti”; ma la realtà è ben diversa infatti non un singolo caso è stato perseguito per la violazione dei Regolamenti Antiriciclaggio del 2017. Parimenti, le condanne penali per riciclaggio di denaro (Proceeds for Crime Act 2002) sono state una minoranza di proporzioni allarmanti.

Continua a leggere

di Alberto PAGANINI

L’importanza della resilienza cibernetica è sancita dagli interventi delle Autorità internazionali che richiedono non solo di adottare politiche di business continuity e di disaster recovery ma l’adozione di un “framework di resilienza cibernetica”.

Le infrastrutture finanziarie intervengono nel continuo per adattare, evolvere e migliorare le proprie capacità di resilienza.

Vediamo come.

Continua a leggere

di Marco CASSARO

Liceità del trattamento: come scegliere la base di liceità corretta e come evitare le conseguenze negative di una scelta erronea.

Scegliere la corretta base di liceità del trattamento non è mai stato così importante.

Le “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”(1) nonché le “Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati”(2) emanate dal European Data Protection Board (EDPB) così come le sanzioni dell’Autorità di Vigilanza Greca (HDPA) a PWC in merito all’erronea valutazione della corretta base di liceità del trattamento ma anche e soprattutto quelle comminate dall’Autorità Garante Nazionale a Società di call center, Società di Telefonia, Enti Locali etc., ci ricordano come i Titolari del Trattamento siano chiamati a qualificare correttamente la base di liceità del trattamento dei dati nonché a fornire le relative giustificazioni in relazione alla scelta fatta; pena la comminazione di una sanzione.

Continua a leggere