Integrità nella condotta aziendale

Intesa Sanpaolo ha definito le Linee Guida Anticorruzione di Gruppo, approvate dal CdA e il Modello di Organizzazione, Gestione e Controllo adottato ai sensi del D.Lgs. 231/2001 che, insieme al Codice Etico, definiscono l’impegno a rispettare le disposizioni normative volte a contrastare la corruzione attiva e passiva in ogni sua forma. Viene posta particolare attenzione al rispetto della normativa nazionale e internazionale in materia di riciclaggio e finanziamento del terrorismo anche attraverso processi e procedure inerenti gli obblighi di adeguata verifica della clientela, segnalazione delle operazioni sospette e valutazione e gestione del rischio.

Gli Organi Societari della Capogruppo sono responsabili, ciascuno secondo le proprie competenze e prerogative, di assicurare l’adeguato presidio dei rischi di non conformità ai quali il Gruppo è o potrebbe essere esposto. L’articolazione dei compiti e delle responsabilità attribuiti agli Organi Societari della Capogruppo è declinata in appositi regolamenti. In particolare, il Consiglio di Amministrazione, previo esame del Comitato Rischi e Sostenibilità e del Comitato per il Controllo sulla Gestione, approva le Linee Guida Anticorruzione di Gruppo e ne cura l’attuazione per il tramite del Consigliere Delegato e CEO; esamina l’informativa in materia di presidio del rischio di corruzione fornita dal Responsabile dell’Area di Governo Chief Compliance Officer nell’ambito delle relazioni periodiche. L’informativa in materia di presidio del rischio di corruzione viene altresì estesa all’Organismo di Vigilanza costituito ai sensi del D. Lgs. 231/2001.

La rendicontazione agli Organi Societari in materia di anticorruzione, presentata al Consiglio di Amministrazione, è parte integrante delle relazioni predisposte dalla Direzione Centrale Anti Financial Crime che comprendono, su base annuale, l’identificazione e la valutazione dei rischi e la programmazione degli interventi di gestione e, a consuntivo su base semestrale, la descrizione delle attività effettuate, delle criticità rilevate e dei rimedi individuati.

Il 29 settembre 2023 il Consiglio di Amministrazione di Intesa Sanpaolo ha approvato l’aggiornamento delle Linee Guida Anticorruzione di Gruppo con le seguenti previsioni: aggiornamento delle fonti normative esterne e inserimento delle più importanti fonti di “soft law"; affinamenti del processo attraverso il quale vengono individuate le aree a maggior rischio; inclusione nelle erogazioni soggette alla disciplina delle Linee Guida anche dell’adesione ad attività associative che di fatto sono assimilabili per rischio alle beneficenze; inserimento di un focus sui “Business Introducers”, con ulteriori specifiche cautele, in considerazione dei maggiori rischi collegati a tale fattispecie; integrazione delle attività svolte dalla Direzione Centrale Anti Financial Crime; inserimento di uno specifico riferimento a quanto previsto dalla norma Iso 37001 relativamente alla necessità di acquisire periodiche dichiarazioni di impegno al rispetto delle Linee Guida da parte dei componenti il Consiglio di Amministrazione e dei Dirigenti apicali della Capogruppo; introduzione della facoltà in capo al Responsabile Anticorruzione di Gruppo di autorizzare deroghe a talune disposizioni contenute nelle Linee Guida in specifiche operazioni/situazioni caratterizzate da limitati rischi di corruzione.

In Intesa Sanpaolo la formazione su anticorruzione e antiriciclaggio è obbligatoria e segue cicli pluriennali, anche secondo le prescrizioni locali. Nel 2023 sono state formate 88.485 persone del Gruppo (oltre il 94% del totale) per un totale di 387.721 ore erogate.

Intesa Sanpaolo aveva già ottenuto a maggio 2022 il rinnovo della certificazione UNI ISO 37001:2016 Antibribery management systems, che costituisce lo standard internazionale in materia, con ampliamento del perimetro che comprende le entità del Gruppo incluse nel risk assessment di Compliance e di Anti Financial Crime. In particolare, la certificazione ha validità sino a maggio 2025 (subordinatamente a due audit di mantenimento) e riguarda Intesa Sanpaolo (incluse le filiali estere), le entità bancarie e le principali realtà finanziarie e assicurative. Nel corso del 2023 è stato concluso il primo dei due audit di mantenimento (il successivo è previsto per il 2024) che ha compreso diverse sessioni di verifica che hanno coinvolto Direzioni Centrali di Capogruppo, Direzioni Regionali della Divisione Banca dei Territori, Filiali italiane di dette Direzioni Regionali e una filiale estera, nonché un campione di cinque società italiane ed estere.

Non risultano casi di provvedimenti disciplinari connessi a episodi di corruzione. Non si registrano sanzioni significative per non conformità a leggi o regolamenti relativamente a corruzione.

Intesa Sanpaolo presidia e promuove costantemente la libera concorrenza e diffonde la cultura di compliance alla normativa antitrust anche tramite la costituzione di uno specifico team interno volto a vigilare sul rispetto delle norme antitrust, l’adozione di una Policy e un programma di formazione e informazione. Nel 2023 sono state erogate 1.340.337 ore di formazione sul tema e sono stati formate 60.168 persone del Gruppo.

Intesa Sanpaolo è impegnata costantemente nell’attuazione degli interventi normativi, organizzativi e tecnologici, in linea con i più importanti standard di riferimento, volti a garantire la difesa dei diritti umani ed in particolare a rispondere adeguatamente alle fondamentali esigenze di tutela della privacy. Gli interventi adottati rispondono ai principi del Codice Etico di Gruppo che impegnano le società del Gruppo nell’adozione di criteri di assoluta trasparenza nell’informare i clienti e collaboratori sui loro diritti in materia e sulle modalità con cui vengono trattate le loro informazioni personali. Intesa Sanpaolo attribuisce una rilevanza strategica alla tutela e protezione dei dati personali delle persone fisiche oltre la piena attuazione delle previsioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (General Data Protection Regulation - GDPR), entrato in vigore il 25 maggio 2018. Tale impegno è articolato nelle Regole aziendali per il trattamento dei dati personali e nelle Linee Guida sulla protezione dei dati personali delle persone fisiche, approvate dal Consiglio di Amministrazione, che forniscono il quadro complessivo di comportamenti rivolto a tutte le persone del Gruppo, nonché a coloro i quali collaborano con la stessa, ed individuano i ruoli e le responsabilità di attuazione delle regole interne.

Intesa Sanpaolo attua il trattamento dei dati personali solo per le finalità descritte ed esplicitamente indicate nell’informativa resa disponibile agli interessati. Nessun trattamento viene attuato per finalità secondarie non esplicitamente indicate.

In relazione al trattamento di dati personali per finalità di marketing, è richiesto il consenso libero, esplicito ed inequivocabile da parte dell’interessato; qualora quest’ultimo neghi il consenso o non effettui alcun tipo di scelta, i dati raccolti non saranno in alcun modo trattati e utilizzati per tale scopo.

Modello organizzativo della protezione dei dati personali

Intesa Sanpaolo ha definito un modello di gestione del rischio di non conformità con riferimento alla protezione dei dati personali che è parte integrante del sistema dei controlli interni.

Il Consiglio di Amministrazione ed il CEO hanno il ruolo di Titolare del trattamento con il compito di individuare i ruoli, le responsabilità, i macroprocessi ed i flussi infomativi necessari ad assicurarne l’operatività.

Il Data Protection Officer, con il supporto della Funzione Privacy, presidia secondo un approccio risk based il rischio di non conformità in materia di protezione dei dati personali operando in posizione di indipendenza come funzione specialistica di Compliance in coerenza con le Linee Guida di Compliance di Gruppo.

Gli Organi Societari della Capogruppo sono responsabili, ciascuno secondo le proprie competenze e prerogative, di assicurare l’adeguato presidio del rischio di non conformità in materia di protezione dei dati personali ai quali il Gruppo è o potrebbe essere esposto.

Il Comitato Rischi e Sostenibilità supporta il Consiglio di Amministrazione, al fine di assicurare il miglior presidio dei rischi di non conformità in materia di protezione dei dati personali.

Il Chief Risk Officer collabora con il Chief Compliance Officer ed il Data Protection Officer per la definizione delle metodologie di valutazione dei rischi di non conformità, favorendo le sinergie con gli strumenti e i metodi propri dell’Operational Risk Management.

Le Società del Gruppo stabilite nell’Unione Europea sono tenute a recepire le Linee Guida sulla Protezione dei Dati Personali, adeguandole al proprio contesto societario e, nel caso di Società estere, alle specificità delle normative locali.

Intesa Sanpaolo richiede ai propri fornitori il rispetto delle policy dei regolamenti e degli standard inerenti la protezione dei dati personali, definendone il ruolo soggettivo nelle attività di trattamento, valutando la sussistenza delle garanzie necessarie, formalizzando le condizioni contrattuali, ed attuando assessment di conformità e adeguatezza.

Le Terze Parti che intendono avviare rapporti contrattuali con Intesa Sanpaolo devono accreditarsi tramite un Portale Fornitori che consente di valutare l’adeguatezza ed il livello di maturità in base a determinati criteri, inclusi quelli di capacità, affidabilità ed esperienza della Terza Parte in materia di protezione dei dati personali.

Nell’ambito della stipula degli accordi di fornitura con le Terze Parti che prevedano un trattamento di dati personali, viene avviato l’esame specifico per la determinazione del ruolo soggettivo del Fornitore. Qualora dalla valutazione risulti che la Terza Parte opera in veste di Responsabile del Trattamento dei dati personali, viene predisposta una lettera di nomina recante le clausole specifiche vincolanti inerenti al rispetto dei requisiti di protezione dei dati personali.

I fornitori nominati Responsabili del trattamento di dati personali vengono sottoposti a periodiche attività di assessment volte ad accertare l’adeguatezza dei presidi privacy, attraverso attività di monitoraggio condotte con verifiche presso il Fornitore o attraverso attività di self assessment.

Nel 2023 sono state erogate 117.319 ore di formazione sul tema privacy - coinvolgendo 76.405 persone del Gruppo (81,5% del totale) - e 1.567.128 ore di formazione sul tema della tutela del consumatore - coinvolgendo 76.932 persone del Gruppo (82,1% del totale). 

Il Gruppo opera affinché il proprio ambiente di lavoro sia permeato dalla reciproca fiducia, dalla lealtà e arricchito dall’apporto di ogni persona, nel rispetto della normativa e degli accordi relativi alla contrattazione nazionale e di secondo livello (Gruppo).
Nel 2023 sono state notificate 54 cause per violazioni di norme giuslavoristiche e ne sono state chiuse 55. Le principali tipologie di contenzioso in corso riguardano danni da dequalificazione, impugnative di licenziamenti e sanzioni disciplinari, mansioni superiori, cessazione del rapporto di lavoro (cessione ramo d’azienda - Intrum). Nel 2023 non risultano notificate cause di persone del Gruppo in servizio che abbiano quale oggetto esclusivo il mobbing.

Al fine di assicurare che il proprio agire sia allineato a principi di integrità, la banca ha disegnato un sistema di controlli finalizzato a mantenere un presidio costante nell’identificazione, governo e controllo dei rischi connessi alle attività svolte e in tal senso realizza attività di audit con cadenza prefissata in relazione alla natura e all’intensità dei rischi. 
Riguardo le attività di audit condotte nel 2023 su Strutture Centrali, Banche e Società del Gruppo, sono state completate le attività sulle 268 Aree di Rischio individuate in fase di pianificazione, con il perfezionamento di 407 attività di verifica (67 delle quali “straordinarie”, originate da richieste specifiche di Organi Aziendali, Autorità di Vigilanza o da accadimenti/circostanze che si verificano dopo il perfezionamento della pianificazione annuale). 
Nel 2023 sono state segnalate come rilevanti ai fini del D. Lgs. 231/2001, 96 attività di verifica. Tra queste, 4 hanno riguardato il rischio corruzione impattando su 3 Aree di Governo/Divisioni/Legal entities. 
In ambito ESG, l’attività di audit del 2023 si è articolata principalmente su un Programma di verifiche (7 interventi) riguardante l’analisi dell’evoluzione della Governance (Processo di predisposizione dell’informativa di Terzo Pilastro, con focus sui fattori ESG)) e del framework ESG (impatti ESG nella gestione della supply chain; emissione di green bonds per conto terzi; integrazione dei principi “Sustainable and Responsible Investments” (SRI) e dei fattori ESG nei processi di investimento, per il perimetro Fideuram Intesa Sanpaolo Private Banking; Own Emission Plan; Finanziamenti “Per Merito – Studio Si”; integrazione delle tematiche ESG nel framework dei rischi di mercato e di controparte). Inoltre sono state completate le verifiche “ESG related”, focalizzate principalmente su altri aspetti, ma che hanno previsto anche analisi su temi ESG (Coerenza delle strategie creditizie con l’andamento settoriale; presidio della qualità del portafoglio crediti con riferimento anche ad indicatori ESG e al rispetto dei principi e valori del Codice Etico; Modello unico di adeguatezza, follow up ispezione Consob 2021 e consulenza evoluta per la Divisione Private Banking) e ad altri interventi che toccano più marginalmente temi ambientali, sociali e tematiche di governance afferenti il Codice Etico. Le diverse attività di audit hanno evidenziato un livello di rischio residuo adeguato.

Dal 2016 è attivo un sistema di segnalazione di atti o fatti che possano costituire violazioni delle norme disciplinanti l’attività bancaria o di altre condotte illecite che possano ledere l’interesse pubblico o l’integrità dell’azienda (Whistleblowing). In linea con le disposizioni previste dal D.Lgs. 24/2023, a partire dal 15 luglio 2023, viene ampliata la platea dei possibili segnalanti. Possono effettuare una segnalazione whistleblowing:

• i lavoratori dipendenti e i lavoratori autonomi che svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i titolari di un rapporto di collaborazione professionale di cui all’articolo 409 c.p.c. (ad esempio, rapporto di agenzia) e all’art. 2 D.Lgs. 81/15 (collaborazioni organizzate dal committente);
• i lavoratori o collaboratori che forniscono beni o servizi o che realizzano opere in favore di terzi e svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i liberi professionisti e i consulenti che svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i volontari e i tirocinanti (retribuiti e non retribuiti);
• gli azionisti (persone fisiche);
• le persone con funzione di amministrazione, controllo, vigilanza o rappresentanza.

Il processo Whistleblowing, che integra gli altri sistemi e processi di segnalazione attivi in Azienda, consente di segnalare, con la massima garanzia di riservatezza, violazioni di cui si è venuti a conoscenza nell’ambito del contesto lavorativo o sulla base della relazione giuridico-economica intercorrente con il Gruppo, tutelando il segnalante da possibili comportamenti ritorsivi o discriminatori.

È possibile inviare le segnalazioni Whistleblowing utilizzando gli specifici canali disponibili 24 ore su 24, 7 giorni su 7, in lingua italiana e inglese (email e casella vocale).

Il Chief Audit Officer è la struttura incaricata di assicurare il corretto svolgimento del processo di gestione delle segnalazioni.

Le informazioni sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni sono disponibili sul portale intranet della Banca e nell’apposita sezione del sito internet di Gruppo.

Nel 2023 sono state ricevute 30 segnalazioni, di cui 1 giudicata non pertinente e 29 hanno comportato l’avvio di specifici accertamenti.

Per le segnalazioni di presunta inosservanza del codice etico, è disponibile l’indirizzo e-mail: codice.etico@intesasanpaolo.com

Il Gruppo Intesa Sanpaolo rispetta la normativa fiscale in quanto dovere di cittadinanza e nella convinzione che questo sia un contributo fondamentale verso la comunità in cui opera. L'impatto positivo di Intesa Sanpaolo in questo senso è ribadito dalla previsione resa pubblica con il Piano d’Impresa di un contributo complessivo in arco Piano di 15 miliardi di euro.

Nel corso del 2023 Il Gruppo, oltre a imposte indirette per 1.217 milioni di euro, ha rilevato imposte dirette di competenza dell’esercizio per 3.438 milioni di euro per la massima parte in Italia, dove sono stati realizzati la maggior parte dei proventi operativi netti.

Il Gruppo ha rafforzato il sistema di controllo interno del rischio fiscale, denominato Tax Control Framework, rendendolo idoneo a presidiare il rilievo strategico del rischio fiscale e a soddisfare i requisiti di accesso al regime di adempimento collaborativo introdotto in Italia ai sensi del D.Lgs 128/2015. A dicembre 2017 il Gruppo Intesa Sanpaolo si è dotato dei Principi di condotta in materia fiscale al fine di assicurare nel tempo la conformità alle regole fiscali e tributarie dei Paesi dove opera e di garantire l’integrità patrimoniale e reputazionale di tutte le Società del Gruppo. 

Sono inoltre state approvate le Linee Guida per la gestione del rischio fiscale nell’ambito del regime di adempimento collaborativo con l’Agenzia delle Entrate che disciplinano i criteri e i processi che Intesa Sanpaolo deve adottare per garantire adeguatezza ed effettività al proprio Tax Control Framework nonchè le relative Regole.

Intesa Sanpaolo, in adempimento della normativa di riferimento, pubblica anche una informativa "Stato per Stato" nella quale sono indicate (secondo le regole stabilite dalla Banca d’Italia) per ciascuno Stato le seguenti informazioni: il margine di intermediazione; il numero dei dipendenti; l’utile o perdita prima delle imposte; le imposte sull’utile o sulla perdita. Il documento può essere consultato al seguente link.

Informativa sulle imposte pagate per Paese