Workshop AIIA: "Risk Assessment, Management & Reporting", disponibili le slide (14 novembre 2012)

Sul sito dell'Associazione Italiana Internal Auditors (AIIA)  sono disponibili le "slide" delle presentazioni svolte in occasione del workshop "Risk Assessment, Management & Reporting: modelli di riferimento" che ha avuto luogo a Roma il 18 ottobre 2012.

Agenda e slide

  • Benvuto e introduzione, dr. Roberto Fargion, Direttore Generale di AIIA
  • Il Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR): gli impatti sul sistema di governance
    • Avv. Francesco La Manno, Head of Listed Companies Compliance & Corporate Governance di Borsa Italiana (slide)
    • Avv. Giuseppe Cannizzaro, Gianni Origoni Grippo Cappelli & Partners
      (slide)
  • Risk Management: le sfide metodologiche e le domande che dovremmo farci
    • Dr. Paolo Casati, Responsabile Audit Centrale e di Processo di Poste
      Italiane (slide)
  • Il piano di audit risk based: l’approccio metodologico
    • Dr. Fabio Meda, Manager area GRC di Reply Consulting (slide)
  • Il business risk reporting: lo strumento essenziale per la gestione continua dei rischi
    • Ing. Stefano Oddone, EPM Sales Consulting Senior Manager di Oracle (slide)
  • Analisi e gestione dei rischi – il caso TBS Group
    • Avv. Aldo Cappuccio, Presidente del Comitato di Controllo Interno di TBS
      Group (slide)

Cos’è AIIA

L'Associazione Italiana Internal Auditors (AIIA) è un'associazione senza fini di lucro costituita nel 1972. Da allora è il riferimento in Italia per le tematiche di Corporate Governance e Controllo.
È riconosciuta come sezione italiana dell'I.I.A. - Institute of Internal Auditors - leader mondiale per gli standard, la certificazione, la ricerca e la formazione per la professione di Internal Auditor.
I vari episodi di crisi aziendali verificatisi a livello internazionale, dovute anche alla inadeguatezza dei sistemi di controllo interno, hanno accresciuto l'importanza della corporate governance, intesa come governo e monitoraggio dei processi e degli strumenti di gestione per il raggiungimento degli obiettivi aziendali.

ComplianceNet: 

Garante privacy: imprese ancora tutelate dal telemarketing (13 novembre 2012)

Le persone giuridiche, gli enti e le associazioni continueranno ad essere tutelati dal telemarketing
Non potranno quindi essere contattati se iscritti nel Registro delle opposizioni né potranno ricevere, senza consenso, telefonate, fax, sms da sistemi automatizzati.
Lo precisa il Garante privacy in un provvedimento generale con il quale intende fornire indicazioni sulla normativa applicabile al trattamento dei dati relativi a imprese e soggetti privati alla luce delle semplificazioni introdotte dalla legge di conversione del decreto "Salva Italia".
Il provvedimento (in corso di pubblicazione nella G.U.) tiene conto, tra l'altro, delle numerose segnalazioni e richieste di pareri pervenuti all'Autorità, in cui si sollecitano chiarimenti, anche interpretativi, a fronte delle difficoltà operative riscontrate nel testo emendato.
Le persone giuridiche - afferma l'Autorità - non sono state radicalmente escluse dall'ambito di applicazione della normativa sulla privacy  poiché rientrano ancora nel quadro di adempimenti e tutele contenuti nella parte speciale del Codice, relativa alle "Comunicazioni elettroniche".
La quasi totalità delle disposizioni richiamate in questa parte, di diretta derivazione comunitaria, sono infatti rivolte a destinatari individuati non in funzione della loro qualifica soggettiva (persone fisiche o giuridiche), bensì in funzione della loro qualifica di "contraente", termine che di recente ha sostituito nelle disposizioni del Codice quello di "abbonato". E proprio il concetto di "abbonato", ora "contraente" - spiega il Garante - sulla base della direttiva 2002/58/CE, è certamente applicabile tanto alle persone fisiche quanto a quelle  giuridiche.
L'interpretazione del Garante riconduce i "contraenti-persone giuridiche" nell'ambito di applicazione del Codice. Resta tuttavia inalterato un impianto normativo complesso e di non agevole lettura dal quale deriva anche una riduzione di garanzie per le imprese. Ciò, anche a causa di alcuni interventi normativi che, nati con finalità semplificatorie, hanno in molti casi accresciuto il livello di incertezza interpretativa, senza assicurare le auspicate riduzioni di oneri amministrativi.
Proprio per tali ragioni, ad avviso del Garante le problematiche sollevate dall'applicazione delle nuove norme rendono quindi opportuna un'ulteriore valutazione da parte del Parlamento e del Governo al fine di verificare i presupposti per l'adozione di eventuali provvedimenti di competenza.

Allegato

Le ultime Newsletter del Garante Privacy

ComplianceNet: 

AODV231: "Osservazioni su ruolo Organismo di Vigilanza" su bozza "Disposizioni vigilanza prudenziale per banche", 12.XI.2012

Il 31 ottobre 2012, l'Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001  (AODV231) ha pubblicato le proprie "Osservazioni in relazione al ruolo dell´Organismo di Vigilanza" in relazione al documento di consultazione di Banca d´Italia in tema di "Disposizioni di vigilanza prudenziale per le banche – sistemi dei controlli interni, sistema informativo e continuità operativa".
Le osservazioni sono disponibile qui (pdf, 117 K, 4 pp.)

Cos’è AODV231?

L´Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 ("AODV231") è l´associazione senza fini di lucro che riunisce professionisti e uomini e donne d´azienda che vivono in prima persona l´esperienza degli Organismi di Vigilanza (OdV) previsti dai modelli di organizzazione adottati in base al Decreto 231/2001.
L´AODV231 conta oggi circa 400 soci, attivi come componenti di OdV, esponenti di funzioni aziendali che coadiuvano gli OdV (quali internal audit, compliance, affari legali) e consulenti.
I soci dell´AODV231 operano in numerose società - tra cui molte quotate, multinazionali e filiali italiane di multinazionali - attive in tutte le aree maggiormente interessate dall´applicazione del Decreto 231, quali il settore bancario e finanziario, l´industria, le infrastrutture, i servizi.
L´Associazione studia l´applicazione sul campo del Decreto 231/2001, valutando cosa implichi, in termini pratici, adottare e mettere in opera un modello organizzativo e come debba, e possa, concretamente agire un OdV per assolvere efficacemente ai propri doveri senza ostacolare lo svolgimento degli affari.
L´AODV231 rappresenta un luogo di confronto e di studio su tutte le problematiche connesse all´applicazione del Decreto 231/2001 e, più in generale, dei temi della governance, dei controlli e dell´etica d´impresa. Si propone inoltre di valorizzare il ruolo degli OdV nelle aziende, di elaborare proposte formative rivolte ad associati e non e di sviluppare soluzioni concordate a problemi comuni, che possano nel tempo evolvere in linee-guida e vere e proprie best practice di settore.

ComplianceNet: 

Vigilanza prudenziale: audizione del Direttore generale ABI, Giovanni Sabatini al Senato (7 novembre 2012)

Il 7 novembre 2012 ha avuto luogo l'audizione del Direttore generale dell'ABI, Giovanni Sabatini, alla VI Commissione Finanze del Senato della Repubblica.
Qui il testo completo dell'intervento di Sabatini (pdf, 79 K, 12 pp.)
Nel seguito la l'indice e la "Premessa" del testo.

Indice

  • Premessa
  • 1. Introduzione: la situazione pre-crisi
  • 2. Il primo passo: la riforma del 2011
  • 3. Le proposte della Commissione europea per l'unione bancaria
  • 4. La roadmap della Commissione europea per l'unione bancaria

Premessa

Signor Presidente, Onorevoli Senatori,
vorrei innanzitutto ringraziarVi dell'invito a presenziare a questo ciclo di audizioni dedicato alle nuove proposte per consolidare l'unione economica e monetaria dell'Unione europea.
Per l'Associazione bancaria italiana è un onore poter essere ascoltata su temi di grande rilevanza per le prospettive economiche del Paese; e non vi è dubbio che le proposte di cambiamenti regolamentari di fronte ai quali oggi ci troviamo vadano considerati con grande riguardo per le possibili ricadute sulla stabilità finanziaria dello Stato e, di conseguenza, sulle fonti di finanziamento di famiglie e imprese e quindi sulla crescita economica.
Con la Banking union si vuole creare un meccanismo unico di supervisione (sistema europeo di vigilanza) in grado di prevenire le crisi bancarie e laddove si verifichi la crisi di una istituzione  intervenire in modo che la crisi non si propaghi fino a divenire sistemica. Quattro sono dunque i pilastri su cui poggia il sistema: le regole, la supervisione, la garanzia dei depositi, il meccanismo di risoluzione delle crisi. Poiché le regole, sulla base delle direttive sono già armonizzate, la proposta di unione bancaria si focalizza sulla centralizzazione della vigilanza, su un meccanismo di risoluzione delle crisi e su un sistema di garanzia dei depositi.
Occorre essere consapevoli che creare un unione bancaria è un passo di grande rilievo con maggiori implicazioni non solo rispetto all'integrazione finanziaria dei paesi dell'area Euro ma anche rispetto alle finanze pubbliche, alla governance europea e, in ultima analisi, all'integrazione politica. L'unione bancaria non puo' essere considerata come disconnessa dall'unione fiscale e dall'unione politica non e' solo un problema tecnico.  
A titolo di esempio è il tema dell'assicurazione dei depositi. Il fondo di garanzia dei depositi - necessario per evitare i cd bank run - indipendentemente dalle caratteristiche e dalle dimensioni per essere in grado di svolgere la sua funzione deve avere qualche forma implicita o esplicita di garanzia pubblica poiché in casi estremi di crisi potrebbe non essere capiente. E' evidente allora che se parliamo di un fondo di garanzia europeo viene immediatamente in campo il tema della ripartizione delle perdite e di una loro eventuale mutualizzazione tra gli Stati membri partecipanti. E' allora di tutta evidenza la necessità di una forte volontà politica a sostegno di questo progetto.
Un'ulteriore considerazione preliminare riguarda gli obiettivi che con il progetto di banking union si intendono perseguire:

  1. garantire la stabilità monetaria nell'area dell'Euro
  2. preservare l'integrità del mercato unico

I due obiettivi macro riguardano due diversi insiemi di Stati membri, infatti il primo riguarda solo i paesi dell'area Euro, il secondo invece tutti i 27 Paesi dell'Unione europea. Da ciò deriva anche che, in alcuni casi, i due obiettivi possono non essere perfettamente in linea tra loro. Da ciò deriva anche che a seconda dell'ambito geografico (solo paesi dell'Area euro, ovvero tutti i 27 stati membri dell'Unione Europea) sul quale l'Unione bancaria estenderà i suoi (positivi) effetti vi saranno ordini differenti di problemi da risolvere. Ho organizzato la mia relazione in tre parti, a cui seguono brevi conclusioni.
Nella prima parte ricorderò – brevemente - le lacune del quadro regolamentare comunitario che, nonostante la recente riforma dell'architettura di vigilanza europea, necessitano di essere colmate per preparare il terreno all'ambizioso progetto dell'unione bancaria.
Ripercorrerò poi l'iter del pacchetto di proposte presentato dalla Commissione europea, sottolineandone ad un tempo i mutamenti intervenuti, i punti problematici ancora aperti e le possibili soluzioni maturate in ambito interassociativo.
Svilupperò infine qualche considerazione sulle riforme che dovranno essere perseguite per completare l'unione bancaria.

ComplianceNet: 

Privacy: Newsletter del Garante n.365 dell'8 novembre 2012 – marketing selvaggio, valutazioni dipendenti, casellario giudiziario

Il Garante per la protezione dei dati personali ha pubblicato la newsletter n. n. 365 dell'8 novembre 2012.
Quattro gli argomenti trattati:

  1. Marketing "selvaggio": bloccato il data base di una società
  2. Maggiore riservatezza sulle valutazioni dei dipendenti
  3. Casellario giudiziale: sì all'accesso diretto per la Pa
  4. Comuni: Piano di protezione civile e invalidi

Marketing "selvaggio": bloccato il data base di una società

Il Garante della privacy ha vietato il trattamento illecito dei dati di circa un milione di persone contenuti nel data base di una società che opera nel settore delle vendite per corrispondenza e del marketing diretto. La decisione è stata adottata in seguito agli esiti dell'attività ispettiva avviata dall'Autorità su segnalazione di numerose persone che lamentavano di essere state disturbate con offerte commerciali indesiderate.
Nel corso dell'istruttoria, la società si era difesa sostenendo che i dati utilizzati provenivano in parte da un'azienda fallita, di cui era stato lecitamente acquistato anche il database clienti, e in parte da una propria attività di raccolta diretta effettuata con appositi moduli e coupon sottoscritti dalle stesse persone interessate. La società affermava, tra l'altro, che alcune telefonate promozionali contestate erano state effettuate per un semplice errore.
Dai riscontri del Garante è però emerso innanzitutto che la società aveva omesso di fornire la necessaria informativa ai clienti dell'azienda fallita, non comunicando tra l'altro di essere il nuovo titolare del trattamento dei dati personali.
L'Autorità ha rilevato violazioni anche nella raccolta dei dati tramite i moduli pubblicati dalla società su riviste o sul proprio sito web. La società non solo non aveva fornito un'adeguata informativa a chi compilava la richiesta per sé o per un amico, ma aveva vincolato la spedizione di cataloghi o prodotti alla sottoscrizione del consenso per l'invio di offerte promozionali o per la comunicazione dei propri dati personali ad altri soggetti. Tale consenso, al contrario da quanto previsto dal Codice della privacy, non poteva quindi considerarsi "informato", né specifico per le differenti attività e neppure liberamente espresso.
Il Garante ha quindi vietato il trattamento dei dati personali raccolti dalla società per qualunque utilizzo che non sia direttamente strumentale all'esecuzione di un obbligo contrattuale, come l'acquisto di un prodotto o servizio. Ha imposto alla società di regolarizzare la sua posizione in tema di informativa e consenso. Ha infine aperto un autonomo procedimento sanzionatorio finalizzato alla contestazione delle violazioni amministrative commesse.

Maggiore riservatezza sulle valutazioni dei dipendenti

Vanno comunicate agli interessati per via telematica o in busta chiusa
Il Garante della privacy ha prescritto a un'azienda ospedaliera di adottare ogni misura idonea a garantire la piena riservatezza dei dati personali contenuti nei documenti di valutazione dei dipendenti. La decisione accoglie, in parte, il ricorso di un dirigente che si lamentava per aver ricevuto la propria scheda, in busta aperta, da personale amministrativo addetto a un'altra struttura dell'azienda. Il medico contestava all'amministrazione anche la mancata risposta alla richiesta di informazioni relative al trattamento dei propri dati personali.
Nel corso dell'istruttoria, l'azienda ha provveduto a dare sufficiente riscontro alle domande del dipendente e ha anche fornito elementi utili a evidenziare l'assenza di trattamenti illeciti. Dalle verifiche effettuate sono però emerse dichiarazioni contrastanti sulle modalità di effettiva circolazione dei documenti valutativi all'interno dell'azienda ospedaliera, tali da non far ritenere sufficientemente dimostrata la piena idoneità delle misure adottate a tutela della privacy.
Il Garante ha così imposto al complesso sanitario di garantire maggiori tutele affinché il contenuto delle schede individuali di valutazione non possa essere letto dal personale incaricato della consegna o da altre persone non autorizzate: ad esempio adottando modalità telematiche che consentano l'accesso al documento solo al dipendente interessato (certificandone anche l'avvenuta ricezione), oppure provvedendo a consegnare la valutazione opportunamente spillata o in busta chiusa.

Casellario giudiziale: sì all'accesso diretto per la Pa

Introdotto il "certificato selettivo"
Ok del Garante privacy allo schema di decreto dirigenziale del Ministero della giustizia che disciplina le modalità operative di consultazione diretta in via telematica del Casellario giudiziale da parte delle Pubbliche amministrazioni e dei gestori di pubblici servizi.
Le P.a. e gli Enti che hanno in gestione servizi pubblici  (ad esempio Poste S.p.a., Enel S.p.A., Italgas, Trenitalia) potranno consultare direttamente il casellario giudiziale, per acquisire informazioni sui precedenti penali e sui carichi pendenti, al fine di effettuare i controlli d'ufficio previsti dalla legge o di verificare le dichiarazioni sostitutive presentate da imprenditori e cittadini interessati, ad esempio, a partecipare a gare d'appalto e forniture o ad altri provvedimenti (ad esempio il rilascio della patente di guida).
In conformità alle indicazioni del Garante, saranno consentiti accessi selettivi ai soli dati giudiziari indispensabili agli accertamenti di competenza. A questo scopo è stato introdotto, principale novità del decreto,  il cosiddetto "certificato selettivo", che conterrà solo dati pertinenti e coerenti rispetto ai compiti propri delle amministrazioni e degli enti  richiedenti.
Su indicazione del Garante sono state previste convenzioni tra il Ministero della giustizia e i soggetti interessati (stipulate secondo schemi-tipo sottoposti al parere del Garante) che stabiliranno le condizioni e le regole tecniche per il rilascio dei "certificati selettivi".
L'Autorità ha chiesto inoltre di introdurre adeguate misure di sicurezza, soprattutto sul controllo degli accessi. La consultazione diretta del Sic (Sistema Informativo del Casellario) avverrà infatti mediante il Cerpa (Centro europeo ricerca e promozione dell'accessibilità), il sistema per la certificazione massiva gestito dall'ufficio centrale del casellario. Il Sic potrà essere consultato tramite tecnologia web service o tramite Pec, il servizio di posta elettronica certificata. L'Ufficio del casellario centrale garantirà la piena tracciabilità dei collegamenti telematici tra il Cerpa e i vari sistemi coinvolti. Verrà istituito il "Registro degli accessi al Sic", che consentirà all'amministrazione interessata di eseguire controlli informatizzati trimestrali, anche a campione, sulla rispondenza delle richieste dei certificati ai rispettivi procedimenti amministrativi. Le registrazioni e i log del sistema dovranno essere conservati per dieci anni.

Comuni: Piano di protezione civile e invalidi

L'elenco con i dati sanitari va chiesto alle Asl
Per aggiornare la scheda del Piano di protezione civile relativa agli invalidi i Comuni devono chiedere l'elenco dei nominativi alle Asl. Lo ha precisato il Garante privacy in risposta ad un quesito dell'Inps al quale si era rivolta un'amministrazione comunale per avere l'elenco, completo di indirizzo anagrafico, delle persone invalide.
La normativa demanda infatti alle Asl il compito di comunicare, se necessario, i dati sanitari delle persone invalide alle strutture che svolgono compiti di protezione civile (Regioni, agenzie regionali, Comuni).  L'Inps invece - ha spiegato il Garante - non può inviare ai Comuni l'elenco degli invalidi perché nessuna norma lo autorizza a comunicare all'ente locale dati sulla salute delle persone che fruiscono delle prestazioni d'invalidità. Come tutti gli altri soggetti pubblici l'Inps può trattare dati sensibili,  e tra questi anche quelli idonei a rivelare lo stato di salute, solo in base ad una espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. Se la norma si limita a specificare solo la finalità di rilevante interesse pubblico, dati, operazioni e  finalità perseguite nei singoli casi devono essere individuati in un atto regolamentare, conforme al parere reso dal Garante.
Nel caso in esame invece nessuna norma di legge o di regolamento consente all'Inps di comunicare i nominativi degli invalidi al Comune.

Le altre Newsletter del Garante Privacy

ComplianceNet: 

Authority appalti e CiVIT insieme contro la corruzione, firmato protocollo d’intesa (7 novembre 2012)

Firmato dal Presidente dell’Avcp, Sergio Santoro, e da Romilda Rizzo, Presidente della CiVIT, un protocollo di intesa per rafforzare i livelli di legalità nel settore degli appalti pubblici. Con questo accordo, le due Autorità collaboreranno per prevenire comportamenti illeciti e distorsivi nell’ambito dei contratti pubblici.
Avpc e CiVIT, che la legge recentemente approvata individua come Autorità nazionale anticorruzione, lavoreranno congiuntamente, nelle attività di vigilanza e controllo, integrando le diverse metodologie di lavoro che sono rispettivamente proprie di ciascuna Autorità.
Le due istituzioni potranno adottare atti congiunti indirizzati anche a Governo e Parlamento e lavoreranno ad attività di ricerca e ad azioni di rilevazione e monitoraggio del mercato di settore, della qualità e della trasparenza, condividendo e incrociando dati e informazioni, anche al fine di ridurre gli oneri amministrativi per imprese e pubbliche amministrazioni.
Il Protocollo contribuirà a realizzare la trasparenza amministrativa, funzionale alla prevenzione di fenomeni corruttivi come anche ribadito nel “DDL anticorruzione” recentemente approvato dal Parlamento.

Allegato

  • Protocollo Intesa Avcp-CiVIT (pdf, 175 K, 4 pp.)
ComplianceNet: 

Il modello 231/2001 per gli enti non profit: una soluzione per la gestione dei rischi (Cndcec, 30 ottobre 2012)

Il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC) ha pubblicato  il 30 ottobre 2012 il documento "Il modello 231/2001 per gli enti non profit: una soluzione per la gestione dei rischi" (qui in pdf, .3 M, 102 pp.)
Nel seguito il capitolo "I. Inquadramento normativo e applicabilità del d.lgs.231/2001 al terzo settore" e l'indice del documento.

I. Inquadramento normativo e applicabilità del d.lgs.231/2001 al terzo settore

1. L'ambito applicativo del D.Lgs. 231/2001
Il d.lgs. n. 231/2001 (nota 1) ha introdotto nel nostro ordinamento un peculiare meccanismo di imputazione
della responsabilità ai seguenti soggetti diversi dalle persone fisiche: enti forniti di personalità
giuridica, società e associazioni anche prive di personalità giuridica. In virtù di detto meccanismo, è
prevista l'imputazione all'ente della responsabilità derivante dalla commissione di alcuni reati, i cui
autori sono sempre persone fisiche, in considerazione del particolare legame che esiste tra lo stesso
ente e il soggetto che ha materialmente commesso l'illecito.
L'art. 1, comma 2, del decreto circoscrive l'ambito di applicazione delle disposizioni in esso contenute
a tutti gli enti forniti di personalità giuridica e alle società e associazioni anche prive di personalità
giuridica.
Schematizzando, sono soggetti alla norma in commento:

  • le persone giuridiche private;
  • le società di persone, di capitali, cooperative;
  • le associazioni non riconosciute;
  • gli enti pubblici economici.

Si ritiene, inoltre, che la norma debba essere indirizzata ad ogni tipo di soggetto collettivo, ponendo
l'attenzione sulla natura effettiva dell'ente. In altre parole, ai fini dell'assoggettamento alla norma
appare corretto che la discriminante non debba essere ricercata nella tipologia di soggetto, bensì
nell'attività da esso in concreto svolta. In tal senso si è pronunciata anche la recente giurisprudenza
di legittimità (Cass., 21 luglio 2010, n. 28699), che ha affermato la responsabilità ex d.lgs. 231/2001 delle società a partecipazione pubblica quando svolgono attività economica.
A chi si applica il d.lgs. 231/2001

  • Società di persone
  • Società di capitali
  • Società cooperative
  • Associazioni con personalità giuridica
  • Associazioni senza personalità giuridica
  • Enti pubblici economici
  • Enti privati concessionari di un pubblico servizio

Note al testo

Nota 1) D.lgs. 8 giugno 2001, n. 231 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della L. 29 settembre 2000, n. 300).

Indice

I. INQUADRAMENTO NORMATIVO E APPLICABILITÀ DEL D.LGS. 231/2001 AL TERZO SETTORE
1. L'ambito applicativo del D.Lgs. 231/2001
1.1. I soggetti esclusi
1.2. La c.d. "zona d'ombra" e i nuovi orientamenti giurisprudenziali
2. I criteri di imputazione della responsabilità
3. I reati presupposto
4. Il sistema sanzionatorio
4.1. Sanzioni pecuniarie
4.2. Sanzioni interdittive
4.3. Le altre sanzioni

ComplianceNet: 

Ivass, scelti i due consiglieri della nuova autorità assicurativa (Linkiesta.it, 7 novembre 2012)

Con Riccardo Cesari e Alberto Corinti, la cui nomina deve essere approvata dal Consiglio dei ministri, si completa la squadra dell’Ivass, il nuovo regolatore delle assicurazioni che sarà sotto l’egida di Bankitalia e sarà presieduto per legge dal direttore generale di Via Nazionale.
È stato raggiunto l’accordo sui due consiglieri dell’Ivass, la nuova autorità delle assicurazioni che sostituirà l’Isvap e sarà posta sotto l’ala della Banca d’Italia. Come previsto dalla procedura di nomina fissata dal decreto di luglio sulla spending review, la Banca d’Italia e il ministero dello Sviluppo Economico hanno concordato di indicare Alberto Corinti e Riccardo Cesari quali consiglieri dell’Istituto per la vigilanza sulle assicurazioni. Lo riferiscono fonti vicine al dossier. Il numero uno della nuova autorità di controllo delle assicurazioni sarà per legge il direttore generale di via Nazionale, ruolo attualmente ricoperto da Fabrizio Saccomanni. Il consiglio dell’Ivass è responsabile della gestione interna dell’istituto, mentre le decisioni di rilevanza esterna (incluse le autorizzazioni) spettano al direttorio della Banca d’Italia integrato dai due consiglieri.
Alberto Corinti (vedi il suo profilo su Linkedin) è stato dirigente dell’Isvap fino al 2004: prima ispettore (dal 1990 al 1997), poi responsabile della sezione attuariale vita e quindi capo degli affari internazionali. Da questa posizione è passato al Ceiops (ora Eiopa), il regolatore europeo delle assicurazioni, di cui è stato segretario generale fino al 2007. Dopo un passaggio alla Cea-Insurers of Europe, la federazione europea delle compagnie assicurative, da febbraio 2011 è responsabile dell’ufficio di Bruxelles del Promontory Financial Group, dove era stato chiamato da Tommaso Padoa Schioppa, all’epoca presidente della filiale europea del gruppo. Promontory è una società di consulenza e lobby specializzata su questioni regolatorie nel settore finanziario. Ha rapppresentato l’industria assicurativa europea nei lavori di preparazione di Solvency II, la direttiva europea sui requisiti patrimoniali delle compagnie assicurative, e dei principi contabili internazionali (Ifrs) specificamente applicabili al settore assicurativo.
Riccardo Cesari è professore ordinario di Metodi matematici dell’economia e delle Scienze attuariali e finanziarie presso l’Università di Bologna (v. curriculum). Dal 1984 al 1994 ha lavorato nel servizio studi della Banca d’Italia. Molto stimato negli ambienti sindacali, negli ultimi dieci anni è stato consigliere di amministrazione, ed è tuttora consulente, di diversi fondi pensione, da Cometa (metalmeccanici) ad Arco (lavoratori del legno) a Cooperlavoro (lavoratori delle cooperative). Cesari (guarda video) è anche consulente di Unipol Assicurazioni e valutatore dei gestori finanziari per i fondi pensione Previcooper, Eurofer, Fonte.

ComplianceNet: 

Banca d'Italia: Il Cloud Computing nel sistema finanziario, standard, regolamentazione, controlli. Atti convegno 6 novembre 2012

La Banca d'Italia ha pubblicato sul suo sito  programma e atti del convegno "Il Cloud Computing nel sistema finanziario - standard, regolamentazione e controlli" che si è tenuto il 28 settembre 2012.
Obiettivo dell'incontro è stato "condividere esperienze utili sul cloud computing e valutarne gli impatti sul sistema finanziario e sui presidi da porre in essere a fronte dei potenziali rischi".
Nel suo intervento introduttivo, Emerico Antonio Zautzik  funzionario generale di Banca d'Italia, preposto all'Area Banca centrale, mercati e sistemi di pagamento ha ricordato che l'applicazione della nuvola digitale nei settori e nelle infrastrutture critiche, come possono considerarsi quelle che presiedono all'ordinato funzionamento dei mercati e delle transazioni finanziarie, impone una riflessione attenta sui temi della sicurezza, della continuità di servizio della auditability dei processi.
"Anche in Italia è alta l'attenzione ai programmi cloud da parte del governo e della pubblica amministrazione.
Nel giugno scorso, è stato pubblicato da DigitPA un documento che raccoglie raccomandazioni e proposte per l'adozione del paradigma cloud computing nella pubblica amministrazione.
Le azioni proposte tendono ad assicurare ad una gran parte dei servizi di eGovernment quelle caratteristiche di efficacia, efficienza, trasparenza, partecipazione, condivisione, cooperazione, interoperabilità e sicurezza già condivise nella Dichiarazione  
Gli approfondimenti finora svolti confermano, da un lato, le potenzialità economiche della nuova tecnologia; evidenziano, nel contempo, alcune criticità connesse con la sua introduzione in settori dove l'integrità, la confidenzialità e la tracciabilità dei dati sono fattori critici.
(…)
Non a caso le disposizioni di vigilanza in tema di controlli interni, ancora in fase di consultazione pubblica, richiamano esplicitamente il modello del cloud computing e sollecitano gli operatori a inviare i loro commenti " in considerazione della relativa novità del modello e della limitata esperienza maturata finora nel settore bancario in tale ambito".
Di seguito programma, elenco completo degli atti e il testo integrale dell'intervento di Emerico Antonio Zautzik.

Programma

  • Qui il programma in pdf (60 K, 1 pag.)

Il cloud computing nel sistema finanziario, Standard, regolamentazione e controlli, Banca d'Italia, 28 settembre 2012

  • 09:15 – 09:30 Apertura dei lavori (Banca d'Italia), testo disponibile tra gli atti
  • 09:30 – 10:15 Presentazione della ricerca (Banca d'Italia), testo disponibile tra gli atti
  • 10:15 – 10:45 Cloud e controlli (ISACA), testo disponibile tra gli atti
  • Coffee break
  • 11:15 – 12:50 Le questioni aperte. Tavola Rotonda
  • Coordinatore (Banca d'Italia)
  • L'Agenda Digitale Italiana (Ministero dello Sviluppo Economico)
  • La regolamentazione europea sulla tutela dei dati personali (Garante Privacy), testo disponibile tra gli atti
  • Le riflessioni/esperienze di una banca italiana (Unicredit)
  • Le scelte di un service provider (SIA)
  • 12:50 -13:20 Dibattito
  • 13:20 – 13:30 Chiusura dei lavori

Atti

  • Giulio Spreafico,  CISA CISM CGEIT CRISC, "I Controlli nel Cloud Computing", (pdf, 450 K, 27 pp.)
  • Paola Masi, Servizio Supervisione sui Mercati e sul Sistema dei Pagamenti di Banca d'Italia, "Il cloud per le infrastrutture critiche del sistema dei pagamenti" (pdf, 282 K, 8 pp.)
  • Emerico Antonio Zautzik, funzionario generale di Banca d'Italia, preposto all'Area Banca centrale, mercati e sistemi di pagamento, "Intervento di apertura", (pdf, 89 K, 3 pp.)
  • Cosimo Comella, Ufficio del Garante per la protezione dei dati
    personali, "Protezione dei dati personali e iniziative per lo sviluppo
    del cloud computing in Europa" (pdf, 300 K, 26 pp.)

Intervento di apertura di Emerico Antonio Zautzik

Gentili partecipanti, è con vivo interesse che introduco i lavori di questo seminario sul cloud computing, un nuovo modello di distribuzione e utilizzo dell'ICT.
Obiettivo dell'incontro è di condividere esperienze utili a valutarne gli impatti sul sistema finanziario e sui presidi da porre in essere a fronte dei potenziali rischi
Il cloud computing è un modello che prevede l'accesso a risorse informatiche e servizi condivisi e configurabili con ampio grado di flessibilità.
Dal punto di vista logico, la 'nuvola' si basa su uno schema concettuale relativamente semplice, con importanti conseguenze sul piano tecnico e organizzativo.
Per valutare l'innovazione si può far ricorso ad un efficace esemplificazione che Umberto Eco richiama nel commentare l'utilizzo del computer: 'scrivere a macchina' invece che 'a mano' è un progresso, 'scrivere con un computer' è organizzare il pensiero diversamente.
Il cloud computing può rientrare in quest'ultima tipologia: modifica l'approccio alla gestione delle risorse informatiche nel processo produttivo.
La Banca d'Italia, nella sua funzione di sorveglianza, si è interessata al fenomeno dopo che il dibattito ha superato l'ambito dell'informatica pura e ha innescato le prime riflessioni all'interno del settore finanziario influenzando le scelte di alcuni grandi operatori di mercato (p.e. tutte le contrattazioni del Nasdaq sono nella ‘nuvola' di Amazon), le politiche di e-government in alcuni paesi occidentali.
L'applicazione della nuvola digitale nei settori e nelle infrastrutture critiche, come possono considerarsi quelle che presiedono all'ordinato funzionamento dei mercati e delle transazioni finanziarie, impone una riflessione attenta sui temi della sicurezza, della continuità di servizio della auditability dei processi.
Lo sviluppo del cloud può essere favorito dalla standardizzazione d'interfacce applicative, di formati dei dati, di modelli per contratti e accordi sui livelli di servizio.
Tutti questi temi sono all'attenzione degli operatori in sedi diverse: il settore finanziario italiano può utilmente e fattivamente contribuire alla definizione di standard e principi.
Il passaggio al cloud da parte delle infrastrutture finanziarie deve tuttavia confrontarsi con aspetti istituzionali, regolamentari e infrastrutturali, legate anche alle scelte che verranno operate dai diversi attori a livello europeo e nazionale.
In Europa, è attesa entro fine anno la definizione di una compiuta politica in materia da parte della Commissione Europea.

Pagine