Integrità nella condotta aziendale

Le “Linee Guida Anticorruzione di Gruppo” individuano i principi, identificano le aree sensibili e definiscono i ruoli, le responsabilità e i macro-processi per la gestione del rischio di corruzione e definiscono l’impegno a rispettare le disposizioni normative volte a contrastare la corruzione in ogni sua forma (principio di “tolleranza zero”). Vengono approvate dagli Organi Societari. Il presidio della materia è assegnato all’Area di Governo Chief Compliance Officer. Devono essere rispettate dagli esponenti aziendali e da tutto il personale del Gruppo e si applicano a tutte le società e i paesi in cui il gruppo opera ad eccezione delle entità che svolgono esclusivamente attività accessorie di servizi e di ricerca. Si rivolgono altresì ai soggetti esterni (fornitori, agenti, consulenti, professionisti, partner commerciali, lavoratori autonomi o parasubordinati, ecc.) che prestano la loro collaborazione al Gruppo per la realizzazione delle sue attività. Per questo motivo, sono messe a disposizione di tutti gli stakeholder attraverso il sito web istituzionale del Gruppo e alle controparti beneficiarie di iniziative liberali o di sponsorizzazione nonché alle terze parti, che collaborano con il Gruppo, in sede di formalizzazione dei relativi rapporti.

A livello operativo, il personale del Gruppo deve immediatamente segnalare violazioni delle disposizioni delle “Linee Guida Anticorruzione” al proprio Responsabile che a sua volta ha l’obbligo di trasmettere la segnalazione ricevuta al Responsabile aziendale Anticorruzione e alla funzione preposta all’Internal Audit per le valutazioni del caso. Resta ferma la possibilità di utilizzare i sistemi di segnalazione previsti dalle apposite regole in merito ai sistemi interni di segnalazione delle violazioni (Whistleblowing). 

Il Gruppo è soggetto alla procedura di certificazione UNI ISO 37001:2016 Anti-bribery management systems che costituisce lo standard internazionale in materia (valida sino al 2025) da parte di una società esterna.

Le principali azioni attuate nell’ambito della prevenzione della corruzione consistono nella revisione costante delle “Linee Guida Anticorruzione di Gruppo” (ultimo aggiornamento approvato dal CdA nel corso del 2025), nell’aggiornamento delle regole in materia di gestione degli omaggi e delle spese di rappresentanza e nella pianificazione dell’adeguamento alle raccomandazioni dell'organismo di certificazione ai fini ISO 37001:2016.

Il Gruppo ha ottenuto nel corso del 2025 il rinnovo della certificazione.

La revisione delle “Linee Guida Anticorruzione” avviene con frequenza annuale. 

In Intesa Sanpaolo la formazione in materia di anticorruzione e antiriciclaggio è obbligatoria e segue cicli pluriennali, anche in base alle normative locali. Nel 2025 sono state erogate complessivamente per anticorruzione e antiriciclaggio 452.194 ore di formazione a 87.113 persone del Gruppo (il 96% del totale). 

Nel 2025 non si segnalano condanne e/o sanzioni per violazione delle leggi anticorruzione e anti-concussione, di conseguenza non sono state comminate multe e sanzioni a carico del Gruppo Intesa Sanpaolo.

Intesa Sanpaolo presidia e promuove costantemente la libera concorrenza e diffonde la cultura di compliance alla normativa antitrust anche tramite la costituzione di uno specifico team interno volto a vigilare sul rispetto delle norme antitrust, l’adozione di una Policy e un programma di formazione e informazione. Nel 2025 sono state 69.474 persone del Gruppo formate (76,5% del totale) e 1.291.710 ore erogate.

Il Gruppo Intesa Sanpaolo mantiene da sempre alto e costante l’impegno nella protezione dei dati personali delle persone con cui il Gruppo interagisce, assicurando la raccolta ed il trattamento dei dati nel rispetto delle disposizioni legislative vigenti. Medesimo impegno si riflette anche nella protezione dei dati personali dei clienti.

Il quadro normativo di riferimento per la tutela dei dati personali è rappresentato dal Regolamento (UE) 2016/679 (c.d. General Data Protection Regulation, GDPR) entrato in vigore il 25 maggio 2018, i cui nuovi precetti sono stati assimilati dal Gruppo e formalizzati nei principali documenti interni di governance costituiti dal Codice Etico, che delinea i principi ed i valori su cui il Gruppo basa le proprie scelte e attività, e dal Codice Interno di Comportamento dove sono definite le condotte che i dipendenti ed i collaboratori dello stesso sono chiamati ad osservare per assicurare il corretto trattamento dei dati. Le prescrizioni in materia sono indicate nelle Linee Guida sulla protezione dei dati personali delle persone fisiche e nelle Regole aziendali per il trattamento e la protezione dei dati personali delle persone fisiche.

Le Linee Guida definiscono il modello di gestione del rischio di non conformità in materia di protezione dei dati personali di tutte le persone fisiche con cui il Gruppo interagisce, inclusi i dipendenti e collaboratori, stabilendo i principi generali e declinando i ruoli e le responsabilità degli Organi e delle strutture aziendali coinvolte, i macro-processi di presidio e controllo del rischio, nonché il modello di indirizzo e coordinamento di Gruppo. Inoltre, sanciscono gli adempimenti richiesti ai fini del trattamento e della protezione dei dati personali e stabiliscono l’applicazione di sanzioni in caso di inosservanza delle disposizioni.

L’informativa privacy è stata aggiornata a marzo 2025 con elementi di novità che riguardano:

• il trattamento dei dati che la Banca effettua mediante l’utilizzo di sistemi di intelligenza artificiale, la valutazione automatica della sostenibilità finanziaria delle operazioni (c.d. Affordability), la base giuridica del legittimo interesse nella gestione di operazioni societarie e strategiche, la comunicazione tra società del Gruppo relative alle segnalazioni di operazioni sospette, la profilazione per finalità antifrode e presidio della sicurezza IT e la contitolarità tra la Banca e S.W.I.F.T.,  nelle operazioni di pagamento internazionale. L’informativa privacy, pubblicata sul sito web istituzionale, specifica che il Gruppo Intesa Sanpaolo attua il trattamento dei dati personali solo per le finalità descritte ed esplicitamente indicate nella stessa, resa disponibile agli interessati. Nessun trattamento viene attuato per finalità secondarie non esplicitamente indicate. In relazione al trattamento di dati personali per finalità di marketing, è richiesta la manifestazione di un consenso libero, esplicito e inequivocabile da parte dell’interessato; qualora quest’ultimo neghi il consenso o non effettui alcun tipo di scelta, i dati raccolti non saranno in alcun modo trattati e utilizzati per tale scopo. Il mancato rispetto della normativa esterna o interna inerente alla tutela della privacy da parte di un autorizzato al trattamento comporta l’attivazione di un iter volto a verificare l’effettiva condotta non conforme. Nel caso di violazioni accertate e non giustificate, vengono sempre informate le funzioni preposte per l’avvio di un procedimento disciplinare che di norma si conclude comminando uno dei provvedimenti previsti dalla normativa di riferimento.

Il Gruppo, con società localizzate in diversi paesi UE ed extra-UE, si conforma alle normative locali secondo quanto dalle stesse espressamente previsto in materia di protezione dei dati personali. 

A giugno 2025 è stato approvato dal Consiglio di Amministrazione di Intesa Sanpaolo l’aggiornamento delle Linee Guida sulla protezione dei dati personali delle persone fisiche, che recepisce la declinazione del principio (già presente nella precedente versione e ulteriormente rafforzato nella versione aggiornata) per cui il trattamento dei dati personali, svolto dalle persone autorizzate, deve essere attinente e/o connesso alle mansioni affidate, oltre ai principi dei trattamenti effettuati mediante sistemi di intelligenza artificiale. 

Intesa Sanpaolo richiede ai Fornitori e Terze Parti di rispettare le norme, i regolamenti e gli standard interni in materia di protezione dei dati personali, individuando il loro ruolo soggettivo nel trattamento dei dati personali, valutando l'esistenza delle garanzie necessarie, formalizzando le condizioni contrattuali e valutandone la conformità e l'adeguatezza.

Il mancato rispetto della normativa esterna o interna inerente alla tutela della privacy da parte di un autorizzato al trattamento comporta l’attivazione di un iter volto a verificare l’effettiva condotta illecita. Nel caso di violazioni accertate e non giustificate, vengono sempre informate le funzioni preposte per l’avvio di un procedimento disciplinare, che di norma si conclude comminando uno dei provvedimenti previsti dal codice disciplinare nei confronti del soggetto inadempiente.

Come parte di questo approccio, promuovere una cultura della privacy a tutti i livelli aziendali è fondamentale per la supervisione del rischio di conformità. Il piano di formazione per i dipendenti riguardo alla protezione dei dati personali è definito e aggiornato dal Data Protection Officer, che fornisce e convalida il materiale di formazione e monitora la partecipazione e i risultati dei corsi.

Nel 2025, il Gruppo ha proseguito le attività di sensibilizzazione sulla protezione dei dati personali per i dipendenti offrendo corsi obbligatori e monitorando i risultati. È stata inoltre completata l'adozione di una piattaforma di gestione, per uso interno, che facilita la gestione integrata dei principali processi di privacy. Nel 2025 sono state formate 74.618 persone sui temi della protezione della privacy (82,2% del totale) e 106.261 ore di formazione sono state erogate.

Intesa Sanpaolo promuove un’organizzazione del lavoro trasparente e sostenibile, con responsabilità chiare a tutti i livelli. La responsabilità della gestione e, di conseguenza, anche del monitoraggio dell’effettiva applicazione degli accordi sindacali è attribuita alla Direzione Centrale Affari Lavoro, Politiche e Sicurezza.

Con riferimento al Codice Interno di Condotta del Gruppo, nel corso del 2025 il Gruppo ha previsto corsi di formazione digitale obbligatori ai propri dipendenti al momento dell'assunzione; questi corsi sono sempre disponibili su piattaforme aziendali dedicate al personale del Gruppo (in italiano e inglese). Corsi di formazione specifici aditsono stati previsti anche per i dipendenti della Divisione Banche Estere.

La pianificazione delle attività di audit all'interno del Gruppo è coordinata da una struttura interna dedicata, la Funzione Internal Audit. Nel 2025 le attività di audit sono state strutturate su tre livelli (strategico pluriennale, operativo annuale e operativo trimestrale) e hanno riguardato 269 Aree di Rischio, con 320 audit completati (di cui 51 audit "straordinari").

Come richiesto dagli standard internazionali, la Funzione di Internal Audit è soggetta a un regolare Quality Assurance Review (QAR) esterno. Il QAR più recente è stato avviato nella seconda metà del 2024 ed è ancora in corso, mentre la precedente revisione, condotta nel 2022, ha confermato il continuo sviluppo della Funzione in linea con gli standard internazionali, nonché un aumento dell'efficacia rispetto ai precedenti risultati del QAR.

L'attività di audit ha riguardato 82 audit classificati come significativi ai sensi del D.Lgs. 231/2001, di cui 10 focalizzati sul rischio corruzione. Inoltre, nell'ambito del programma di audit ESG sono stati condotti 68 audit ESG, che hanno affrontato temi quali la governance ESG, il rischio di greenwashing, finanziamenti EU Taxonomy aligned, rischi reputazionali, rischi fisici e idrologici,  fattori ESG nei processi di credito, gestione delle iniziative in ottica di economia circolare, attività di stewardshio ESG, impatto sociale dei crediti retail (in particolare sulle iniziative di Impatto), la gestione delle liberalità delle sponsorizzazioni e delle attività di beneficenza. Queste attività hanno confermato un livello di rischio complessivo accettabile, con misure di mitigazione monitorate attraverso strumenti digitali dedicati.

Tra le ulteriori iniziative avviate nel 2025, il programma SAIL (Strategic Audit Innovation Line-up) ha supportato la continua evoluzione della Funzione di Internal Audit. 

Nel Gruppo è attivo un sistema interno di segnalazione di violazioni (Whistleblowing) relative a normative sia nazionali sia europee, che ledono l’interesse pubblico o l’integrità di Intesa Sanpaolo e delle Società del Gruppo ovvero a politiche e/o procedure interne dell’azienda, di cui si è venuti a conoscenza nell’ambito del contesto lavorativo.

La normativa interna di riferimento in materia, di responsabilità dell’Area Chief Audit Officer, è rappresentata da apposito documento di regole di Gruppo sui sistemi interni di segnalazione delle violazioni ed è consultabile da tutti i soggetti che prestano la loro attività nel Gruppo Intesa Sanpaolo sulla intranet aziendale. Inoltre, un’informativa di sintesi è presente anche sul sito web istituzionale del Gruppo. Possono effettuare una segnalazione whistleblowing:

• i lavoratori dipendenti e i lavoratori autonomi che svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i titolari di un rapporto di collaborazione professionale;
• i lavoratori o collaboratori che forniscono beni o servizi o che realizzano opere in favore di terzi e svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i liberi professionisti e i consulenti che svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i volontari e i tirocinanti;
• gli azionisti (persone fisiche);
• le persone con funzione di amministrazione, controllo, vigilanza o rappresentanza.

Tali soggetti possono segnalare una violazione tramite canali disponibili 24 ore su 24 (e-mail o messaggistica vocale) reperibili sul sito web istituzionale del Gruppo e sul portale intranet del Gruppo, in italiano o in inglese (lingua internazionale di riferimento), ovvero con la lingua della nazione di appartenenza. Le informazioni sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni sono disponibili sul portale intranet della Banca e nell’apposita sezione del sito internet di Gruppo.

Nel 2025 sono state ricevute 64 segnalazioni, di cui 10 giudicate non pertinenti, mentre 55 hanno dato luogo all’avvio di specifiche istruttorie. Sono attivi canali dedicati di whistleblowing anche presso le Banche Estere del Gruppo, che hanno ricevuto 10 segnalazioni, di cui 2 giudicate non pertinenti.

Per le segnalazioni di presunta inosservanza del codice etico, è disponibile l’indirizzo e-mail: codice.etico@intesasanpaolo.com

Nel rispetto del Codice Etico, l'intero Gruppo si impegna ad osservare principi improntati a valori di onestà e integrità nella gestione della materia fiscale, al rispetto delle normative fiscali applicabili nei Paesi in cui il Gruppo opera e al mantenimento di un rapporto di collaborazione e trasparenza con l'Amministrazione finanziaria, anche attraverso l'adesione a schemi di adempimento cooperativo.

Intesa Sanpaolo riconosce l'importanza di contribuire alle comunità delle giurisdizioni in cui opera, attraverso il pagamento del giusto importo delle imposte e per questo pone particolare attenzione all'evoluzione della normativa fiscale, sia a livello nazionale che internazionale, volta a contrastare l'erosione della base imponibile e il trasferimento degli utili, con il costante impegno ad aderire a tali principi.

Il Gruppo ha rafforzato il sistema interno di controllo del rischio fiscale, il Tax Control Framework ("TCF"). Il TCF ha lo scopo di monitorare l'importanza strategica del rischio fiscale e di soddisfare i requisiti per l'accesso al regime di adempimento cooperativo introdotto in Italia (ai sensi del D.Lgs. 128/2015) e, contestualmente, ha aggiornato il Modello di Organizzazione, Gestione e Controllo, ai fini della responsabilità degli enti per reati tributari,  sancito dal D.Lgs. n. 231 del 2001, al fine di monitorare il rischio di frode fiscale.

A dicembre 2017 il Gruppo Intesa Sanpaolo si è dotato dei Principi di condotta in materia fiscale al fine di assicurare nel tempo la conformità alle regole fiscali e tributarie dei Paesi dove opera e di garantire l’integrità patrimoniale e reputazionale di tutte le Società del Gruppo. 

Sono inoltre state approvate le Linee Guida per la gestione del rischio fiscale nell’ambito del regime di adempimento collaborativo con l’Agenzia delle Entrate che disciplinano i criteri e i processi che Intesa Sanpaolo deve adottare per garantire adeguatezza ed effettività al proprio Tax Control Framework nonchè le relative Regole.

L’informativa sulle tasse è disponibile all’interno del SDGs report pagina 127

Intesa Sanpaolo è impegnata nell’utilizzo etico e responsabile dell’intelligenza artificiale, nel rispetto dell’AI Act, la normativa europea sull’IA- Intelligenza Artificiale.

Questo impegno si riflette nel recente aggiornamento delle “Linee Guida sull’utilizzo dell’IA”, che definisce ruoli, responsabilità e macro-processi di governance in allineamento alla normativa vigente.

Le Linee Guida definiscono il framework di adozione dell’IA nel Gruppo e sono aggiornate periodicamente per riflettere gli sviluppi normativi e tecnologici. Nel 2025, Intesa Sanpaolo ha aggiornato anche altri documenti di normativa interna, come le “Regole di Compliance per lo Sviluppo e l’Uso dell’IA” e le “Regole di Governance per l’Adozione di Soluzioni IA.

Il Gruppo ha altresì implementato programmi e strumenti dedicati per favorire il rispetto dei principi di equità e non discriminazione algoritmica, spiegabilità dei sistemi di IA, trasparenza e tracciabilità delle decisioni e sorveglianza umana efficace. Il Gruppo è impegnato a non sviluppare e non utilizzare sistemi di IA per scopi vietati, tra cui:

• creazione di banche dati di riconoscimento facciale attraverso la raccolta indiscriminata e di massa di immagini;
• riconoscimento delle emozioni sul posto di lavoro o in contesti educativi (salvo nei casi espressamente autorizzati dalla legge, ad esempio per specifici scopi medici o legati alla sicurezza)
• classificazione biometrica basata su caratteristiche sensibili;
• identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, salvo nei casi espressamente autorizzati dalla legge.

Sono state definite procedure di classificazione per mappare le iniziative relative all'intelligenza artificiale per:

•  supportare l'identificazione dei sistemi ad alto rischio
• supportare lo sviluppo dell’inventario dei sistemi di IA
• identificare tempestivamente eventuali sistemi di IA ad alto rischio
• prevenire possibili pratiche vietate.

Per i sistemi ad alto rischio, ammessi sul mercato europeo ma soggetti a obblighi specifici, il Gruppo ha implementato un processo di “Responsible AI by Design” al fine di presidiare la conformità ai requisiti normativi, con misure di salvaguardia obbligatorie durante l'intero ciclo di vita del sistema (tra cui equità, trasparenza e supervisione umana) e una valutazione preventiva da parte dei comitati competenti. Sono state sviluppate misure di protezione specifiche per l'IA generativa, volte a mitigare rischi quali la generazione di contenuti tossici o fuorvianti, allucinazioni, violazioni della privacy e tentativi dolosi di prompt-injection.

In conformità con la legge sull'IA, ogni sistema di IA ad alto rischio è soggetto ad un presidio digestione dei rischi legati all'IA (AI- Risk Management System) concepito per identificare, valutare e mitigare i rischi per la salute, la sicurezza e i diritti fondamentali, compreso l'uso improprio ragionevolmente prevedibile. La gestione dei rischi è presidiata con un monitoraggio costante e azioni correttive qualora emergano nuovi rischi; le misure di salvaguardia e le analisi sono soggette a revisione preventiva da parte del Comitato di controllo dei rischi non finanziari. Il titolare dell'attività è anche responsabile del monitoraggio delle prestazioni del sistema e dell'intervento in caso di degradazione o di problemi critici.

Nel caso di sistema non classificato ad alto rischio, fornito da terzi, il deployer è tenuto a verificare il rispetto degli obblighi di legge, compresa, ove tecnicamente fattibile, l’indicazione o l’etichettatura dei risultati come contenuti generati o modificati dall’IA. Il responsabile della messa in produzione del sistema deve garantire un'adeguata informazione e trasparenza anche per i sistemi non classificati come ad alto rischio, ad esempio quando le persone sono esposte al riconoscimento delle emozioni, alla classificazione biometrica o a contenuti deepfake generati o manipolati dall'IA. Allo stesso tempo il Gruppo ha lanciato iniziative ESG x AI al fine di misurare il consumo energetico legato all'intelligenza artificiale e convertirlo in emissioni di CO₂, contribuendo a sensibilizzare l'opinione pubblica e orientando i futuri miglioramenti in termini di efficienza e sostenibilità.

Inoltre, ha promosso iniziative di IA Literacy e formazione volte ad aumentare la consapevolezza delle persone del Gruppo sui rischi connessi all’uso dell’IA e sul suo utilizzo responsabile. Tali iniziative rientrano nell’IA Pact, di cui Intesa Sanpaolo è un membro attivo. E’, infatti, una delle sei aziende italiane incluse nel “Living Repository of AI Literacy Practices della Commissione Europea”, che riconosce il contributo nel promuovere la cultura in materia di IA attraverso iniziative formative e attività di knowledge-sharing per le persone del Gruppo.

Intesa Sanpaolo ha creato un ecosistema interno di ricerca e innovazione che consente al Gruppo di anticipare e affrontare le sfide e le opportunità legate all'IA, di contribuire alla crescita delle relative conoscenze e di consolidare il proprio ruolo attraverso:

• Academy interna sull’IA, che coinvolge 61.000 persone del Gruppo in Italia e all’estero;
• community interna di apprendimento “Data & AI”, con oltre 10.500 colleghi iscritti;
•  collaborazioni accademiche (tra cui: CETIF – Master Executive Responsible AI, SDA Bocconi EMF Fintech Lab, Berkeley USA SkyLab);
• partnerships strategiche (tra cui: FAIR EU, Horizon TANGO).

Infine, il Gruppo promuove la diffusione della cultura digitale attraverso iniziative come Opening Future, progetto congiunto tra Intesa Sanpaolo, Google Cloud e TIM Enterprise. L’obiettivo è promuovere la cultura digitale, sfruttando le competenze tecnologiche e nel campo dell'IA delle aziende partner, sia a livello locale che internazionale, attraverso una serie di iniziative:

• sviluppo del capitale umano: implementazione di progetti volti alla formazione di studenti, docenti, professionisti, PMI e startups sui temi legati all’AI;
• coinvolgimento della community di apprendimento, con eventi per la condivisione di conoscenza e il networking;
• DE&I: programmi formativi volti ad aiutare la riduzione del gender gap nel settore tecnologico, promuovendo il rispetto dei principi di non discriminazione e di equo accesso alle opportunità.

Dal 2021 sono state coinvolte circa 5.000 PMI, startup e fintech, oltre 23.500 studenti e docenti e sono state erogate più di 3.300 ore di formazione(**).
Inoltre, il ”Programma AIxeleration” ha continuato a promuovere l’adozione dell’IAartificiale all’interno del Gruppo . Sono stati sviluppati più di 150 use case, grazie a 300 specialisti dedicati all’IA (**), i fini di una maggiore comprensione delle esigenze delle persone del Gruppo e dei clienti.

(**) Dati aggiornati al 31 dicembre 2025.

Link di approfondimento:

• Linee Guida Utilizzo IA
  
  
• AI Pact 

• Opening Future

• Pagina IA di gruppo

• Academy4Future