Integrità nella condotta aziendale

Intesa Sanpaolo ha definito le Linee Guida Anticorruzione di Gruppo, approvate dal CdA e il Modello di Organizzazione, Gestione e Controllo adottato ai sensi del D.Lgs. 231/2001 che, insieme al Codice Etico, definiscono l’impegno a rispettare le disposizioni normative volte a contrastare la corruzione attiva e passiva in ogni sua forma.  Viene posta particolare attenzione al rispetto della normativa nazionale e internazionale in materia di riciclaggio e finanziamento del terrorismo anche attraverso processi e procedure inerenti gli obblighi di adeguata verifica della clientela, segnalazione delle operazioni sospette e valutazione e gestione del rischio.

Il 21 aprile 2022 il Consiglio di Amministrazione di Intesa Sanpaolo ha approvato l’aggiornamento delle Linee Guida Anticorruzione di Gruppo al fine di prevedere la non applicazione delle condizioni di mercato in caso di iniziative con finalità sociali e/o culturali, disponendo per tali fattispecie principi di comportamento e di controllo analoghi a quelli declinati per le beneficenze. Nel corso del 2022 è proseguita la verifica di coerenza della normativa interna di dettaglio ai principi generali definiti nelle Linee Guida Anticorruzione, al fine di procedere al necessario allineamento, e l’analisi dei presidi anticorruzione effettivamente in essere nelle singole aree a maggior rischio, al fine di individuare eventuali interventi di rafforzamento. In particolare, sono state aggiornate le normative di processo in tema di cessione dei crediti deteriorati, partecipazioni finanziarie, gestione del patrimonio immobiliare e reclutamento e selezione delle persone in ruoli dirigenziali.

Nel 2022 sono state erogate 297.227 ore di formazione su queste tematiche (+20% rispetto al 2021), coinvolgendo 74.539 persone (78,5% del totale). Inoltre non si sono riscontrati licenziamenti per corruzione nè sanzioni disciplinari per corruzione verso i collaboratori. 

Intesa Sanpaolo ha ottenuto, tra le prime banche in Europa, il rinnovo del certificato di conformità del suo sistema di gestione anticorruzione - applicato alle società italiane ed estere del Gruppo - agli standard internazionali della normativa ISO 37001. Il certificato di conformità rinnovato ha previsto un ampliamento del perimetro che comprende le entità del Gruppo incluse nel risk assessment di Compliance e di Anti Financial Crime. In particolare, la certificazione riguarda Intesa Sanpaolo (incluse le filiali estere), le entità bancarie e le principali realtà finanziarie e assicurative. La certificazione ha validità sino a maggio 2025, subordinatamente a due audit di mantenimento che si svolgeranno rispettivamente nel 2023 e nel 2024.

Intesa Sanpaolo presidia e promuove costantemente la libera concorrenza e diffonde la cultura di compliance alla normativa antitrust anche tramite la costituzione di uno specifico team interno volto a vigilare sul rispetto delle norme antitrust, l’adozione di una Policy e un programma di formazione e informazione. Nel 2022 sono state erogate 1.520.274 ore di formazione sul tema e sono stati formati 73.962 persone del Gruppo (77,9% del totale).

Intesa Sanpaolo è impegnata costantemente nell’attuazione degli interventi normativi, organizzativi e tecnologici, in linea con i più importanti standard di riferimento, volti a garantire la difesa dei diritti umani ed in particolare a rispondere adeguatamente alle fondamentali esigenze di tutela della privacy. Gli interventi adottati rispondono ai principi del Codice Etico di Gruppo che impegnano le società del Gruppo nell’adozione di criteri di assoluta trasparenza nell’informare i clienti e collaboratori sui loro diritti in materia e sulle modalità con cui vengono trattate le loro informazioni personali. Intesa Sanpaolo attribuisce una rilevanza strategica alla tutela e protezione dei dati personali delle persone fisiche oltre la piena attuazione delle previsioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (General Data Protection Regulation - GDPR), entrato in vigore il 25 maggio 2018. Tale impegno è articolato nelle Regole aziendali per il trattamento dei dati personali e nelle Linee Guida sulla protezione dei dati personali delle persone fisiche, approvate dal Consiglio di Amministrazione, che forniscono il quadro complessivo di comportamenti rivolto a tutte le persone del Gruppo, nonché a coloro i quali collaborano con la stessa, ed individuano i ruoli e le responsabilità di attuazione delle regole interne.

Intesa Sanpaolo attua il trattamento dei dati personali solo per le finalità descritte nell’informativa resa disponibile agli interessati, esclusivamente in seguito alla raccolta del loro consenso al trattamento, per le finalità esplicitamente indicate. Nessun trattamento è attuato per finalità secondarie non esplicitamente indicate e per le quali non sia stato raccolto il consenso dell’interessato.

Modello organizzativo della protezione dei dati personali

Intesa Sanpaolo ha definito un modello di gestione del rischio di non conformità con riferimento alla protezione dei dati personali che è parte integrante del sistema dei controlli interni.

Il Consiglio di Amministrazione ed il CEO hanno il ruolo di Titolare del trattamento con il compito di individuare i ruoli, le responsabilità, i macroprocessi ed i flussi infomativi necessari ad assicurarne l’operatività.

Il Data Protection Officer, con il supporto della Funzione Privacy, presidia secondo un approccio risk based il rischio di non conformità in materia di protezione dei dati personali operando in posizione di indipendenza come funzione specialistica di Compliance in coerenza con le Linee Guida di Compliance di Gruppo.

Gli Organi Societari della Capogruppo sono responsabili, ciascuno secondo le proprie competenze e prerogative, di assicurare l’adeguato presidio del rischio di non conformità in materia di protezione dei dati personali ai quali il Gruppo è o potrebbe essere esposto.

Il Comitato Rischi e Sostenibilità supporta il Consiglio di Amministrazione, al fine di assicurare il miglior presidio dei rischi di non conformità in materia di protezione dei dati personali.

Il Chief Risk Officer collabora con il Chief Compliance Officer ed il Data Protection Officer per la definizione delle metodologie di valutazione dei rischi di non conformità, favorendo le sinergie con gli strumenti e i metodi propri dell’Operational Risk Management.

Le Società del Gruppo stabilite nell’Unione Europea sono tenute a recepire le Linee Guida sulla Protezione dei Dati Personali, adeguandole al proprio contesto societario e, nel caso di Società estere, alle specificità delle normative locali.

Intesa Sanpaolo richiede ai propri fornitori il rispetto delle policy dei regolamenti e degli standard inerenti la protezione dei dati personali, definendone il ruolo soggettivo nelle attività di trattamento, valutando la sussistenza delle garanzie necessarie, formalizzando le condizioni contrattuali, ed attuando assessment di conformità e adeguatezza.

Le Terze Parti che intendono avviare rapporti contrattuali con Intesa Sanpaolo devono accreditarsi tramite un Portale Fornitori che consente di valutare l’adeguatezza ed il livello di maturità in base a determinati criteri, inclusi quelli di capacità, affidabilità ed esperienza della Terza Parte in materia di protezione dei dati personali.

Nell’ambito della stipula degli accordi di fornitura con le Terze Parti che prevedano un trattamento di dati personali, viene avviato l’esame specifico per la determinazione del ruolo soggettivo del Fornitore. Qualora dalla valutazione risulti che la Terza Parte opera in veste di Responsabile del Trattamento dei dati personali, viene predisposta una lettera di nomina recante le clausole specifiche vincolanti inerenti al rispetto dei requisiti di protezione dei dati personali.

I fornitori nominati Responsabili del trattamento di dati personali vengono sottoposti a periodiche attività di assessment volte ad accertare l’adeguatezza dei presidi privacy, attraverso attività di monitoraggio condotte con verifiche presso il Fornitore o attraverso attività di self assessment.

Nel 2022 sono state erogate 67.228 ore di formazione sul tema privacy - coinvolgendo 57.696 persone del Gruppo (60,8% del totale) - e 1.672.752 ore di formazione sul tema della tutela del consumatore - coinvolgendo 67.286 persone del Gruppo (70,9% del totale). 

Il Gruppo opera affinché il proprio ambiente di lavoro sia permeato dalla reciproca fiducia, dalla lealtà e arricchito dall’apporto di ogni persona, nel rispetto della normativa e degli accordi relativi alla contrattazione nazionale e di secondo livello (Gruppo).
Nel 2022 sono state notificate 54 cause per violazioni di norme giuslavoristiche e ne sono state chiuse 112. Le principali tipologie di contenzioso in corso riguardano danni da dequalificazione, impugnative di licenziamenti e sanzioni, disciplinari, mansioni superiori, cessazione del rapporto di lavoro (cessione ramo d’azienda - Intrum). Nel 2022 non risultano notificate cause di persone del Gruppo in servizio che abbiano quale oggetto esclusivo il mobbing.

Al fine di assicurare che il proprio agire sia allineato a principi di integrità, la banca ha disegnato un sistema di controlli finalizzato a mantenere un presidio costante nell’identificazione, governo e controllo dei rischi connessi alle attività svolte e in tal senso realizza attività di audit con cadenza prefissata in relazione alla natura e all’intensità dei rischi. 
Riguardo le attività di audit condotte nel 2022 su Strutture Centrali, Banche e Società del Gruppo, sono state completate le attività sulle 259 Aree di Rischio individuate in fase di pianificazione, con il perfezionamento di 325 attività di verifica (66 delle quali “straordinarie”, originate da richieste specifiche di Organi Aziendali, Autorità di Vigilanza o da accadimenti/circostanze che si verificano dopo il perfezionamento della pianificazione annuale). 
Nel 2022 sono state segnalate come rilevanti ai fini del D. Lgs. 231/2001, 135 attività di verifica. Tra queste, 7 hanno riguardato il rischio corruzione impattando su 8 Aree di Governo/Divisioni/Legal entities. 
In ambito ESG, l’attività di audit del 2022 si è articolata principalmente su un Programma di verifiche (10 interventi) riguardante l’analisi dell’evoluzione della Governance (Reporting, Stress testing, Product Governance) e del framework ESG (metodologie per lo Scoring ESG di Capogruppo ed Eurizon, impatti ESG nella Concessione del credito e nel processo del Funding). È stato inoltre svolto un intervento trasversale sull’ambito Social. Come già in passato, altri interventi hanno previsto obiettivi di controllo più marginalmente connessi agli aspetti ESG e al rispetto dei principi e valori del Codice Etico.

Dal 2016 è attivo un sistema di segnalazione di atti o fatti che possano costituire violazioni delle norme disciplinanti l’attività bancaria o di altre condotte illecite che possano ledere l’interesse pubblico o l’integrità dell’azienda (Whistleblowing). In linea con le disposizioni previste dal D.Lgs. 24/2023, a partire dal 15 luglio 2023, viene ampliata la platea dei possibili segnalanti. Possono effettuare una segnalazione whistleblowing:

• i lavoratori dipendenti e i lavoratori autonomi che svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i titolari di un rapporto di collaborazione professionale di cui all’articolo 409 c.p.c. (ad esempio, rapporto di agenzia) e all’art. 2 D.Lgs. 81/15 (collaborazioni organizzate dal committente);
• i lavoratori o collaboratori che forniscono beni o servizi o che realizzano opere in favore di terzi e svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i liberi professionisti e i consulenti che svolgono o hanno svolto la propria attività lavorativa presso il Gruppo;
• i volontari e i tirocinanti (retribuiti e non retribuiti);
• gli azionisti (persone fisiche);
• le persone con funzione di amministrazione, controllo, vigilanza o rappresentanza.

Il processo Whistleblowing, che integra gli altri sistemi e processi di segnalazione attivi in Azienda, consente di segnalare, con la massima garanzia di riservatezza, violazioni di cui si è venuti a conoscenza nell’ambito del contesto lavorativo o sulla base della relazione giuridico-economica intercorrente con il Gruppo, tutelando il segnalante da possibili comportamenti ritorsivi o discriminatori.

È possibile inviare le segnalazioni Whistleblowing utilizzando gli specifici canali disponibili 24 ore su 24, 7 giorni su 7, in lingua italiana e inglese (email e casella vocale).

Il Chief Audit Officer è la struttura incaricata di assicurare il corretto svolgimento del processo di gestione delle segnalazioni.

Le informazioni sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni sono disponibili sul portale intranet della Banca e nell’apposita sezione del sito internet di Gruppo.

Nel 2022 sono state ricevute 28 segnalazioni, di cui 4 giudicate non pertinenti e 24 hanno comportato l’avvio di specifici accertamenti.

Per le segnalazioni di presunta inosservanza del codice etico, è disponibile l’indirizzo e-mail: codice.etico@intesasanpaolo.com

Il Gruppo Intesa Sanpaolo rispetta la normativa fiscale in quanto dovere di cittadinanza e nella convinzione che questo sia un contributo fondamentale verso la comunità in cui opera. L'impatto positivo di Intesa Sanpaolo in questo senso è ribadito dalla previsione resa pubblica con il Piano d’Impresa di un contributo complessivo in arco Piano di 15 miliardi di euro.

Nel corso del 2022 Il Gruppo, oltre a imposte indirette per 1.147 milioni di euro, ha rilevato imposte dirette di competenza dell’esercizio per 2.059 milioni di euro per la massima parte in Italia, dove sono stati realizzati la maggior parte dei proventi operativi netti.

Il Gruppo ha rafforzato il sistema di controllo interno del rischio fiscale, denominato Tax Control Framework, rendendolo idoneo a presidiare il rilievo strategico del rischio fiscale e a soddisfare i requisiti di accesso al regime di adempimento collaborativo introdotto in Italia ai sensi del D.Lgs 128/2015. A dicembre 2017 il Gruppo Intesa Sanpaolo si è dotato dei Principi di condotta in materia fiscale al fine di assicurare nel tempo la conformità alle regole fiscali e tributarie dei Paesi dove opera e di garantire l’integrità patrimoniale e reputazionale di tutte le Società del Gruppo. 

Sono inoltre state approvate le Linee Guida per la gestione del rischio fiscale nell’ambito del regime di adempimento collaborativo con l’Agenzia delle Entrate che disciplinano i criteri e i processi che Intesa Sanpaolo deve adottare per garantire adeguatezza ed effettività al proprio Tax Control Framework nonchè le relative Regole.

Intesa Sanpaolo, in adempimento della normativa di riferimento, pubblica anche una informativa "Stato per Stato" nella quale sono indicate (secondo le regole stabilite dalla Banca d’Italia) per ciascuno Stato le seguenti informazioni: il margine di intermediazione; il numero dei dipendenti; l’utile o perdita prima delle imposte; le imposte sull’utile o sulla perdita. Il documento può essere consultato al seguente link.

Informativa sulle imposte pagate per Paese 

I dati indicati sono relativi al periodo d’imposta 2021; ciò in quanto, al fine di soddisfare lo standard GRI, il Gruppo Intesa Sanpaolo utilizza anche i dati raccolti per il Country by Country Reporting introdotto, in linea con i lavori dell’OCSE relativi al progetto Base Erosion and Profit Shifting project (BEPS), dalla normativa fiscale italiana (articolo 1, paragrafo 145 della legge n. 208/2015) che deve essere inviato alle autorità fiscali locali entro 12 mesi dalla fine del periodo d’imposta rilevante (“CbCR OCSE”).

Per quanto concerne la fonte dei dati del CbCR OCSE, gli stessi sono prevalentemente desunti dal processo di preparazione del bilancio consolidato (“reporting package”). In linea con quanto indicato dall’OCSE, i valori delle colonne “Ricavi da vendite a terze parti”, “Ricavi da operazioni infragruppo o con altre giurisdizioni fiscali”, “Attività materiali diverse da disponibilità liquide e mezzi equivalenti”, “Imposte sul reddito delle società maturate sugli utili/perdite” desunti dal CbCR OCSE, non essendo oggetto di rettifiche di consolidamento, non sono riconciliati con quanto riportato nel bilancio consolidato.

Il valore riferito alle “Imposte sul reddito delle società versate sulla base del criterio di cassa” non è incluso nel reporting package del bilancio consolidato; di conseguenza un modulo aggiuntivo è stato inviato a tutte le entità del Gruppo.

I valori indicati nella colonna “Utile/perdita ante imposte” sono invece desunti dal Country by Country Reporting richiesto dalla Direttiva CRD IV [i] e sono riconciliati con quanto riportato nel bilancio consolidato.

I valori indicati nella colonna “Numero dipendenti - FTE” sono anch’essi desunti dal Country by Country Reporting richiesto dalla Direttiva CRD IV. Rispetto all’informativa riportata nel bilancio consolidato, i valori sono calcolati su base equivalente a tempo pieno, secondo le specifiche istruzioni della Banca d’Italia in materia di Country by Country Reporting (Circ. 285, Titolo III, Cap. 2).

In merito alle differenze tra l’imposta sul reddito maturata sugli utili e l’imposta dovuta, si rappresenta che queste sono principalmente riconducibili a effetti della participation exemption; allo storno delle imposte sui dividendi “consolidati”; agli adjustment della fiscalità anticipata/differita anche per tener conto della presentazione delle dichiarazioni integrative relative ad esercizi precedenti; alle variazioni locali in aumento o in diminuzione delle imposte.

*In linea con le linee guida OCSE relative al Country by Country Reporting, sono indicate anche le transazioni infragruppo relative a entità residenti nella medesima giurisdizione.
**In tali giurisdizioni il Gruppo ISP è presente soltanto con stabili organizzazioni/branch che non applicano il regime di branch exemption, il cui reddito, pertanto, è attratto a tassazione del Paese della casa-madre. 
***In tali giurisdizioni il Gruppo ISP è presente con diverse entità tra cui stabili organizzazioni/branch che non applicano il regime di branch exemption, il cui reddito, pertanto, è attratto a tassazione del Paese della casa-madre.