Top Story

Redazione

Vogliamo raccontare il caso di un’organizzazione che distribuisce energia con un fatturato di Euro 2 mld, utile Euro 24o mln e circa 5.000 dipendenti e di come – con successo – sia riuscita ad accentrare e integrare le attività di Governance, Risk e Compliance (GRC). Il percorso intrapreso è comune a molte organizzazioni che, negli ultimi anni, hanno realizzato dei progetti per migliorare la collaborazione fra gli uffici incaricati delle attività di Governance, Risk e Compliance.

Queste iniziative nascono dalla volontà e dalla necessità di organizzare le attività nel modo più adeguato, efficiente e trasparente possibile. L’esecuzione in maniera accentrata e integrale delle attività di GRC significa:

passare dalla specializzazione per silos con sotto-aree funzionali; ad una nuova realtà costituita da responsabilità gestionali del management e supporto centrale.

Questo passaggio richiede non solo cooperazione fra le persone ma anche molta attenzione per i fattori umani ossia la cultura, l’atteggiamento e il comportamento e, quindi, si tratta di un processo di cambiamento importante e delicato.

Cercheremo di chiarire, alla luce del caso aziendale reale, come è possibile trasformare le attività di GRC.

Continua a leggere

Redazione

Il recente caso di Colonial Pipeline riporta l’attenzione sugli attacchi hacker che avvengono continuamente.

In questo caso specifico, ci sono alcuni modi di reagire per Colonial Pipeline:

pagare il riscatto – che tutti sconsigliano perché fondamentalmente l’azienda aiuta la sopravvivenza del network dei criminali informatici; oppure, siccome non è stata hackerata l’infrastruttura delle tubazioni (pipeline) ma il sistema automatizzato di controllo – che ha sede negli uffici – una soluzione temporanea può essere l’intervento attraverso i comandi manuali dell’infrastruttura (oleodotto).

Si comprende subito che non solo i computer possono essere hackerati ma anche le infrastrutture. Molte persone dimenticano che ovunque oggi vengono usati computer per la gestione delle infrastrutture. Oltretutto da 10-15 anni a questa parte questi computer di gestione e controllo sono anche collegati a internet e per questo è diventato più facile e accessibile hackerare aziende, istituzioni e privati. E succede regolarmente.

L’impatto è piuttosto rilevante e crea un danno all’intera infrastruttura aziendale. Si pensi al caso Colonial Pipeline ma anche a quello che può succedere in un ospedale. Fino al ripristino dell’oleodotto, negli USA c’è stato un vero sconvolgimento sociale: lunghe file di persone con la tanica da riempire di carburante e con tutte le preoccupazioni che ne derivano per potenziali rischi e pericoli.

Continua a leggere

di Francesco Domenico ATTISANO

Lo scorso mese (il 13 aprile) è stata pubblicata la nuova norma ISO 37301, “Compliance management systems – Requirements with guidance for use“.

L’introduzione della ISO 37301 è un ulteriore passo del rinnovamento della cornice regolamentare ISO, poichè entro la fine del 2021 è prevista l’emanazione della ISO 37000 (Linea Guida per la Governance delle Organizzazioni) e della ISO 37002 (Linea Guida per Sistemi di Gestione Whistleblowing).

Lo standard è applicabile a tutte le organizzazioni, quindi sia private che pubbliche, profit e non.

La nuova norma indica i requisiti per progettare, definire e mantenere, in ottica di un miglioramento continuo, un sistema di gestione della compliance per il controllo dei rischi.

Continua a leggere

di Marco CASSARO

Se il consenso è un punto fondamentale della normativa di tutela e protezione dei dati personali, vediamo quali sono le altre basi giuridiche idonee affinché il Titolare del Trattamento possa operare senza incorrere in sanzioni.

3. L’ESECUZIONE DI UN CONTRATTO DI CUI L’INTERESSATO È PARTE O L’ESECUZIONE DI MISURE CONTRATTUALI

Tale condizione di liceità, che all’apparenza pare di facile comprensione, riguarda esclusivamente il rapporto contrattuale o le misure precontrattuali di cui l’interessato risulta essere parte.

Generalmente l’esecuzione di un contratto o di misure precontrattuali richiede, per sua natura, un trattamento di dati riferibili al soggetto interessato che come richiamato ut supra non può essere condizionato al consenso il quale risulterebbe non liberamente prestato. Infatti, è insito in ciascuna tipologia contrattuale un trattamento di dati necessario per la soddisfazione del servizio/rapporto contrattualizzato.

Sul punto, al fine di risultare il più esaustivo possibile ma anche con la speranza di stimolare la curiosità dei lettori, vale la pena richiamare le “Linee guida 2/2019(1) sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati” che benché riferita ad uno specifico ambito di utilizzo forniscono chiare e precise indicazioni generale sulla liceità del trattamento a norma dell’art. 6 comma b) del GDPR(2).

Continua a leggere

di Ian ROSS

Negli ultimi tre anni si è assistito a cambiamenti epocali, in Europa e nel Regno Unito, in tema di legislazione antiriciclaggio dei relativi report di attuazione della normativa. Nel 2017 sono stati emanati gli aggiornamenti dei Regolamenti Antiriciclaggio. All’inizio del 2018, il Tesoro ha istituito un nuovo organismo: l’OPBAS, Office for Professional Body Anti-Money Laundering Supervision (Ufficio per la vigilanza antiriciclaggio degli organismi professionali) che opera in qualità di “supervisore” delle autorità di vigilanza antiriciclaggio con la responsabilità di monitorare l’attività di riciclaggio di denaro.

Il 2018 ha visto anche l’emanazione del primo “Unexplained Wealth Order” (UWO) ossia un ingiunzione del tribunale per costringere un soggetto a rivelare l’origine della sua ricchezza (perché ritenuta inspiegabile). E, grazie al Parlamento dell’UE è entrata in vigore la VI Direttiva Antiriciclaggio che comprende alcune drastiche modifiche in relazione alle sanzioni e alle politiche di segnalazione e condivisione dei dati/informazioni.

All’inizio, tutti questi sviluppi sembravano davvero promettenti. Con una promozione fatta attraverso noti cliché come “nuove misure rigorose” e “repressione”, le nuove misure promettono “miglioramenti”; ma la realtà è ben diversa infatti non un singolo caso è stato perseguito per la violazione dei Regolamenti Antiriciclaggio del 2017. Parimenti, le condanne penali per riciclaggio di denaro (Proceeds for Crime Act 2002) sono state una minoranza di proporzioni allarmanti.

Continua a leggere

di Alberto PAGANINI

L’importanza della resilienza cibernetica è sancita dagli interventi delle Autorità internazionali che richiedono non solo di adottare politiche di business continuity e di disaster recovery ma l’adozione di un “framework di resilienza cibernetica”.

Le infrastrutture finanziarie intervengono nel continuo per adattare, evolvere e migliorare le proprie capacità di resilienza.

Vediamo come.

Continua a leggere

di Marco CASSARO

Liceità del trattamento: come scegliere la base di liceità corretta e come evitare le conseguenze negative di una scelta erronea.

Scegliere la corretta base di liceità del trattamento non è mai stato così importante.

Le “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”(1) nonché le “Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati”(2) emanate dal European Data Protection Board (EDPB) così come le sanzioni dell’Autorità di Vigilanza Greca (HDPA) a PWC in merito all’erronea valutazione della corretta base di liceità del trattamento ma anche e soprattutto quelle comminate dall’Autorità Garante Nazionale a Società di call center, Società di Telefonia, Enti Locali etc., ci ricordano come i Titolari del Trattamento siano chiamati a qualificare correttamente la base di liceità del trattamento dei dati nonché a fornire le relative giustificazioni in relazione alla scelta fatta; pena la comminazione di una sanzione.

Continua a leggere

di Ivo INVERNIZZI

1. Powell, il ritorno all’inflazione e gli attesi ‘progressi sostanziali’ dell’economia

Secondo il parere di alcuni autorevoli analisti, dopo l’intervento Fed di marzo 2021, era improbabile che la riunione del 27-28 aprile del FOMC fosse foriera di importanti novità in ambito monetario. La Fed avrebbe potuto introdurre un mero dettaglio per l’implementazione tecnica di quanto già annunciato in marzo e al solo fine di sostenere i tassi a breve termine. Sulla base della ragionevole considerazione che l’economia a stelle strisce dista ancora considerevolmente dagli obiettivi Fed d’inflazione, piena occupazione e stabilità dei prezzi, era implausibile che il FOMC fornisse un dettaglio tecnico e una tabella di marcia su un possibile tapering.

In molti accettavano l’ipotesi che al presidente Jerome Powell fosse chiesto in conferenza stampa un ragguaglio più preciso sul termine “ulteriore progresso sostanziale” dell’economia, oppure quale fosse il riferimento a ‘condizioni finanziarie favorevoli’.

Del resto, era sentiment diffuso sui mercati finanziari che, il meeting Fed di aprile si rivelasse un ‘non-event’, caratterizzato sia dalla ovvia constatazione che l’economia fosse migliorata, sia dall’assenza di riferimenti al futuro tapering.

Continua a leggere

di Maurizio RUBINI

Il D.Lgs. n. 231/2001, recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, come noto, ha introdotto nell’ordinamento italiano la responsabilità amministrativa degli enti per reati commessi nel loro interesse o vantaggio da persone legate al soggetto giuridico da specifici rapporti normativamente previsti.

A giugno 2021 il Decreto 231 compirà 20 anni. Una lunga storia cadenzata da un continuo fiorire di reati presupposto e da indirizzi giurisprudenziali e dottrinali che ne hanno delineato l’evoluzione e la concreta applicazione da parte degli enti non senza ostacoli.

Continua a leggere

di Ivo INVERNIZZI

1. Panetta: “harder, better, faster, stronger”

È ormai consuetudine per i mercati finanziari, sotto la presidenza BCE di Christine Lagarde, essere preparati a un’indiscutibile prevedibilità nei contenuti dell’annuncio di politica monetaria. Secondo autorevoli opinioni di noti player di mercato, il 22 aprile il Governing Council BCE non avrebbe certamente dato materiale nuovo di discussione a Lagarde in conferenza stampa.

In tal, era ragionevole evincere che, i messaggi principali fossero stati già stati ben assimilati: la ripresa economica in area euro si sarebbe mantenuta sulla buona strada (“ritardata ma non deragliata”), il tanto atteso aumento dell’inflazione sarebbe stato transitorio, BCE avrebbe mantenuto il proprio impegno a farsi parte attiva sui mercati obbligazionari a lungo termine forse estendendo il PEPP per tutto il 2022.

Gli esperti sembravano quindi preparati a un “nulla di nuovo sul fronte occidentale” rispetto all’annuncio di marzo.

Continua a leggere