In un contesto caratterizzato da un’elevata complessità operativa e regolamentare e dall’esigenza di competere in modo sempre più efficiente nei mercati di riferimento, la gestione dei rischi e i relativi sistemi di controllo assumono un ruolo centrale nei processi decisionali, nell’ottica della creazione di valore nel lungo termine a beneficio non solo degli azionisti, ma anche in considerazione degli interessi degli altri stakeholder rilevanti per la società.
Il Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) di Poste Italiane è l’insieme di strumenti, procedure, regole e strutture organizzative volte a consentire una conduzione d’impresa sana, corretta e coerente con gli obiettivi aziendali nonché a perseguire il successo sostenibile, mediante un adeguato processo di definizione di attori, compiti e responsabilità dei vari organi e funzioni di controllo e di identificazione, misurazione, gestione e monitoraggio dei principali rischi, così come attraverso la strutturazione di adeguati flussi informativi finalizzati a garantire la circolazione delle informazioni.
Tale Sistema rappresenta un elemento fondamentale della Corporate Governance di Poste Italiane poiché consente al Consiglio di Amministrazione di guidare la Società perseguendo la creazione di valore nel lungo termine, definendo altresì la natura e il livello di rischio compatibili con gli obiettivi strategici, includendo nelle proprie valutazioni tutti gli elementi che possono assumere rilievo nell’ottica del successo sostenibile. In particolare, in linea con le principali leading practice che pongono particolare enfasi all’integrazione della sostenibilità nelle strategie, nella gestione dei rischi e nelle politiche di remunerazione, il SCIGR di Poste Italiane si pone l’obiettivo di contribuire al successo sostenibile della Società attraverso la definizione di ruoli e responsabilità in ambito ESG, dei flussi informativi tra gli attori coinvolti nel sistema di controllo interno e verso gli organi aziendali nonché delle modalità di gestione dei relativi rischi. Inoltre, per il raggiungimento di tale obiettivo la Società ha deciso di promuovere un dialogo con gli stakeholder rilevanti (Multistakeholder Forum), al fine di assicurare un costante confronto sulle strategie d’impresa e sulla loro realizzazione. Il SCIGR, in linea con le normative e le best practice di riferimento, si articola su tre livelli di controllo e coinvolge una pluralità di attori presenti all’interno dell’organizzazione aziendale. I presidi di controllo di primo livello identificano, valutano, gestiscono e monitorano i rischi di competenza in relazione ai quali individuano e attuano specifiche azioni di trattamento volte ad assicurare il corretto svolgimento delle operazioni.
I presidi di controllo di secondo livello, il cui ruolo consiste principalmente nel definire i modelli di gestione del rischio e nell’effettuare attività di monitoraggio, svolgono un ruolo determinante ai fini dell’integrazione e del funzionamento complessivo del Sistema di Controllo Interno e Gestione dei Rischi. I presidi di controllo di terzo livello, gestiti in Poste Italiane dalla funzione Controllo Interno, forniscono assurance indipendente sull’adeguatezza e sull’effettiva operatività del primo e secondo livello di controllo e, in generale, sul SCIGR.
Il Sistema di Controllo Interno e Gestione dei Rischi (SCIGR) di Poste Italiane è l’insieme di strumenti, procedure, regole e strutture organizzative volte a consentire una conduzione d’impresa sana, corretta e coerente con gli obiettivi aziendali nonché a perseguire il successo sostenibile, mediante un adeguato processo di definizione di attori, compiti e responsabilità dei vari organi e funzioni di controllo e di identificazione, misurazione, gestione e monitoraggio dei principali rischi, così come attraverso la strutturazione di adeguati flussi informativi finalizzati a garantire la circolazione delle informazioni.
Tale Sistema rappresenta un elemento fondamentale della Corporate Governance di Poste Italiane poiché consente al Consiglio di Amministrazione di guidare la Società perseguendo la creazione di valore nel lungo termine, definendo altresì la natura e il livello di rischio compatibili con gli obiettivi strategici, includendo nelle proprie valutazioni tutti gli elementi che possono assumere rilievo nell’ottica del successo sostenibile. In particolare, in linea con le principali leading practice che pongono particolare enfasi all’integrazione della sostenibilità nelle strategie, nella gestione dei rischi e nelle politiche di remunerazione, il SCIGR di Poste Italiane si pone l’obiettivo di contribuire al successo sostenibile della Società attraverso la definizione di ruoli e responsabilità in ambito ESG, dei flussi informativi tra gli attori coinvolti nel sistema di controllo interno e verso gli organi aziendali nonché delle modalità di gestione dei relativi rischi. Inoltre, per il raggiungimento di tale obiettivo la Società ha deciso di promuovere un dialogo con gli stakeholder rilevanti (Multistakeholder Forum), al fine di assicurare un costante confronto sulle strategie d’impresa e sulla loro realizzazione. Il SCIGR, in linea con le normative e le best practice di riferimento, si articola su tre livelli di controllo e coinvolge una pluralità di attori presenti all’interno dell’organizzazione aziendale. I presidi di controllo di primo livello identificano, valutano, gestiscono e monitorano i rischi di competenza in relazione ai quali individuano e attuano specifiche azioni di trattamento volte ad assicurare il corretto svolgimento delle operazioni.
I presidi di controllo di secondo livello, il cui ruolo consiste principalmente nel definire i modelli di gestione del rischio e nell’effettuare attività di monitoraggio, svolgono un ruolo determinante ai fini dell’integrazione e del funzionamento complessivo del Sistema di Controllo Interno e Gestione dei Rischi. I presidi di controllo di terzo livello, gestiti in Poste Italiane dalla funzione Controllo Interno, forniscono assurance indipendente sull’adeguatezza e sull’effettiva operatività del primo e secondo livello di controllo e, in generale, sul SCIGR.
Modello di Risk Management
Poste Italiane ha implementato un sistema di gestione dei rischi basato sul framework di Enterprise Risk Management (ERM), finalizzato a fornire una visione organica e integrata e una risposta univoca ed efficace ai rischi a cui il Gruppo è esposto. Gli esiti del processo di risk assessment eseguito in base al framework ERM contribuiscono alle analisi effettuate per la valutazione della materialità finanziaria di Gruppo prevista nell’ambito dell’analisi di doppia rilevanza.
La funzione Risk e Compliance di Gruppo (“RCG”) ha il compito di garantire tali obiettivi, principalmente attraverso la definizione di un processo di risk management integrato che coinvolga in modo coordinato tutti gli attori del Sistema di Controllo Interno e Gestione dei Rischi e, in particolare, i diversi presidi di controllo specialistico di secondo livello, l’armonizzazione dei modelli e delle metriche rispetto ai criteri di Gruppo, il disegno e l’implementazione di strumenti comuni di analisi e gestione dei rischi.
A tal ultimo riguardo, a partire dal 2018 è stata implementata la Piattaforma GRC di Gruppo (Governance, Risk & Compliance) di supporto al processo di risk management integrato. Lo strumento informatico consente l’analisi e la gestione, tra gli altri, dei rischi operativi, ex D.Lgs. 231/01, ex L. 262/05, strategici, ESG, reputazionali, fiscali, di sicurezza fisica, di Compliance, privacy e di corruzione nonché di compliance alle norme applicabili ai servizi finanziari e di pagamento. Inoltre, nel corso del 2025 sono stati implementati nuovi moduli applicativi in particolare volti alla valutazione della doppia materialità, all’integrazione delle risultanze di analisi forecast di breve periodo sugli scenari rilevanti riflessi nelle previsioni di Piano e Budget, nonché modifiche evolutive estendendo le funzionalità già in uso nel Gruppo.
Si realizza così lo strumento per la massima integrazione del processo di risk management di Gruppo, in grado di assicurare la condivisione delle metodologie di analisi dei rischi tra tutte le funzioni di presidio specialistico che operano al II livello di controllo, il miglioramento della comunicazione verso i vertici e gli organi aziendali e tra le funzioni di controllo, nonché la minimizzazione del rischio di informazioni carenti o ridondanti.
La funzione Risk e Compliance di Gruppo (“RCG”) ha il compito di garantire tali obiettivi, principalmente attraverso la definizione di un processo di risk management integrato che coinvolga in modo coordinato tutti gli attori del Sistema di Controllo Interno e Gestione dei Rischi e, in particolare, i diversi presidi di controllo specialistico di secondo livello, l’armonizzazione dei modelli e delle metriche rispetto ai criteri di Gruppo, il disegno e l’implementazione di strumenti comuni di analisi e gestione dei rischi.
A tal ultimo riguardo, a partire dal 2018 è stata implementata la Piattaforma GRC di Gruppo (Governance, Risk & Compliance) di supporto al processo di risk management integrato. Lo strumento informatico consente l’analisi e la gestione, tra gli altri, dei rischi operativi, ex D.Lgs. 231/01, ex L. 262/05, strategici, ESG, reputazionali, fiscali, di sicurezza fisica, di Compliance, privacy e di corruzione nonché di compliance alle norme applicabili ai servizi finanziari e di pagamento. Inoltre, nel corso del 2025 sono stati implementati nuovi moduli applicativi in particolare volti alla valutazione della doppia materialità, all’integrazione delle risultanze di analisi forecast di breve periodo sugli scenari rilevanti riflessi nelle previsioni di Piano e Budget, nonché modifiche evolutive estendendo le funzionalità già in uso nel Gruppo.
Si realizza così lo strumento per la massima integrazione del processo di risk management di Gruppo, in grado di assicurare la condivisione delle metodologie di analisi dei rischi tra tutte le funzioni di presidio specialistico che operano al II livello di controllo, il miglioramento della comunicazione verso i vertici e gli organi aziendali e tra le funzioni di controllo, nonché la minimizzazione del rischio di informazioni carenti o ridondanti.
Principali rischi di Poste Italiane
Il Gruppo Poste Italiane garantisce una conduzione dell’impresa coerente con gli obiettivi definiti dal CdA, tenendo conto dei rischi che possono influenzare il raggiungimento di tali obiettivi. Le principali categorie di rischio connesse alle attività del Gruppo Poste Italiane sono individuate nel Risk Model di Gruppo.
Poste Italiane conduce periodicamente e in modalità strutturata un’attività di risk assessment con la finalità di identificare e valutare i principali rischi che possono influire in modo significativo sul raggiungimento degli obiettivi di business. In tal senso, tra i principali fattori che influenzano le strategie del Gruppo vanno annoverate non solo le novità legate al contesto interno, ma anche le evoluzioni del quadro politico, sociale e macroeconomico di riferimento, in considerazione degli obiettivi generali del Paese per una ripresa economica sostenibile, nonché dell’attuale contesto geopolitico caratterizzato da una forte instabilità. A valle delle attività di risk assessment effettuate, vengono di seguito illustrati i principali rischi del Gruppo, le rispettive categorie del risk model e modalità di gestione.
Poste Italiane conduce periodicamente e in modalità strutturata un’attività di risk assessment con la finalità di identificare e valutare i principali rischi che possono influire in modo significativo sul raggiungimento degli obiettivi di business. In tal senso, tra i principali fattori che influenzano le strategie del Gruppo vanno annoverate non solo le novità legate al contesto interno, ma anche le evoluzioni del quadro politico, sociale e macroeconomico di riferimento, in considerazione degli obiettivi generali del Paese per una ripresa economica sostenibile, nonché dell’attuale contesto geopolitico caratterizzato da una forte instabilità. A valle delle attività di risk assessment effettuate, vengono di seguito illustrati i principali rischi del Gruppo, le rispettive categorie del risk model e modalità di gestione.
Di seguito sono illustrati i principali rischi del Gruppo, le rispettive categorie del risk model e le modalità di gestione.
I risultati del Gruppo Poste Italiane dipendono dal contesto macroeconomico e, in particolare, dell’economia nazionale - essendo l’Italia il Paese in cui il Gruppo opera quasi esclusivamente - e subisce gli effetti negativi di qualsiasi recessione economica, crisi di mercato o periodi di instabilità. Una situazione di incertezza economica prolungata può comportare una stagnazione o una diminuzione della domanda per una o più delle diverse aree di business in cui Poste Italiane e il Gruppo operano. Ciò potrebbe, a sua volta, dare luogo a una diminuzione dei volumi, dei prezzi e dei livelli di redditività, con possibili effetti negativi sulla condizione finanziaria e sui risultati operativi del Gruppo. Principali rischi Poste Italiane monitora costantemente gli sviluppi del contesto geopolitico, sociale, macroeconomico e normativo che potrebbero avere un impatto sul business e sulle operazioni del Gruppo. A tal fine, il Gruppo svolge analisi approfondite e una pianificazione strategica adeguata al fine di mitigare gli impatti derivanti dall’instabilità del contesto macroeconomico e per garantire la solidità finanziaria e operativa di Poste Italiane nel lungo periodo. Inoltre, la dinamica delle variabili macroeconomiche è costantemente monitorata al fine di verificarne la coerenza nel tempo rispetto alle assunzioni formulate alla base del Piano Strategico. Tali attività sono svolte anche attraverso le analisi del Centro Studi di Gruppo in ambito BancoPosta Fondi, il quale conduce periodicamente approfondimenti sullo scenario macroeconomico nazionale e globale, anche al fine di supportare l’adozione di scelte strategiche di medio-lungo periodo.
In considerazione del ruolo decisivo dell’Azienda per il tessuto economico, sociale e produttivo italiano, anche dovuto all’erogazione del Servizio Postale Universale, Poste Italiane si avvale di circa 120.000 dipendenti. Tale complessità organizzativa, determinata soprattutto dalle esigenze nel settore della corrispondenza in termini di copertura dell’area geografica e di standard qualitativi di consegna, espone il Gruppo a diversi rischi, quali:
Principali modalità di gestione
Poste Italiane attribuisce un grande valore alle persone che lavorano all’interno dell’azienda e, per tale ragione, mira a investire significativamente in iniziative che intendono migliorare le condizioni lavorative dei propri dipendenti e a sostenerne la motivazione, promuovere campagne di informazione e sensibilizzazione al fine di favorire il benessere psicofisico delle persone, e creare un ambiente di lavoro inclusivo allo scopo di neutralizzare le disuguaglianze.
Il Gruppo Poste Italiane considera la tutela della salute e della sicurezza sul lavoro un elemento fondamentale, al quale tutti i dipendenti devono ispirarsi nello svolgimento delle proprie attività quotidiane. L’Azienda si impegna costantemente ad adottare tutte le misure necessarie per ridurre incidenti, infortuni sul lavoro e malattie professionali favorendo l’instaurazione di una cultura aziendale improntata alla sicurezza in tutti gli strati organizzativi, e promuovendo un costante miglioramento dei sistemi di gestione della salute e sicurezza sul lavoro anche attraverso la continua valutazione dei rischi e l’aggiornamento delle regole e procedure connesse.
Poste Italiane ha, altresì, istituito funzioni aziendali dedicate al Welfare che propongono e suggeriscono programmi, strumenti e strategie intergenerazionali, modulari e solidali per il benessere del personale e, in generale, per gli equilibri collettivi. Nell’ambito delle proprie politiche di Welfare, inoltre, il Gruppo supporta la cura e la prevenzione per i propri dipendenti, i loro familiari e pensionati anche attraverso la struttura sanitaria Poste Centro Medico.
Sostenere, infine, un costante rapporto di informazione e concertazione con le Organizzazioni Sindacali (OO.SS.) sui temi di interesse comune rappresenta una priorità imprescindibile per il Gruppo che si impegna ad assicurare la tutela dei diritti dei suoi lavoratori, la salvaguardia della libertà di associazione, valorizzando la contrattazione collettiva ad ogni livello. In particolare, mediante incontri regolari con le OO.SS., Poste Italiane mantiene un dialogo costante con i rappresentanti dei lavoratori, con l’obiettivo di garantire e preservare il benessere e la tutela dei diritti dei lavoratori. Pertanto, sono stati stipulati accordi conformi al Contratto Collettivo Nazionale del Lavoro (CCNL) e al Testo Unico sulla Rappresentanza, che mirano a favorire la creazione di un clima aziendale positivo, garantendo il rispetto della normativa vigente. Il dialogo continuo e la relazione fattiva e costruttiva tra Azienda e Parti Sociali costituiscono un elemento distintivo e significativo nella strategia di crescita ed evoluzione del Gruppo, prevenendo anche l’insorgere di conflitti e scioperi.
Infine, Poste Italiane si è dotata di funzioni organizzative che, anche attraverso attività di consulenza e supporto specialistico alle funzioni coinvolte, assicurano il presidio delle tematiche di precontenzioso e contenzioso del lavoro e garantiscono l’elaborazione e la diffusione di linee guida per l’efficace gestione delle attività di contenzioso svolte a livello territoriale, verificandone l’applicazione.
- rischio di infortuni sul luogo di lavoro ai dipendenti o ai collaboratori a seguito di attività operative (ad esempio, la raccolta, il trasporto e lo smistamento di pacchi e lettere e la consegna dei prodotti con veicoli a motore);
- controversie lavoristiche relative, ad esempio, all’interposizione di manodopera e controversie previdenziali legate a versamenti di contributi volontari e obbligatori;
- rischio che eventuali scioperi o interruzioni dell’attività lavorativa (pur avvenendo nel rispetto delle leggi), possano avere ripercussioni, quali blocchi o rallentamenti, sulla realizzazione delle principali iniziative progettuali previste nel Piano Strategico, sul livello dei servizi offerti ai clienti, sulla reputazione e, quindi, sui risultati finanziari del Gruppo.
Principali modalità di gestione
Poste Italiane attribuisce un grande valore alle persone che lavorano all’interno dell’azienda e, per tale ragione, mira a investire significativamente in iniziative che intendono migliorare le condizioni lavorative dei propri dipendenti e a sostenerne la motivazione, promuovere campagne di informazione e sensibilizzazione al fine di favorire il benessere psicofisico delle persone, e creare un ambiente di lavoro inclusivo allo scopo di neutralizzare le disuguaglianze.
Il Gruppo Poste Italiane considera la tutela della salute e della sicurezza sul lavoro un elemento fondamentale, al quale tutti i dipendenti devono ispirarsi nello svolgimento delle proprie attività quotidiane. L’Azienda si impegna costantemente ad adottare tutte le misure necessarie per ridurre incidenti, infortuni sul lavoro e malattie professionali favorendo l’instaurazione di una cultura aziendale improntata alla sicurezza in tutti gli strati organizzativi, e promuovendo un costante miglioramento dei sistemi di gestione della salute e sicurezza sul lavoro anche attraverso la continua valutazione dei rischi e l’aggiornamento delle regole e procedure connesse.
Poste Italiane ha, altresì, istituito funzioni aziendali dedicate al Welfare che propongono e suggeriscono programmi, strumenti e strategie intergenerazionali, modulari e solidali per il benessere del personale e, in generale, per gli equilibri collettivi. Nell’ambito delle proprie politiche di Welfare, inoltre, il Gruppo supporta la cura e la prevenzione per i propri dipendenti, i loro familiari e pensionati anche attraverso la struttura sanitaria Poste Centro Medico.
Sostenere, infine, un costante rapporto di informazione e concertazione con le Organizzazioni Sindacali (OO.SS.) sui temi di interesse comune rappresenta una priorità imprescindibile per il Gruppo che si impegna ad assicurare la tutela dei diritti dei suoi lavoratori, la salvaguardia della libertà di associazione, valorizzando la contrattazione collettiva ad ogni livello. In particolare, mediante incontri regolari con le OO.SS., Poste Italiane mantiene un dialogo costante con i rappresentanti dei lavoratori, con l’obiettivo di garantire e preservare il benessere e la tutela dei diritti dei lavoratori. Pertanto, sono stati stipulati accordi conformi al Contratto Collettivo Nazionale del Lavoro (CCNL) e al Testo Unico sulla Rappresentanza, che mirano a favorire la creazione di un clima aziendale positivo, garantendo il rispetto della normativa vigente. Il dialogo continuo e la relazione fattiva e costruttiva tra Azienda e Parti Sociali costituiscono un elemento distintivo e significativo nella strategia di crescita ed evoluzione del Gruppo, prevenendo anche l’insorgere di conflitti e scioperi.
Infine, Poste Italiane si è dotata di funzioni organizzative che, anche attraverso attività di consulenza e supporto specialistico alle funzioni coinvolte, assicurano il presidio delle tematiche di precontenzioso e contenzioso del lavoro e garantiscono l’elaborazione e la diffusione di linee guida per l’efficace gestione delle attività di contenzioso svolte a livello territoriale, verificandone l’applicazione.
L’aumento del livello di dettaglio e della complessità degli adempimenti normativi e regolamentari richiesti dalle Autorità per gli ambiti di competenza, richiedono un crescente cambiamento culturale e operativo all’interno delle aziende. Il Gruppo, che opera in diversi settori tra cui quello postale, dei servizi integrati di comunicazione, della logistica, dell’energia, dei servizi finanziari e delle assicurazioni, è soggetto a numerose leggi e regolamenti sia specifici del settore, sia in ambito fiscale, antiriciclaggio, privacy, antitrust e ambientale. Inoltre, in virtù dell’affidamento in esclusiva a Poste Italiane del Servizio Postale Universale, potrebbero emergere rischi di non conformità legati alle normative specifiche e al contratto in essere stipulato con le autorità pubbliche. In particolare, in considerazione della complessità ed eterogeneità operativa del Gruppo e degli obblighi derivanti dalla gestione di servizi di interesse economico generale, Poste Italiane potrebbe incorrere nel rischio di risposte non tempestive alle richieste del legislatore e dei regolatori (ad esempio, in materia di assetti di governance, finanza responsabile, intelligenza artificiale ecc.). Ciò potrebbe determinare che eventuali violazioni delle norme applicabili (o accuse di violazione) rendano l’Azienda e/o il Gruppo destinatari di multe, azioni correttive e/o richieste di interruzioni dell’attività, che potrebbero influenzare negativamente la reputazione, i ricavi, i risultati operativi e/o la condizione finanziaria del Gruppo.
Con particolare riguardo alla normativa sull’intelligenza artificiale, definita dalla Legge 23 settembre 2025, n. 132, in vigore dal 10 ottobre 2025, che recepisce il Regolamento UE 2024/1689 (AI Act), è stato avviato un progetto di compliance finalizzato a garantire al livello di Gruppo gli adempimenti previsti dalle norme, tra cui dotarsi di uno specifico sistema di valutazione e gestione dei rischi prevedibili per la salute, la sicurezza e i diritti fondamentali integrando tale sistema nel più ampio modello di risk management. Nel corso del progetto è stato altresì verificato che non siano stati introdotti sistemi vietati dal suddetto Regolamento UE.
Principali modalità di gestione
Data la complessità operativa di Poste Italiane e i numerosi settori nei quali opera il Gruppo, nonché gli impatti legali e reputazionali legati al rischio di non conformità, l’Azienda ha definito un processo di compliance integrata a livello di Gruppo. Tale processo è coordinato da un’unità organizzativa dedicata della funzione RCG, con lo scopo di presidiare – in modo strutturato per ogni livello aziendale e con modalità adeguate a ogni settore di attività – i rischi di non conformità cui il Gruppo è esposto, dando in tale maniera piena attuazione ai principi di integrità, trasparenza e legalità.
In particolare, il processo di Compliance Integrata di Gruppo, si fonda su un approccio strutturato e coordinato alla compliance che coniuga molteplici necessità, attraverso l’integrazione e la razionalizzazione dei rischi e dei controlli in essere, anche in considerazione degli impatti legali e reputazionali e dell’approccio risk-based. Nell’ambito di tale processo, Poste Italiane partecipa ai tavoli tecnici e di lavoro sull’evoluzione normativa, al fine di assicurare l’analisi dell’evoluzione del quadro normativo di riferimento, garantendone il corretto recepimento, nonché rappresentare presso gli organismi nazionali e internazionali la posizione aziendale su tali tematiche, al fine di sostenere il business aziendale. Inoltre, il Gruppo analizza costantemente le evoluzioni normative di interesse, valutandone l’applicabilità all’operatività del business. Quest’analisi include anche la ricognizione, l’implementazione e il monitoraggio sul corretto recepimento dei requisiti individuati nell’ambito dell’analisi normativa.
Nell’ambito del complessivo Modello di Compliance Integrata, Poste Italiane si è dotata di presidi specialistici che garantiscono l’analisi, la valutazione e la corretta gestione delle normative relative agli ambiti di compliance rilevanti per il Gruppo. Con riferimento ai risvolti legati alle questioni di sostenibilità del presente rischio, si rimanda per il dettaglio al capitolo 8 “Rendicontazione consolidata di sostenibilità” della presente Relazione.
Con particolare riguardo alla normativa sull’intelligenza artificiale, definita dalla Legge 23 settembre 2025, n. 132, in vigore dal 10 ottobre 2025, che recepisce il Regolamento UE 2024/1689 (AI Act), è stato avviato un progetto di compliance finalizzato a garantire al livello di Gruppo gli adempimenti previsti dalle norme, tra cui dotarsi di uno specifico sistema di valutazione e gestione dei rischi prevedibili per la salute, la sicurezza e i diritti fondamentali integrando tale sistema nel più ampio modello di risk management. Nel corso del progetto è stato altresì verificato che non siano stati introdotti sistemi vietati dal suddetto Regolamento UE.
Principali modalità di gestione
Data la complessità operativa di Poste Italiane e i numerosi settori nei quali opera il Gruppo, nonché gli impatti legali e reputazionali legati al rischio di non conformità, l’Azienda ha definito un processo di compliance integrata a livello di Gruppo. Tale processo è coordinato da un’unità organizzativa dedicata della funzione RCG, con lo scopo di presidiare – in modo strutturato per ogni livello aziendale e con modalità adeguate a ogni settore di attività – i rischi di non conformità cui il Gruppo è esposto, dando in tale maniera piena attuazione ai principi di integrità, trasparenza e legalità.
In particolare, il processo di Compliance Integrata di Gruppo, si fonda su un approccio strutturato e coordinato alla compliance che coniuga molteplici necessità, attraverso l’integrazione e la razionalizzazione dei rischi e dei controlli in essere, anche in considerazione degli impatti legali e reputazionali e dell’approccio risk-based. Nell’ambito di tale processo, Poste Italiane partecipa ai tavoli tecnici e di lavoro sull’evoluzione normativa, al fine di assicurare l’analisi dell’evoluzione del quadro normativo di riferimento, garantendone il corretto recepimento, nonché rappresentare presso gli organismi nazionali e internazionali la posizione aziendale su tali tematiche, al fine di sostenere il business aziendale. Inoltre, il Gruppo analizza costantemente le evoluzioni normative di interesse, valutandone l’applicabilità all’operatività del business. Quest’analisi include anche la ricognizione, l’implementazione e il monitoraggio sul corretto recepimento dei requisiti individuati nell’ambito dell’analisi normativa.
Nell’ambito del complessivo Modello di Compliance Integrata, Poste Italiane si è dotata di presidi specialistici che garantiscono l’analisi, la valutazione e la corretta gestione delle normative relative agli ambiti di compliance rilevanti per il Gruppo. Con riferimento ai risvolti legati alle questioni di sostenibilità del presente rischio, si rimanda per il dettaglio al capitolo 8 “Rendicontazione consolidata di sostenibilità” della presente Relazione.
Il ruolo della sicurezza informatica è fondamentale per il conseguimento degli obiettivi strategici e operativi di Poste Italiane, anche in considerazione della criticità dei processi aziendali e dell’esigenza di tutelare il business a fronte di un aumento costante delle minacce di natura informatica.
Una corretta gestione della sicurezza informatica permette infatti di gestire efficacemente i rischi informatici di malfunzionamenti e/o carenze dei sistemi informativi che possano causare l’interruzione della continuità operativa dei servizi forniti ai clienti, la perdita dell’integrità dei dati e/o fughe di dati personali o violazioni della privacy.
Il cyber risk è definito come il rischio di incorrere in perdite economiche, di reputazione o di quote di mercato derivanti da atti deliberatamente volti a:
Il cyber risk è percepito tra i maggiori rischi a livello globale in termini di probabilità di accadimento e di impatto potenziale generato; le ragioni sono principalmente la velocità di innovazione delle aziende, la crescente complessità della tecnologia - che sta diventando progressivamente più intelligente, sofisticata e pervasiva - il crescere delle interconnessioni e la relativa velocità, il volume e la varietà dei dati scambiati tra i nodi della rete. Ciò aumenta in modo esponenziale la superficie esposta a minacce di natura informatica e, pertanto, il rischio percepito tende a crescere, soprattutto in considerazione della sempre maggiore esperienza e organizzazione dei criminali cyber.
Principali modalità di gestione
Al fine di assicurare un’adeguata protezione del patrimonio informativo aziendale, Poste Italiane ha provveduto alla definizione di specifici processi operativi interfunzionali di gestione della sicurezza.
A partire dall’anno 2023 l’Azienda ha attivato con primarie compagnie assicurative una copertura del Cyber Risk del Gruppo.
La Società garantisce inoltre l’indirizzamento continuo di adeguati livelli di riservatezza, integrità e disponibilità dei dati trattati e dei servizi erogati, assicurando un opportuno presidio di compliance a normative di legge, nazionali ed internazionali (ad esempio il Regolamento (UE) 2022/2554 (DORA), la Direttiva UE 2022/2555 (NIS2) e la Direttiva PSD2) aggiornando costantemente l’impianto del sistema di controllo dei rischi informatici.
In particolare, il Regolamento DORA introduce un quadro normativo uniforme a livello europeo per la gestione dei rischi informatici derivanti dalle tecnologie dell’informazione e della comunicazione (ICT) nel settore finanziario e assicurativo, rispondendo alle esigenze di resilienza operativa digitale dettate da uno sviluppo incessante della finanza digitale e garantendo, al contempo, l’innovazione, la competitività, nonché la tutela dei consumatori. Si rinvia al contesto normativo della SBU Servizi Finanziari per maggiori approfondimenti sul Regolamento e sullo stato di adeguamento da parte delle società vigilate del Gruppo Poste Italiane.
Una corretta gestione della sicurezza informatica permette infatti di gestire efficacemente i rischi informatici di malfunzionamenti e/o carenze dei sistemi informativi che possano causare l’interruzione della continuità operativa dei servizi forniti ai clienti, la perdita dell’integrità dei dati e/o fughe di dati personali o violazioni della privacy.
Il cyber risk è definito come il rischio di incorrere in perdite economiche, di reputazione o di quote di mercato derivanti da atti deliberatamente volti a:
- sabotare misure di sicurezza per ottenere l’accesso non autorizzato ai sistemi ICT o ai dati da essi raccolti, elaborati e trasmessi;
- provocare l’indisponibilità di sistemi ICT, processi o servizi, sfruttando vulnerabilità tecnologiche che insistono sui sistemi IT a supporto dei processi aziendali e all’erogazione dei servizi verso la clientela.
Il cyber risk è percepito tra i maggiori rischi a livello globale in termini di probabilità di accadimento e di impatto potenziale generato; le ragioni sono principalmente la velocità di innovazione delle aziende, la crescente complessità della tecnologia - che sta diventando progressivamente più intelligente, sofisticata e pervasiva - il crescere delle interconnessioni e la relativa velocità, il volume e la varietà dei dati scambiati tra i nodi della rete. Ciò aumenta in modo esponenziale la superficie esposta a minacce di natura informatica e, pertanto, il rischio percepito tende a crescere, soprattutto in considerazione della sempre maggiore esperienza e organizzazione dei criminali cyber.
Principali modalità di gestione
Al fine di assicurare un’adeguata protezione del patrimonio informativo aziendale, Poste Italiane ha provveduto alla definizione di specifici processi operativi interfunzionali di gestione della sicurezza.
A partire dall’anno 2023 l’Azienda ha attivato con primarie compagnie assicurative una copertura del Cyber Risk del Gruppo.
La Società garantisce inoltre l’indirizzamento continuo di adeguati livelli di riservatezza, integrità e disponibilità dei dati trattati e dei servizi erogati, assicurando un opportuno presidio di compliance a normative di legge, nazionali ed internazionali (ad esempio il Regolamento (UE) 2022/2554 (DORA), la Direttiva UE 2022/2555 (NIS2) e la Direttiva PSD2) aggiornando costantemente l’impianto del sistema di controllo dei rischi informatici.
In particolare, il Regolamento DORA introduce un quadro normativo uniforme a livello europeo per la gestione dei rischi informatici derivanti dalle tecnologie dell’informazione e della comunicazione (ICT) nel settore finanziario e assicurativo, rispondendo alle esigenze di resilienza operativa digitale dettate da uno sviluppo incessante della finanza digitale e garantendo, al contempo, l’innovazione, la competitività, nonché la tutela dei consumatori. Si rinvia al contesto normativo della SBU Servizi Finanziari per maggiori approfondimenti sul Regolamento e sullo stato di adeguamento da parte delle società vigilate del Gruppo Poste Italiane.
Il Gruppo Poste Italiane opera in settori competitivi e si confronta con i propri concorrenti principalmente in relazione a fattori quali l’innovazione tecnologica, la qualità, l’ampiezza e l’affidabilità dei servizi, la rapidità e puntualità di consegna, le prestazioni, la reputazione, il supporto ai clienti e prezzo dei servizi offerti.
Conseguentemente, le prospettive commerciali future del Gruppo dipendono, in larga misura, dalla propria capacità di rimanere competitivi soddisfacendo le mutevoli esigenze dei clienti, anticipando i cambiamenti tecnologici, nonché sviluppando relazioni efficaci e competitive con i propri clienti e fornitori.
L’intensificazione della concorrenza nei settori in cui Poste Italiane opera potrebbe tradursi in una riduzione dei ricavi e delle quote di mercato con conseguenti effetti negativi sull’attività, sulle prospettive e sulla situazione economica, finanziaria e patrimoniale del Gruppo.
In particolare, il mercato dei servizi postali sta attraversando una fase di radicale cambiamento, legato principalmente alla trasformazione digitale e logistica, che ha influenzato il volume di lettere e pacchi. Il declino storico della corrispondenza tradizionale, sostituita da forme di comunicazione digitale, è accompagnato da un aumento significativo del volume dei pacchi.
Anche le attività bancarie e assicurative del Gruppo sono esposte a rischi competitivi. Nel settore dei servizi finanziari, BancoPosta deve fronteggiare un mercato in continuo consolidamento e, in tale contesto, diventa cruciale rispondere prontamente alle pressioni competitive per mantenere la propria clientela. Allo stesso modo, nel mercato assicurativo, il Gruppo è esposto ai rischi tipici derivanti dalla pressione competitiva nel mercato assicurativo italiano, caratterizzato principalmente dalla creazione di accordi di bancassurance tra banche e assicurazioni, finalizzate a offrire alla clientela prodotti e servizi sia bancari che assicurativi, facendo leva sui rispettivi canali distributivi.
Principali modalità di gestione
Poste Italiane è il principale fornitore di servizi postali in Italia incaricato di fornire il Servizio Postale Universale, un servizio di pubblica utilità volto a garantire a tutti i cittadini del Paese l’accesso ai servizi postali. Attraverso una piattaforma logistica distributiva multicanale proprietaria, Poste Italiane ha affiancato al tradizionale business del recapito della corrispondenza quello del recapito dei pacchi, al fine di cogliere le opportunità offerte dal rapido incremento del commercio elettronico.
Per quanto concerne la gestione del rischio competitivo negli altri settori in cui il Gruppo opera, Poste Italiane agisce mediante un approccio strutturato finalizzato a garantire stabilità finanziaria e competitività sul mercato, massimizzando il valore per i clienti e migliorando l’efficienza operativa. In particolare, il Gruppo adotta una strategia di differenziazione dei prodotti bancari e assicurativi, puntando su soluzioni integrate e personalizzabili per rispondere alle diverse esigenze della clientela, nonché di diversificazione delle opportunità di investimento e assicurazione con l’obiettivo di mantenere risultati positivi e garantire un alto livello di qualità e soddisfazione della clientela.
Inoltre, Poste Italiane investe significativamente nell’innovazione digitale per contrastare la concorrenza nei settori di riferimento, mettendo in atto una serie di iniziative per modernizzare i suoi servizi, rendendoli più accessibili, efficienti e adatti alle esigenze dei clienti nel contesto digitale attuale. In particolare, Poste Italiane realizza, nel continuo, iniziative volte a soddisfare i nuovi bisogni espressi dalla clientela, offrendo prodotti sempre più modulari e in linea con le evoluzioni dei mercati di riferimento.
In tale contesto Poste Italiane riconosce l’importanza dell’intelligenza artificiale (IA) come strumento di sostegno e accelerazione nel conseguimento dei propri obiettivi strategici e ha intrapreso un percorso di adozione di tali soluzioni al fine di sfruttarne al massimo le potenzialità. Al tempo stesso la Società si è dotata di un modello di governance dell’intelligenza artificiale che garantisce un approccio sicuro e responsabile, conforme al quadro regolamentare di riferimento, che tiene conto dell’impatto sul capitale umano, sull’efficienza dei processi, sulla qualità dei servizi e sulla relazione con la clientela.
Conseguentemente, le prospettive commerciali future del Gruppo dipendono, in larga misura, dalla propria capacità di rimanere competitivi soddisfacendo le mutevoli esigenze dei clienti, anticipando i cambiamenti tecnologici, nonché sviluppando relazioni efficaci e competitive con i propri clienti e fornitori.
L’intensificazione della concorrenza nei settori in cui Poste Italiane opera potrebbe tradursi in una riduzione dei ricavi e delle quote di mercato con conseguenti effetti negativi sull’attività, sulle prospettive e sulla situazione economica, finanziaria e patrimoniale del Gruppo.
In particolare, il mercato dei servizi postali sta attraversando una fase di radicale cambiamento, legato principalmente alla trasformazione digitale e logistica, che ha influenzato il volume di lettere e pacchi. Il declino storico della corrispondenza tradizionale, sostituita da forme di comunicazione digitale, è accompagnato da un aumento significativo del volume dei pacchi.
Anche le attività bancarie e assicurative del Gruppo sono esposte a rischi competitivi. Nel settore dei servizi finanziari, BancoPosta deve fronteggiare un mercato in continuo consolidamento e, in tale contesto, diventa cruciale rispondere prontamente alle pressioni competitive per mantenere la propria clientela. Allo stesso modo, nel mercato assicurativo, il Gruppo è esposto ai rischi tipici derivanti dalla pressione competitiva nel mercato assicurativo italiano, caratterizzato principalmente dalla creazione di accordi di bancassurance tra banche e assicurazioni, finalizzate a offrire alla clientela prodotti e servizi sia bancari che assicurativi, facendo leva sui rispettivi canali distributivi.
Principali modalità di gestione
Poste Italiane è il principale fornitore di servizi postali in Italia incaricato di fornire il Servizio Postale Universale, un servizio di pubblica utilità volto a garantire a tutti i cittadini del Paese l’accesso ai servizi postali. Attraverso una piattaforma logistica distributiva multicanale proprietaria, Poste Italiane ha affiancato al tradizionale business del recapito della corrispondenza quello del recapito dei pacchi, al fine di cogliere le opportunità offerte dal rapido incremento del commercio elettronico.
Per quanto concerne la gestione del rischio competitivo negli altri settori in cui il Gruppo opera, Poste Italiane agisce mediante un approccio strutturato finalizzato a garantire stabilità finanziaria e competitività sul mercato, massimizzando il valore per i clienti e migliorando l’efficienza operativa. In particolare, il Gruppo adotta una strategia di differenziazione dei prodotti bancari e assicurativi, puntando su soluzioni integrate e personalizzabili per rispondere alle diverse esigenze della clientela, nonché di diversificazione delle opportunità di investimento e assicurazione con l’obiettivo di mantenere risultati positivi e garantire un alto livello di qualità e soddisfazione della clientela.
Inoltre, Poste Italiane investe significativamente nell’innovazione digitale per contrastare la concorrenza nei settori di riferimento, mettendo in atto una serie di iniziative per modernizzare i suoi servizi, rendendoli più accessibili, efficienti e adatti alle esigenze dei clienti nel contesto digitale attuale. In particolare, Poste Italiane realizza, nel continuo, iniziative volte a soddisfare i nuovi bisogni espressi dalla clientela, offrendo prodotti sempre più modulari e in linea con le evoluzioni dei mercati di riferimento.
In tale contesto Poste Italiane riconosce l’importanza dell’intelligenza artificiale (IA) come strumento di sostegno e accelerazione nel conseguimento dei propri obiettivi strategici e ha intrapreso un percorso di adozione di tali soluzioni al fine di sfruttarne al massimo le potenzialità. Al tempo stesso la Società si è dotata di un modello di governance dell’intelligenza artificiale che garantisce un approccio sicuro e responsabile, conforme al quadro regolamentare di riferimento, che tiene conto dell’impatto sul capitale umano, sull’efficienza dei processi, sulla qualità dei servizi e sulla relazione con la clientela.
La Politica Integrata del Gruppo riserva particolare attenzione al tema della qualità, documentando l’impegno di Poste Italiane per l’integrazione continua della qualità all’interno della strategia di sviluppo aziendale e di tutti i processi che concorrono alla progettazione, allo sviluppo e alla realizzazione di un prodotto o servizio.
Pertanto, il Gruppo potrebbe non essere in grado di soddisfare gli standard qualitativi e le aspettative della clientela, determinando un deterioramento della soddisfazione dei clienti e del livello di qualità percepita, nonché il parziale o mancato raggiungimento degli obiettivi previsti dal Piano Strategico riferiti alla crescita e/o al mantenimento della customer base, con conseguenze attuali e prospettiche sulla situazione economica, finanziaria e patrimoniale del Gruppo.
La soddisfazione del cliente costituisce un obiettivo centrale nelle politiche di qualità del Gruppo Poste Italiane, il quale si dedica con impegno a perseguirlo promuovendo attivamente momenti di ascolto, fondamentali per assicurare un costante miglioramento della qualità dei prodotti e dei servizi forniti.
A tal fine, l’Azienda ha implementato un processo di monitoraggio volto sia al continuo miglioramento della qualità erogata, sia di quella percepita dall’utente finale. Grazie ad un sistema di KPI e alla reportistica periodica in grado di coprire l’intera gamma di prodotti e servizi offerti, il management è costantemente aggiornato sugli sviluppi dei relativi trend, assicurando un elevato livello di qualità.
Inoltre, il Gruppo ha avviato un processo di miglioramento continuo dell’experience del cliente, che parte dall’ascolto (interno ed esterno) e dall’analisi dei processi tramite tecnologie basate sull’intelligenza artificiale. In aggiunta, Poste Italiane adotta strumenti digitali che contribuiscono in maniera rilevante all’aumento della qualità e dei servizi erogati, ai fini del monitoraggio dei livelli di consegna on time di corrispondenza e pacchi e quelli di first delivery success per i pacchi.
Tra gli obiettivi del Gruppo, vi è la risoluzione rapida ed efficace dei reclami dei clienti attraverso un sistema di gestione dei reclami snello e facilmente accessibile a tutti, che consente un’immediata risoluzione delle problematiche emerse.
Infine, in riferimento al valore che l’Azienda attribuisce alla qualità percepita dalla clientela, è stato fissato un obiettivo di Customer Experience per i destinatari del programma MBO (Management By Objectives), al fine di assicurare che gli obiettivi del Management siano allineati con le esigenze e le aspettative dei clienti.
Pertanto, il Gruppo potrebbe non essere in grado di soddisfare gli standard qualitativi e le aspettative della clientela, determinando un deterioramento della soddisfazione dei clienti e del livello di qualità percepita, nonché il parziale o mancato raggiungimento degli obiettivi previsti dal Piano Strategico riferiti alla crescita e/o al mantenimento della customer base, con conseguenze attuali e prospettiche sulla situazione economica, finanziaria e patrimoniale del Gruppo.
Principali modalità di gestione
La soddisfazione del cliente costituisce un obiettivo centrale nelle politiche di qualità del Gruppo Poste Italiane, il quale si dedica con impegno a perseguirlo promuovendo attivamente momenti di ascolto, fondamentali per assicurare un costante miglioramento della qualità dei prodotti e dei servizi forniti.
A tal fine, l’Azienda ha implementato un processo di monitoraggio volto sia al continuo miglioramento della qualità erogata, sia di quella percepita dall’utente finale. Grazie ad un sistema di KPI e alla reportistica periodica in grado di coprire l’intera gamma di prodotti e servizi offerti, il management è costantemente aggiornato sugli sviluppi dei relativi trend, assicurando un elevato livello di qualità.
Inoltre, il Gruppo ha avviato un processo di miglioramento continuo dell’experience del cliente, che parte dall’ascolto (interno ed esterno) e dall’analisi dei processi tramite tecnologie basate sull’intelligenza artificiale. In aggiunta, Poste Italiane adotta strumenti digitali che contribuiscono in maniera rilevante all’aumento della qualità e dei servizi erogati, ai fini del monitoraggio dei livelli di consegna on time di corrispondenza e pacchi e quelli di first delivery success per i pacchi.
Tra gli obiettivi del Gruppo, vi è la risoluzione rapida ed efficace dei reclami dei clienti attraverso un sistema di gestione dei reclami snello e facilmente accessibile a tutti, che consente un’immediata risoluzione delle problematiche emerse.
Infine, in riferimento al valore che l’Azienda attribuisce alla qualità percepita dalla clientela, è stato fissato un obiettivo di Customer Experience per i destinatari del programma MBO (Management By Objectives), al fine di assicurare che gli obiettivi del Management siano allineati con le esigenze e le aspettative dei clienti.
I rischi finanziari sono regolamentati e vigilati dalle Autorità (Banca d’Italia e IVASS) correlati principalmente all’operatività del Patrimonio BancoPosta e del Patrimonio Separato IMEL di PostePay, alle operazioni di finanziamento dell’attivo e impiego dell’attività propria, nonché agli investimenti effettuati dal gruppo assicurativo Poste Vita (rischio spread, rischio prezzo, rischio di credito, rischio di liquidità, rischio di tasso di interesse sul fair value, rischio tasso di inflazione sui flussi finanziari e il rischio valuta). I rischi della gestione assicurativa attengono alla stipula dei contratti assicurativi e alle condizioni previste nei contratti stessi.