PARTE GENERALE Modello di organizzazione e gestione ai ...€¦ · BNL POSitivity Gruppo BNP...

BNL POSitivity Gruppo BNP PARIBAS

21/12/2015

BNL POSitivity S.r.l.

PARTE GENERALE

Modello di organizzazione e gestione ai sensi del

D. Lgs. 231/2001

Modello di organizzazione e gestione ex D.lgs 231/01

BNL POSitivity Gruppo BNP PARIBAS Pagina 2 di 24

21/12/2015

INDICE

I - PREMESSA ............................................................................................................ 3

I - A Definizioni ...................................................................................................... 3 I - B Il contenuto del Decreto legislativo n. 231 dell’8 giugno 2001 e la normativa rilevante ................................................................................................................... 4 I - C Linee guida emanate dall’ABI ........................................................................ 6

II - RESPONSABILITÀ NELL’APPROVAZIONE, RECEPIMENTO E ADEGUAMENTO DEL MODELLO........................................................................................................... 6

III - CARATTERISTICHE SALIENTI DEL MODELLO ADOTTATO DALLA SOCIETÀ 7

IV - CARATTERISTICHE SALIENTI DELL’ATTUALE SISTEMA DEI CONTROLLI INTERNI ...................................................................................................................... 9

V - MAPPA DELLE ATTIVITÀ AZIENDALI A RISCHIO REATO ...............................10

VI - CODICE ETICO ...................................................................................................12

VII - RILEVAZIONE DEI PROCESSI SENSIBILI ........................................................12

VIII - FORMAZIONE ED INFORMAZIONE DEI DIPENDENTI E DEGLI AGENTI ......13

IX - INFORMAZIONE AGLI OUTSOURCER ED AGLI ALTRI SOGGETTI TERZI .....14

X - SISTEMA DISCIPLINARE ....................................................................................15

X - A Sanzione per i lavoratori dipendenti ..........................................................16 X - B Misure nei confronti dei dirigenti ................................................................16 X - C Misure nei confronti di Amministratori, Sindaci e Direttori nominati dal CdA . ..................................................................................................................16 X - D Misure nei confronti degli Agenti ...............................................................17 X - E Misura nei confronti degli Outsourcer e degli altri soggetti terzi .................17 X - F Misure nei confronti delle Società di Revisione .........................................18

XI - ORGANISMO DI VIGILANZA ..............................................................................18

XI - A Composizione dell’Organismo di Vigilanza ................................................18 XI - B Durata in carica, revoca e sostituzione dei componenti .............................19 XI - C Funzioni e poteri dell’Organismo di Vigilanza ............................................20 XI - D Regole di convocazione e funzionamento .................................................22 XI - E Reporting verso il Consiglio di Amministrazione e altri Organi sociali ........22

XII - FLUSSI INFORMATIVI NEI CONFRONTI DELL’ORGANISMO DI VIGILANZA .23

XII - A Segnalazioni da parte di esponenti aziendali, Agenti o parte di terzi .........23 XII - B Raccolta e conservazione delle informazioni .............................................24



21/12/2015

I - PREMESSA I - A Definizioni

Nel presente documento e nelle relative appendici ed allegati, le seguenti espressioni hanno il significato di seguito indicato:

- “Agenti”: soggetti terzi, non appartenenti al Personale dipendente della Società, incaricati della promozione di contratti inerenti il servizio di “Merchant Acquiring” sulla base di rapporti di agenzia;

- “Autorità”: Autorità Giudiziaria, Istituzioni e Pubbliche Amministrazioni nazionali ed estere, Consob, Banca d’Italia, Antitrust, Borsa Italiana, Ufficio Italiano Cambi, “Garante della privacy” e altre Autorità di vigilanza italiane ed estere.

- “Attività a rischio reato”: operazione o atto che espone la Società al rischio di commissione di uno dei Reati contemplati dal Decreto.

- “Azionisti”: BNL S.p.A. e First Data International (Italia).

- “Banca”, “Controllante” o “Capogruppo”: BNL S.p.A.

- “CCNL”: Contratto Collettivo Nazionale di Lavoro delle Aziende di credito, finanziarie e strumentali.

- “Codice Etico”: dichiarazione dei diritti, dei doveri, anche morali, e delle responsabilità interne ed esterne di tutte le persone e degli Organi che operano nella Banca, finalizzata all’affermazione dei valori e dei comportamenti riconosciuti e condivisi, anche ai fini della prevenzione e contrasto di possibili illeciti ai sensi del D.lgs. 8 giugno 2001, n. 231.

- “D.lgs. 231/2001” o “Decreto”: Decreto Legislativo 8 giugno 2001, n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300”, pubblicato nella Gazzetta Ufficiale n. 140 del 19 giugno 2001 e successive modificazioni ed integrazioni.

- “Destinatari”: Amministratori, Sindaci, Dipendenti, Personale distaccato/comandato, Agenti.

- “Dipendenti” e “Personale”: tutti coloro che intrattengono con la Società un rapporto di lavoro subordinato, compresi i dirigenti.

- “Documento valutazione rischi”: documento previsto dall’art. 28 e segg. del D.lgs. 9.04.2008 n.81, elaborato dal datore di lavoro all’esito della valutazione dei rischi del luogo di lavoro.

- “Gruppo”: la Banca e le società da essa controllate ai sensi dell’art. 2359 del Codice Civile.

- “Linee Guida”: le Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.lgs. 231/2001 diramate dall’ABI.

- “Modello”: modello di organizzazione, gestione e controllo idoneo a prevenire i reati, così come previsto dagli articoli 6 e 7 del Decreto.

- “Organi Sociali”: il Consiglio di Amministrazione e il Collegio Sindacale della Società.



21/12/2015

- “Organismo di Vigilanza” o “OdV”: Organismo previsto dall’art. 6 del Decreto, avente il compito di vigilare sul funzionamento e l’osservanza del modello di organizzazione, gestione e controllo, nonché sull’aggiornamento dello stesso.

- “P.A.”: la Pubblica Amministrazione, nazionale e comunitaria, inclusi i relativi funzionari ed i soggetti incaricati di pubblico servizio.

- “Processo sensibile”: processo nel cui ambito ricorre il rischio di commissione dei reati; trattasi dei processi nelle cui fasi, sottofasi o attività si potrebbero in linea di principio configurare le condizioni, le occasioni o i mezzi per la commissione di reati, anche in via strumentale alla concreta realizzazione della fattispecie di reato.

- “Protocollo”: insieme delle procedure aziendali atte a disciplinare uno specifico processo. “Outsourcer”: Ente al quale la Società ha esternalizzato attività rientranti nel proprio perimetro operativo.

- “Reati”: i reati ai quali si applica la disciplina prevista del D.lgs. 231/2001 (per come eventualmente modificato ed integrato in futuro).

- “SCI”: Sistema dei controlli interni adottato dalla Società.

- “Sistema Disciplinare”: insieme delle misure sanzionatorie applicabili in caso di violazione del Modello.

- “Società”: BNL Positivity S.r.l..

- “Società di Service”: società controllate e non dalla Banca che svolgono attività di servizio in favore delle altre società del Gruppo stesso.

- “Soggetti Apicali”: il Consiglio di Amministrazione, il Presidente, il Direttore Generale nonché i soggetti titolari di deleghe di poteri conferite direttamente dal Consiglio di Amministrazione

I - B Il contenuto del Decreto legislativo n. 231 dell’8 giugno 2001 e la normativa rilevante

In data 8 giugno 2001 è stato emanato – in esecuzione della delega di cui all’art. 11 della Legge 29 settembre 2000 n. 300 – il Decreto Legislativo n. 231, entrato in vigore il 4 luglio successivo, che ha inteso adeguare la normativa interna in materia di responsabilità delle persone giuridiche ad alcune convenzioni internazionali cui l’Italia ha già da tempo aderito.

Il D.lgs. 231/2001, recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” ha introdotto per la prima volta in Italia una peculiare forma di responsabilità degli enti per alcuni reati commessi nell’interesse o a vantaggio degli stessi, da soggetti che rivestano funzioni di rappresentanza, di amministrazione o di direzione dell’Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitino, anche di fatto, la gestione ed il controllo dello stesso e, infine, da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati. Tale responsabilità si cumula a quella della persona fisica che ha commesso il fatto illecito.

La responsabilità introdotta dal D.lgs. 231/2001 comporta la possibilità di applicare, nei confronti dell'Ente, uno specifico ventaglio di sanzioni punitive. Per tutti gli illeciti commessi è sempre prevista l’applicazione di una sanzione pecuniaria. Per i casi più



21/12/2015

gravi sono previste anche misure interdittive, quali la sospensione o revoca di licenze e concessioni, il divieto di contrarre con la P.A., l’interdizione dall’esercizio dell’attività, l’esclusione o revoca di finanziamenti e contributi, il divieto di pubblicizzare beni e servizi.

Il Decreto, nella sua stesura originaria, elencava, tra i reati dalla cui commissione è fatta derivare la responsabilità amministrativa degli Enti, esclusivamente quelli realizzati nei rapporti con la pubblica amministrazione (artt. 24 e 25). Il novero dei reati è stato successivamente ampliato, sino a ricomprendere, tra gli altri, i reati societari, i reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, i cosiddetti delitti informatici, taluni reati in materia di sicurezza sul lavoro ed altre tipologie di reato meglio descritte nella Parte II del presente Modello Organizzativo.

Connotata la responsabilità amministrativa degli Enti, gli artt. 6 e 7 del Decreto stabiliscono le regole in base alle quali detta responsabilità può scattare. In generale, il meccanismo di imputazione della responsabilità ruota intorno al principio secondo cui l’Ente può evitare di essere coinvolto se ricorrono due condizioni fondamentali: la prima è che esso possa dimostrare di aver adottato ed efficacemente attuato, prima della commissione del fatto, “modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi”; la seconda è che sia stato istituito un “Organismo di Vigilanza” con il compito di vigilare sul funzionamento, sull’efficacia e sull’osservanza del predetto Modello nonché di curarne l'aggiornamento.

Detto principio si articola poi diversamente a seconda della persona fisica autrice del reato. In ipotesi di reato commesso da soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da soggetti che esercitano, anche di fatto, la gestione e il controllo dello stesso (c.d. “soggetti apicali”), l’Ente non risponde se prova che:

(i) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;

(ii) il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento sia stato affidato a un organismo dell’Ente dotato di autonomi poteri di iniziativa e di controllo;

(iii) non vi sia stata omessa o insufficiente vigilanza da parte dell’Organismo di Vigilanza in ordine ai modelli;

(iv) i soggetti abbiano commesso il reato eludendo fraudolentemente i modelli.

Nel caso in cui, invece, il reato sia stato commesso da soggetti sottoposti alla direzione o alla vigilanza di un soggetto apicale, l’Ente è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione e vigilanza. Detta inosservanza è, in ogni caso, esclusa qualora l’Ente, prima della commissione del reato, abbia adottato ed efficacemente attuato modelli idonei a prevenire reati della specie di quello verificatosi, secondo una valutazione che deve necessariamente essere a priori.

Come è agevole intuire, tutto questo complesso meccanismo di esonero dalla responsabilità penale si basa soprattutto sulla adozione del Modello Organizzativo, la cui funzione è proprio quella di dettare regole e procedure interne con funzione c.d. cautelare, cioè di prevenzione dei reati. Il Decreto, come accennato, richiede la



21/12/2015

"idoneità" del Modello a soddisfare tale funzione e prevede, pertanto, che esso risponda alle seguenti esigenze "minime":

• individuare le attività nel cui ambito possono essere commessi i Reati previsti dal Decreto;

• prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai Reati da prevenire;

• individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali Reati;

• prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza del Modello;

• introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello

L’art. 6 del Decreto dispone, infine, che i modelli possano essere adottati sulla base di codici di comportamento redatti da associazioni rappresentative di categoria, comunicati al Ministero della Giustizia.

I - C Linee guida emanate dall’ABI

In ragione dell’appartenenza al Gruppo, nella predisposizione del presente documento la Società ha opportunamente tenuto conto del “Modello di Organizzazione, Gestione e Controllo ai sensi del D.lgs. n. 231/2001” predisposto e adottato dalla Banca, la quale ha recepito parte dei principi e delle soluzioni contenute nelle Linee Guida elaborate dall’Associazione Bancaria Italiana (ABI). Tali Linee Guida hanno costituito, pertanto, criterio di riferimento anche nell’ambito della predisposizione del presente documento, tenuto conto anche dell’appartenenza della Società – in qualità di intermediario finanziario inserito in un Gruppo Bancario aderente – alla medesima associazione di categoria.

Per una più ampia trattazione dei principi di cui alle predette Linee Guida si rinvia alla Parte III.

Resta inteso che eventuali divergenze del Modello adottato dalla Società rispetto a talune specifiche indicazioni di cui alle Linee Guida, non ne inficiano la correttezza di fondo e la validità. Tali Linee Guida, infatti, per loro natura, hanno carattere generale, laddove il Modello deve essere predisposto con riferimento alla realtà concreta della Società

II - RESPONSABILITÀ NELL’APPROVAZIONE, RECEPIMENTO E ADEGUAMENTO DEL MODELLO

L’adozione e l’efficace attuazione del Modello costituiscono, ai sensi dell’art. 6, comma 1, lett. a) del Decreto, atti di competenza e di emanazione dell’organo dirigente. È, pertanto, rimessa al Consiglio di Amministrazione la responsabilità di approvare e recepire, mediante apposita delibera, il presente Modello, i cui nuovi principi e regole operative integrano il più generale assetto organizzativo attualmente in vigore nella Società.



21/12/2015

Con riferimento alle “esigenze” individuate dal Legislatore nel Decreto e ulteriormente dettagliate dall’ABI nelle proprie Linee Guida, le attività che il Consiglio di Amministrazione ritiene di adottare per la valutazione del Modello esistente sono qui di seguito elencate:

- identificazione dell’ambito di operatività aziendale da ricomprendere nel Modello e mappatura dettagliata delle attività aziendali “a rischio reato”, ovverosia di quelle attività il cui svolgimento può costituire occasione di commissione dei Reati di cui al Decreto e pertanto da sottoporre ad analisi e monitoraggio;

- analisi dei protocolli esistenti ed individuazione delle eventuali integrazioni necessarie a garantire una perfetta aderenza degli stessi al Decreto. In tale ambito particolare attenzione è stata posta alla:

– definizione, attraverso il recepimento del Codice Etico della Controllante, di principi etici in relazione ai comportamenti che possono integrare le fattispecie di reato previste dal Decreto;

– definizione dei processi della Società nel cui ambito, in linea di principio, potrebbero configurarsi le condizioni, le occasioni o i mezzi per la commissione di Reati;

– definizione delle modalità di formazione del personale; – definizione dell’informativa da fornire agli Outsourcer, alle Società di Service e

agli altri soggetti terzi con cui la Società entri in contatto;

- definizione e applicazione di disposizioni disciplinari idonee a sanzionare il mancato rispetto delle misure indicate nel Modello e dotate di idonea deterrenza;

- identificazione dell’Organismo di Vigilanza ed attribuzione al medesimo di specifici compiti di vigilanza sull’efficace e corretto funzionamento del Modello;

- definizione dei flussi informativi nei confronti dell’Organismo di Vigilanza.

Il compito di vigilare sull’aggiornamento del Modello, in relazione a nuove ipotesi di reato o ad esigenze di adeguamento che dovessero rivelarsi necessarie, è affidato dal Consiglio di Amministrazione all’Organismo di Vigilanza, giusta quanto previsto dall’art. 6, comma 1 lettera b) del Decreto.

È cura del Consiglio di Amministrazione procedere alla efficace attuazione del Modello. A tal fine, esso si avvale del supporto dell’Organismo di Vigilanza.

III - CARATTERISTICHE SALIENTI DEL MODELLO ADOTTATO DALLA SOCIETÀ Il presente Modello è stato elaborato nel rispetto dei principi e dei criteri contenuti nel “Modello di Organizzazione, Gestione e Controllo ai sensi del D. Lgs. n. 231/2001” adottato dalla Controllante, dei principi di cui alle Linee Guida emanate dall’ABI nonché in piena aderenza ai valori e alle norme di comportamento contenute nel Codice Etico della Controllante, che la Società ha provveduto a recepire e ad adottare come proprio sistema di valori, regole, diritti e doveri.

Inoltre, ai fini della redazione del presente Modello sono state analizzate e prese in considerazione le pronunce giurisprudenziali più significative in materia. Quanto deciso dalla giurisprudenza, unitamente alle Linee Guida delle associazioni di categoria, rappresenta un parametro essenziale da seguire nella elaborazione di un Modello che



21/12/2015

possa essere considerato efficace ed idoneo ad assolvere alla funzione esimente cui è finalizzato.

Il presente Modello tiene conto, in particolare, dell’attuale assetto organizzativo adottato della Società, il quale si caratterizza per l’affidamento agli Azionisti e per ciò stesso alla Controllante e a First Data International (Italia), in qualità di Outsourcer, di numerose attività rientranti nel proprio perimetro operativo e coincidenti con altrettante fasi del proprio ciclo operativo e funzionale. Tale conferimento di funzioni aziendali in outsourcing agli Azionisti è stato realizzato sulla base dei contratti di outsourcing di seguito elencati, i quali hanno ad oggetto le attività rispettivamente indicate:

- Alliance Operations Agreement – e successive modifiche - concluso tra la Società, la Controllante e First Data International (Italia), per l’attribuzione a tali soggetti delle attività strettamente inerenti il “Merchant Acquiring” (gestione delle transazioni, merchant funding, gestione e risoluzione delle Dispute e dei Chargeback), la gestione finanziaria e di tesoreria, l’assistenza ai clienti, l’accesso ai sistemi informatici e telematici necessari all’autorizzazione, effettuazione e gestione delle transazioni;

- Contratto avente ad oggetto gli adempimenti, affidati alla Controllante, connessi alla tenuta, alla gestione e aggiornamento dell’Archivio Unico Informatico ai sensi della normativa sull’antiriciclaggio del denaro di provenienza illecita.

La funzione di auditing sul sistema di controllo interno, anche in considerazione della struttura organizzativa della società, è svolta da specifiche funzioni allestite nell’ambito del gruppo di appartenenza (Inspéction Générale - BNP Paribas).

Nel concludere tali convenzioni la Società ha provveduto a condividere con gli Azionisti i principi e i criteri sulla base dei quali dovranno essere prestate le attività ad essi attribuite, nel rispetto dei valori e delle norme di comportamento contenute nel Codice Etico predisposto e accettato dagli Azionisti stessi.

In tale contesto, la Società ha provveduto a definire appositi livelli di servizio per la prestazione delle medesime attività e ad acquisire uno specifico impegno dagli Azionisti ad osservare il presente Modello e il Codice Etico, anche al fine di prevenire la commissioni di Reati rilevanti a sensi del Decreto, provvedendo altresì ad adottare specifici presidi contrattuali (clausole di risoluzione, meccanismi di diffida ad adempiere, ecc.) a salvaguardia dei medesimi impegni e delle predette esigenze di prevenzione dei Reati.

Altra caratteristica dell’attuale assetto organizzativo della Società è l’utilizzo di una rete di Agenti per lo svolgimento di alcune fasi dell’attività di “Merchant Acquiring”, secondo criteri e direttive impartite dalla Società e nel rispetto della loro autonomia di imprenditori terzi.

Inoltre la Società, tenuto conto della propria struttura organizzativa, ha affidato a terzi talune attività amministrative attraverso i seguenti contratti:

- contratto per la fornitura di servizi nel settore del Personale;

- contratto per la fornitura di taluni servizi di tenuta della contabilità.

La Società comunica alla Controllante il presente Modello e ogni successiva modifica che si ritenesse opportuno adottare.



21/12/2015

IV - CARATTERISTICHE SALIENTI DELL’ATTUALE SISTEMA DEI CONTROLLI INTERNI

L’assetto organizzativo della Società, anche in conseguenza dell’attribuzione in outsourcing alla Controllante di numerose attività rientranti nel proprio perimetro operativo e dell’attribuzione in outsourcing della stessa funzione di Auditing sul sistema di controllo interno (Inspéction Générale - BNP Paribas), è un sistema di procedure, regole comportamentali, disposizioni e strutture organizzative strettamente connesso e integrato a quello della Controllante.

I controlli svolti da risorse interne della Società coinvolgono, con ruoli e a livelli diversi, il Consiglio di Amministrazione, il Collegio Sindacale, l’Organismo di Vigilanza previsto dal presente Modello Organizzativo ai sensi del D.lgs. 231/01, nonché tutto il personale e rappresentano un attributo imprescindibile dell’attività quotidiana della Società.

È peraltro necessario che il Modello, ferma restando la sua finalità peculiare, vada integrato nel più ampio sistema di controlli interni in essere presso la Controllante e nel Gruppo e che pertanto il sistema dei controlli interni esistente sia in grado, con gli eventuali adattamenti che si rendessero necessari, di essere utilizzato anche allo scopo di prevenire i reati contemplati dal Decreto.

Sensibile alla prioritaria esigenza di assicurare condizioni di correttezza e trasparenza nella conduzione degli affari e delle attività aziendali, a tutela della propria posizione ed immagine, delle aspettative degli Azionisti e del lavoro dei propri dipendenti, il Consiglio di Amministrazione adotta il presente Modello anche in esito ai risultati derivati dall’attività di analisi e monitoraggio dei propri modelli organizzativi, di gestione e di controllo, volta a verificare la rispondenza dei principi comportamentali e delle procedure già adottate alle finalità previste dal Decreto.

L’adozione del presente Modello è avvenuta nella convinzione che l’adozione e l’efficace attuazione del Modello non solo consentano alla Società di beneficiare dell’esimente prevista dal D.lgs. 231/2001, ma migliorino, nei limiti previsti dallo stesso, la sua Corporate Governance, limitando il rischio di commissione dei reati.

Scopo del Modello è la predisposizione di un sistema strutturato ed organico di procedure e attività di controllo (ex ante ed ex post) che abbia come obiettivo la consapevole gestione del rischio di commissione dei Reati, mediante l’individuazione dei processi sensibili e la loro conseguente proceduralizzazione. Tali attività consentiranno:

- al potenziale autore del reato di avere piena consapevolezza circa la forte riprovazione della Società nei confronti di qualsiasi forma di illegalità, e ciò anche quando dalla commissione di un illecito la Società potrebbe addirittura trarre un vantaggio;

- alla Società di prevenire/impedire la commissione dei reati, grazie ad un monitoraggio costante dell’attività.

I capitoli seguenti contengono la dettagliata illustrazione dei fattori qualificanti il Modello, che il Consiglio di Amministrazione della Società ritiene ineludibili ai fini della efficace implementazione di un Modello idoneo a prevenire la commissione dei reati di cui al D. Lgs. 231/2001.



21/12/2015

V - MAPPA DELLE ATTIVITÀ AZIENDALI A RISCHIO REATO Nell’elaborazione del presente Modello, si è reso necessario individuare, mediante un’analisi di tutte le unità organizzative della Società, le principali fattispecie di rischio/reato e le possibili modalità di realizzazione delle stesse.

Al fine di individuare le attività “a rischio reato”, assume preliminare rilievo la determinazione dell’ambito d’applicazione dei presupposti soggettivi del Decreto. In particolare, sono stati individuati i soggetti dalla cui condotta illecita può derivare l’estensione della responsabilità a carico della Società.

In tal senso:

- il Consiglio di Amministrazione, il Presidente, il Direttore Generale nonché i soggetti titolari di deleghe di potere conferite direttamente dal Consiglio di Amministrazione, costituiscono i "soggetti in posizione apicale" di cui all’art. 5, comma 1, lett. a) del Decreto;

- gli altri dipendenti, in quanto sottoposti alla direzione o alla vigilanza di uno dei soggetti di cui sopra, sono ricompresi nell’ambito delle persone indicate dall’art. 5, comma 1, lett. b) del Decreto.

Quanto ai soggetti estranei all’organizzazione aziendale, ma con cui la Società intrattiene rapporti stabili e continuativi, si è inteso verificare se, nei confronti degli stessi, la Società disponga di:

- poteri di indirizzo, ossia della facoltà di impartire direttive specifiche e vincolanti l'esecuzione del rapporto;

- poteri di controllo delle diverse fasi di espletamento della prestazione oggetto del rapporto;

- poteri disciplinari e di censura.

Per ciò che riguarda le Società di Service, i professionisti, i consulenti ed i fornitori, non si ravvisano in capo alla Società penetranti poteri di controllo e di indirizzo, e ciò soprattutto in considerazione della tendenziale sporadicità dei rapporti che essi intrattengono con la Società.

Nei confronti degli Agenti, vale a dire dei soggetti incaricati della promozione di contratti inerenti il servizio di “Merchant Acquiring” sulla base di contratti di agenzia, la Società dispone invece di rilevanti poteri di indirizzo e vigilanza; poteri che, pur nel rispetto dell’autonomia organizzativa ed operativa della quale l’Agente, per legge, è comunque titolare, consentono alla Società stessa di impartire istruzioni, effettuare verifiche e sanzionare – tramite appositi meccanismi contrattuali quali ad es. la clausola risolutiva espressa ed il recesso per giusta causa – comportamenti in contrasto con le disposizioni applicabili al rapporto.

Quanto infine agli Outsourcer – cui si è demandato lo svolgimento di rilevanti attività rientranti nel perimetro operativo della Società – i rapporti in essere prevedono in capo alla Società la possibilità di impartire istruzioni, effettuare verifiche e sanzionare – anche in questo caso mediante appositi meccanismi contrattuali, come la clausola risolutiva espressa o la diffida ad adempiere – comportamenti in contrasto con le disposizioni contenute nel presente Modello. In tal senso, si ritiene che la possibilità di pervenire ad assetti contrattuali coerenti con le esigenze qui indicate sia garantita dagli ottimi rapporti in essere con tali soggetti e, soprattutto, dalla qualità rivestita dalla



21/12/2015

Società di soggetto controllato (nei confronti della Banca) e di soggetto partecipato (nei confronti di First Data International Italia).

Alla luce di tali considerazioni, appare opportuno:

- ricomprendere gli Agenti e gli Outsourcer tra i soggetti Destinatari delle regole contenute nel presente Modello;

- non ricomprendere le Società di Service, i professionisti, i consulenti ed i fornitori tra i soggetti Destinatari delle regole contenute nel presente Modello; ciò peraltro non esclude l’impegno a richiedere il rispetto delle procedure e del Codice Etico anche da parte dei suddetti soggetti, attraverso idonei strumenti di carattere contrattuale, nonché attraverso una costante attività di informazione degli stessi in merito ai contenuti essenziali del Modello.

I risultati dell’attività di mappatura, raccolti nella Parte IV (Parte Speciale), sezione “Mappa delle attività sensibili” e sezione “Reati – Modalità commissive”, hanno consentito:

- la preliminare identificazione delle unità organizzative che, in considerazione dei compiti e delle responsabilità attribuite, potrebbero potenzialmente essere coinvolte nelle attività “a rischio reato”;

- l’individuazione delle principali fattispecie di rischio/reato;

- la descrizione delle possibili modalità di realizzazione dei comportamenti illeciti.

Dalla su ricordata mappatura del rischio, eseguita ai sensi dell'art. 6 del D. Lgs. 231/2001; è stata anzitutto accertata l'assenza di aree di attività ragionevolmente esposte alla concreta possibilità di realizzazione di una parte dei reati previsti dalla legge quale presupposto di responsabilità dell'ente. Trattasi infatti di reati che, considerato l’assetto organizzativo e l’attività della Società, non assumono particolare rilevanza, in quanto si sostanziano in condotte estranee ai processi gestiti dalla Società.

Tali reati sono:

falsità in monete, in carte di pubblico credito e in valori di bollo (art. 25 bis);

pratiche di mutilazione degli organi genitali femminili;

delitti di associazione a delinquere finalizzata alla riduzione o al mantenimento in schiavitù, alla tratta di persone, all’acquisto e alienazione di schiavi ed ai reati concernenti le violazioni delle disposizioni sull’immigrazione clandestina di cui all’art. 12 D.lgs 286/1998 (Art. 416, sesto comma c.p.);

sequestro di persona a scopo di estorsione (Art. 630 c.p.);

artt. 727-bis (Uccisione, distruzione, cattura, prelievo, detenzione di esemplari di specie animali o vegetali selvatiche protette) e 733-bis c.p. (Distruzione o deterioramento di habitat all’interno di un sito protetto);

i reati previsti dal decreto legislativo 6 novembre 2007, n. 202;

gli illeciti previsti dalla Legge n. 150/1992 (“Disciplina dei reati relativi all'applicazione in Italia della convenzione sul commercio internazionale delle specie animali e vegetali in via di estinzione, firmata a Washington il 3 marzo 1973, di cui alla legge 19 dicembre 1975, n. 874, e del regolamento (CEE) n. 3626/82, e successive modificazioni, nonché dalle norme per la commercializzazione e la detenzione di esemplari vivi di mammiferi e rettili che



21/12/2015

possono costituire pericolo per la salute e l'incolumità pubblica”), e, da ultimo, quelli concernenti la riduzione dello strato di ozono ex art. 3 della Legge n. 549/1993 (“Misure a tutela dell'ozono stratosferico e dell'ambiente”);

gli illeciti di cui al D. Lgs. 152/2006, con esclusione delle fattispecie di cui all’art. 256.

VI - CODICE ETICO Il Codice Etico è parte integrante del Modello, riportato nella Parte V.

E’ opportuno precisare che il Codice Etico riveste una portata generale in quanto contiene una serie di principi di “deontologia aziendale”, che la Società riconosce come propri e sui quali intende richiamare l’osservanza di tutti i suoi dipendenti e di tutti coloro che, anche all’esterno della Società, cooperano al perseguimento dei fini aziendali.

La Società si impegna ad un’effettiva diffusione, al suo interno e nei confronti dei soggetti che con essa collaborano, delle informazioni relative alla disciplina normativa ed alle regole comportamentali e procedurali da rispettare, al fine di assicurare che l’attività d’impresa si svolga nel rispetto dei principi etici.

La Società provvederà a recepire tutte le modifiche e gli aggiornamenti introdotti nel Codice Etico ad opera della Controllante.

VII - RILEVAZIONE DEI PROCESSI SENSIBILI La mappatura delle attività aziendali “a rischio reato” ha consentito di definire i comportamenti che devono essere rispettati nello svolgimento di tali attività, al fine di garantire un sistema di controlli interni idoneo a prevenire la commissione dei reati previsti dal Decreto Legislativo 231/2001. Tali comportamenti, raccolti nella Parte Speciale, devono essere adottati nell’ambito dei processi aziendali, particolarmente in quelli “sensibili” alla possibilità di una condotta delittuosa.

A tal proposito, risulta assolutamente prioritario che tutti i processi aziendali sensibili si uniformino ai seguenti principi generali:

- separazione dei compiti attraverso una corretta distribuzione delle responsabilità e la previsione di adeguati livelli autorizzativi, allo scopo di evitare sovrapposizioni funzionali o allocazioni operative che concentrino le attività critiche su un unico soggetto;

- chiara e formalizzata assegnazione di poteri e responsabilità, con espressa indicazione dei limiti di esercizio e in coerenza con le mansioni attribuite e le posizioni ricoperte nell’ambito della struttura organizzativa;

- esistenza di regole comportamentali idonee a garantire l’esercizio delle attività aziendali nel rispetto delle leggi e dei regolamenti e dell’integrità del patrimonio aziendale;

- “proceduralizzazione” delle attività aziendali “a rischio reato”, al fine di:



21/12/2015

– definire e regolamentare le modalità e tempistiche di svolgimento delle attività medesime;

– garantire la tracciabilità degli atti, delle operazioni e delle transazioni attraverso adeguati supporti documentali che attestino le caratteristiche e le motivazioni dell’operazione ed individuino i soggetti a vario titolo coinvolti nell’operazione (autorizzazione, effettuazione, registrazione, verifica dell’operazione);

– garantire, ove necessario, l’“oggettivazione” dei processi decisionali e limitare decisioni aziendali basate su scelte soggettive non legate a predefiniti criteri oggettivi;

- esistenza e documentazione di attività di controllo e supervisione, compiute sulle transazioni aziendali;

- esistenza di meccanismi di sicurezza che garantiscano un’adeguata protezione/accesso fisico-logico ai dati e ai beni aziendali.

VIII - FORMAZIONE ED INFORMAZIONE DEI DIPENDENTI E DEGLI AGENTI Secondo la giurisprudenza formatasi nel tempo, affinché il Modello risulti idoneo l’Ente dovrà provvedere ad organizzare specifici corsi di formazione finalizzati ad assicurare un’adeguata conoscenza, comprensione ed applicazione del Modello da parte dei dipendenti e dei dirigenti. Dovrà inoltre essere prevista l’obbligatorietà di partecipazione e di frequenza ai corsi medesimi.

Pertanto, è obiettivo della Società garantire una corretta conoscenza, sia da parte dei dipendenti che da parte degli Agenti, circa il contenuto del Decreto e gli obblighi derivanti dal medesimo. Ai fini dell’attuazione del Modello, la formazione e l’informativa verso il personale e la rete di Agenti è gestita dalla Società, secondo quanto stabilito nel presente documento, in stretto coordinamento con l’Organismo di Vigilanza e con i responsabili delle altre funzioni di volta in volta coinvolte nella applicazione del Modello.

L’attività di formazione e di informazione riguarda tutto il personale, compreso il personale direttivo, nonché la rete di Agenti.

Le principali modalità di svolgimento delle attività di formazione/informazione necessarie anche ai fini del rispetto delle disposizioni contenute nel Decreto, attengono la specifica informativa all’atto dell’assunzione e del convenzionamento degli Agenti e le ulteriori attività ritenute necessarie al fine di garantire la corretta applicazione delle disposizioni previste nel Decreto. In particolare, è prevista:

- una comunicazione iniziale: l’adozione del Modello è comunicata a tutte le risorse (Dipendenti e Agenti) presenti in azienda al momento dell’adozione stessa e dei successivi aggiornamenti;

- ai nuovi assunti viene consegnato un set informativo, contenente il CCNL, il testo del Decreto Legislativo 231/2001, il presente documento “Modello di organizzazione, gestione e controllo ai sensi del D.lgs. 231/2001”, contenente il Codice Etico e le Linee Guida ABI, con il quale assicurare agli stessi le conoscenze considerate di primaria rilevanza. I Dipendenti tutti e gli “Apicali” non dipendenti dovranno sottoscrivere apposito modulo per presa conoscenza ed accettazione;



21/12/2015

- una specifica attività di formazione: tale attività di formazione “continua” può essere sviluppata facendo ricorso sia a strumenti informatici (Intranet aziendale della Controllante, strumenti di autovalutazione) che a incontri e seminari di formazione ed aggiornamento periodici, e risulta differenziata, nei contenuti e nelle modalità di erogazione, in funzione della qualifica dei destinatari, del livello di rischio dell’area in cui operano, dell’avere o meno funzioni di rappresentanza della Società.

Al fine di garantire l’effettiva diffusione del Modello e l’informazione del personale con riferimento ai contenuti del Decreto e agli obblighi derivanti dall’attuazione del medesimo, viene istituita una specifica sezione della Intranet aziendale dedicata all’argomento.

IX - INFORMAZIONE AGLI OUTSOURCER ED AGLI ALTRI SOGGETTI TERZI La Società promuove la conoscenza e l’osservanza del Modello Organizzativo e del Codice Etico presso gli Outsourcer. A tal fine le funzioni aventi contatti con gli Outsourcer consegnano loro copia del Modello Organizzativo, comprensivo del Codice Etico. Agli stessi è fornita, in ogni caso, idonea informativa sulle conseguenze del mancato rispetto del Codice stesso. Laddove possibile, sono inserite nei testi contrattuali specifiche clausole dirette a disciplinare le conseguenze del mancato rispetto del Modello Organizzativo e del Codice Etico, che prevedano l’espressa dichiarazione dell’Outsourcer di aver ricevuto il Modello Organizzativo, di conoscerne i contenuti e di impegnarsi al rispetto delle relative prescrizioni, nonché la risoluzione del rapporto contrattuale in caso di inadempimento. Le clausole in oggetto avranno il seguente tenore o similare: “Dichiaro/dichiariamo di aver ricevuto copia del Modello Organizzativo, comprensivo del Codice Etico, adottato dalla BNL Positivity S.r.l. di aver preso conoscenza dei relativi contenuti e conseguentemente mi/ci impegno/impegniamo all’osservanza, nello svolgimento della mia/nostra attività, delle prescrizioni ivi contenute, consapevole che la sua violazione, accertata dalla Società, comporterà l’automatica risoluzione del contratto/rapporto di lavoro”.

Inoltre la Società promuove la diffusione e l’osservanza del Codice Etico tra gli altri soggetti terzi con i quali essa entra in contatto nello svolgimento delle proprie attività: le Società di Service; i professionisti; i consulenti; i collaboratori e i fornitori. A questi verranno pertanto fornite apposite informative sui contenuti del Codice Etico e sui principi, le politiche e le procedure che la Società ha adottato sulla base del presente Modello. Inoltre, saranno inseriti nei rispettivi contratti le clausole contrattuali adottate dalla Società coerentemente con detti principi, politiche e procedure.

Per il personale inserito con procedura di distacco è prevista attività di formazione al fine di garantire una corretta conoscenza del contenuto e degli obblighi derivanti dal Decreto. E’ altresì consegnata copia delle norme aziendali più significative, tra cui la Parte IV (Parte Speciale) e la Parte V “Codice Etico” del presente Modello ai sensi del D.lgs. 231/2001. All’atto della consegna di tale normativa interna, sarà fatta firmare la seguente dichiarazione: “Io sottoscritto dichiaro di aver ricevuto la copia del Codice Etico e delle Regole di Comportamento approvati dal Consiglio di Amministrazione di BNL POSitivity S.r.l.; prendo altresì atto che il testo integrale del Modello di Organizzazione, Gestione e Controllo ai sensi del D.lgs. 231/2001 è contenuto nella specifica area “Legal & Compliance” consultabile nell’intranet aziendale. Prendo atto che i principi e le regole operative contemplate nel Modello integrano il più generale



21/12/2015

sistema normativo aziendale, che mi impegno ad osservare in relazione alle mansioni che mi saranno affidate”.

X - SISTEMA DISCIPLINARE La definizione di un sistema di sanzioni (commisurate alla violazione e dotate di deterrenza) applicabili in caso di violazione delle regole di cui al Modello definito, rende efficiente l’azione di vigilanza dell’Organismo di Vigilanza ed ha lo scopo di garantirne la capacità dissuasiva. La definizione di tale sistema disciplinare costituisce, infatti, ai sensi dell’art. 6, comma 1, lettera e) del D.lgs. 231/2001, un requisito essenziale ai fini dell'esimente rispetto alla responsabilità della Società.

Tale sistema disciplinare si rivolge agli Amministratori e ai Dipendenti che operino per conto della Società prevedendo adeguate sanzioni di carattere disciplinare, ma contempla anche sanzioni di carattere contrattuale/negoziale nei confronti dei terzi con i quali la Società sia entrata in contatto.

L’applicazione del sistema disciplinare e delle relative sanzioni è indipendente dallo svolgimento e dall’esito del procedimento penale eventualmente avviato dall'autorità giudiziaria nel caso in cui il comportamento da censurare valga anche ad integrare una fattispecie di reato rilevante ai sensi del D.lgs. 231/2001.

Al fine di esplicitare preventivamente i criteri di correlazione tra le mancanze dei lavoratori ed i provvedimenti disciplinari adottati, le azioni ed i comportamenti degli Amministratori, Dipendenti, collaboratori e soggetti terzi sono classificati in:

1. violazioni del Modello o delle sue procedure, ovvero del Codice Etico, i cui caratteri non siano tuttavia tali da arrecare nocumento materiale o di immagine all'azienda, o da pregiudicare il rapporto fiduciario con la stessa;

2. violazioni del Modello o delle sue procedure, ovvero del Codice Etico tali da far venire meno la fiducia dell’azienda nei confronti dell’Amministratore e/o Dipendente quali: adozione, nell’espletamento delle attività nelle aree “a rischio reato”, di comportamenti non conformi alle prescrizioni del Modello e del Codice Etico e diretti in modo univoco al compimento di un reato sanzionato dal Decreto;

3. violazioni del Modello o delle sue procedure, ovvero del Codice Etico tali da provocare grave nocumento materiale o all’immagine alla Società e da non consentire la prosecuzione del rapporto neppure in via temporanea quali: adozione, nell’espletamento delle attività “a rischio reato”, di comportamenti palesemente in violazione delle prescrizioni del Modello e del Codice Etico, tale da determinare la concreta applicazione a carico della Società di misure previste dal Decreto;

Le infrazioni al solo Codice Etico e le sanzioni eventualmente applicabili restano disciplinate dalle apposite disposizioni del medesimo Codice Etico.

Le infrazioni al Modello saranno invece soggette al solo procedimento disciplinare previsto dal Modello ed alle relative specifiche sanzioni.



21/12/2015

X - A Sanzione per i lavoratori dipendenti

Con riguardo ai lavoratori dipendenti e, in particolare, a quelli diversi dai Dirigenti, il Decreto prevede che il sistema disciplinare debba rispettare i limiti connessi al potere sanzionatorio imposti dall’art. 7 della Legge n. 300/1970 (c.d. “Statuto dei lavoratori”) e dalla contrattazione collettiva di settore e aziendale, sia per quanto riguarda le sanzioni irrogabili sia per quanto riguarda la forma di esercizio di tale potere. A quest’ultimo proposito si segnala la facoltà dell’azienda di sospendere il lavoratore dall’attività di servizio, senza privazione della retribuzione, nello stesso corso del procedimento disciplinare.

Il mancato rispetto e/o la violazione dei principi generali del Modello, delle regole di comportamento imposte dal Codice Etico e delle procedure aziendali ad opera di lavoratori dipendenti della Società, costituiscono inadempimento alle obbligazioni derivanti dal rapporto di lavoro e illecito disciplinare.

Con riferimento alle sanzioni irrogabili, si precisa che esse saranno adottate ed applicate nel rispetto delle procedure previste dalle normative collettive nazionali ed aziendali applicabili al rapporto di lavoro.

Fermo restando il principio di collegamento tra i provvedimenti disciplinari irrogabili e le fattispecie in relazione alle quali gli stessi possono essere assunti, nell’irrogazione della sanzione disciplinare deve necessariamente essere rispettato il principio della proporzionalità tra infrazione e sanzione.

Le sanzioni saranno applicate dalla funzione competente su segnalazione motivata dell’Organismo di Controllo.

L’adeguatezza del sistema disciplinare alle prescrizioni del Decreto deve essere costantemente monitorata dall’Organismo di Vigilanza.

X - B Misure nei confronti dei dirigenti

In caso di violazione da parte dei dirigenti dei principi generali del Modello, delle regole di comportamento imposte dal Codice Etico e delle procedure aziendali, la Società provvederà ad assumere nei confronti dei responsabili i provvedimenti ritenuti idonei a sanzionare detti comportamenti, anche in considerazione del particolare vincolo fiduciario sottostante al rapporto di lavoro tra azienda e lavoratore con qualifica di dirigente.

Nel caso in cui il comportamento del dirigente rientri nei casi previsti dalla seconda o terza ipotesi in precedenza indicata il Consiglio di Amministrazione, su segnalazione dell’Organismo di Vigilanza, procederà alla risoluzione anticipata del contratto di lavoro.

X - C Misure nei confronti di Amministratori, Sindaci e Direttori nominati dal CdA

Se posti in essere dagli Amministratori, dai Sindaci o da Direttori Generali nominati dal CdA, le violazioni, o tentate violazioni, del Modello Organizzativo o del Codice Etico vanno incontro alle seguenti sanzioni:

1. rimprovero verbale; 2. rimprovero scritto; 3. sanzione pecuniaria da € 1.000,00 a € 100.000,00; 4. sospensione dalla carica per un periodo non superiore a due anni;



21/12/2015

5. destituzione dalla carica, nei casi in cui la violazione sia stata così grave da compromettere irrimediabilmente il rapporto di fiducia esistente fra essi e la società.

In particolare:

- se l’inosservanza è caratterizzata da occasionalità, assenza di danno o pregiudizio per BNL POSitivity e da colpa lieve, la sanzione non può essere più grave del rimprovero verbale o scritto;

- se l’autore è recidivo, la sanzione non può essere di tipo diverso da quella pecuniaria;

- se si tratta di recidiva reiterata, la sanzione non può essere più lieve della sospensione dalla carica;

- nel caso di comportamento doloso e con grave pregiudizio per BNL POSitivity, la sanzione non può essere di tipo diverso da quella della destituzione.

L’irrogazione di queste sanzioni o l’archiviazione del relativo procedimento spettano al CdA, su proposta dell’Organismo di Vigilanza, cui è affidato il compito di avviare e svolgere la relativa attività istruttoria con conseguente proposta ogni qualvolta emerga il fumus di un’avvenuta infrazione.

Indipendentemente dall'applicazione della misura di tutela, è fatta comunque salva la facoltà di BNL POSitivity di proporre azioni di responsabilità e/o risarcitorie.

X - D Misure nei confronti degli Agenti

In caso di violazione, da parte degli Agenti, dei principi generali del Modello, delle regole di comportamento imposte dal Codice Etico e delle procedure aziendali, non essendo previsti provvedimenti disciplinari nei relativi contratti di agenzia, la Società provvederà ad assumere nei confronti dei responsabili, a seconda della gravità dei comportamenti riscontrati, le seguenti iniziative:

- censura scritta, con richiamo al rigoroso rispetto delle disposizioni violate;

- recesso per giusta causa dal contratto in essere con l’Agente. Tale iniziativa verrà sempre adottata qualora il comportamento dell’Agente rientri nei casi previsti nella seconda o terza ipotesi in precedenza indicata.

L’iniziativa per l’applicazione di dette misure spetta alla Funzione che è venuta a conoscenza della violazione. Essa trasmetterà apposita segnalazione all’Organismo di Vigilanza, il quale, esperiti i dovuti accertamenti ed espresso motivato parere, rimetterà la questione al CdA per la eventuale adozione di una della misure sopra indicate.

Resta salva l’eventuale richiesta di risarcimento qualora da tale comportamento derivino danni concreti alla Società, come nel caso di applicazione alla stessa da parte del Giudice delle misure previste dal Decreto.

X - E Misura nei confronti degli Outsourcer e degli altri soggetti terzi

Ogni violazione della normativa vigente, del Modello o del Codice Etico da parte degli Outsourcer, delle Società di Service e altri soggetti con cui la Società entri in contatto nello svolgimento di relazioni d’affari è sanzionata secondo quanto previsto nelle specifiche clausole contrattuali inserite nei relativi contratti.



21/12/2015

Resta salva l’eventuale richiesta di risarcimento qualora da tale comportamento derivino danni concreti alla Società, come nel caso di applicazione alla stessa da parte del giudice delle misure previste dal Decreto.

X - F Misure nei confronti delle Società di Revisione

Qualora l’inosservanza del Modello o del Codice Etico sia imputabile ad una Società di revisione, le sanzioni a quest’ultima applicabili rimangono quelle previste al punto precedente per le Società Terze. La competenza ad applicare dette sanzioni spetta all’Assemblea dei Soci.

È fatta salva la esperibilità dell’azione di responsabilità e la conseguente richiesta risarcitoria in base alle norme del Codice Civile.

XI - ORGANISMO DI VIGILANZA

XI - A Composizione dell’Organismo di Vigilanza

Il Decreto identifica in un “organismo dell’ente”, dotato di autonomi poteri di iniziativa e di controllo (art. 6, comma 1, lett. b)), l’organo al quale deve essere affidato il compito di vigilare sul funzionamento, l’efficacia e l’osservanza del Modello nonché di curarne il costante e tempestivo aggiornamento.

La genericità del concetto di “organismo dell’ente” giustifica la eterogeneità delle soluzioni che al riguardo possono adottarsi in considerazione sia delle proprie caratteristiche dimensionali, sia delle proprie regole di corporate governance, sia della necessità di realizzare un equo bilanciamento tra costi e benefici. La giurisprudenza si è soffermata, in particolare, sulle modalità di composizione e sulle funzioni dell’Organismo di Vigilanza. Deve trattarsi di un organo in grado di svolgere la sua funzione in maniera autonoma ed indipendente.

Al riguardo, è opportuno sottolineare che possono essere membri dell’Organismo anche soggetti interni a l’Ente, purché privi di funzioni operative.

É peraltro forte convincimento del Consiglio di Amministrazione che, ai fini della scelta dei componenti dell’Organismo di Vigilanza, sia opportuno tenere conto dei seguenti elementi:

• autonomia ed indipendenza, intesi come:

– assenza di conflitti di interesse rispetto alle attività sociali ed ai componenti della Società;

– assenza di compiti operativi in seno alla Società;

• professionalità, intesa come:

– possesso di adeguate competenze specialistiche;

– capacità di analisi dei processi aziendali e delle situazioni concrete alla luce dei principi contenuti nel D.lgs 23101.

Non potranno essere nominati componenti dell’Organismo di Vigilanza coloro per i quali sia sopraggiunta una causa ostativa di cui al D.lgs. 218/2012.



21/12/2015

In considerazione dell’attuale assetto dimensionale della Società e delle esigenze e caratteristiche strutturali sopra evidenziate, i compiti, i poteri e le responsabilità dell’Organismo di Vigilanza di cui all’art. 6, comma 1, lett. b) del Decreto sono attribuite ad un organo collegiale creato ad hoc, composto da due membri nominati dal Consiglio di Amministrazione.

In questo modo, si ritiene possano essere garantiti in capo all’Organismo di Vigilanza:

(i) la presenza di autonomi poteri di iniziativa e controllo;

(ii) il possesso di adeguate conoscenze e professionalità;

(iii) l’estraneità alla gestione della Società.

Tenuto conto della peculiarità delle responsabilità attribuite all’Organismo di Vigilanza e dei contenuti professionali specifici da esse richieste, nello svolgimento dei compiti di vigilanza e controllo, l’Organismo di Vigilanza è permanentemente supportato da una funzione interna dedicata e di supporto dell’area Finance & Administration e può avvalersi sia dell’ausilio di altre funzioni interne che di soggetti esterni il cui apporto di professionalità si renda, di volta in volta, necessario e che, comunque, non abbiano cointeressenze con l'Ente.

L’Organismo provvede, a propria volta, a disciplinare le regole per il proprio funzionamento, formalizzandole in apposito regolamento, nonché le modalità di gestione dei flussi informativi provenienti dalle varie funzioni aziendali.

Il Consiglio di Amministrazione, nella delibera di nomina dell’Organismo di Vigilanza, gli attribuisce in via irrevocabile una dotazione finanziaria annuale per l’espletamento delle relative attività. Tale dotazione iniziale potrà essere incrementata dal Consiglio di Amministrazione, su richiesta motivata dell’Organismo di Vigilanza.

XI - B Durata in carica, revoca e sostituzione dei componenti

Il Consiglio d’Amministrazione provvede alla nomina dell’Organismo di Vigilanza mediante apposita delibera consiliare. In alternativa, il Consiglio può delegare la concreta individuazione dei componenti dell'Organismo di Vigilanza al Direttore Generale. In ogni caso, la nomina dell’Organismo ha luogo per la durata stabilita dal Consiglio di Amministrazione. È altresì rimessa al Consiglio di Amministrazione la responsabilità di valutare periodicamente l’adeguatezza dell’Organismo di Vigilanza in termini di struttura organizzativa e di poteri conferiti, apportando, mediante delibera consiliare, le modifiche e/o integrazioni ritenute necessarie.

I componenti dell’Organismo non possono essere revocati dal Consiglio di Amministrazione se non per giusta causa. A tale proposito, per “giusta causa” dovrà intendersi:

a) l’interdizione o l’inabilitazione, ovvero una grave infermità che renda il componente dell’Organismo di Vigilanza inidoneo a svolgere le proprie funzioni di vigilanza, o un’infermità che, comunque, comporti l’assenza dalle sedute dell’OdV per un periodo superiore a sei mesi;

b) le dimissioni o la revoca del componente cui è affidata la funzione dell’Organismo di Vigilanza per motivi non attinenti l’esercizio delle sue funzioni, o l’attribuzione allo stesso di compiti e responsabilità operative incompatibili con i requisiti di autonomia, indipendenza e continuità di azione che sono propri dell’Organismo di Vigilanza;



21/12/2015

c) un grave inadempimento dei doveri connessi alla carica, quali - a titolo meramente esemplificativo - l’omessa redazione del report semestrale dell’attività svolta al Consiglio di Amministrazione o l’omessa redazione del piano annuale delle attività previste per l’anno successivo, entro tre mesi dalla conclusione - rispettivamente - del semestre o dell’anno;

d) l’omessa o insufficiente vigilanza, secondo quanto previsto dall’art. 6, comma 1, lett. d), D.lgs. 231/2001, risultante da una sentenza di condanna della Società passata in giudicato, ovvero da procedimento penale concluso tramite applicazione della pena su richiesta delle parti ex art. 444 c.p.p. Il Consiglio di Amministrazione potrà altresì disporre la sospensione dei poteri del componente dell’Organismo di Vigilanza e la nomina di un componente dell’Organismo di Vigilanza ad interim, in attesa che la suddetta sentenza passi in giudicato.

Allo stesso modo, costituiscono cause di ineleggibilità e/o di decadenza:

1. l’avvenuta condanna, con sentenza passata in giudicato, per aver personalmente commesso uno dei reati previsti dal D.lgs. 231/2001;

ovvero:

2. l’avvenuta condanna, con sentenza passata in giudicato, ad una pena che importa l’interdizione, anche temporanea, dai pubblici uffici, ovvero l’interdizione temporanea dagli uffici direttivi delle persone giuridiche e delle imprese.

3. il sopraggiungere di una causa ostativa di cui al D.lgs. 218/2012.

L’Organismo si intende decaduto se vengono a mancare, per dimissioni o altre cause, la maggioranza dei componenti. In tal caso, il Consiglio di Amministrazione provvede a nominare i nuovi componenti.

XI - C Funzioni e poteri dell’Organismo di Vigilanza

Con l’adozione del presente Modello e con la conseguente istituzione dell’Organismo di Vigilanza, a quest’ultimo è affidato il compito di vigilare sul funzionamento e sull’osservanza del Modello medesimo e di curarne l’aggiornamento.

Premesso che la responsabilità ultima dell’adozione del Modello resta in capo al Consiglio d’Amministrazione, all’Organismo di Vigilanza è affidato il compito di vigilare con autonomi poteri di iniziativa e di controllo:

– sull’efficacia e adeguatezza del Modello in relazione alla struttura aziendale e all’effettiva capacità di prevenire la commissione dei Reati;

– sull’osservanza delle prescrizioni contenute nel presente documento da parte degli Organi Sociali, dei Dipendenti, delle Società di Service e degli altri soggetti terzi;

– sull’opportunità di aggiornamento del Modello, laddove si riscontrino esigenze di adeguamento dello stesso in relazione a mutate condizioni aziendali e/o normative.

Al fine dell’assolvimento dei compiti sopra riportati, l’Organismo di Vigilanza dovrà:

con riferimento alla verifica dell’efficacia del Modello: • interpretare la normativa rilevante;



21/12/2015

• condurre ricognizioni sull’attività aziendale ai fini dell’aggiornamento della mappatura delle attività “a rischio reato” e dei relativi processi sensibili;

• coordinarsi con la funzione preposta per la definizione dei programmi di formazione del personale e per la definizione del contenuto delle comunicazioni periodiche da farsi agli Organi Sociali, agli Agenti e ai Dipendenti, finalizzate a fornire agli stessi la necessaria sensibilizzazione e le conoscenze di base della normativa di cui al D.lgs. 231/2001;

• monitorare le iniziative per la diffusione della conoscenza e della comprensione del Modello;

• predisporre ed aggiornare con continuità le informazioni rilevanti al fine di consentire una piena e consapevole adesione alle regole di condotta della Società;

con riferimento alla verifica dell’osservanza del Modello: • effettuare, almeno ogni sei mesi, verifiche mirate su determinate operazioni o

specifici atti posti in essere dalla Società nell’ambito dei processi sensibili; • coordinarsi con le funzioni aziendali (anche attraverso apposite riunioni) per il

miglior monitoraggio delle attività. A tal fine l’Organismo di Vigilanza ha libero accesso a tutta la documentazione aziendale che ritiene rilevante e deve essere costantemente informato dagli Organi Sociali e dai Dipendenti: a) sugli aspetti dell’attività aziendale che possono esporre la Società al rischio di commissione di uno dei Reati; b) sui rapporti con gli Agenti, gli Outsourcer, le Società di Service e gli altri soggetti terzi che operano per conto della Società nell’ambito di operazioni sensibili; c) sulle operazioni straordinarie della Società;

• raccogliere, elaborare e conservare le informazioni rilevanti in ordine al rispetto del Modello, nonché aggiornare la lista di informazioni che devono essere trasmesse o tenute a disposizione dell’Organismo stesso;

• attivare e svolgere le inchieste interne, raccordandosi di volta in volta con le funzioni aziendali interessate, per acquisire ulteriori elementi di indagine.

con riferimento all'aggiornamento del Modello: • sulla base delle risultanze emerse dalle attività di verifica e controllo, esprimere una

valutazione sulla rispondenza del Modello alla normativa vigente in materia; • in relazione a tali valutazioni, presentare periodicamente all’Organo Amministrativo

apposita relazione; • verificare periodicamente l’attuazione ed effettiva funzionalità delle soluzioni/azioni

correttive proposte; • coordinarsi con i responsabili delle competenti funzioni aziendali per valutare

l’adozione di eventuali sanzioni disciplinari, ferma restando la competenza del competente Organo/funzione aziendale per l'irrogazione della sanzione e il relativo procedimento disciplinare.

Inoltre, conformemente alle previsioni dell’art. 52 del D.lgs. 231/2007 (“Attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo nonché della direttiva 2006/70/CE che ne reca misure di esecuzione”), l’Organismo di Vigilanza è tenuto a:

• vigilare sull'osservanza delle norme contenute nel menzionato D.lgs. 231/2007;

• comunicare, senza ritardo, alle autorità di vigilanza di settore, tutti gli atti o i fatti di cui viene a conoscenza nell’esercizio dei propri compiti, che possano costituire una violazione delle disposizioni circa “le modalità di adempimento degli obblighi di



21/12/2015

adeguata verifica del cliente, l’organizzazione, la registrazione, le procedure e i controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria […] a fini di riciclaggio o di finanziamento del terrorismo” (Cfr. art. 7 D.lgs. 231/2007);

• comunicare, senza ritardo, al titolare dell’attività o al legale rappresentante o a un suo delegato, le infrazioni alle disposizioni relative all’obbligo di segnalazione all’UIF (Unità di Informazione Finanziaria) delle “operazioni sospette” di riciclaggio o di finanziamento del terrorismo di cui ha notizia (Cfr. art. 41 D.lgs. 231/07);

• comunicare, entro trenta giorni, al Ministero dell’economia e delle Finanze, le infrazioni alle disposizioni relative alle “Limitazioni all’uso del contante e dei titoli al portatore” nonché al “Divieto di conti e libretti di risparmio anonimi o con intestazione fittizia” (Cfr. artt. 49 e 50 D.lgs. 231/2007) di cui ha notizia;

• comunicare entro trenta giorni, alla UIF, le infrazioni alle disposizioni concernenti gli “Obblighi di registrazione” di cui ha notizia (Cfr. art. 36 D.lgs. 231/2007)”.

XI - D Regole di convocazione e funzionamento

L’Organismo di Vigilanza disciplina con specifico regolamento le regole per il proprio funzionamento.

XI - E Reporting verso il Consiglio di Amministrazione e altri Organi sociali

Per una piena aderenza ai dettami del Decreto, l’Organismo di Vigilanza riferisce direttamente al Consiglio di Amministrazione. A tal proposito, esso è tenuto a presentare una relazione scritta sugli esiti delle proprie attività al Consiglio di Amministrazione con periodicità almeno semestrale e comunque ogni volta che ve ne sia urgenza o risulti opportuno.

La relazione ha ad oggetto:

• l’attività svolta, indicando in particolare i controlli effettuati e l’esito degli stessi, le verifiche condotte e l’esito delle stesse, l’eventuale aggiornamento delle attività “a rischio reato” e dei connessi processi sensibili;

• le eventuali criticità (e spunti per il miglioramento) emerse sia in termini di comportamenti o eventi interni, sia in termini di efficacia del Modello;

• gli interventi correttivi e migliorativi pianificati ed il loro stato di realizzazione.

Ogni anno, l’Organismo di Vigilanza sottopone al Consiglio di Amministrazione un piano delle attività previste per l’anno successivo. Alla relazione si accompagna, in caso di necessità, la richiesta di adeguamento della dotazione iniziale così come sopra definito.

L’Organismo può essere convocato dal Consiglio d’Amministrazione, dal Collegio Sindacale e dalla società di revisione in ogni circostanza in cui ciò sia ritenuto necessario o opportuno per il corretto adempimento degli obblighi imposti dal Decreto.

Di eventuali apposite riunioni dell’Organismo di Vigilanza con gli organi sociali deve essere predisposto verbale. Copie dei relativi verbali devono essere custodite dall’Organismo di Vigilanza



21/12/2015

XII - FLUSSI INFORMATIVI NEI CONFRONTI DELL’ORGANISMO DI VIGILANZA

XII - A Segnalazioni da parte di esponenti aziendali, Agenti o parte di terzi

In ambito aziendale, devono essere comunicati all’Organismo di Vigilanza:

- su base periodica, le informazioni/dati/notizie identificate dallo stesso Organismo e/o da questi richieste alle singole strutture della Società; tali informazioni devono essere trasmesse nei tempi e nei modi che saranno definiti dall’Organismo medesimo (“flussi informativi”);

- su base occasionale, ogni altra informazione attinente l’attuazione del Modello ed il rispetto delle previsioni del D.lgs. 231/2001, da cui possa ricavarsi un'utilità ai fini dell’assolvimento dei compiti dell’Organismo di Vigilanza (“segnalazioni”).

Debbono, comunque, essere obbligatoriamente trasmesse all’Organismo di Vigilanza le informazioni concernenti:

- provvedimenti e/o notizie provenienti da organi di polizia giudiziaria o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di attività di indagine per i Reati di cui al Decreto, nei confronti dei destinatari del Modello;

- segnalazioni inoltrate alla Società dai dipendenti in caso di avvio di procedimento giudiziario a loro carico per uno dei Reati previsti dal Decreto;

- rapporti predisposti dalle strutture aziendali nell’ambito della loro attività di controllo, dai quali possano emergere fatti, atti, eventi od omissioni con profili di criticità rispetto alle norme del Decreto;

- l’informativa relativa all’avvio di indagini dirette ad appurare ed eventualmente sanzionare il mancato rispetto dei principi di comportamento e dei protocolli previsti dal Modello, nonché l’informativa sulle eventuali sanzioni irrogate.

Con riferimento alle modalità di trasmissione delle informazioni/dati/notizie valgono le seguenti prescrizioni:

• I flussi informativi debbono pervenire all’Organismo di Vigilanza ad opera delle Strutture aziendali interessate mediante le modalità definite dall’Organismo medesimo;

• I canali di comunicazione che possono essere utilizzati per l’invio delle segnalazioni, di violazione o sospetto di violazione del Codice Etico e/o del Modello di Organizzazione, Gestione e Controllo ex D.lgs. 231/2001 sono:

- Posta tradizionale al seguente indirizzo: BNL POSitivity S.r.l. – Organismo di Vigilanza ex D.lgs. 231/2001 (presso BNL POSitivity S.r.l., P.le Agricoltura 24, ROMA)

- Posta elettronica: [email protected]

Le segnalazioni anonime non saranno prese in considerazione. I segnalanti potranno chiedere che il procedimento sia trattato in maniera strettamente confidenziale e riservata. Resta fermo che tutti coloro che attivano il dispositivo in esame sono preservati da qualsiasi tipo di ritorsione o altro che possa costituire una forma di discriminazione o penalizzazione.

mailto:[email protected]



21/12/2015

Al segnalante, inoltre, sarà rilasciata una specifica dichiarazione di ricezione della segnalazione e conferma di attivazione del “dispositivo di allerta etico”.

Tutte le segnalazioni, una volta pervenute, saranno protocollate ed il relativo numero di protocollo sarà comunicato al segnalante.

Dopo aver esaminato la documentazione ed aver eventualmente coinvolto altre Funzioni , si provvederà ad inviare al segnalante una specifica risposta.

Qualora la segnalazione sia ritenuta infondata, tale circostanza sarà comunicata al segnalante. Tutte le segnalazioni corredate della relativa documentazione confluiranno in un database nel quale saranno custodite per un periodo di dieci anni.

Restano ferme le previste, separate segnalazioni ai fini delle procedure di gestione dei rischi operativi per quanto riguarda la “dichiarazione degli incidenti”.

XII - B Raccolta e conservazione delle informazioni

Ogni informazione, segnalazione, report previsto nel presente documento è custodito per un periodo di 10 anni in un apposito database (informatico o cartaceo) predisposto a cura dell’Organismo di Vigilanza, ferma restando l’osservanza delle disposizione in materia di riservatezza dei dati personali e dei diritti da essa garantiti in favore degli interessati.

L’accesso al database è consentito esclusivamente ai membri dell’Organismo di Vigilanza e alle persone specificamente individuate nel regolamento dell’Organismo.

PARTE GENERALE Modello di organizzazione e gestione ai ...€¦ · BNL POSitivity Gruppo BNP...

Documents

Transcript of PARTE GENERALE Modello di organizzazione e gestione ai ...€¦ · BNL POSitivity Gruppo BNP...