Rischi e incertezze

La gestione dei rischi aziendali rappresenta una componente essenziale del Sistema di Controllo Interno della Corporate Governance di una Società quotata e il Codice di Corporate Governance di Borsa Italiana attribuisce su tale aspetto specifiche responsabilità. Il modello di Enterprise Risk Management operativo nell’ambito del Gruppo contiene l’approccio metodologico alla identificazione, valutazione e gestione integrata dei rischi del Gruppo.

Per ciascuna delle seguenti tipologie di rischio:

  • Rischi Finanziari (liquidità, tasso di interesse, tasso di cambio);
  • Rischi di Credito;
  • Rischi Energetici, riconducibili all’approvvigionamento del gas per la generazione termoelettrica ed alla commercializzazione di energia elettrica, calore e gas, nonché ai mercati dei derivati di hedging;
  • Rischi Cyber, legati a eventi potenziali inerenti alla perdita di confidenzialità, integrità o disponibilità di dati o informazioni a valle dei quali potrebbero derivare impatti negativi sull’organizzazione, a persone, all’operatività o altre organizzazioni;
  • Rischi da Cambiamenti Climatici (Climate Change), che ricomprendono i rischi dovuti alla transizione verso un’economia a bassa emissione di biossido di carbonio (rischi da transizione) e i rischi di natura fisica (rischi fisici) che possono derivare da eventi ambientali catastrofali (rischi acuti) o da cambiamenti a medio lungo termine dei modelli ambientali (rischi cronici);
  • Rischi Fiscali, legati a potenziali operazioni eseguite in violazione di norme fiscali ovvero in contrasto con i principi o con le finalità dell’ordinamento tributario;
  • Rischi Operativi, riconducibili alla proprietà degli asset, all’esercizio dell’attività industriale, ai processi, alle procedure e ai flussi informativi

Sono state definite specifiche “Policy”, con l’obiettivo primario di esplicitare le linee guida strategiche, i principi organizzativo/gestionali, i macro-processi e le tecniche necessarie alla gestione attiva dei relativi rischi.

Il modello di Enterprise Risk Management del Gruppo disciplina, inoltre, il ruolo dei vari soggetti coinvolti nel processo di gestione dei rischi, che fa capo al Consiglio di Amministrazione, e prevede specifiche Commissioni per la gestione dei rischi finanziari, informatici, di credito, energetici e climatici.

La Cyber Risk Policy, la Climate Change Risk Policy e il Tax Control Model sono stati adottati nel 2020 a seguito dell’approvazione del Consiglio di Amministrazione di Iren S.p.A., mentre le altre Policy hanno subito nel tempo alcune revisioni sostanziali per adeguarle ai vigenti modelli organizzativi e all’evoluzione dei fattori di rischio.

Poiché il Gruppo Iren pone particolare attenzione anche al mantenimento della fiducia e dell’immagine positiva del Gruppo, il modello di Enterprise Risk Management gestisce anche i rischi c.d. reputazionali, che afferiscono agli impatti sugli stakeholder di eventuali malpractices.

Nell’ambito del Gruppo è presente la Direzione Risk Management, posta alle dipendenze del Vice Presidente, al quale sono state demandate, fra l’altro, le seguenti attività:

  • verifica della gestione integrata del Sistema di Enterprise Risk Management (ERM) di Gruppo: impostazione metodologica, definizione delle Policy e monitoraggio del Sistema;
  • stipula e gestione delle polizze assicurative in raccordo con l’Amministratore Delegato e con il supporto delle funzioni “Approvvigionamenti, Logistica e Servizi” e “Affari Legali”.

È inoltre attivo un processo di valutazione periodica della sinistrosità nei diversi settori e su tutte le aree del Gruppo al fine di circostanziarne le cause e rendere operative le più idonee azioni di trattamento per prevenire e/o contenere gli impatti dei sinistri.

Di seguito si riporta, per le diverse tipologie di rischio, un dettaglio delle modalità di gestione attive nell’ambito del Gruppo.

1) RISCHI FINANZIARI

L’attività del Gruppo Iren è esposta a diverse tipologie di rischi finanziari tra le quali: rischi di liquidità, rischio cambio e rischi di variazione nei tassi di interesse. Nell’ambito dell’attività di Risk Management, al fine di limitare i rischi di cambio e di variazione dei tassi di interesse, il Gruppo utilizza contratti di copertura seguendo un’ottica non speculativa.

a) Rischio di liquidità

Il rischio di liquidità rappresenta il rischio che le risorse finanziarie disponibili all’azienda non siano sufficienti per far fronte alle obbligazioni finanziarie e commerciali nei termini e nelle scadenze prestabilite.

L’attività di approvvigionamento delle risorse finanziarie è centralizzata allo scopo di ottimizzarne l’utilizzo. In particolare, la gestione centralizzata dei flussi finanziari in Iren consente di allocare i fondi disponibili a livello di Gruppo secondo le necessità che di volta in volta si manifestano tra le singole società. I movimenti di liquidità sono registrati su conti infragruppo sui quali vengono contabilizzati anche le spese e gli interessi attivi e passivi infragruppo.

Alcune società partecipate hanno una gestione finanziaria autonoma, nel rispetto delle linee guida fornite dalla Capogruppo.

b) Rischio di cambio

Fatta eccezione per quanto riportato nell’ambito del rischio energetico, il Gruppo Iren non è particolarmente esposto al rischio di cambio.

c) Rischio tassi di interesse

Il Gruppo Iren è esposto alle fluttuazioni dei tassi d’interesse soprattutto per quanto concerne la misura degli oneri finanziari relativi all’indebitamento. La strategia del Gruppo Iren è quella di limitare l’esposizione al rischio di volatilità del tasso di interesse, mantenendo al contempo un costo della provvista contenuto.

Nel corso delle Commissioni Financial Risk, si verifica il rispetto dei limiti imposti dalla Policy per quanto riguarda le principali metriche e si analizzano la situazione di mercato, l’andamento dei tassi di interesse, il valore delle coperture stipulate e la rispondenza alle condizioni imposte dai covenant.

2) RISCHIO DI CREDITO

Il rischio di credito del Gruppo è legato essenzialmente all’ammontare dei crediti commerciali derivanti dalla vendita di energia elettrica, teleriscaldamento, gas e all’erogazione dei servizi energetici, idrici ed ambientali. I crediti sono suddivisi su un ampio numero di controparti, appartenenti a categorie di clienti eterogenee (clientela retail, business, enti pubblici); alcune esposizioni risultano di ammontare elevato e sono costantemente monitorate e, se del caso, fatte oggetto di piani di rientro. Le unità di Credit Management del Gruppo Iren dedicate al recupero crediti sono responsabili di questa attività.

Il Gruppo, nello svolgimento della propria attività, è esposto al rischio che i crediti possano non essere onorati alla scadenza con conseguente aumento dell’anzianità e dell’insolvibilità sino all’aumento dei crediti sottoposti a procedure concorsuali o inesigibili. Tale rischio risente, tra gli altri fattori, anche della situazione economico-finanziaria congiunturale che nel secondo semestre del 2021 ha comportato un aumento dei prezzi per i clienti finali di gas, luce e teleriscaldamento particolarmente significativo. Per limitare l’esposizione al rischio di credito, sono stati attivati strumenti tra i quali l’analisi di solvibilità dei Clienti in fase di acquisizione attraverso un’accurata valutazione del merito creditizio, l’affidamento dei crediti di Clienti cessati e/o attivi a società di recupero crediti esterne e l’introduzione di nuove modalità di recupero per la gestione del contenzioso legale. Inoltre, sono offerti ai Clienti metodi di pagamento attraverso canali digitali.

La politica di gestione dei crediti e gli strumenti di valutazione del merito creditizio, nonché le attività di monitoraggio e recupero, sono differenziate in relazione alle diverse tipologie di clientela e di servizio erogato.

Il rischio di credito è coperto, per alcune tipologie di Clienti business, con opportune forme di garanzie bancarie o assicurative a prima richiesta emesse da soggetti di primario standing creditizio e con l’assicurazione crediti per il segmento di clientela reseller.

Per alcune tipologie di servizio (settore idrico, gas naturale, energia elettrica maggior tutela), in ottemperanza alle disposizioni normative che ne regolano l’attività, è previsto il versamento di un deposito cauzionale fruttifero, che viene rimborsato qualora il Cliente utilizzi, come modalità di pagamento, la domiciliazione bancaria/postale con addebito sul conto corrente.

Le condizioni di pagamento generalmente applicate alla clientela sono riconducibili alla normativa o ai regolamenti vigenti o in linea con gli standard del mercato libero; in caso di mancato pagamento, è prevista l’applicazione di interessi di mora nella misura indicata nei contratti o dalla normativa.

Gli accantonamenti ai fondi svalutazione crediti riflettono, in maniera accurata e nel rispetto della normativa vigente (applicata la metodologia IFRS 9), i rischi di credito effettivi e sono determinati basandosi sull’estrazione dalle banche dati degli importi componenti il credito e, in generale, valutando le eventuali variazioni del predetto rischio rispetto alla rilevazione iniziale nonché, in particolare per i crediti commerciali, stimando le relative perdite attese determinate su base prospettica, tenendo in debita considerazione la serie storica. In merito al contesto emergenziale legato al Covid-19, e con specifico riferimento alle possibili difficoltà di liquidità del portafoglio clienti legate alle misure di contrasto alla pandemia e agli interventi normativi e aziendali di mitigazione dell’impatto economico e sociale della crisi, il Gruppo ha adeguato il fondo svalutazione crediti in ragione della valutazione delle perdite attese.

Il controllo sui rischi di credito è inoltre rafforzato dalle procedure di monitoraggio e reportistica, al fine di individuare in modo tempestivo possibili contromisure.

Inoltre, su base trimestrale, la Direzione Risk Management si occupa di raccogliere ed integrare i principali dati in merito all’evoluzione dei crediti commerciali delle società del Gruppo, in termini di tipologia della clientela, stato del contratto, filiera di business e fascia di ageing. La valutazione del rischio credito è effettuata sia a livello consolidato sia a livello di Business Unit e società.

Alcune delle suddette valutazioni sono effettuate a intervalli inferiori al trimestre o su specifica esigenza.

3) RISCHIO ENERGETICO

Il Gruppo Iren è esposto al rischio prezzo, sulle commodity energetiche trattate, ossia energia elettrica, gas naturale, titoli di emissione ambientale, ecc., dal momento che sia gli acquisti sia le vendite risentono delle oscillazioni dei prezzi di dette commodity direttamente, ovvero attraverso formule di indicizzazione. È presente l’esposizione rischio cambio, tipica delle commodity di derivazione petrolifera, ma in modo residuale grazie allo sviluppo dei mercati organizzati europei che trattano la commodity gas in valuta Euro e non più indicizzata ai prodotti petroliferi.

La politica del Gruppo è orientata ad una strategia di gestione attiva delle posizioni per stabilizzare il margine cogliendo le opportunità offerte dai mercati; essa si realizza sia mediante l’allineamento delle indicizzazioni delle commodity in acquisto e in vendita, sia attraverso lo sfruttamento verticale e orizzontale delle varie filiere di business, sia operando sui mercati finanziari.

A tal fine viene eseguita un’attività di pianificazione della produzione per gli impianti del Gruppo, degli acquisti e delle vendite di energia e di gas naturale, sia in relazione ai volumi che alle formule di prezzo. L’obiettivo è ottenere una sufficiente stabilità dei margini attraverso una politica di acquisti e vendite indicizzate che realizzi un elevato grado di copertura naturale, con un adeguato ricorso ai mercati a termine e spot.

Per una più dettagliata analisi dei rischi sinora trattati si rimanda a quanto riportato nel paragrafo “Gestione dei rischi finanziari del Gruppo”, inserito nelle Note Illustrative al Bilancio Consolidato.

4) RISCHI DA CAMBIAMENTI CLIMATICI

Il Gruppo Iren ha inserito nell’ambito del sistema di Enterprise Risk Management una Policy dedicata ai rischi da cambiamenti climatici, che assumono una rilevanza sempre crescente per le organizzazioni. Inoltre, essi incidono sulla salute del Pianeta, con stime di effetti rilevanti già nel medio termine. Tutte le aziende, e in particolare quelle operanti in settori significativamente esposti come il Gruppo Iren, devono necessariamente considerare l’analisi dei rischi da cambiamento climatico come un fattore emergente e determinante nella definizione delle proprie strategie di medio e lungo periodo.

L’adozione della Climate Change Risk Policy e le conseguenti analisi e gestione dei rischi costituiscono le fasi preliminari di un processo abilitante un presidio ancor più puntuale, sia con riguardo all’esposizione ad eventi di danno, sia alle opportunità che il contesto esterno e le sue variazioni possono offrire, nonché in relazione al contributo al raggiungimento degli obiettivi di sviluppo sostenibile definiti a livello nazionale e internazionale.

La Policy analizza e norma, con attenzione all’applicabilità per le singole Business Unit, i fattori di rischio da cambiamento climatico, distinguendoli in rischi fisici e rischi di transizione. I rischi fisici derivanti dal cambiamento delle condizioni climatiche si distinguono in rischi fisici acuti – se connessi ad eventi naturali catastrofici locali (ad esempio alluvioni, ondate di calore, incendi, ecc.) – e rischi fisici cronici – se connessi a cambiamenti climatici a lungo termine (ad esempio riscaldamento globale, innalzamento del livello dei mari, carenza della risorsa idrica, ecc.).

La transizione verso una economia low-carbon potrebbe comportare ampi cambiamenti nelle politiche governative, con conseguenti variazioni normative, tecnologiche, di mercato. A seconda della natura e della velocità di questi cambiamenti, i rischi di transizione possono comportare un livello variabile di rischio finanziario e di reputazione per il Gruppo.

La Policy prevede la presenza di una Commissione Rischi atta a esaminare, su base periodica, il profilo di rischio del Gruppo, definendo e proponendo l’aggiornamento all’Amministratore Delegato delle strategie di gestione delle classi di rischio e riportando agli Organi Delegati eventuali criticità emergenti. Sono inoltre contemplate nel documento le linee guida per la rendicontazione, finalizzata a garantire la trasparenza informativa a tutti gli stakeholder.

Nell’ambito della Policy di gestione dei rischi da cambiamento climatico, nel 2021 il Gruppo Iren ha avviato l’implementazione di uno strumento che affianca il processo decisionale di tipo strategico. Tale strumento ha visto lo sviluppo di un modello basato su tre orizzonti temporali (2030, 2040 e 2050), individuati in coerenza con gli obiettivi di Piano Strategico e di Sostenibilità del Gruppo, e sull’utilizzo di scenari climatici e socio-economici necessari a definire scenari di evoluzione delle principali grandezze sottostanti l’analisi.

I dati climatici si basano sugli scenari pubblicati dall’International Panel on Climate Change (IPCC), i cosiddetti Representative Concentration Pathways (RCPs) dove il numero associato a ciascun RCP indica la “forza” dei cambiamenti climatici generati dall’attività umana entro il 2100 rispetto al periodo pre-industriale.

Gli scenari climatici presi in considerazione nell’analisi sono lo scenario RCP 2.6 (~+1.5°C considerati dal Gruppo Iren), che prevede una forte mitigazione tesa a mantenere il riscaldamento globale sotto i 2°C rispetto ai livelli preindustriali con il contestuale raggiungimento dei target definiti dall’Accordo di Parigi, e lo scenario RCP 8.5 (~+4°C considerati dal Gruppo Iren), (comunemente associato all’espressione “Business-as-usual”, o “Nessuna mitigazione”), che non prevede l’adozione di particolari misure di contrasto e una crescita delle emissioni ai ritmi attuali.

I dati socio-economici, invece, sono principalmente basati sugli scenari Sustainable Development Scenario (SDS) e Stated Policies Scenario (STEPS) del World Energy Outlook (WEO) pubblicato dall’International Energy Agency. Il modello consente di quantificare la variazione delle variabili economico-finanziarie, tramite specifici KPI, per quegli asset che potenzialmente risultano maggiormente esposti ai rischi da cambiamento climatico.

Dall’applicazione del modello è emerso che le azioni introdotte nel Piano Industriale 2021-2030 nel quale si delineano investimenti asset-specifici, hanno un effetto mitigativo degli impatti del cambiamento climatico sull’attività del Gruppo Iren. Alle azioni di mitigazione di tipo strategico, legate agli investimenti, se ne affiancano altre di tipo operativo e assicurativo.

Nel corso del 2022 si procederà al completamento del modello valutativo, includendo tutti gli impianti maggiormente significativi per il rischio in esame, prestando particolare attenzione ai nuovi scenari normativi e climatici.

5) RISCHI FISCALI

Il Gruppo Iren si è dotato di uno specifico sistema di controllo interno e di gestione del rischio fiscale, inteso come il rischio di operare in violazione di norme di natura tributaria o in contrasto con i principi o con le finalità dell’ordinamento.

Il sistema di controllo e gestione del rischio fiscale, “Tax Control Framework” (di seguito anche “TCF”), consente di perseguire l’obiettivo di minimizzare l’esposizione del Gruppo al rischio fiscale attraverso l’identificazione, l’aggiornamento, la valutazione ed il monitoraggio della governance, dei processi, dei rischi e dei controlli a rilevanza fiscale.

Il Gruppo si impegna a gestire i propri adempimenti fiscali in conformità a tutte le leggi e i regolamenti applicabili.

Per questo motivo, Iren ha adottato il TCF come sistema di controllo interno che definisce la governance per la gestione della fiscalità e del relativo rischio in linea con i principi della strategia aziendale e, in particolare, della Strategia Fiscale.

Il Tax Control Framework adottato è costituito da un insieme di regole, linee guida, strumenti e modelli volti a supportare i dipendenti del Gruppo nell'esecuzione delle attività quotidiane, garantendo coerenza su attività fiscali rilevanti.

La struttura del TCF prevede dunque la presenza di due pilastri che ne delineano lo schema di funzionamento: la Strategia Fiscale ed il Tax Compliance Model.

La Strategia Fiscale definisce gli obiettivi e l’approccio adottati dal Gruppo nella gestione della variabile fiscale. Tale documento ha lo scopo di statuire i Principi di condotta in materia fiscale al fine di i) contenere il rischio fiscale sia per fattori esogeni sia per fattori endogeni e ii) continuare a garantire nel tempo la corretta e tempestiva determinazione e liquidazione delle imposte dovute per legge ed esecuzione dei connessi adempimenti. La Strategia Fiscale è approvata ed emanata dal Consiglio di Amministrazione di Iren S.p.A..

Il Tax Compliance Model è un elemento del Sistema di Controllo Interno e di Gestione del Rischio. Si tratta del documento che raccoglie la descrizione di dettaglio delle fasi di cui si compongono i processi di risk assessment, controllo e monitoraggio periodico svolti da Iren e del successivo reporting sulle tematiche fiscali all’Amministratore Delegato e agli altri organi e funzioni competenti. Ha inoltre l’obiettivo di riepilogare le principali responsabilità attribuite alle varie funzioni coinvolte nei processi di rilevanza fiscale. Il Tax Compliance Model è predisposto dalla Funzione Fiscale e Compliance e, in ultima istanza, viene approvato dal Consiglio di Amministrazione di Iren S.p.A..

Il progetto di realizzazione di un TCF allineato alle best practice in materia si è concretizzato con la presentazione da parte di Iren S.p.A. e di Iren Energia della domanda di accesso all’istituto dell’Adempimento Collaborativo, un regime fra l'Agenzia delle Entrate e le grandi imprese introdotto dal D.lgs. 5 agosto 2015, n. 128 al fine di promuovere l'adozione di forme di comunicazione e di cooperazione rafforzate basate sul reciproco affidamento tra Amministrazione Finanziaria e contribuenti e favorire, nel comune interesse, la prevenzione e la risoluzione delle controversie in materia fiscale. L’istruttoria per l’ammissione si è conclusa positivamente nel dicembre 2021 con l’ammissione delle due società.

6) RISCHI OPERATIVI

Rientrano in questa categoria tutti i rischi che, in aggiunta a quelli già evidenziati nei paragrafi precedenti, possono impattare sul conseguimento degli obiettivi, relativi all’efficacia e all’efficienza delle operazioni aziendali, ai livelli di performance, di redditività e di protezione delle risorse da eventuali perdite.

Il modello di Enterprise Risk Management del Gruppo ha come obiettivo la gestione integrata e sinergica dei rischi.

Il processo di gestione dei rischi di Gruppo prevede che, per ciascuna filiera di business e ambito operativo, si analizzino le attività svolte e si identifichino i principali fattori di rischio connessi al raggiungimento degli obiettivi. In seguito all’attività di individuazione, i rischi sono valutati quali-quantitativamente (in termini di magnitudo e probabilità di accadimento), consentendo così l’identificazione dei rischi più rilevanti. L’analisi prevede altresì una valutazione del livello di controllo attuale e prospettico del rischio, monitorato mediante specifici key risk indicators.

Le fasi di cui sopra consentono di strutturare piani di trattamento specifici per ciascun fattore di rischio.

Lungo tutte le fasi di gestione, ciascun rischio è sottoposto su base continuativa a un processo di controllo e monitoraggio durante il quale si verifica la corretta ed efficace messa in atto delle attività di trattamento approvate e pianificate, nonché l’insorgenza di eventuali nuovi rischi operativi. Al processo di gestione dei rischi operativi è associato un sistema organico e strutturato di reportistica per la rappresentazione dei risultati dell’attività di misura e di gestione dei rischi. Lo svolgimento di ciascuna delle fasi del processo avviene sulla base di standard e riferimenti definiti a livello di Gruppo. Con periodicità almeno trimestrale, si aggiorna la situazione dei rischi del Gruppo, nella quale sono evidenziati la dimensione e il livello di controllo di tutti i rischi monitorati, compresi quelli finanziari, informatici, di credito ed energetici. La reportistica sul rischio è trasmessa al top management e ai risk owner, che sono coinvolti nelle attività di gestione. L’analisi di rischio supporta altresì la redazione degli strumenti di pianificazione.

In merito, Iren si è dotata di una mappa dei rischi molto dettagliata e rispondente alla realtà del Gruppo, con valutazioni quali-quantitative di ogni singolo rischio e con dettaglio dei controlli e delle azioni di mitigazione in essere o prospettiche. I rischi individuati sono stati associati alla categoria ESG (Environmental, Social e Governance) di appartenenza. Si segnala inoltre che per ciascun rischio si è verificato se e come fosse stato impattato dal Covid-19.

 

In particolare si evidenziano:

a. Rischi normativi e regolatori

Il quadro normativo e regolatorio è soggetto a possibili variazioni nel tempo, costituendo pertanto una potenziale fonte di rischio. In merito operano Direzioni alla diretta dipendenza dell’Amministratore Delegato, dedicate al continuo monitoraggio della legislazione e della normativa di riferimento al fine di valutarne le implicazioni, garantendone la corretta applicazione nel Gruppo.

b. Rischio impianti

In relazione alla consistenza degli asset di produzione del Gruppo il rischio impianti è gestito con l’approccio metodologico sopra descritto, al fine di allocare correttamente le risorse in termini di azioni di controllo e prevenzione (manutenzione preventiva/predittiva, sistemi di controllo e supervisione, piani di emergenza e continuità, ecc.). Per gli impianti più rilevanti, la Direzione Risk Management svolge periodicamente delle survey, grazie alle quali può dettagliare accuratamente gli eventi a cui tali impianti potrebbero essere esposti, nonché le conseguenti azioni di prevenzione. Il rischio è altresì presidiato mediante coperture assicurative progettate in considerazione delle singole realtà impiantistiche.

c. Rischi informatici

I rischi informatici (Cyber Risk) sono definiti come l’insieme di minacce interne ed esterne che possono compromettere la continuità aziendale o causare a terzi danni da responsabilità civile in caso di perdita o divulgazione di dati sensibili. Da un punto di vista interno, i rischi operativi di tipo informatico sono strettamente correlati all’attività del Gruppo Iren, che gestisce infrastrutture di rete ed impianti, anche tramite telecontrollo, sistemi di gestione operativa contabile e di fatturazione e le piattaforme di trading delle commodity energetiche. Il Gruppo Iren è infatti uno dei principali operatori italiani sulla borsa elettrica ed eventuali indisponibilità accidentali del sistema potrebbero portare conseguenze economiche rilevanti, legate alla mancata presentazione di offerte di vendita e di acquisto dell’energia. Allo stesso tempo, problematiche relative alla supervisione e acquisizione dati di sistemi fisici potrebbero causare fermi impianti e danni collaterali anche gravi. Un blocco dei sistemi di fatturazione potrebbe inoltre determinare ritardi nell’emissione delle bollette e dei relativi incassi, nonché danni d’immagine.

A mitigazione di tali rischi sono state predisposte specifiche misure, quali ridondanze, sistemi in alta affidabilità e debite procedure di emergenza, che periodicamente sono sottoposte a simulazioni, al fine di garantirne l’efficacia. Il Gruppo Iren è inoltre esposto al rischio di attacchi informatici volti sia all’acquisizione di dati sensibili sia a produrre il blocco dell’operatività, danni agli impianti e alle reti e a compromettere la continuità dei servizi. Benchmark di mercato mostrano inoltre che sono sempre più frequenti attacchi volti all’acquisizione di dati propri e di terzi, con conseguenti azioni di responsabilità civile e sanzioni anche gravi, e all’acquisizione di segreti industriali. Al riguardo:

  • la rete dati è stata ulteriormente segregata secondo l’utilizzo funzionale, in particolar modo isolando la rete OT;
  • è attivo il Security Operation Center (SOC) con presidio h24 per il monitoraggio degli eventi di sicurezza informatica;
  • sono state adottate politiche di rafforzamento dell’accesso ai sistemi quali, oltre all’introduzione di password particolarmente complesse, l’introduzione del secondo fattore di autenticazione e di una piattaforma per l’accesso controllato e monitorato da parte degli amministratori di sistema. E’ stata completata l’adozione di sistemi con capacità di analisi comportamentali e di esecuzione di risposte automatizzate e da remoto per le postazioni di lavoro;
  • La piattaforma di Cyber Threat Intelligence (CTI), atta ad acquisire evidenze relative agli attaccanti e alle minacce potenzialmente impattanti gli asset aziendali, è stata pienamente integrata con i sistemi di monitoraggio e gestione degli eventi di sicurezza informatica;
  • è stato avviato un progetto pluriennale di awareness sulle tematiche di sicurezza informatica indirizzato a tutti i dipendenti del gruppo; tale programma è basato su campagne di simulazione di phishing, su questionari di assessment e moduli mirati di formazione on line.

Inoltre, è vigente la Cyber Risk Policy di Gruppo, approvata dal Consiglio di Amministrazione di Iren S.p.A., che – analogamente alle altre principali risk Policy – prevede la convocazione di specifiche Commissioni rischi, il monitoraggio di indicatori di performance e reportistica dedicata.

Il processo di gestione dei rischi operativi è anche finalizzato all’ottimizzazione dei programmi assicurativi del Gruppo.

7) RISCHI STRATEGICI

Nella costruzione del nuovo Piano Industriale al 2030 il Gruppo ha strutturato tre filoni di analisi distinti: un risk assessment quali-quantitativo, un focus specifico sugli investimenti e un focus sui rischi da cambiamento climatico.

Il risk assessment qualitativo si è basato sull’analisi dei trend del settore, dell’esposizione del Gruppo ai relativi rischi strategici e della correlata capacità del Piano Industriale di mitigare tali rischi. Di conseguenza, per le categorie di rischio e relativi rischi elementari mappati nell’ambito della Risk Map di Gruppo è stata svolta un’analisi di dettaglio dei driver quantitativi relativi ai rischi con impatto negli anni di Piano. Individuati tali rischi, sono stati quantificati i relativi impatti, probabilità di accadimento e azioni di mitigazione funzionali alla quantificazione del valore di rischio sia inerente sia residuo. Tale valutazione ha condotto alla valorizzazione dello stress test di Piano e dei relativi indici di rating.

Riguardo all’analisi degli investimenti di Piano, individuando sia i capital expenditure con effetto mitigativo sui rischi, sia quelli la cui realizzazione può rappresentare una possibile fonte di rischio, con possibili ripercussioni in termini economico-finanziari (i cosiddetti “rischi di execution”).

Da ultimo, è stata effettuata un’analisi dei fattori di rischio da cambiamento climatico con impatto sul Gruppo, con la modellizzazione degli asset e fattori di rischio più significativi per diversi scenari energetici e orizzonti temporali. Sono stati analizzati i risultati del modello e valutati gli investimenti a mitigazione dei rischi da climate change.

Oltre alle analisi di rischio legate al Piano, la Direzione Risk Management contribuisce con risk assessment specifici alle operazioni di merger & acquisition e ai principali progetti strategici che stanno coinvolgendo il Gruppo.