Rischi operativi

La natura del business espone il Gruppo Acea al rischio di non conformità alla normativa a tutela dei consumatori ex DLgs 206/2005, ossia il rischio connesso principalmente alla commissione di illeciti consumeristici/pratiche commerciali scorrette o pubblicità ingannevole (attraverso attività quali: omissione di informazioni rilevanti, diffusione informazioni non veritiere/forme di indebito condizionamento, clausole vessatorie nei rapporti commerciali con i consumatori) oltre che al rischio di non conformità alla normativa a tutela della concorrenza, ossia il rischio connesso principalmente al divieto, per le imprese, di porre in essere intese restrittive della concorrenza e di abusare della propria posizione dominante sul mercato (attraverso attività quali: ripartizione del mercato, manipolazione delle gare d’appalto, accordi restrittivi e altri tipi di accordi anticoncorrenziali, scambio di informazioni sensibili sotto i profili commerciale/concorrenziale potenzialmente in grado di costituire un’attività di cartello).

Acea ha adottato uno specifico Programma di Compliance Antitrust e ha nominato il Referente Antitrust di Holding. Il Programma si pone come obiettivo principale il rafforzamento dei presìdi interni volti a prevenire la violazione della normativa, attraverso l’implementazione di strumenti normativi e organizzativi, oltre che attraverso una più capillare diffusione della cultura del rispetto dei princìpi di leale concorrenza e dei diritti dei consumatori. Le principali Società del Gruppo hanno adottato il Programma di Compliance Antitrust in linea con le indicazioni della Holding e istituito strutture organizzative in cui sono stati individuati i Referenti Antitrust di Società, con il compito di curare le attività di adeguamento del Programma alle singole realtà societarie e di sovrintendere alla sua implementazione e manutenzione.

Tra i rischi normativi sono inoltre comprese tutte quelle non conformità, con particolare riguardo per il Gruppo Acea alle violazioni in materia di ambiente (generati ad es. dalle attività di produzione e/o trattamento dei reflui urbani e dei rifiuti e di salute e sicurezza sul lavoro, mitigati attraverso l’adozione di sistemi di gestione certificati, rispettivamente UNI EN ISO 14001:2015 e ISO 45001:2018), che possono provocare l’applicazione di sanzioni amministrative e/o penali, anche di natura interdittiva.

A seguito dell’introduzione di alcuni delitti che sono andati ad ampliare il catalogo dei reati presupposto in grado di attivare la responsabilità degli Enti ai sensi del DLgs 231/2001, il Gruppo Acea ha avviato il progressivo aggiornamento dei rispettivi modelli organizzativi delle società, a partire da quello di Acea SpA. Sono state inoltre avviate le attività propedeutiche per l’aggiornamento del Modello alla legge di conversione del DL n. 124/2019 del 17 dicembre 2019, entrata in vigore il 25 dicembre 2019, che ha introdotto tra i reati presupposto ex DLgs 231/01 alcuni delitti tributari, e al DLgs 75 del 14 luglio 2020 di recepimento della c.d. Direttiva PIF.

Nell’ambito della più generale Procedura di Gruppo in materia di Whistleblowing, volta a regolare il sistema attraverso cui chiunque può effettuare segnalazioni di carattere volontario e discrezionale, garantendo la riservatezza dell’identità del segnalante e preservandolo, quindi, da qualsiasi ritorsione, è stata aggiornata la disciplina delle Segnalazioni afferenti a condotte illegittime anche ai sensi del DLgs 231/01 e/o violazioni del Modello 231, ampliando i possibili canali di comunicazione anche attraverso una specifica piattaforma informatica, accessibile da parte di tutti (dipendenti, terzi ecc.) sul sito Internet di ogni Società del Gruppo e da parte dei dipendenti delle Società italiane del Gruppo con accesso dedicato sulle Intranet aziendali.

Si informa che talune società consolidate (areti, Acea Ato2, Acea Elabori e Acea Ambiente), come più ampiamente illustrato nei relativi bilanci, sono interessate da indagini o procedimenti che afferiscono a fattispecie rilevanti ai sensi del DLgs 231/01 in materia di sicurezza e/o ambiente. Si registrano anche contestazioni per reati societari relativi alla sola Acea Ato5 interessata da indagini e procedimenti che afferiscono a fattispecie rilevanti ai sensi del DLgs 231/01 in materia di ambiente e di reati societari. In particolare, relativamente ai reati societari, nell’ambito del procedimento 2031/16, che riguarda gli esercizi 2015, 2016 e 2017, risultano indagati per ipotesi di reato asseritamente riconducibili al falso in bilancio e false comunicazioni sociali i Presidenti della Società, nonché i rappresentanti degli organi di controllo in carica nei suddetti esercizi. Nel corso del 2020 è stato notificato avviso di conclusione delle indagini preliminari, ex art. 415-bis.

Sulla base delle informazioni attualmente disponibili, tenuto conto dell’autonomia operativa delle Società rispetto alla controllante Acea, le eventuali responsabilità che dovessero essere accertate all’esito definitivo dei suddetti procedimenti sarebbero imputabili esclusivamente alle società destinatarie degli stessi, senza riflessi sulla Capogruppo o sulle altre società del Gruppo non coinvolte.

Tra gli ulteriori rischi normativi che possono potenzialmente assumere particolare rilevanza per il Gruppo Acea, si evidenziano infine quelli derivanti dal Regolamento Privacy (UE) 2016/679 GDPR.

Il programma di adeguamento svolto dal Gruppo Acea ha consentito di definire e realizzare un Modello di Governance Privacy valevole per il Gruppo, prendendo come ambito privilegiato di osservazione la Capogruppo, nel suo ruolo di perno del sistema e fornitore di attività in service e/o centralizzate, guardando alle Società con logica di priorità sui processi core caratteristici per ambito di business. È stato esteso alle Società il programma di formazione online, tramite piattaforma e-learning, inteso a fornire il primo layer di adempimento all’obbligo in capo ai Titolari di istruire gli addetti al trattamento dei dati, a cui sono state associate iniziative formative su singoli processi di ambito societario come anche un particolare focus sui processi a valenza trasversale, (HR, Legal ecc.).

Sono stati avviati tavoli di lavoro societari per customizzare il Modello di gruppo nelle singole realtà, con effetti sull’implementazione e/o il fine tuning di processi a elevato impatto privacy, nell’ambito dei quali si sono svolte anche iniziative di testing delle soluzioni di compliance già adottate.

Con riferimento all’area Commerciale e Trading, le società dell’area nello svolgimento delle loro attività di vendita sul Mercato Libero elettrico e gas, risultano pienamente esposte al rischio derivante dalla concorrenza. In particolare, si evidenzia il rischio connesso a potenziali danni economico-finanziari dovuti alla progressiva concentrazione del mercato elettrico e gas, ossia la riduzione del numero dei competitor e l’incremento delle rispettive quote di mercato, che penalizzerebbe il posizionamento delle società di vendita sul mercato (quota di mercato troppo bassa a parità di clienti), in caso di mancato allineamento al trend di crescita dimensionale dei principali competitor. Ciò, in particolare, qualora si dovesse innescare una fase di riduzione del prezzo della Commodity di riferimento, che potrebbe determinare l’esposizione di una quota rilevante della customer base a eventuali politiche aggressive dei principali competitor. Le società dell’Area risultano, altresì, esposte al rischio di potenziali impatti economico-finanziari dovuti a una eventuale parziale efficacia delle iniziative commerciali, finalizzate a consolidare e incrementare la customer base e la marginalità delle società.

Inoltre, con riferimento alla commodity si evidenzia il rischio connesso a potenziali danni economico-finanziari dovuti all’impatto di mutamenti del contesto macroeconomico, ivi compresi quelli repentini come la pandemia da Covid-19 o del fenomeno del c.d. energy crunch, che porterebbe, nel primo caso, a una riduzione dei consumi di commodity da parte dei clienti business e, nel secondo caso, a fenomeni di estrema volatilità dei prezzi delle commodities, con conseguenze negative sulle dinamiche commerciali.

Relativamente al Servizio elettrico di maggior Tutela (SMT), si rileva il rischio connesso all’evoluzione della normativa di riferimento, che potrebbe avere un impatto rilevante sulla crescita della customer base, dovuto alla posizione di svantaggio rispetto agli altri operatori, in quanto il mix dei clienti power delle società del Gruppo, rispetto a quello dei principali competitor, è squilibrato a favore del SMT. Questa situazione rischia di penalizzare Acea Energia per: i) l’impossibilità a effettuare qualsivoglia azione commerciale sui clienti del SMT; ii) la dipendenza da tariffe regolamentate di ricavi e margini del SMT; iii) l’esposizione di una quota rilevante della propria customer base agli impatti delle politiche che saranno adottate in vista del superamento del SMT.

Nell’attività operativa di Acea Energia che, in quanto società di vendita, costituisce il single point of contact per i clienti finali, sia per il Mercato Libero elettrico e gas che per il Servizio elettrico di maggior Tutela, rileva il rischio legato all’eventualità che si registrino livelli inadeguati di performance dei Distributori, con conseguenti impatti sulla società di vendita.

Al fine di garantire il successo delle iniziative di sviluppo previste dal Piano Industriale, le Società dell’Area hanno avviato dei progetti di change management, mitigando i rischi connessi al mancato coinvolgimento di tutto il personale (staff e di linea, manager e non).

Le società dell’Area presentano inoltre rischi tipici del “business” derivanti da una gestione efficiente ed efficace dei processi di fatturazione e recupero del credito, laddove essa risulta influenzata da una performance non pienamente adeguata da parte dei distributori di energia elettrica e gas.

Per quanto attiene il rischio di prezzo commodity e gli strumenti di controllo adottati, si rimanda ai successivi rischi di natura finanziaria.

areti, avvalendosi anche del supporto e dell’assistenza della Funzione Risk & Compliance di Acea SpA nella gestione del processo e degli strumenti del sistema di Enterprise Risk Management implementati nel Gruppo societario, conduce periodicamente e in modalità strutturata un’attività di identificazione e valutazione dei principali rischi che possono impattare in modo significativo sul raggiungimento degli obiettivi di business derivanti dai piani strategici, industriali, finanziari e di sostenibilità.

Al riguardo, in osservanza a quanto previsto dal Sistema Normativo di Gruppo, la società ha approvato nel CdA del 10 maggio 2022, la “LG_RM01_v.2.0 QASE” - Linea Guida di Governance Enterprise Risk Management di Gruppo” approvata dal CdA di Acea il 14 marzo 2022, che disciplina i ruoli, le responsabilità dei soggetti coinvolti e le attività di controllo relative all’Enterprise Risk Management (ERM).

Al fine di reagire prontamente ai forti cambiamenti di contesto (interni ed esterni) occorsi, nel mese di giugno è stata effettuata un’attività di Risk Assessment infra-annuale che, partendo dagli scenari di rischio già identificati, ha focalizzato l’attenzione su nuovi fattori di rischio e su come potrebbero incidere sul profilo di rischio.

Si evidenziano i rischi associati ai seguenti progetti di grande impatto sul territorio:

• Piano della Resilienza (investimenti sugli asset di rete);
• sostituzione di contatori elettronici di prima generazione con quelli di seconda generazione.

I rischi si riferiscono genericamente a tutte le incognite e ai possibili inconvenienti che possono presentarsi durante l’implementazione di progetti così articolati ed estesi temporalmente (alcuni previsti oltre l’arco Piano), anche in considerazione degli impegni presi con l’ARERA; si fa quindi riferimento alle possibili criticità associate agli interventi operati sulle infrastrutture di rete (autorizzazioni da parte di enti terzi, approvvigionamento materiali, disponibilità delle Ditte, programmazione delle attività ecc.) che assumono maggiore rilevanza per la numerosità e la concentrazione degli stessi.

Infine, areti mostra aree di rischio «tipiche» del business adeguatamente mitigate e riconducibili all’integrità degli asset, all’adeguato presìdio di salute e sicurezza sul lavoro e alla propria esposizione verso controparti quali fornitori chiave e debitori rilevanti e clientela finale per le prestazioni tecniche rese.

In ultimo, con riferimento alla qualità tecnica del servizio di distribuzione, è in corso lo svolgimento delle attività necessarie per traguardare gli obiettivi riportati nell’esperimento regolatorio approvato dall’ARERA con Determina 20/20 del 20/11/20 che prevede per areti l’impegno, entro il 2023, a conseguire i livelli di qualità già oggi previsti, a fronte della mancata erogazione delle penali che annualmente dovrebbe versare secondo quanto riportato dal meccanismo vigente.

I principali rischi operativi connessi all’attività dell’Area possono essere relativi a danni materiali (danni agli asset, adeguatezza dei fornitori, negligenza), danni alle persone e danni derivanti da sistemi informativi e da eventi esogeni.

Acea Produzione, per far fronte a eventuali rischi di natura operativa, ha provveduto, sin dall’avvio della propria attività, a sottoscrivere con primari istituti assicurativi polizze per Property Damage (danni materiali a cose), Third Part Liability (responsabilità civile verso terzi), polizza infortuni dipendenti nonché da ultimo, in considerazione dell’emergenza sanitaria tuttora in corso, ad attivare una copertura assicurativa da Covid-19.

Acea Produzione pone particolare attenzione all’aggiornamento formativo dei propri dipendenti, attraverso docenze in presenza, aule virtuali e moduli e-learning, al fine di responsabilizzare gli operatori di campo e tutto il management aziendale a lavorare in sicurezza, nel rispetto dell’ambiente e degli ecosistemi, con adeguatezza etica e in termini di eco-sostenibilità.

Acea Produzione sviluppa e definisce, altresì, procedure organizzative interne finalizzate alla descrizione delle attività e dei processi aziendali dei siti produttivi/unità operative ove risultano specificate le matrici di responsabilità e il contesto e la normativa applicabile di riferimento; inoltre redige istruzioni operative proprie di campo dirette alla rappresentazione delle modalità esecutive degli interventi manutentivi ricorrenti, dove risultano messe in relazione le specifiche tecniche di esercizio con le condotte di sicurezza da impiegare nell’operatività.

Quanto sopra indicato si concretizza anche attraverso l’attuazione di un Sistema di Gestione Integrato Ambiente e Sicurezza (di seguito SISTEMA), adottato ai sensi delle norme ISO 14001:2015 e ISO 45001:2018, certificato da Ente esterno di controllo accreditato. È stata avviata l’estensione del suddetto SISTEMA alla norma ISO9001:2015 per processi aziendali specifici, attraverso il conseguimento dello STAGE 1 di riferimento, che andrà a concludersi nel 1° semestre 2023.

L’indirizzo del SISTEMA, quale strumento funzionale:

• alla tutela della saluta e sicurezza nei luoghi di lavoro e lungo la catena dei fornitori;
• alla salvaguardia dell’ambiente e della biodiversità degli ecosistemi di interesse;
• all’uso cosciente e razionale delle fonti energetiche e delle materie prime;
• alla promozione della cultura della qualità e del risparmio energetico;
• al conseguimento della soddisfazione del cliente;
• al dialogo continuo e proattivo con le altre parti interessate.

Quanto sopra trova puntuale espressione nella Politica di Sistema dichiarata e adottata dalle stesse società dell’Area.

Gli impianti di Terni e San Vittore del Lazio sono stati interessati da progetti di ottimizzazione e revamping che presentano rischi tipicamente connessi alla realizzazione di infrastrutture industriali complesse (difetti di realizzazione e di performance).

Gli impianti di Orvieto, e più recentemente Aprilia e Monterotondo, hanno completato un importante intervento di riqualificazione dei processi di recupero ai fini del compostaggio, mentre gli impianti di Sabaudia e di Chiusi sono interessati da importanti interventi di ampliamento e riqualificazione, in corso di autorizzazione (Sabaudia) o appena autorizzati (Chiusi).

Per quanto attiene, invece, alla fase gestionale si evidenzia come l’eventuale discontinuità delle attività di termovalorizzazione svolte negli impianti di Terni e San Vittore del Lazio, nonché delle attività di trattamento rifiuti svolte dagli altri impianti, qualora connesse alla produzione di energia elettrica in regime incentivato e allo svolgimento di servizi aventi rilievo pubblico, potrebbe determinare rilevanti ricadute negative. Ciò sia sotto un profilo economico, sia sotto un profilo di responsabilità nei confronti dei conferitori pubblici e privati. In tale contesto, quindi, il fermo impianto, laddove non programmato, prefigura un concreto rischio di mancato conseguimento degli obiettivi posti a base dell’attività industriale.

I termovalorizzatori, ma anche, seppure in grado minore, gli impianti di trattamento dei rifiuti, sono caratterizzati da un elevato livello di complessità tecnica, che ne impone la gestione da parte di risorse qualificate e strutture organizzative dotate di un elevato livello di know-how. Sussistono quindi concreti rischi per quanto attiene la continuità di performance tecnica degli impianti, nonché altri connessi all’eventuale esodo delle professionalità (non facilmente reperibili sul mercato) aventi specifiche competenze gestionali in materia.

Tali rischi sono stati mitigati attraverso l’implementazione e l’attuazione di specifici programmi e di protocolli di manutenzione e gestionali, redatti anche sulla base dell’esperienza di conduzione impiantistica maturata.

Sotto altro profilo, gli impianti e le relative attività sono parametrati su specifiche caratteristiche dei rifiuti di ingresso. L’eventuale difformità di tali materiali rispetto alle specifiche può dare corso a concrete difficoltà gestionali, tali da compromettere la continuità operativa degli impianti e da rappresentare rischi di ricadute di natura legale.

Per tale motivo sono state attivate specifiche procedure di verifica e controllo dei materiali di ingresso mediante prelievi a spot e campagne analitiche ai sensi della normativa vigente.

Acea ha intrapreso ormai da anni un percorso di sviluppo centrato sull’impiego delle nuove tecnologie come elemento propulsore di efficienza operativa, sicurezza e resilienza dei propri asset industriali. I principali processi aziendali sono ormai tutti supportati dall’utilizzo di avanzati sistemi informativi, implementati e gestiti dai presìdi centralizzati di Gruppo in logica di supporto alle operations delle diverse realtà aziendali. In tal senso il Gruppo è quindi esposto ai rischi di adeguatezza dell’infrastruttura informatica alle esigenze attuali o prospettiche dei vari business oltre che ai rischi di accesso non autorizzato, con o senza dolo, e comunque non appropriato o rispettoso delle normative vigenti, dei dati trattati tramite procedure informatiche. Acea gestisce tali rischi con massima attenzione, tramite specifiche strutture organizzative di compliance aziendale, coordinate da presìdi specialistici di Gruppo.

Per quanto attiene alla sicurezza informatica di sistemi, infrastrutture, reti e altri dispositivi elettronici nell’ambito dei servizi erogati o delle rispettive società del Gruppo, gli attuali presìdi procedurali e tecnologici delle società stesse stanno attuando tutte le azioni necessarie per allineare la propria postura di cyber security ai principali standard nazionali e internazionali di settore, al fine di innalzare la propria resilienza ai fenomeni di questa natura, eventi possibili con ripercussioni in termini di business interruption e non compliance normativa. Sono state implementate misure tecnologiche e organizzative con l’obiettivo di:

• gestire le minacce a cui sono esposti l’infrastruttura di rete e i sistemi informativi dell’organizzazione, al fine di assicurare un livello di sicurezza adeguato al rischio esistente;
• prevenire gli incidenti e minimizzarne l’impatto sulla sicurezza della rete e dei sistemi informativi usati per la fornitura di servizi, in modo da assicurarne la continuità.

A tal proposito si informa che, in data 2 febbraio 2023, Acea è stata vittima di un attacco hacker di tipo Ransomware, che ha impattato tutti i servizi IT Corporate. I servizi essenziali (quali la distribuzione di energia elettrica e acqua) non sono stati impattati; con riferimento alle Postazioni di Lavoro, è stata rilevata una compromissione limitata a poche unità, grazie alla tecnologia antimalware attiva. Parallelamente alle attività di analisi, sono state rafforzate le misure di sicurezza in essere e avviate le attività di recovery, tra cui il ripristino dei backup integri, che hanno portato gradualmente al ripristino delle funzionalità di tutti i sistemi/servizi. L’evento ha comportato la compromissione (cifratura) del repository dei dati non strutturati della società con impatto sulla disponibilità. Contestualmente alle analisi interne, è stata avviata – ed è ancora in corso - un’indagine della Procura di Roma, a mezzo organi di PG – CNAIPIC Polizia Postale per analizzare l’incidente. Le verifiche e le analisi in corso hanno comunque escluso rettifiche ai dati e alle informazioni fornite per la redazione del Bilancio al 31 dicembre 2022 del Gruppo Acea.