Rischi operativi

La natura del business espone il Gruppo Acea a potenziali rischi di non conformità alla normativa nazionale e comunitaria volta alla tutela dei consumatori, ossia il rischio connesso principalmente alla commissione di illeciti consumeristici/pratiche commerciali scorrette o pubblicità ingannevole oltre che al rischio di non conformità alla normativa nazionale e comunitaria a tutela della concorrenza, ossia il rischio connesso principalmente al divieto, per le imprese, di porre in essere intese restrittive della concorrenza e di abusare della propria posizione dominante sul mercato.

Acea ha adottato uno specifico Programma di Compliance Antitrust e ha nominato il Referente Antitrust di Holding. Il Programma si pone come obiettivo principale il rafforzamento dei presìdi interni volti a prevenire la violazione della normativa, attraverso l’implementazione di strumenti normativi e organizzativi, oltre che attraverso una più capillare diffusione della cultura del rispetto dei princìpi di leale concorrenza e dei diritti dei consumatori. Le principali società del Gruppo hanno adottato il Programma di Compliance Antitrust in linea con le indicazioni della Holding e istituito strutture organizzative in cui sono stati individuati i Referenti Antitrust di società, con il compito di curare le attività di adeguamento del Programma alle singole realtà societarie e di sovrintendere alla sua implementazione e manutenzione.

Tra i rischi normativi sono inoltre comprese tutte quelle non conformità, con particolare riguardo per il Gruppo Acea alle violazioni in materia di ambiente (generati, per es., dalle attività di produzione e/o trattamento dei reflui urbani e dei rifiuti e di salute e sicurezza sul lavoro, mitigati attraverso l’adozione di sistemi di gestione certificati, rispettivamente UNI EN ISO 14001:2015 e ISO 45001:2018), che possono provocare l’applicazione di sanzioni amministrative e/o penali, anche di natura interdittiva.

A seguito dell’introduzione di alcuni delitti che sono andati ad ampliare il catalogo dei reati presupposto in grado di attivare la responsabilità degli Enti ai sensi del D.Lgs. 231/2001, il Gruppo Acea ha avviato il progressivo aggiornamento dei rispettivi modelli organizzativi delle società, a partire da quello di Acea SpA. Sono state inoltre avviate le attività propedeutiche per l’aggiornamento del Modello alla legge di conversione del D.L. n. 124/2019 del 17 dicembre 2019, entrata in vigore il 25 dicembre 2019, che ha introdotto tra i reati presupposto ex D.Lgs. 231/01 alcuni delitti tributari, e al D.Lgs. 75 del 14 luglio 2020 di recepimento della c.d. Direttiva PIF.

Nell’ambito della più generale Procedura di Gruppo in materia di Whistleblowing, volta a regolare il sistema attraverso cui chiunque può effettuare segnalazioni di carattere volontario e discrezionale, garantendo la riservatezza dell’identità del segnalante e preservandolo, quindi, da qualsiasi ritorsione, è stata aggiornata la disciplina delle Segnalazioni afferenti alla condotte illegittime anche ai sensi del D.Lgs. 231/01 e/o violazioni del Modello 231, ampliando i possibili canali di comunicazione anche attraverso una specifica piattaforma informatica, accessibile da parte di tutti (dipendenti, terzi ecc.) sul sito Internet di ogni società del Gruppo e da parte dei dipendenti delle società italiane del Gruppo con accesso dedicato sulle Intranet aziendali.

Si informa che talune società consolidate (areti, Acea Ato2, Acea Infrastructure e Acea Ambiente), come più ampiamente illustrato nei relativi bilanci, sono interessate da indagini o procedimenti che afferiscono a fattispecie rilevanti ai sensi del D.Lgs. 231/01 in materia di sicurezza e/o ambiente. Si registrano anche contestazioni per reati societari relativi alla sola Acea Ato5 interessata da indagini e procedimenti che afferiscono a fattispecie rilevanti ai sensi del D.Lgs. 231/01 in materia di ambiente e di reati societari. In particolare, relativamente ai reati societari, nell’ambito del procedimento 2031/16, che riguarda gli esercizi 2015, 2016 e 2017, risultano indagati per ipotesi di reato asseritamente riconducibili al falso in bilancio e false comunicazioni sociali i Presidenti della Società, nonché i rappresentanti degli organi di controllo in carica nei suddetti esercizi. Nel corso del 2020 è stato notificato avviso di conclusione delle indagini preliminari, ex art. 415 bis.

Sulla base delle informazioni attualmente disponibili, tenuto conto dell’autonomia operativa delle società rispetto alla controllante Acea, le eventuali responsabilità che dovessero essere accertate all’esito definitivo dei suddetti procedimenti sarebbero imputabili esclusivamente alle società destinatarie degli stessi, senza riflessi sulla Capogruppo o sulle altre società del Gruppo non coinvolte.

Tra gli ulteriori rischi normativi che possono potenzialmente assumere particolare rilevanza per il Gruppo Acea, si evidenziano infine quelli derivanti dal Regolamento Privacy (UE) 2016/679 GDPR.

Il programma di adeguamento svolto dal Gruppo Acea ha consentito di definire e realizzare un Modello di Governance Privacy valevole per il Gruppo, prendendo come ambito privilegiato di osservazione la Capogruppo, nel suo ruolo di perno del sistema e fornitore di attività in service e/o centralizzate, guardando alle società con logica di priorità sui processi core caratteristici per ambito di business. È stato esteso alle società il programma di formazione on line, tramite piattaforma e-learning, inteso a fornire il primo layer di adempimento all’obbligo in capo ai Titolari di istruire gli incaricati del trattamento dei dati, a cui sono state associate iniziative formative su singoli processi di ambito societario come anche un particolare focus sui processi a valenza trasversale, (HR, Legal ecc.).

Sono stati avviati tavoli di lavoro societari per customizzare il Modello di gruppo nelle singole realtà, con effetti sull’implementazione e/o il fine tuning di processi a elevato impatto privacy, nell’ambito dei quali si sono svolte anche iniziative di testing delle soluzioni di compliance già adottate.

Con riferimento all’area Commerciale le società dell’area, nello svolgimento delle loro attività di vendita sul mercato libero elettrico e gas, risultano pienamente esposte al rischio derivante dalla concorrenza. In particolare, si evidenzia il rischio connesso a potenziali danni economico-finanziari dovuti alla progressiva concentrazione del mercato elettrico e gas, ossia la riduzione del numero dei competitor e l’incremento delle rispettive quote di mercato, che penalizzerebbe il posizionamento delle società di vendita sul mercato, in caso di mancato allineamento al trend di crescita dimensionale dei principali competitor. Ciò, in particolare, qualora si dovesse innescare una fase di riduzione del prezzo della Commodity di riferimento, che potrebbe determinare l’esposizione di una quota rilevante della customer base a eventuali politiche aggressive dei principali competitor. Le società dell’Area risultano, altresì, esposte al rischio di potenziali impatti economico-finanziari dovuti a una eventuale parziale efficacia delle iniziative commerciali, finalizzate a consolidare e incrementare la customer base e la marginalità delle società.

Inoltre, con riferimento alla commodity si evidenzia il rischio connesso a potenziali danni economico-finanziari dovuti all’impatto di mutamenti del contesto macroeconomico, ivi compresi quelli geopolitici, che porterebbe, nel primo caso, a una riduzione dei consumi di commodities da parte dei clienti business e, nel secondo caso, a fenomeni di estrema volatilità dei prezzi delle commodities, con conseguenze negative sulle dinamiche commerciali.

Relativamente al Servizio elettrico di Maggior Tutela (SMT) che, a partire da luglio 2024, vedrà la Società affidataria esclusivamente del servizio di fornitura per i soli clienti vulnerabili, si rileva il rischio connesso all’evoluzione della normativa di riferimento, che potrebbe avere un impatto rilevante sulla crescita della customer base.

Questa situazione rischia di penalizzare Acea Energia per: i) l’impossibilità a effettuare qualsivoglia azione commerciale sui clienti del SMT dei clienti vulnerabili; ii) la dipendenza da tariffe regolamentate di ricavi e margini del SMT; iii) l’esposizione di una quota rilevante della propria customer base agli impatti delle politiche che saranno adottate in vista del superamento del SMT per i clienti vulnerabili.

Nell’attività operativa di Acea Energia che, in quanto società di vendita, costituisce il single point of contact per i clienti finali, sia per il mercato libero elettrico e gas che per il Servizio elettrico di Maggior Tutela, rileva il rischio legato all’eventualità che si registrino livelli inadeguati di performance dei Distributori, con conseguenti impatti sulla società di vendita.

Le società dell’Area presentano inoltre rischi tipici del “business” derivanti da una gestione efficiente ed efficace dei processi di fatturazione e recupero del credito, laddove essa risulta influenzata da una performance non pienamente adeguata da parte dei distributori di energia elettrica e gas.

Per quanto attiene il rischio di prezzo commodity e gli strumenti di controllo adottati, si rimanda ai successivi rischi di natura finanziaria.

La società areti, avvalendosi del supporto e dell’assistenza della Funzione Risk Management, Compliance & Sustainability di Acea SpA nella gestione del processo e degli strumenti del sistema di Enterprise Risk Management implementati nel Gruppo societario, conduce periodicamente e in modalità strutturata un’attività di identificazione e valutazione dei principali rischi che possono impattare in modo significativo sul raggiungimento degli obiettivi di business derivanti dai piani strategici, industriali, finanziari e di sostenibilità.

Nel corso dell’anno si è identificato uno scenario di rischio associato al concretizzarsi delle minacce cyber che espongono i sistemi OT della Società alla compromissione di disponibilità, integrità e confidenzialità dei dati nell’ambito del perimetro dei sistemi ICS (Industrial Control System) con danni potenziali in termini di business interruption (per alterazione\indisponibilità di processi tecnici o amministrativi), data/infrastructure impairment (alterazione di infrastrutture logiche o fisiche) e mancata compliance normativa (e.g. GDPR - General Data Protection Regulation, NIS - Network and Information Security, Perimetro di sicurezza nazionale cibernetica).

L’azienda ha già adottato misure preventive e sta operando per implementare ulteriori azioni di contrasto in linea con le migliori tecnologie disponibili sul mercato e in ottemperanza ai disposti legislativi vigenti.

I principali rischi operativi connessi all’attività dell’area possono essere relativi a danni materiali (danni agli asset, adeguatezza dei fornitori, negligenza), danni alle persone e danni derivanti da sistemi informativi e da eventi esogeni.

La Società, per far fronte a eventuali rischi di natura operativa, ha provveduto, sin dall’avvio della propria attività, a sottoscrivere con primari istituti assicurativi polizze per Property Damage (danni materiali a cose), Third Party Liability (responsabilità civile verso terzi), polizza infortuni dipendenti.

La Società pone particolare attenzione all’aggiornamento formativo dei propri dipendenti, attraverso docenze in presenza, aule virtuali e moduli e-learning, al fine di responsabilizzare gli operatori di campo e tutto il management aziendale a lavorare in sicurezza, nel rispetto dell’ambiente e degli ecosistemi, con adeguatezza etica e in termini di eco-sostenibilità nonché per assicurare il rispetto della conformità normativa in materia di D.Lgs. 231/01 e s.m.i. - Antitrust e Tutela del Consumatore – Privacy (GDPR).

La Società sviluppa e definisce, altresì, procedure organizzative interne finalizzate alla descrizione delle attività e dei processi aziendali dei siti produttivi/unità operative ove risultano specificate le matrici di responsabilità e il contesto e la normativa applicabile di riferimento; inoltre redige istruzioni operative proprie di campo dirette alla rappresentazione delle modalità esecutive degli interventi manutentivi ricorrenti, dove risultano messe in relazione le specifiche tecniche di esercizio con le condotte di sicurezza da impiegare nell’operatività.

Quanto sopra indicato si concretizza anche attraverso l’attuazione di un Sistema di Gestione Integrato Qualità – Ambiente e Sicurezza (di seguito Sistema o SGI), adottato dalla Società ai sensi delle norme ISO 9001:2015 – ISO14001:2015 – ISO 45001:2018, certificato da Ente esterno di controllo accreditato, rispettivamente con n. 44357/23/S – EMS-5491/S – OHS-2046.

L’indirizzo del Sistema, quale strumento funzionale, a:

• tutela della salute e sicurezza nei luoghi di lavoro e lungo la catena dei fornitori;
• salvaguardia dell’ambiente e della biodiversità degli ecosistemi di interesse;
• uso cosciente e razionali delle fonti energetiche e delle materie prime;
• promozione della cultura della qualità e del risparmio energetico;
• conseguimento della soddisfazione del cliente;
• dialogo continuo e proattivo con le altre parti interessate.

Quanto suddetto trova puntuale espressione nella Politica di Sistema dichiarata, adottata e resa pubblica dalle stesse società dell’area.

Gli impianti di Terni e San Vittore del Lazio sono stati interessati da progetti di ottimizzazione e revamping che presentano rischi tipicamente connessi alla realizzazione di infrastrutture industriali complesse (per es., eventuali difetti di realizzazione e di performance).

Gli impianti di Orvieto, e più recentemente Aprilia e Monterotondo, hanno completato un importante intervento di riqualificazione dei processi di recupero ai fini del compostaggio, mentre gli impianti di Sabaudia e di Chiusi sono interessati da importanti interventi di ampliamento e riqualificazione, in corso di autorizzazione (Sabaudia) o appena autorizzati (Chiusi).

Per quanto attiene, invece, alla fase gestionale si evidenzia come l’eventuale discontinuità delle attività di termovalorizzazione svolte negli impianti di Terni e San Vittore del Lazio, nonché delle attività di trattamento rifiuti svolte dagli altri impianti, qualora connesse alla produzione di energia elettrica in regime incentivato e allo svolgimento di servizi aventi rilievo pubblico, potrebbe determinare rilevanti ricadute negative. Ciò, sia sotto un profilo economico, sia sotto un profilo di responsabilità nei confronti dei conferitori pubblici e privati. In tale contesto, quindi, il fermo impianto, laddove non programmato, prefigura un concreto rischio di mancato conseguimento degli obiettivi posti a base dell’attività industriale.

I termovalorizzatori, ma anche, seppure in grado minore, gli impianti di trattamento dei rifiuti, sono caratterizzati da un elevato livello di complessità tecnica, che ne impone la gestione da parte di risorse qualificate e strutture organizzative dotate di un elevato livello di know how. Sussistono quindi concreti rischi per quanto attiene alla continuità di performance tecnica degli impianti, nonché connessi all’eventuale esodo delle professionalità (non facilmente reperibili sul mercato) aventi specifiche competenze gestionali in materia.

Tali rischi sono stati mitigati attraverso l’implementazione e l’attuazione di specifici programmi e di protocolli di manutenzione e gestionali, redatti anche sulla base dell’esperienza di conduzione impiantistica maturata.

Sotto altro profilo, gli impianti e le relative attività sono parametrati su specifiche caratteristiche dei rifiuti di ingresso. L’eventuale difformità di tali materiali rispetto alle specifiche può dare corso a concrete difficoltà gestionali, tali da compromettere la continuità operativa degli impianti e da rappresentare rischi di ricadute di natura legale.

Per tale motivo sono state attivate specifiche procedure di verifica e controllo dei materiali di ingresso mediante prelievi a spot e campagne analitiche ai sensi della normativa vigente.

Acea ha intrapreso ormai da anni un percorso di sviluppo centrato sull’impiego delle nuove tecnologie come elemento propulsore di efficienza operativa, sicurezza e resilienza dei propri asset industriali. I principali processi aziendali sono ormai tutti supportati dall’utilizzo di avanzati sistemi informativi, implementati e gestiti dai presìdi centralizzati di Gruppo in logica di supporto alle operations delle diverse realtà aziendali. In tal senso il Gruppo è quindi esposto ai rischi di adeguatezza dell’infrastruttura informatica alle esigenze attuali o prospettiche dei vari business oltre che ai rischi di accesso non autorizzato, con o senza dolo, e comunque non appropriato o rispettoso delle normative vigenti, dei dati trattati tramite procedure informatiche. Acea gestisce tali rischi con massima attenzione, tramite specifiche strutture organizzative di compliance aziendale, coordinate da presìdi specialistici di Gruppo.

Per quanto attiene alla sicurezza informatica di sistemi, infrastrutture, reti e altri dispositivi elettronici nell’ambito del servizi erogati o dalle rispettive società del Gruppo, gli attuali presìdi procedurali e tecnologici delle società stesse stanno attuando tutte le azioni necessarie per allineare la propria postura di cyber security ai principali standard nazionali e internazionali di settore, al fine di innalzare la propria resilienza ai fenomeni di questa natura, eventi possibili ripercussioni in termini di business interruption e non compliance normativa. Sono state implementate misure tecnologiche e organizzative con l’obiettivo di:

• gestire le minacce a cui sono esposti l’infrastruttura di rete e i sistemi informativi dell’organizzazione, al fine di assicurare un livello di sicurezza adeguato al rischio esistente;
• prevenire gli incidenti e minimizzarne l’impatto sulla sicurezza della rete e dei sistemi informativi usati per la fornitura di servizi, in modo da assicurarne la continuità.

A tal proposito si informa che in data 2 febbraio 2023, Acea è stata vittima di un attacco hacker di tipo Ransomware, che ha impattato tutti i servizi IT Corporate. I servizi essenziali (quali la distribuzione di energia elettrica e acqua) non sono stati impattati; con riferimento alle Postazioni di Lavoro, è stata rilevata una compromissione limitata a poche unità, grazie alla tecnologia anti-malware attiva. Parallelamente alle attività di analisi, sono state rafforzate le misure di sicurezza in essere e avviate le attività di recovery, tra cui il ripristino dei backup integri, che hanno portato gradualmente al ripristino delle funzionalità di tutti i sistemi/servizi. L’evento ha comportato la compromissione (cifratura) del repository dei dati non strutturati della società con impatto sulla disponibilità. Contestualmente alle analisi interne, è stata avviata – ed è ancora in corso – un’indagine della Procura di Roma, a mezzo organi di PG-CNAIPIC Polizia Postale per analizzare l’incidente. L’incidente ha visto anche la successiva pubblicazione online di cartelle e file aziendali illegalmente estratti durante l’attacco; poiché tra questi vi era la presenza di dati personali è stata avviata la procedura di Data Breach aziendale, con la conseguente comunicazione al Garante per la Protezione dei Dati Personali (di seguito anche “GPDP”), Acea ha prontamente attivato tutte le procedure necessarie a rispettare la normativa sulla Privacy; in particolare, è stata presentata una notifica preliminare al GPDP entro il termine di legge delle 72 ore dalla rilevazione dell’incidente, quindi, successivamente, due notifiche integrative più una terza il 21 aprile u.s. a chiusura del processo di notifica, con le quali è stata data evidenza delle risultanze delle analisi di volta in volta effettuate.

A seguito della chiusura del processo di notifica, il GPDP ha inviato una richiesta di informazioni, a cui Acea ha fornito riscontro nei tempi previsti, e successivamente ha avviato un’attività ispettiva, principalmente consistente nella richiesta di informazioni e documentazione inerente alle notifiche effettuate. Detta attività ispettiva si è svolta in una prima giornata nel mese di maggio u.s., al termine della quale il GPDP ha avvisato della durata dell’attività anche per una seconda giornata che si è tenuta nel mese di luglio u.s. Al termine di questa seconda giornata, il GPDP ha concesso il termine del 31/07 p.v. per fornire l’ulteriore documentazione richiesta, non disponibile al momento dell’attività perché in corso di definizione, documentazione regolarmente fornita alla data sopra indicata.

Da allora, non sono pervenute ulteriori richieste di informazioni e/o chiarimento da parte del GPDP, pur avendone i poteri, né provvedimenti.

Tanto premesso, tenuto presente che, ancora oggi, è nella facoltà del Garante poter approfondire ulteriormente attraverso altre richieste e accertamenti istruttori, si deve rilevare che allo stato non è possibile prevedere, sulla base delle informazioni a oggi disponibili, l’adozione di alcun tipo di provvedimento sanzionatorio da parte dell’Autorità, né il relativo ammontare, rimanendo quindi valido ancora oggi quanto rappresentato nella comunicazione resa su richiesta di ACEA, in occasione della relazione semestrale 2023, da un soggetto terzo e allegata alla presente lettera, tenendo anche in considerazione il fatto che è stato rispettato l’iter normativo della notifica al Garante. L’evento non ha determinato rettifiche ai dati e alle informazioni fornite per la redazione del bilancio consolidato 2023 del Gruppo Acea.