1. Il regolamento è adottato ai sensi degli articoli 5, comma 2, 30, comma 7, 30-septies, comma 4, 190, comma 1, 191, comma 1, lettere b. 1), c), e) ed s), 213, comma 2, 214-bis, comma 1, 215-bis, comma 1, del decreto legislativo 7 settembre 2005, n. 209, come modificato dal decreto legislativo 12 maggio 2015, n. 74.

(integrato dall'art. 2, comma 1, del Provv. IVASS 10 maggio 2023 e dall'art. 2, comma 1, del Provv. IVASS 5 marzo 2024, n. 142)

1. Ai fini del presente regolamento valgono le definizioni dettate dal decreto legislativo 7 settembre 2005, n. 209, come novellato dal decreto legislativo 12 maggio 2015, n. 74, attuativo della direttiva n. 2009/138/CE e dal regolamento delegato 2015/35 della Commissione europea. In aggiunta si intende per:

a) «alta direzione»: l'amministratore delegato, il direttore generale nonchè la dirigenza responsabile ad alto livello del processo decisionale e di attuazione delle strategie;

b) «atti delegati»: il regolamento delegato 2015/35 della Commissione del 10 ottobre 2014, che integra la direttiva n. 2009/138/CE in materia di accesso ed esercizio delle attività di assicurazione e riassicurazione;

c) «attività o funzione essenziale o importante»: attività o funzione la cui mancata o anomala esecuzione comprometterebbe gravemente la capacità dell'impresa di continuare a conformarsi alle condizioni richieste per la conservazione dell'autorizzazione all'esercizio, oppure i risultati finanziari, la stabilità dell'impresa o la continuità e qualità dei servizi verso gli assicurati;

d) «componente variabile»: la componente della retribuzione concessa sulla base dei risultati conseguiti, comprensiva di bonus, premi e altre forme incentivanti;

e) «Codice»: il decreto legislativo 7 settembre 2005, n. 209, come modificato dal decreto legislativo 12 maggio 2015, n. 74;

f) «cyber security aziendale»: condizione per la quale l'insieme delle infrastrutture informatiche interconnesse, utilizzate dall'impresa, comprensivo di hardware, software, dati e utenti, nonchè delle relazioni logiche stabilite tra di essi, risulti protetto grazie all'adozione di idonee misure di sicurezza fisica, logica e procedurale, rispetto ad eventi, di natura volontaria o accidentale, consistenti nell'acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi;

g) «direttiva Solvency II»: la direttiva 2009/138/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 (Solvibilità II);

h) «grave incidente di sicurezza informatica»: un evento, anche a seguito di ripetuti incidenti di minore entità, che implica la violazione o l'imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza da cui derivi almeno una delle seguenti conseguenze:

i) perdite economiche elevate o prolungati disservizi;

ii) disservizi per la clientela e le controparti, considerati rilevanti sulla base del numero dei clienti o controparti potenzialmente coinvolti e dell'ammontare a rischio;

iii) il rischio di inficiare la capacità dell'impresa di conformarsi alle condizioni e agli obblighi regolamentari;

i) «organo amministrativo»: il Consiglio di amministrazione o, ove non diversamente specificato, nelle imprese che hanno adottato il sistema di cui all'art. 2409-octies del codice civile, il consiglio di gestione ovvero, per le sedi secondarie, il rappresentante generale;

l) «organo di controllo»: il collegio sindacale o, nelle imprese che hanno adottato un sistema diverso da quello di cui all'art. 2380, comma 1, del codice civile, il consiglio di sorveglianza o il comitato per il controllo sulla gestione;

l-bis) "organo competente": l'organo del quale l'esponente è componente; per i titolari delle funzioni fondamentali e per il direttore generale, l'organo che conferisce il rispettivo incarico o ufficio; nelle imprese che adottano il sistema monistico di amministrazione e controllo, il comitato per il controllo sulla gestione per i componenti del comitato stesso;

m) «personale rilevante»: i direttori generali, i dirigenti con compiti strategici, i titolari e il personale di livello più elevato delle funzioni fondamentali e le altre categorie del personale la cui attività può avere un impatto significativo sul profilo di rischio dell'impresa, identificato dall'impresa, in base a scelte motivate ed adeguatamente formalizzate, nel documento di cui all'art. 5, comma 2, lettera i), punto i);

m-bis) "regolamento (UE) 2019/2088": il regolamento (UE) 2019/2088 del Parlamento europeo e del Consiglio del 27 novembre 2019 relativo all'informativa sulla sostenibilità nel settore dei servizi finanziari;

m-ter) "rischi di sostenibilità": rischi di sostenibilità ai sensi dell'art. 1, punto 55-quater, del regolamento delegato (UE) 2015/35;

m-quater) "Regolamento requisiti esponenti": il decreto del Ministero dello sviluppo economico del 2 maggio 2022, n. 88, recante il regolamento in materia di requisiti e criteri di idoneità allo svolgimento dell'incarico degli esponenti aziendali e di coloro che svolgono funzioni fondamentali ai sensi dell'art. 76, del Codice;

n) «rischi emergenti»: i rischi di nuova insorgenza o sviluppo, difficili da quantificare e potenzialmente significativi per l'impresa. Sono tali anche i rischi di cui all'art. 4, comma 4, del regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilità dell'impresa;

o) «rischi significativi»: si intendono per tali i rischi di cui all'art. 4, comma 3, del regolamento di attuazione degli articoli 30-ter e 215-ter del Codice recante disposizioni in materia di valutazione interna del rischio e della solvibilità dell'impresa;

p) «S.E.E.»: lo Spazio economico europeo di cui all'accordo di estensione della normativa dell'Unione europea agli Stati appartenenti all'Associazione europea di libero scambio, firmato ad Oporto il 2 maggio 1992 e ratificato con legge 28 luglio 1993, n. 300;

q) «società quotate»: le società quotate di cui all'art. 119 del decreto legislativo 24 febbraio 1998, n. 58;

r) «società di revisione»: il revisore esterno incaricato dell'attività di revisione di cui all'art. 102 del Codice o alle disposizioni attuative di cui agli articoli 47-septies, comma 7, e 191, comma 1, lettera b), punto 3, del Codice;

s) «stress test»: analisi finalizzata a valutare l'impatto sulla situazione finanziaria delle imprese di andamenti sfavorevoli dei fattori di rischio, singolarmente considerati o combinati in un unico scenario;

t) «ultima società controllante italiana»: la società di cui all'art. 210, comma 2, del Codice o la società individuata dall'IVASS ai sensi dell'art. 210, comma 3, del Codice.

1. Le disposizioni del presente regolamento si applicano:

a) alle imprese di assicurazione e di riassicurazione con sede legale nel territorio della Repubblica italiana;

b) alle sedi secondarie nel territorio della Repubblica italiana di imprese di assicurazione e di riassicurazione con sede legale in uno Stato terzo;

c) alle imprese di riassicurazione con sede legale nel territorio della Repubblica italiana;

d) alle ultime società controllanti italiane, limitatamente alle disposizioni di cui alle Parti I, III e IV. Se tali società sono a loro volta controllate da un'impresa di assicurazione o riassicurazione, una società di partecipazione assicurativa, o di partecipazione finanziaria mista con sede in uno Stato membro, le disposizioni in argomento si applicano nell'ipotesi in cui l'IVASS applichi la vigilanza a livello del sottogruppo nazionale, ai sensi dell'art. 220-bis, comma 3, del Codice e dell'art. 12 delle relative disposizioni di attuazione in materia di vigilanza sul gruppo.

(modificato dall'art. 2, comma 2, del Provv. IVASS 10 maggio 2023)

1. Ai fini di cui all'art. 30 del Codice, le imprese si dotano di un adeguato sistema di governo societario, proporzionato alla natura, alla portata e alla complessità dei rischi, attuali e prospettici, inerenti all'attività svolta, operando a tali fini scelte applicative adeguatamente formalizzate e motivate. Tale sistema assicura, mediante un efficace sistema di controllo interno e gestione dei rischi di cui agli articoli 10 e 17 del presente regolamento:

a) l'efficienza e l'efficacia dei processi aziendali;

b) l'identificazione, la valutazione anche prospettica, la gestione e l'adeguato controllo dei rischi, in coerenza con gli indirizzi strategici e la propensione al rischio dell'impresa anche in un'ottica di medio-lungo periodo;

c) la tempestività del sistema di reporting delle informazioni aziendali nonchè

d) l'attendibilità e l'integrità delle informazioni contabili e gestionali;

e) la salvaguardia del patrimonio anche in un'ottica di medio-lungo periodo;

f) la conformità dell'attività dell'impresa alla normativa vigente, alle direttive e alle procedure aziendali.

2. I presidi relativi al sistema di governo societario coprono ogni tipologia di rischio aziendale, ivi inclusi i rischi di sostenibilità, generati o subiti, anche secondo una visione prospettica ed in considerazione del fabbisogno complessivo di solvibilità dell'impresa. La responsabilità è rimessa agli organi sociali, ciascuno secondo le rispettive competenze. L'articolazione delle attività aziendali nonchè dei compiti e delle responsabilità degli organi sociali e delle funzioni deve essere chiaramente definita.

(integrato e modificato dall'art. 2, comma 2, del Provv. IVASS 5 marzo 2024, n. 142)

1. Ai fini dell'art. 258, paragrafo 6, degli atti delegati e dell'art. 29-bis del Codice, l'organo amministrativo ha la responsabilità ultima del sistema di governo societario, ne definisce gli indirizzi strategici, ne assicura la costante completezza, funzionalità ed efficacia, anche con riferimento alle attività esternalizzate. L'organo amministrativo provvede altresì affinchè il sistema di Governo societario sia idoneo a conseguire gli obiettivi di cui all'art. 4 del presente regolamento.

1.bis Fatte salve le previsioni di legge, gli statuti delle imprese disciplinano gli aspetti rilevanti per garantire il rispetto nel continuo della quota di genere, individuata dall'art. 10, comma 3, del regolamento requisiti esponenti, tra cui le modalità di sostituzione dei componenti degli organi, le modalità di formazione delle liste ed ogni altro meccanismo idoneo a garantire il rispetto della quota di genere ivi prevista. Se il valore della quota di genere non è un numero intero, si approssima all'intero inferiore se il primo decimale è pari o inferiore a cinque; diversamente si approssima all'intero superiore.

2. Ai fini di cui al comma 1, l'organo amministrativo nell'ambito dei compiti di indirizzo strategico e organizzativo di cui all'art. 2381 del codice civile:

a) nel rispetto di quanto previsto dall'art. 30, commi 1 e 2, lettera a) del Codice, approva l'assetto organizzativo dell'impresa, nonchè l'attribuzione di compiti e di responsabilità alle unità operative, curandone l'adeguatezza nel tempo, in modo da poterli adattare tempestivamente ai mutamenti degli obiettivi strategici, dell'operatività e del contesto di riferimento in cui la stessa opera;

b) assicura che siano adottati e formalizzati adeguati processi decisionali, che sia attuata una appropriata separazione di funzioni e che i compiti e le responsabilità siano adeguatamente assegnati, ripartiti e coordinati in linea con le politiche dell'impresa e riflessi nella descrizione degli incarichi e delle responsabilità. Assicura altresì che tutti gli incarichi rilevanti siano assegnati e che siano evitate sovrapposizioni non necessarie, promuovendo un'efficace cooperazione tra tutti i membri del personale;

c) in coerenza con l'art. 258, paragrafo 4, degli atti delegati, approva, curandone l'adeguatezza nel tempo, il sistema delle deleghe di poteri e responsabilità, avendo cura di evitare l'eccessiva concentrazione di poteri in un singolo soggetto e ponendo in essere strumenti di verifica sull'esercizio dei poteri delegati, con la conseguente possibilità di prevedere misure adeguate, qualora decida di avocare a sè i poteri delegati;

d) in coerenza con l'art. 258, paragrafo 2, degli atti delegati, definisce le direttive in materia di sistema del governo societario, rivedendole almeno una volta l'anno e curandone l'adeguamento alla evoluzione dell'operatività aziendale e delle condizioni esterne. Nell'ambito di tali direttive approva le politiche relative al sistema di controllo interno, al sistema di gestione dei rischi e alla revisione interna, in linea con quanto previsto dall'art. 30, comma 5, del Codice e quella relativa alla funzione attuariale. A tali fini tiene conto della collocazione assunta da dette funzioni nell'organizzazione e dei poteri loro riconosciuti; definisce e approva altresì la politica di data governance che individua ruoli e responsabilità delle funzioni coinvolte nelle valutazioni di qualità nell'utilizzo e nel trattamento delle informazioni aziendali, assicurando che essa sia coordinata con la politica delle informazioni statistiche definita nelle disposizioni di attuazione dell'art. 190-bis del Codice; con riferimento alla valutazione interna del rischio e della solvibilità, compie gli adempimenti previsti dalle disposizioni emanate in attuazione degli articoli 30-ter e 215-ter del Codice e con riferimento alla concentrazione dei rischi e alle operazioni infragruppo compie gli adempimenti di cui agli articoli 215-quater e 215-quinquies del Codice ed alle relative disposizioni di attuazione;

e) determina il sistema degli obiettivi di rischio, definendo, sulla base delle valutazioni di cui alla lettera d) che rilevano a tali fini, ivi inclusa la valutazione interna del rischio e della solvibilità, la propensione al rischio dell'impresa in coerenza con il fabbisogno di solvibilità globale della stessa, individuando le tipologie di rischio che ritiene di assumere e fissando in modo coerente i relativi limiti di tolleranza al rischio, che rivede almeno una volta l'anno, al fine di assicurarne l'efficacia nel tempo;

f) approva le strategie anche in un'ottica di medio-lungo periodo e sulla base degli elementi di cui alle lettere d) ed e), la politica di gestione dei rischi nonchè, per le maggiori fonti di rischio identificate, il piano di emergenza (c.d. contingency plan) di cui all'art. 30, comma 4 del Codice e all'art. 19, commi 5 e 6 del presente regolamento, al fine di garantire la regolarità e continuità aziendale;

g) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione dei rischi, le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio nonchè di gestione del rischio operativo, in coerenza con le lettere d), e) e f);

h) definisce, ove ne ricorrano i presupposti, le direttive e i criteri per la circolazione e la raccolta dei dati e delle informazioni utili ai fini dell'esercizio della vigilanza sul gruppo di cui al Titolo XV del Codice e delle relative disposizioni di attuazione, nonchè le direttive in materia di controllo interno per la verifica della completezza e tempestività dei relativi flussi informativi;

i) approva un documento, coerente con le disposizioni di cui alle lettere a), d), e) ed f) da diffondere a tutte le strutture interessate, in cui sono definiti:

i) in coerenza con quanto previsto dalla normativa applicabile, i compiti e le responsabilità degli organi sociali, dei comitati consiliari e delle funzioni fondamentali, e l'identificazione, mediante l'adeguata formalizzazione e motivazione delle relative scelte, delle categorie di soggetti che appartengono all'ulteriore personale rilevante di cui all'art. 2, comma 1, lettera m); ai fini di tale identificazione, si tiene conto, tra l'altro, della posizione rivestita, del grado di responsabilità, del livello gerarchico, dell'attività svolta, delle deleghe conferite, dell'ammontare della remunerazione corrisposta, della possibilità di assumere posizioni di rischio, generare profitti o incidere su altre poste contabili per importi rilevanti;

ii) i flussi informativi, ivi comprese le tempistiche, tra le diverse funzioni, i comitati consiliari e tra questi e gli organi sociali;

iii) nel caso in cui gli ambiti di attività presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalità di coordinamento e di collaborazione tra di essi e con le funzioni operative. Nel definire le modalità di raccordo, le imprese prestano attenzione a non alterare, anche nella sostanza, le responsabilità ultime degli organi sociali rispetto al sistema di governo societario;

l) nel rispetto di quanto previsto dall'art. 258, paragrafo 1, lettera l) degli atti delegati e in coerenza con le disposizioni di cui al Capo VII del presente Titolo, definisce e rivede periodicamente le politiche di remunerazione, ai fini dell'approvazione dell'assemblea ordinaria prevista dall'art. 41 del presente regolamento, ed è responsabile della loro corretta applicazione;

m) nel rispetto di quanto previsto dall'art. 274 degli atti delegati e dall'art. 30, comma 5, del Codice, approva la politica aziendale in materia di esternalizzazione, definendone la strategia ed i processi applicabili per tutta la relativa durata;

n) nel rispetto di quanto previsto dagli articoli 258, paragrafo 1, lettere c) e d), 273 degli atti delegati e 76 del Codice e relative disposizioni di attuazione, approva la politica aziendale per l'identificazione e la valutazione del possesso dei requisiti di idoneità alla carica, in termini di onorabilità, professionalità e indipendenza e del soddisfacimento dei criteri di competenza, correttezza e di adeguata composizione collettiva degli organi, nonchè del tempo necessario stimato dall'impresa per l'espletamento dell'incarico di coloro che svolgono funzioni di amministrazione, direzione e controllo nonchè, anche in caso di esternalizzazione o sub esternalizzazione, dei titolari e secondo proporzionalità di coloro che svolgono funzioni fondamentali, e dell'ulteriore personale in grado di incidere in modo significativo sul profilo di rischio, identificato dall'impresa ai sensi dell'art. 2, comma 1, lettera m) del presente regolamento. Valuta la sussistenza dei requisiti e dei criteri in capo a tali soggetti con cadenza almeno annuale. In particolare, tale politica assicura che l'organo amministrativo sia nel suo complesso in possesso di adeguate competenze tecniche almeno in materia di mercati assicurativi e finanziari, sistemi di governance ivi compresi i sistemi di incentivazione del personale, analisi finanziaria ed attuariale, quadro regolamentare, strategie commerciali e modelli d'impresa;

o) con riferimento alla politica sulle informazioni da fornire all'IVASS e di informativa al pubblico (c.d. reporting policy) di cui agli articoli 47-quater e 47-septies del Codice e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative;

p) approva la politica di gestione del capitale di cui all'art. 23;

q) con riferimento alle ipotesi di utilizzo da parte dell'impresa di un modello interno di cui agli articoli 45-bis, 46-bis, 46-quinquies e 46-novies del Codice e relative disposizioni di attuazione, nonchè con riferimento alle ipotesi di utilizzo di parametri specifici nella determinazione del requisito patrimoniale di solvibilità di cui agli articoli 45-sexies, comma 7, 45-terdecies del Codice e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative;

r) verifica che l'alta direzione implementi correttamente le indicazioni circa lo sviluppo e il funzionamento del sistema di governo societario, secondo quanto previsto dall'art. 7, in linea con le direttive impartite e che ne valuti la funzionalità e l'adeguatezza;

s) dispone verifiche periodiche sull'efficacia e sull'adeguatezza del sistema di governo societario, e che gli siano riferite con tempestività le criticità più significative, siano esse individuate dall'alta direzione, dalle funzioni fondamentali, dal personale, impartendo con tempestività le direttive per l'adozione di misure correttive, di cui successivamente valuta l'efficacia;

t) individua particolari eventi o circostanze che richiedono un immediato intervento da parte dell'alta direzione;

u) assicura che sussista un'idonea e continua interazione tra tutti i comitati istituiti all'interno dell'organo amministrativo stesso, l'alta direzione e le funzioni fondamentali, anche mediante interventi proattivi per garantirne l'efficacia;

v) assicura, con appropriate misure, un aggiornamento professionale continuo, delle risorse e dei componenti dell'organo stesso, predisponendo, altresì, piani di formazione adeguati ad assicurare il bagaglio di competenze tecniche necessario per svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della portata e della complessità dei compiti assegnati e preservare le proprie conoscenze nel tempo;

z) effettua, almeno una volta l'anno, una valutazione sulla dimensione, sulla composizione e sull'efficace funzionamento dell'organo amministrativo nel suo complesso, nonchè dei suoi comitati, esprimendo orientamenti sulle figure professionali la cui presenza nell'organo amministrativo sia ritenuta opportuna e proponendo eventuali azioni correttive. Nel condurre tale auto-valutazione verifica che vi sia una presenza numericamente adeguata, in relazione all'attività svolta, di membri indipendenti. Essi sono privi di deleghe esecutive; vigilano con autonomia di giudizio sulla gestione sociale, contribuendo ad assicurare che essa sia svolta nell'interesse della società e in modo coerente con gli obiettivi di sana e prudente gestione;

aa) in coerenza con quanto previsto dall'art. 258, paragrafo 6, degli atti delegati e dall'art. 30, comma 3, del Codice, assicura che il sistema di governo societario sia soggetto a riesame interno con cadenza almeno annuale; nella determinazione dell'ambito e della frequenza del riesame, tiene conto della natura, portata e complessità dei rischi inerenti all'attività dell'impresa; le risultanze del riesame sono adeguatamente documentate e trasmesse all'organo amministrativo, con evidenza delle misure correttive intraprese;

bb) verifica che il sistema di governo societario sia coerente con gli obiettivi strategici, la propensione al rischio e i limiti di tolleranza al rischio stabiliti e sia in grado di cogliere l'evoluzione dei rischi aziendali e l'interazione tra gli stessi.

3. L'organo amministrativo assicura che nell'ambito dell'informativa trasmessa all'IVASS in materia di governo societario, ai sensi dell'art. 308 degli atti delegati, dell'art. 47-quater del Codice e delle relative disposizioni di attuazione, siano rappresentate le ragioni che rendono la struttura organizzativa dell'impresa idonea a garantire la completezza, la funzionalità ed efficacia del sistema di Governo societario, informando senza indugio l'IVASS qualora vengano apportate significative modifiche alla struttura organizzativa dell'impresa ed illustrando le cause interne od esterne che hanno reso necessari tali interventi.

4. Le politiche di cui al comma 2, lettere d), f), g), m), n) e p), contengono almeno gli elementi riportati nell'allegato 1 al presente regolamento.

5. L'organo amministrativo approva altresì politiche aventi ad oggetto aspetti diversi da quelli di cui al comma 2, laddove previsto dal Codice e dalle relative disposizioni di attuazione.

6. L'organo amministrativo assicura che le politiche, parte del sistema di governo societario, siano coerenti tra loro e con la strategia dell'impresa e laddove l'impresa faccia parte di un gruppo, con le politiche di gruppo.

7. Secondo quanto previsto dall'art. 30, comma 6, del Codice l'organo amministrativo rivede le politiche almeno una volta l'anno e ne cura l'adeguamento alla evoluzione dell'operatività aziendale e delle condizioni esterne. Le risultanze della revisione sono adeguatamente documentate, fornendo idonea evidenza della revisione condotta e delle eventuali decisioni assunte dall'organo amministrativo in seguito ad essa.

8. Il presidente dell'organo amministrativo provvede affinchè:

a) agli amministratori sia trasmessa con congruo anticipo la documentazione a supporto delle deliberazioni dell'organo o, almeno, una prima informativa sulle materie che verranno discusse;

b) la documentazione a supporto delle deliberazioni, in particolare quella resa ai componenti privi di deleghe esecutive, sia adeguata in termini quantitativi e qualitativi rispetto alle materie iscritte all'ordine del giorno. Nella predisposizione dell'ordine del giorno e nella conduzione del dibattito consiliare il presidente assicura che siano trattate con priorità le questioni a rilevanza strategica, garantendo che ad esse sia dedicato tutto il tempo necessario;

c) il processo di autovalutazione, di cui al comma 2, lettera z), sia svolto con efficacia, le modalità con cui esso è condotto siano coerenti rispetto al grado di complessità dei lavori dell'organo, siano adottate le misure correttive previste per far fronte alle eventuali carenze riscontrate, nonchè predisposti e attuati programmi di inserimento e piani di formazione dei componenti dell'organo;

d) la dialettica tra componenti delegati e privi di deleghe sia adeguata e sia assicurata la partecipazione attiva di questi ultimi ai lavori dell'organo.

9. Il presidente è un esponente non esecutivo e non svolge alcuna funzione gestionale.

[10. Laddove, in ragione delle ridotte dimensioni o complessità dell'impresa, il presidente ricopra anche un ruolo esecutivo, l'impresa adotta adeguati presidi al fine di evitare conseguenze negative sul corretto funzionamento dell'organo.] (comma abrogato) (1)

1. Per l'espletamento dei compiti relativi al sistema di controllo interno e gestione dei rischi, l'organo amministrativo costituisce, ove appropriato in relazione alla natura, portata e complessità dell'attività dell'impresa e dei rischi inerenti, un Comitato per il controllo interno e i rischi, composto da amministratori non esecutivi, in maggioranza indipendenti [ai sensi dell'art. 2387 codice civile,] (parole soppresse) (1)  al quale affidare funzioni consultive e propositive ed il compito di svolgere indagini conoscitive.

2. In particolare, il Comitato per il controllo interno e i rischi assiste l'organo amministrativo nella determinazione delle linee di indirizzo del sistema di controllo interno e gestione dei rischi, nella verifica periodica della sua adeguatezza e del suo effettivo funzionamento, e nell'identificazione e gestione dei principali rischi aziendali.

3. L'organo amministrativo definisce la composizione, i compiti e le modalità di funzionamento del Comitato. L'istituzione del Comitato per il controllo interno e i rischi non solleva l'organo amministrativo dalle proprie responsabilità.

1. L'alta direzione è responsabile dell'attuazione, del mantenimento e del monitoraggio del sistema di governo societario secondo quanto previsto dal comma 2, coerentemente con le direttive dell'organo amministrativo e nel rispetto dei ruoli e dei compiti ad essa attribuiti.

2. L'alta direzione:

a) in coerenza con l'art. 258, paragrafo 5, degli atti delegati, definisce in dettaglio l'assetto organizzativo dell'impresa, i compiti e le responsabilità delle unità operative di base, nonchè i processi decisionali in coerenza con le direttive impartite dall'organo amministrativo; in tale ambito attua l'appropriata separazione di compiti sia tra singoli soggetti che tra funzioni, in modo da assicurare un'adeguata dialettica ed evitare, per quanto possibile, l'insorgere di conflitti di interesse;

b) con riferimento alla valutazione interna del rischio e della solvibilità, attua la politica di cui alle disposizioni attuative degli articoli 30-ter e 215-ter del Codice, contribuendo ad assicurare la definizione di limiti operativi e garantendo la tempestiva verifica dei limiti medesimi, nonchè il monitoraggio delle esposizioni ai rischi e il rispetto dei limiti di tolleranza;

c) attua le politiche inerenti al sistema di governo societario, nel rispetto dei ruoli e dei compiti ad essa attribuiti;

d) cura il mantenimento della funzionalità e dell'adeguatezza complessiva dell'assetto organizzativo e del sistema di governo societario di cui all'art. 4;

e) verifica che l'organo amministrativo sia periodicamente informato sull'efficacia e sull'adeguatezza del sistema di governo societario di cui all'art. 4 e, comunque tempestivamente, ogni qualvolta siano riscontrate criticità significative;

f) dà attuazione alle indicazioni dell'organo amministrativo in ordine alle misure da adottare per correggere le anomalie riscontrate e apportare miglioramenti;

g) propone all'organo amministrativo iniziative volte all'adeguamento ed al rafforzamento del sistema di governo societario di cui all'art. 4.

(integrato dall'art. 2, comma 3, del Provv. IVASS 5 marzo 2024, n. 142)

1. L'organo di controllo verifica l'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dall'impresa e il suo concreto funzionamento, ai fini della normativa applicabile.

1.bis Fatte salve le previsioni di legge, gli statuti delle imprese disciplinano gli aspetti rilevanti per garantire il rispetto nel continuo della quota di genere, individuata dall'art. 10, comma 3, del regolamento requisiti esponenti, tra cui le modalità di sostituzione dei componenti degli organi, le modalità di formazione delle liste, la presenza tra i sindaci supplenti di componenti del genere meno rappresentato ed ogni altro meccanismo idoneo a garantire il rispetto della quota di genere ivi prevista. Se il valore della quota di genere non è un numero intero, si approssima all'intero inferiore se il primo decimale è pari o inferiore a cinque; diversamente si approssima all'intero superiore.

2. Per l'espletamento dei compiti di cui al comma 1 l'organo di controllo può richiedere la collaborazione di tutte le strutture che svolgono compiti di controllo.

3. L'organo di controllo:

a) acquisisce, all'inizio del mandato, conoscenze sull'assetto organizzativo aziendale ed esamina i risultati del lavoro della società di revisione per la valutazione del sistema di controllo interno e del sistema amministrativo contabile;

b) verifica l'idoneità della definizione delle deleghe, nonchè l'adeguatezza dell'assetto organizzativo, prestando particolare attenzione alla separazione di responsabilità nei compiti e nelle funzioni;

c) valuta l'efficienza e l'efficacia del sistema di governo societario, con particolare riguardo all'operato della funzione di revisione interna della quale deve verificare la sussistenza della necessaria autonomia, indipendenza e funzionalità; nell'ipotesi in cui tale funzione sia stata esternalizzata valuta il contenuto dell'incarico sulla base del relativo contratto;

d) mantiene un adeguato collegamento con la funzione di revisione interna;

e) cura il tempestivo scambio con la società di revisione dei dati e delle informazioni rilevanti per l'espletamento dei propri compiti, esaminando anche le periodiche relazioni della società di revisione;

f) segnala all'organo amministrativo le eventuali anomalie o debolezze dell'assetto organizzativo e del sistema di governo societario, indicando e sollecitando idonee misure correttive; nel corso del mandato pianifica e svolge, anche coordinandosi con la società di revisione, periodici interventi di vigilanza volti ad accertare se le carenze o anomalie segnalate siano state superate e se, rispetto a quanto verificato all'inizio del mandato, siano intervenute significative modifiche dell'operatività della società che impongano un adeguamento dell'assetto organizzativo e del sistema di governo societario;

g) in caso di società appartenenti al medesimo gruppo, assicura i collegamenti funzionali ed informativi con gli organi di controllo delle altre società appartenenti al gruppo ed in particolare di quelle di cui all'art. 210-ter, comma 2, del Codice;

h) conserva una adeguata evidenza delle osservazioni e delle proposte formulate e della successiva attività di verifica dell'attuazione delle eventuali misure correttive.

1. Nell'ambito dei generali obblighi di cui all'art. 258, paragrafo 1, lettera i), degli atti delegati, l'operato dell'organo amministrativo e di controllo, nonchè dell'alta direzione, è adeguatamente documentato, al fine di consentire il controllo sugli atti gestionali e sulle decisioni assunte.

2. Ai fini di cui al comma 1, l'organo amministrativo documenta anche le modalità con le quali ha tenuto conto delle informazioni fornite dal sistema di gestione dei rischi.

1. Ai fini dell'art. 266 degli atti delegati e dell'art. 30-quater del Codice, l'impresa si dota di un sistema di controllo interno, proporzionato alla natura, alla portata e alla complessità dei rischi aziendali, attuali e prospettici, inerenti all'attività.

2. Tale sistema è costituito dall'insieme di regole, procedure, nonchè strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell'impresa e garantisce con un ragionevole margine di sicurezza il raggiungimento degli obiettivi di cui all'art. 4.

1. Ai fini di cui all'art. 258, paragrafo 1, lettere e), f), g) degli atti delegati, l'organo amministrativo promuove un alto livello di integrità e una cultura del controllo interno, tale da sensibilizzare l'intero personale sull'importanza e l'utilità dei controlli interni a presidio dei rischi.

2. L'alta direzione è responsabile della promozione della cultura del controllo interno e assicura che il personale sia messo a conoscenza del proprio ruolo, delle proprie responsabilità e delle politiche adottate dall'impresa, in modo da essere effettivamente impegnato nello svolgimento dei controlli, intesi quale parte integrante della propria attività. A tal fine assicura la formalizzazione e l'adeguata diffusione tra il personale del sistema delle deleghe e delle procedure che regolano l'attribuzione di compiti, i processi operativi, gli strumenti e le linee di riporto informativo.

3. Ai fini di cui ai commi 1 e 2, l'alta direzione assicura continuità alle iniziative formative e di comunicazione volte a favorire l'effettiva adesione di tutto il personale ai principi di integrità morale ed ai valori etici.

4. Al fine di promuovere la correttezza operativa ed il rispetto dell'integrità e dei valori etici da parte di tutto il personale, nonchè per prevenire condotte devianti di cui possono essere chiamate a rispondere ai sensi del decreto legislativo 8 giugno 2001, n. 231, nonchè ai sensi dell'art. 325 del Codice, le imprese adottano un codice etico che definisce le regole comportamentali, disciplina le situazioni di potenziale conflitto di interesse e prevede azioni correttive adeguate, nel caso di deviazione dalle direttive e dalle procedure approvate dal vertice o di infrazione della normativa vigente e dello stesso codice etico.

5. Le imprese, fermo quanto previsto dalle disposizioni di cui al Capo VII del presente Titolo, evitano, ad ogni livello aziendale, politiche commerciali e pratiche di remunerazione che possano essere di incentivo ad attività illegali o devianti rispetto agli standard etici ovvero indurre propensioni al rischio contrastanti con la sana e prudente gestione dell'impresa e comportamenti non coerenti con la tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative. I sistemi di remunerazione sono tali da favorire il rispetto del complesso delle disposizioni di legge, regolamentari e statutarie nonchè di eventuali codici etici dell'impresa o del gruppo.

1. Ai fini di cui all'art. 258 degli atti delegati e dell'art. 30, comma 1, del Codice il sistema di Governo societario include, tra l'altro, l'esecuzione, a tutti i livelli dell'impresa, di attività di controllo proporzionate alla natura, alla portata ed alla complessità dei rischi inerenti all'attività dell'impresa ed ai processi coinvolti, che contribuiscono a garantire l'attuazione delle direttive aziendali e a verificarne il rispetto.

2. Le attività di controllo di cui al comma 1 sono formalizzate e riviste su base periodica e coinvolgono tutto il personale. Tali attività comprendono meccanismi di doppie firme, autorizzazioni, verifiche e raffronti, liste di controllo e riconciliazione dei conti, nonchè la limitazione dell'accesso alle operazioni ai soli soggetti incaricati e la registrazione e la verifica periodica delle operazioni effettuate.

3. Compatibilmente con la natura, la portata e la complessità dell'attività dell'impresa, quest'ultima assicura, nell'ambito delle funzioni aziendali, un adeguato livello di indipendenza del personale incaricato del controllo rispetto a quello con compiti operativi.

1. Le imprese possiedono informazioni contabili e gestionali che garantiscano adeguati processi decisionali e consentano di definire e valutare se siano stati raggiunti gli obiettivi strategici fissati dall'organo amministrativo in modo da sottoporli ad eventuale revisione. A tal fine, l'alta direzione assicura che l'organo amministrativo abbia una conoscenza completa dei fatti aziendali rilevanti, anche attraverso la predisposizione di un'adeguata reportistica.

2. Ai fini dell'art. 258, paragrafo 1, lettere h) e i), degli atti delegati, il sistema di governo societario garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza così definiti:

a) accuratezza: le informazioni devono essere verificate al momento della ricezione e, comunque, anteriormente rispetto al loro uso;

b) completezza: le informazioni devono coprire tutti gli aspetti rilevanti dell'impresa in termini di quantità e qualità, inclusi gli indicatori che possono avere conseguenze dirette o indirette sulla pianificazione strategica dell'attività;

c) tempestività: le informazioni devono essere puntualmente disponibili, in modo da favorire processi decisionali efficaci e consentire all'impresa di prevedere e reagire con prontezza agli eventi futuri;

d) coerenza: le informazioni devono essere registrate secondo metodologie che le rendano confrontabili;

e) trasparenza: le informazioni devono essere presentate in maniera facile da interpretare, garantendo la chiarezza delle componenti essenziali;

f) pertinenza: le informazioni utilizzate devono essere in relazione diretta con la finalità per cui vengono richieste ed essere continuamente rivedute e ampliate per garantirne la rispondenza alle necessità dell'impresa.

3. Le informazioni dirette a terzi sono attendibili, tempestive, pertinenti e sono comunicate in maniera chiara ed efficace.

4. Il sistema delle rilevazioni contabili e gestionali interne registra correttamente i fatti di gestione e fornisce una rappresentazione corretta e veritiera della situazione patrimoniale, finanziaria ed economica dell'impresa e in conformità con le leggi e la normativa secondaria.

5. Le imprese istituiscono e mantengono canali di comunicazione efficaci sia all'interno, in ogni direzione, sia all'esterno.

6. Il sistema favorisce le segnalazioni di criticità anche attraverso la previsione di modalità che consentano al personale di portare direttamente all'attenzione dei livelli gerarchici più elevati le situazioni di particolare gravità.

1. Ai fini dell'art. 258, paragrafo 1, lettere j) e k), degli atti delegati, le imprese prevedono un sistema di registrazione e di reportistica dei dati che ne consenta la tracciabilità al fine di poter disporre di informazioni complete ed aggiornate sugli elementi che possono incidere sul profilo di rischio dell'impresa e sulla sua situazione di solvibilità.

2. Il sistema di cui al comma 1 assicura nel continuo il rispetto dei principi indicati nell'art. 13, comma 2, con particolare riguardo ai dati conservati e le informazioni rappresentate, anche al fine di consentire una ricostruzione dell'attività svolta e l'individuazione dei relativi responsabili; garantisce altresì l'agevole verifica delle informazioni registrate.

3. Le procedure di estrazione, controllo, gestione, aggregazione e utilizzo dei dati sono documentate e presidiate al fine di consentire la verifica della qualità delle informazioni, con particolare previsione delle circostanze in cui è consentita l'immissione o rettifica manuale dei dati aziendali e dei processi di acquisizione dei dati da strutture esterne.

4. I dati sono rilevati ed archiviati con granularità adeguata a consentire le diverse analisi e aggregazione richieste dalle possibili procedure di utilizzo.

5. L'impresa stabilisce controlli e presidi adeguati ad assicurare nel continuo la qualità dei dati aziendali, con particolare riferimento all'integrità, alla completezza e alla correttezza.

6. L'impresa garantisce l'adempimento puntuale e tempestivo degli obblighi informativi verso l'IVASS.

1. Le imprese istituiscono efficaci flussi informativi per la produzione di dati e di informazioni utili ai fini dell'esercizio della vigilanza sul gruppo di cui al Titolo XV del Codice e relative disposizioni di attuazione e della valutazione attuale e prospettica dei rischi a livello di gruppo che l'ultima società controllante italiana svolge ai sensi dell'art. 215-ter del Codice e relative disposizioni di attuazione, adottando idonee procedure di controllo interno ed individuando idonee misure di raccolta e di coordinamento delle informazioni per l'esercizio della vigilanza sul gruppo.

2. I dati e le informazioni di cui al comma 1 sono prontamente e completamente accessibili per eventuali verifiche da parte dell'IVASS.

1. I sistemi informatici sono appropriati rispetto alla natura, portata e complessità dell'attività dell'impresa, nonchè dei conseguenti rischi e forniscono informazioni, sia all'interno che all'esterno, rispondenti ai principi di cui all'art. 13, comma 2. L'impresa tutela la cyber security aziendale, come definita all'art. 2, comma 1, lettera f).

2. Ai fini di cui al comma 1:

a) l'organo amministrativo approva un piano strategico sulla tecnologia della informazione e comunicazione (ICT), inclusa la cyber security aziendale, volto ad assicurare l'esistenza e il mantenimento di una architettura complessiva dei sistemi integrata e sicura dal punto di vista infrastrutturale e applicativo, adeguata ai bisogni dell'impresa e basata su standard e linee guida internazionali, nazionali e definiti nella regolamentazione di settore;

b) con riferimento specifico alla cyber security aziendale di cui alla lettera a), essa:

i. definisce i ruoli e le responsabilità, prevedendo risorse adeguate, l'appropriata collocazione nell'organizzazione aziendale delle funzioni aziendali dedicate e il coinvolgimento dell'organo amministrativo e dell'alta direzione;

ii. valuta il rischio che le varie funzioni, attività, prodotti e servizi, incluse le interconnessioni e dipendenze da terze parti, possono subire in relazione all'acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a danneggiamenti, distruzione o ostacoli posti al regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi, al fine di identificare e implementare controlli, politiche, procedure e iniziative di formazione per mantenere i rischi al di sotto della tolleranza definita dall'organo amministrativo;

iii. stabilisce un processo di monitoraggio sistematico per identificare tempestivamente incidenti e valutare periodicamente l'efficacia dei presidi implementati, anche attraverso il monitoraggio sulle reti, test e audit;

iv. prevede una valutazione approfondita su natura, estensione e impatto degli incidenti; sviluppa sistemi di risposta tempestivi e adeguati a contenere l'impatto, inclusa, ove opportuno, la previsione di un'unità di gestione delle crisi informatiche e di appropriati meccanismi graduati di intervento;

v. definisce le azioni per ripristinare le attività aziendali, rimuovendo le fonti di attacco, riportando i sistemi e i dati ad uno stato normale, identificando e mitigando le vulnerabilità sfruttate nel corso dell'incidente, intervenendo sulle vulnerabilità residue per evitare incidenti simili e effettuando un'appropriata comunicazione;

vi. individua le opportune modalità di comunicazione degli incidenti e i destinatari di tale comunicazione, inclusi quelli previsti da leggi e disposizioni regolamentari;

vii. garantisce l'aggiornamento continuo delle conoscenze sulle minacce, vulnerabilità, incidenti e difese e la revisione periodica delle strategie e della politica di data governance, per affrontare i rischi emergenti, rivedere la corretta allocazione delle risorse, identificare e porre rimedio ad eventuali carenze riscontrate e apprendere dall'analisi di incidenti accaduti internamente o esternamente;

c) gli accessi ai diversi ambienti di sviluppo e di produzione sono regolamentati e controllati attraverso procedure per limitare i rischi derivanti da intrusioni esterne o da infedeltà del personale. Le procedure garantiscono la sicurezza logica dei dati, restringendo, in particolare per l'ambiente di produzione, l'accesso ai dati e prevedendo che tutte le violazioni vengano evidenziate; le procedure sono soggette a verifiche da parte della funzione di revisione interna;

d) le procedure per l'approvazione e l'acquisizione dell'hardware e del software, nonchè per la cessione all'esterno di determinati servizi sono formalizzate;

e) sono adottate procedure che assicurino la continuità dei processi aziendali, attraverso sistemi di disaster recovery e piani di business continuity con le opportune misure organizzative, tecniche e di comunicazione.

3. In caso di operazioni straordinarie quali fusioni e scissioni o acquisizioni o trasferimento di portafoglio, l'impresa predispone un piano di integrazione dei sistemi informatici nel quale sono specificati:

a) ambiti, funzioni, procedure, applicazioni e basi dati interessate dal processo di integrazione;

b) la tempistica associata a ciascuna fase dell'integrazione con particolare riguardo alla migrazione delle basi dati e alle date a partire dalle quali l'integrazione dei portafogli sarà completata;

c) le unità e i presidi organizzativi ai quali sono affidati i controlli ed il monitoraggio dell'intero processo di integrazione.

4. L'impresa comunica tempestivamente all'IVASS, nell'ambito dell'informativa di cui all'art. 47-quater del Codice e relative disposizioni di attuazione, ogni evento che rappresenti un grave incidente di sicurezza informatica, inviando una relazione sintetica recante una descrizione dell'incidente e dei disservizi provocati agli utenti interni e alla clientela, indicando ove possibile:

a) data e ora dell'accadimento o della rilevazione dell'incidente;

b) risorse e servizi coinvolti, con una valutazione delle perdite economiche o dei danni d'immagine;

c) cause dell'incidente, tempi e modalità per il pieno ripristino dei livelli di disponibilità e sicurezza;

d) descrizione delle azioni intraprese e dei risultati ottenuti;

e) valutazione dell'impatto dell'evento sulla clientela e altre controparti.

(integrato dall'art. 2, comma 3, del Provv. IVASS 10 maggio 2023)

1. Ai fini di cui all'art. 259 degli atti delegati e all'art. 30-bis del Codice, il sistema di gestione dei rischi include le strategie, i processi, le procedure, anche di reportistica, necessarie per individuare, misurare, valutare, monitorare, gestire e rappresentare su base continuativa i rischi attuali e prospettici cui l'impresa è o potrebbe essere esposta, ivi compresi, ove pertinenti, i rischi di sostenibilità, con particolare attenzione a quelli significativi di cui all'art. 2, comma 1, lettera o), e, ove possibile, le relative interdipendenze e le potenziali aggregazioni. Il sistema di gestione dei rischi considera almeno le aree di cui all'art. 30-bis, comma 3, del Codice e assicura con un ragionevole margine di sicurezza il raggiungimento degli obiettivi di cui all'art. 4.

2. Il sistema di gestione dei rischi è proporzionato alla natura, alla portata e alla complessità dell'attività esercitata, e funzionale a mantenere i rischi cui l'impresa è esposta ad un livello accettabile, coerente con le disponibilità patrimoniali.

3. In coerenza con quanto previsto dall'art. 5, comma 1, e qualora non sia costituito il Comitato di cui all'art. 6, comma 1, almeno un membro dell'organo amministrativo, adeguatamente competente in materia e privo di deleghe, è incaricato di monitorare le attività, l'adeguatezza ed il corretto funzionamento del sistema di gestione dei rischi, al fine di riferire le relative risultanze all'organo stesso che ne è responsabile ultimo.

4. Le politiche di valutazione e gestione dei rischi sono definite e implementate avendo a riferimento la visione integrata delle attività e passività. Tali politiche tengono conto di quanto previsto dalle disposizioni attuative degli articoli 37-ter e 38 del Codice.

5. Le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio nonchè di gestione del rischio operativo tengono conto degli obiettivi strategici e, ove pertinente in coerenza con l'art. 260, comma 1-bis, degli atti delegati, dei rischi di sostenibilità dell'impresa e sono coerenti con la politica di gestione dei rischi di cui all'art. 5, comma 2, lettera f) e con le disposizioni di attuazione degli articoli 32, 33, 35 e 36-bis del Codice.

6. L'impresa assicura che la politica di sottoscrizione e le relative procedure sono attuate da tutti i canali di distribuzione.

7. Ai fini della gestione del rischio operativo, l'impresa:

a) individua processi atti a rintracciare, analizzare e segnalare gli eventi correlati al rischio operativo, definendo un processo di raccolta e monitoraggio degli eventi correlati a tale rischio;

b) sviluppa e analizza adeguati scenari, anche di particolare gravità purchè plausibili che tengano almeno conto:

i) del fallimento di un elemento fondamentale, sia esso un processo, un ruolo, o un sistema;

ii) dell'insorgenza di eventi esterni.

1. Nell'ambito della propensione al rischio definita dall'organo amministrativo ai sensi dell'art. 5, comma 2, lettera e), l'impresa individua anche un obiettivo di solvibilità espresso come rapporto tra fondi propri ammissibili e requisito patrimoniale di solvibilità, determinati sulla base dei Capi IV e IV bis del Titolo III del Codice, sull'orizzonte temporale di un anno.

2. L'obiettivo di solvibilità di cui al comma 1 è fissato dall'impresa a un livello tale da consentire di disporre del tempo e della flessibilità operativa necessaria ad assicurare il rispetto su base continuativa del requisito patrimoniale di solvibilità, tenendo conto della prevedibile dinamica del requisito stesso, dei fondi propri ammissibili e degli effetti su tali grandezze riconducibili all'utilizzo di misure transitorie o di aggiustamenti applicati ai sensi degli articoli 36-quinquies e 36-septies del Codice.

3. La determinazione dell'obiettivo di solvibilità tiene conto delle risultanze della valutazione interna del rischio e della solvibilità operata ai sensi degli articoli 30-ter e 215-ter del Codice e delle relative disposizioni di attuazione.

(integrato dall'art. 2, comma 4, del Provv. IVASS 10 maggio 2023)

1. L'impresa provvede a definire le categorie di rischio, indipendentemente dalla circostanza che siano quantificabili, in funzione della natura, della portata e della complessità dei rischi inerenti all'attività svolta, in un'ottica attuale e prospettica, nonchè degli effetti indiretti connessi ai rischi significativi. La catalogazione include almeno i seguenti rischi:

a) rischio di sottoscrizione, per come definito dall'art. 1, comma 1, lettera vv-bis 4) del Codice;

b) rischio di mercato, per come definito dall'art. 1, comma 1, lettera vv-bis 3) del Codice;

c) rischio di credito, per come definito dall'art. 1, comma 1, lettera vv-bis 1) del Codice;

d) rischio di liquidità, per come definito dall'art. 1, comma 1, lettera vv-bis 2) del Codice;

e) rischio operativo, per come definito dall'art. 1, comma 1, lettera vv-bis 5) del Codice;

f) rischio legato all'appartenenza al gruppo: rischio di «contagio», inteso come rischio che, a seguito dei rapporti intercorrenti tra l'impresa e le altre società del gruppo, situazioni di difficoltà che insorgono in una società del medesimo gruppo possano propagarsi con effetti negativi sulla solvibilità dell'impresa stessa;

g) rischio di non conformità alle norme: il rischio di incorrere in sanzioni giudiziarie o amministrative, subire perdite o danni reputazionali in conseguenza della mancata osservanza di leggi, regolamenti e norme europee direttamente applicabili o provvedimenti delle Autorità di vigilanza ovvero di norme di autoregolamentazione, quali statuti, codici di condotta o codici di autodisciplina; rischio derivante da modifiche sfavorevoli del quadro normativo o degli orientamenti giurisprudenziali;

h) rischio reputazionale: i rischi di deterioramento dell'immagine aziendale e di aumento della conflittualità con gli assicurati, dovuti anche alla scarsa qualità dei servizi offerti, al collocamento di polizze non adeguate o al comportamento in fase di vendita, post vendita e di liquidazione;

i) rischio strategico: il rischio attuale o prospettico di flessione degli utili o del capitale e di sostenibilità del modello di business, incluso il rischio di non riuscire a generare un adeguato ritorno sul capitale sulla base della propensione al rischio definita dall'impresa, derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, impropria gestione del rischio di appartenenza al gruppo, scarsa reattività a variazioni del contesto competitivo;

i-bis) rischi di sostenibilità: in coerenza con quanto previsto dall'art. 1, punto 55-quater, degli atti delegati, un evento o una condizione di tipo ambientale, sociale o di governance che, se si verifica, potrebbe provocare un impatto negativo effettivo o potenziale sul valore dell'investimento o sul valore della passività.

2. L'impresa raccoglie in via continuativa informazioni sui rischi, interni ed esterni, attuali e prospettici, a cui è esposta e che possono interessare tutti i processi operativi e le aree funzionali. La procedura di censimento dei rischi e i relativi risultati sono adeguatamente documentati.

3. L'impresa è in grado, attraverso un adeguato processo di analisi, anche mediante il ricorso agli strumenti di cui all'art. 32, comma 1, lettera f) e secondo quanto previsto dal comma 4, di comprendere la natura dei rischi individuati e la loro origine, al fine di un'adeguata valutazione degli stessi, per la quale si richiamano gli articoli 30-ter e 215-ter del Codice e relative disposizioni di attuazione in materia di valutazione interna dei rischi e della solvibilità.

4. Ai fini di cui al comma 3, l'impresa ricorre all'utilizzo di specifici stress test calibrati sul proprio profilo di rischio o ad altre eventuali analisi quantitative, identificando a tale scopo eventuali rischi di breve, medio e lungo termine, potenziali eventi o future modifiche nelle condizioni economiche che possono avere un impatto sfavorevole sulla complessiva situazione finanziaria e sul patrimonio. Nel processo di valutazione dei rischi l'impresa utilizza scenari adeguati, basati sull'analisi del peggiore caso possibile, prendendo in considerazione ogni significativo effetto indiretto che può derivare.

5. L'impresa definisce procedure in grado di evidenziare con tempestività l'insorgere di rischi significativi anche in una prospettiva di medio-lungo periodo, ed in coerenza con quanto previsto dall'art. 258, paragrafo 3, degli atti delegati e ai fini dell'art. 30, comma 4, del Codice, per le maggiori fonti di rischio identificate predispone un adeguato piano di emergenza.

6. Il piano di emergenza è approvato dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera f), rivisto e aggiornato periodicamente, con cadenza almeno annuale, valutandone l'efficacia. Il piano di emergenza è reso accessibile al personale interessato dal piano stesso, in modo tale da garantire la consapevolezza del proprio ruolo al ricorrere di situazioni di emergenza, individuando altresì in tali circostanze adeguati canali di comunicazione.

7. Su richiesta dell'IVASS, l'impresa effettua analisi qualitative o quantitative standardizzate sulla base di fattori di rischio e parametri prefissati.

1. Nel rispetto di quanto previsto dall'art. 260, paragrafo 1, lettera g), degli atti delegati e dell'art. 30, comma 5, del Codice, l'impresa si dota di una politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, approvata dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera g) del presente regolamento, che individua la strategia di attenuazione dei rischi e di equilibrio del portafoglio da attuarsi in via generale mediante il ricorso alla riassicurazione o ad altre tecniche di mitigazione del rischio.

2. Il sistema di governo societario assicura che:

a) sia fornita all'alta direzione, in maniera tempestiva ed esaustiva rispetto al momento in cui l'impresa acquisisce le informazioni, la situazione aggiornata dei contratti riassicurativi in atto, prestando particolare attenzione alle posizioni creditorie in essere con i riassicuratori, e delle altre tecniche di mitigazione del rischio;

b) le scelte gestionali operate siano coerenti con la politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio;

c) eventuali scostamenti rispetto alla politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio siano segnalati prontamente all'organo amministrativo.

3. L'impresa, nell'ambito della politica di cui al comma 1, produce un'analisi scritta delle tecniche di mitigazione del rischio utilizzate, chiarendone il funzionamento ed i relativi rischi significativi coinvolti.

4. Nell'ipotesi di ricorso a società veicolo, l'impresa monitora attivamente, mediante il proprio sistema di governo societario, il rispetto del requisito di finanziamento integrale di cui all'art. 1, comma 1, lettera vv-ter) del Codice e tiene in considerazione, mediante il proprio sistema di gestione dei rischi, gli ulteriori rischi derivanti dalla società veicolo, anche ai fini del calcolo dei propri requisiti di capitale. L'impresa presta particolare attenzione ai rischi ulteriori e residuali derivanti dalla società veicolo ivi incluso il rischio di perdite superiori rispetto a quelle eventualmente previste al momento dell'autorizzazione.

5. L'impresa che appartenga ad un gruppo, in caso di adesione ad un contratto di riassicurazione di gruppo, assicura il rispetto di quanto previsto dall'art. 85, comma 2.

1. Per i contratti che devono essere provati per iscritto ai sensi dell'art. 1928 del codice civile, l'impresa provvede alla formalizzazione dei rapporti contrattuali al più tardi entro quattro mesi dalla conclusione degli accordi e comunque dalla data di effetto della copertura.

2. Nell'ipotesi di ricorso a contratti di riassicurazione facoltativi, entro gli stessi termini di cui al comma 1, l'impresa dispone della documentazione attestante la partecipazione dei riassicuratori firmata da ciascuno per la propria quota.

3. Ove ciò sia giustificato dalle caratteristiche specifiche delle linee di attività oggetto della riassicurazione, il termine per la formalizzazione dei rapporti contrattuali di cui al comma 1 è fissato in sei mesi dalla conclusione degli accordi e comunque dalla data di effetto della copertura.

4. Fermo restando quanto previsto dai commi 1, 2, 3, l'impresa dispone di adeguata documentazione su termini e condizioni concordati, nonchè sulle quote di partecipazione di ciascun riassicuratore. Eventuali accordi che integrano il contratto o a cui il contratto fa rinvio costituiscono parte integrante della documentazione contrattuale.

1. L'impresa, nell'ipotesi in cui ricorra alla riassicurazione non tradizionale, inclusi i contratti di riassicurazione finanziaria o di riassicurazione finite, nell'ambito dell'informativa trasmessa all'IVASS ai sensi dell'art. 309, paragrafo 5, lettera a), degli atti delegati, dell'art. 47-quater del Codice e delle relative disposizioni di attuazione, fornisce una descrizione in merito alle finalità e alle principali caratteristiche del contratto, unitamente al trattamento contabile delle relative partite e degli effetti economici, patrimoniali e finanziari dello stesso sul bilancio dell'impresa cedente, nonchè specifica evidenza dell'eventuale rilevanza assunta dagli stessi ai fini del possesso dei requisiti di vigilanza prudenziale. L'informativa dovrà fornire la descrizione dei principali rischi per i quali si è utilizzata la riassicurazione non tradizionale.

2. L'informativa di cui al comma 1 è resa anche nell'ipotesi di accentramento o decentramento dell'attività di riassicurazione non tradizionale nel gruppo.

1. L'organo amministrativo approva la politica di gestione del capitale, di cui all'art. 5, comma 2, lettera p), che comprende procedure volte a regolare la classificazione, l'emissione, il monitoraggio e l'eventuale distribuzione, nonchè il rimborso degli elementi dei fondi propri in coerenza con il piano di gestione del capitale a medio termine di cui all'art. 24.

1. In coerenza con la propensione al rischio e l'obiettivo di solvibilità di cui all'art. 18 e con la politica di gestione del capitale di cui all'art. 23, l'impresa elabora un piano di gestione del capitale a medio termine, di durata almeno triennale, al fine di garantire adeguati e duraturi livelli di patrimonializzazione.

2. L'organo amministrativo approva il piano di cui al comma 1, ne monitora la corretta attuazione e ne assicura l'adeguatezza, curandone l'aggiornamento nel tempo. A tali fini, tiene in particolare considerazione almeno i seguenti elementi:

a) la stabilità del modello di business dell'impresa e le relative proiezioni;

b) le emissioni di capitale programmate, i rimborsi e riscatti degli elementi di fondi propri ed eventuali ulteriori fattori che hanno impatto sui fondi propri, inclusa la redditività prevista per gli esercizi considerati;

c) l'eccedenza dei fondi propri rispetto al requisito patrimoniale di solvibilità e la valutazione del fabbisogno di capitale individuata nell'ambito della valutazione interna del rischio e della solvibilità di cui all'art. 30-ter e 215-ter del Codice e relative disposizioni attuative;

d) le regole concernenti l'ammissibilità degli elementi dei fondi propri;

e) eventuali indicazioni fornite dall'IVASS nell'esercizio delle funzioni di vigilanza.

3. Il piano tiene conto almeno di:

a) qualsiasi emissione di capitale programmata;

b) la scadenza degli elementi dei fondi propri, nonchè qualsiasi altra opportunità di rimborso o riscatto precedente alla scadenza;

c) le modalità con cui qualsiasi emissione, riscatto o rimborso o altre modifiche nella valutazione di un elemento dei fondi propri producono effetti sull'applicazione dei limiti nella classificazione dei fondi propri nei diversi livelli;

d) le modalità con cui l'applicazione della politica di distribuzione degli elementi di fondi propri influenzi l'ammontare e la qualità di questi ultimi;

e) le risultanze delle proiezioni effettuate nell'ambito della valutazione interna del rischio e della solvibilità di cui agli articoli 30-ter e 215-ter del Codice e delle relative disposizioni di attuazione;

f) l'impatto della fine del periodo di transizione nell'ipotesi di applicazione delle misure transitorie di cui all'art. 344-quinquies del Codice.

(integrato e modificato dall'art. 2, comma 4, del Provv. IVASS 5 marzo 2024, n. 142)

1. Tenuto conto di quanto previsto dall'art. 273 degli atti delegati, l'impresa verifica che i soggetti di cui all'art. 76, comma 1, del Codice e l'ulteriore personale, come identificato nella politica di cui all'art. 5, comma 2, lettera n) possiedono i requisiti di professionalità, onorabilità e indipendenza e soddisfano i criteri di competenza, correttezza e di adeguata composizione collettiva degli organi, nonchè dispongono del tempo necessario stimato dall'impresa per l'espletamento dell'incarico, secondo quanto previsto dalle disposizioni di attuazione dell'art. 76, comma 1, del Codice e da tale politica aziendale, effettuando le relative valutazioni secondo quanto specificato nell'allegato 1 al presente regolamento.

1-bis. Ai sensi dell'art. 10, comma 4, del regolamento requisiti esponenti, nell'organo amministrativo almeno un quarto dei componenti possiede i requisiti di indipendenza, salvo quanto previsto dagli articoli 6 e 43 del presente regolamento. Se il valore della quota non è un numero intero, si approssima all'intero inferiore se il primo decimale è pari o inferiore a cinque; diversamente si approssima all'intero superiore.

1-ter. Gli esponenti indipendenti possiedono una professionalità tale da assicurare un elevato livello di dialettica interna all'organo di appartenenza e da apportare un contributo di rilievo alla formazione della volontà del medesimo.

2. Le scelte dell'impresa in merito all'identificazione dell'ulteriore personale di cui al comma 1 cui applicare la politica sono coerenti con la struttura organizzativa dell'impresa ed adeguatamente formalizzate nella politica stessa e nel documento di cui all'art. 5, comma 2, lettera i).

3. L'impresa verifica nel continuo la sussistenza e l'aggiornamento dei requisiti di idoneità alla carica di cui al comma 1.

4. Relativamente ai soggetti di cui all'art. 76, comma 1-bis, del Codice, l'impresa comunica all'IVASS, tempestivamente, nel rispetto delle modalità previste dal Capo V-bis, dall'adozione del relativo atto o dal verificarsi della relativa fattispecie, il conferimento dell'incarico, il rinnovo e le eventuali dimissioni, decadenza, sospensione e revoca, nonchè ogni elemento sopravvenuto che possa incidere sulla valutazione dell'idoneità alla carica. L'obbligo ricorre anche in caso di esternalizzazione o sub-esternalizzazione delle funzioni fondamentali con riguardo al titolare delle medesime.

[5. Oltre alla comunicazione di cui al comma 4, sono comunicate all'IVASS le valutazioni dell'organo amministrativo mediante la trasmissione, entro trenta giorni dall'adozione, della relativa delibera adeguatamente motivata. Nel caso di nomina o rinnovo, l'impresa attesta di aver effettuato le verifiche sulla sussistenza dei requisiti e l'assenza di situazioni impeditive, fornendo adeguata motivazione in merito alla valutazione effettuata. La delibera riporta analiticamente e per singolo soggetto scrutinato i presupposti su cui l'impresa ha svolto la valutazione e le relative conclusioni cui è pervenuta. L'IVASS si riserva la facoltà, ove lo ritenga opportuno, di richiedere all'impresa l'acquisizione della documentazione analizzata a supporto della valutazione.] (comma abrogato) (1)

6. La comunicazione dei dati di cui al presente articolo avviene secondo le istruzioni tecniche fornite dall'IVASS, rese disponibili sul sito dell'Istituto.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. Quando la nomina dell'esponente spetta all'assemblea, la valutazione dell'idoneità ai sensi dell'art. 23 del regolamento requisiti esponenti è condotta dall'organo competente entro trenta giorni dalla nomina.

2. Entro il termine di cui al comma 1, ove ne ricorrano i presupposti, l'organo competente dichiara la decadenza dall'ufficio dell'esponente o adotta, ove consentito, le eventuali misure correttive. In ogni caso, a seguito della dichiarazione di decadenza vanno tempestivamente avviate le opportune iniziative per il reintegro dell'organo incompleto.

3. Gli esponenti presentano all'organo competente, che l'acquisisce, la documentazione comprovante la propria idoneità, ivi incluse le eventuali dichiarazioni sostitutive nel rispetto della normativa vigente.

4. E' rimessa alla responsabilità dell'organo competente la valutazione della completezza, accuratezza e attendibilità della documentazione.

5. L'esame delle posizioni è condotto partitamente per ciascuno degli esponenti e con l'astensione dell'esponente di volta in volta interessato, utilizzando la documentazione fornita dal medesimo esponente nonchè ogni altra informazione rilevante disponibile.

6. Ai fini di cui agli articoli 10 e 11 del regolamento requisiti esponenti, l'adeguata composizione collettiva dell'organo di appartenenza viene valutata, tenuto conto delle nuove nomine e dei risultati dell'identificazione preventiva della composizione quali-quantitativa ritenuta ottimale.

7. Ai fini di quanto previsto dall'art. 23, comma 6 del regolamento requisiti esponenti, il verbale della riunione:

a. fornisce puntuale e analitico riscontro delle valutazioni effettuate nonchè delle motivazioni in base alle quali l'organo competente ritiene soddisfatti i requisiti e criteri previsti dal regolamento requisiti esponenti stesso;

b. se sono riscontrati difetti di idoneità che, ai sensi del regolamento requisiti esponenti, possono essere colmati attraverso specifiche misure, indica quali di esse sono state adottate e specifica le ragioni per cui, a giudizio dell'organo competente, esse sono sufficienti ad assicurare il rispetto dei requisiti e dei criteri stabiliti dal regolamento requisiti esponenti;

c. riporta il percorso di analisi e le considerazioni svolte in merito a situazioni o fatti previsti dal regolamento requisiti esponenti che possono richiedere valutazioni connotate da un margine di discrezionalità ovvero l'adozione di misure correttive;

d. contiene le valutazioni in merito all'eventuale assunzione di un incarico aggiuntivo;

e. dà conto degli elementi informativi analizzati e della documentazione acquisita o comunque esaminata a supporto della delibera.

8. In aggiunta al verbale, sono trasmessi all'IVASS almeno i seguenti documenti:

a. il curriculum vitae dell'esponente;

b. il consenso al trattamento dei dati personali (privacy statement);

c. i questionari di valutazione conformi a quelli di cui all'Allegato 4 per la verifica dei requisiti e dei criteri di idoneità alla carica degli esponenti e dei titolari delle funzioni fondamentali;

d. nel caso di pronuncia di decadenza di consiglieri indipendenti o di esponenti eletti dalle minoranze, vengono trasmessi, unitamente alla copia del verbale della riunione, anche i pareri previsti dall'art. 23, comma 8 del regolamento requisiti esponenti.

9. Copia del verbale della riunione e della relativa documentazione esaminata è trasmessa all'IVASS entro trenta giorni dal compimento della valutazione da parte dell'organo competente.

10. L'IVASS si riserva la facoltà, nei casi in cui dovesse ritenerlo opportuno, di richiedere l'esibizione della documentazione comprovante l'idoneità dell'esponente, fissando eventualmente un termine per la trasmissione.

11. Ai sensi dell'art. 76, comma 2-bis del Codice, l'IVASS valuta l'idoneità degli esponenti e il rispetto dei limiti al cumulo degli incarichi, anche sulla base dell'analisi compiuta e delle eventuali misure adottate dalle imprese ai sensi dell'art. 76, commi 1-sexies e 2 del Codice e dell'art. 24 del Regolamento requisiti esponenti. L'IVASS può richiedere agli esponenti sottoposti a valutazione di partecipare a interviste di cui viene redatto apposito verbale.

12. Entro centoventi giorni dal ricevimento del verbale di cui al comma 7, l'IVASS può:

a) richiedere all'organo competente di individuare e adottare misure idonee a colmare eventuali carenze, ivi inclusa la sottoscrizione di specifici impegni da parte degli esponenti sottoposti a valutazione, ove non risultanti già dal verbale stesso;

oppure

b) avviare, ove ne ricorrano i presupposti, un procedimento d'ufficio volto a pronunciare la decadenza ai sensi dell'art. 76, comma 2-bis del Codice; il procedimento si conclude entro il termine di sessanta giorni. L'IVASS può comunicare l'esito positivo della valutazione condotta, anche prima della scadenza del termine per l'eventuale avvio del procedimento di decadenza.

13. Nel caso di cui al comma 12, lettera a), l'IVASS può avviare un procedimento d'ufficio volto a pronunciare la decadenza nel termine di sessanta giorni, se l'inidoneità persiste in conseguenza della mancata o insufficiente adozione delle misure correttive; il procedimento si conclude entro sessanta giorni.

14. I commi da 1 a 13 si applicano altresì se l'organo competente attribuisce ad alcuni dei suoi componenti in carica il ruolo di presidente del consiglio di amministrazione, del consiglio di gestione o del comitato di controllo sulla gestione oppure di amministratore delegato o di consigliere delegato in un momento successivo a quando la loro idoneità è stata valutata dallo stesso organo competente a seguito della nomina.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. Nei casi in cui la nomina degli esponenti non spetti all'assemblea e nel caso di nomina dei titolari delle funzioni fondamentali, la valutazione dell'idoneità è condotta prima della nomina.

2. L'organo competente effettua la valutazione di idoneità e trasmette copia del verbale all'IVASS.

3. Ai fini di cui al comma 2, se l'impresa ha adottato il modello dualistico, la valutazione dell'idoneità dei componenti proposti per il consiglio di gestione è effettuata dal consiglio di sorveglianza.

4. La nomina dell'esponente o del titolare non può essere perfezionata prima che siano trascorsi novanta giorni dal ricevimento del verbale da parte dell'IVASS. Nel caso in cui l'esito positivo della valutazione condotta sia comunicato prima della scadenza del termine dei novanta giorni, l'esponente o il titolare può essere nominato subito dopo la ricezione della comunicazione.

5. Se l'IVASS ravvede motivi ostativi alla nomina dell'esponente o del titolare ne dà comunicazione all'impresa entro il termine di novanta giorni, previsto dal comma 4. Nella comunicazione, l'IVASS può richiedere all'organo competente di individuare e adottare misure idonee a colmare eventuali carenze, ivi inclusa la sottoscrizione di specifici impegni da parte degli esponenti sottoposti a valutazione, ove non risultanti già dal verbale stesso.

6. L'impresa comunica all'IVASS l'avvenuta nomina entro cinque giorni. Entro sessanta giorni dalla comunicazione, l'IVASS può avviare un procedimento d'ufficio volto a pronunciare la decadenza ai sensi dell'art. 76, comma 2-bis del Codice quando l'esponente o il titolare della funzione fondamentale sia nominato nonostante l'IVASS abbia rappresentato motivi ostativi o quando le misure individuate o adottate dall'organo competente su richiesta dell'IVASS siano dalla stessa ritenute insufficienti o inadeguate per colmare le carenze. Il procedimento si conclude entro sessanta giorni.

7. Si applica l'art. 25-bis, commi da 3 a 9 per quanto riguarda la documentazione che l'esponente e il titolare della funzione fondamentale devono presentare all'organo competente, gli obblighi in capo a quest'ultimo di verifica della completezza, accuratezza e attendibilità della documentazione, le modalità di delibera e di redazione del relativo verbale.

8. La nomina può essere effettuata prima che l'organo competente abbia valutato l'idoneità dell'esponente o del titolare della funzione fondamentale in casi eccezionali di urgenza, tra i quali l'approvazione di delibere consiliari su operazioni non rinviabili per le quali sono richiesti quorum deliberativi rafforzati o qualificati, non conseguibili in assenza di uno o più esponenti, nonchè in caso di cessazione inattesa della carica di un titolare della funzione fondamentale in presenza dell'esigenza di provvedere celermente alla sostituzione in relazione a criticità connesse con l'esercizio della funzione stessa. Detti casi devono essere analiticamente valutati e motivati nel verbale della riunione dall'organo competente e, ove presenti, dal comitato nomine o, se non istituito, dai consiglieri indipendenti.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. La valutazione dell'idoneità dei sindaci supplenti è condotta al momento della nomina e in presenza di eventi sopravvenuti ai sensi dell'art. 25-sexies del presente regolamento; la valutazione non è ripetuta al momento dell'assunzione della carica di sindaco effettivo.

2. Entro trenta giorni dal subentro del sindaco supplente come sindaco effettivo, l'impresa comunica all'IVASS l'intervenuta adozione di eventuali misure previste al momento della nomina, ivi inclusa la rinuncia ad alcuni incarichi per assicurare il rispetto dei limiti eventualmente applicabili.

3. In deroga a quanto previsto dal comma 1, gli eventi sopravvenuti che ai sensi del regolamento requisiti esponenti sono idonei ad incidere sulla disponibilità di tempo o sul rispetto dei limiti al cumulo degli incarichi del sindaco supplente possono essere valutati al momento dell'eventuale subentro come sindaco effettivo.

4. Nei casi di cui al comma 3, il termine per la valutazione da parte dell'organo competente ai sensi dell'art. 25-sexies, comma 2 del presente regolamento decorre dalla data del subentro del sindaco supplente come sindaco effettivo.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. Fermo quanto previsto dagli articoli 16, 17 e 18 del regolamento requisiti esponenti, l'assunzione di un incarico aggiuntivo è consentita con le seguenti modalità:

a. se l'incarico aggiuntivo discende dalla nomina dell'esponente nell'impresa, la valutazione è svolta nell'ambito della relativa valutazione di idoneità;

b. se un esponente, già in carica presso l'impresa, intende assumere un incarico aggiuntivo, l'impresa trasmette all'IVASS copia del verbale della riunione dell'organo competente con cui è valutato il rispetto di quanto previsto dagli articoli 17 e 18 del regolamento requisiti esponenti. L'assunzione dell'incarico aggiuntivo non può avvenire prima che siano trascorsi sessanta giorni dal ricevimento del verbale da parte dell'IVASS, salvo che l'esito positivo della valutazione condotta sia stato comunicato prima della scadenza dei sessanta giorni; in questo caso, l'esponente può assumere l'incarico subito dopo la ricezione della comunicazione.

Se l'IVASS ravvede motivi ostativi all'assunzione dell'incarico aggiuntivo, ne dà comunicazione all'impresa di entro il suddetto termine di sessanta giorni.

2. Nell'ipotesi di cui al comma 1, lettera b), entro i cinque giorni successivi all'eventuale assunzione dell'incarico, l'organo competente ne dà comunicazione all'IVASS. Entro sessanta giorni da questa comunicazione, l'IVASS può avviare un procedimento d'ufficio volto a pronunciare la decadenza ai sensi dell'art. 76, comma 2-bis del Codice, quando l'esponente assume l'incarico nonostante persistano i motivi ostativi rappresentati dall'IVASS; il procedimento si conclude entro sessanta giorni.

3. Nell'ipotesi di cui al comma 1, lettera b), in casi eccezionali analiticamente valutati e motivati dall'organo competente e, ove presenti, dal comitato nomine o, se non istituito, dai consiglieri indipendenti, l'esponente può assumere l'incarico aggiuntivo prima che l'organo competente abbia svolto le proprie valutazioni.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. Se, dopo la nomina degli esponenti o dei titolari delle funzioni fondamentali, si verificano eventi sopravvenuti che, anche in relazione alle caratteristiche operative dell'impresa, incidono sulla situazione dell'esponente o titolare, sul ruolo da questi ricoperto nell'ambito dell'organizzazione aziendale o sulla composizione collettiva dell'organo, gli organi competenti effettuano una nuova valutazione dell'idoneità degli esponenti e dei titolari delle funzioni fondamentali interessati, nonchè dell'adeguatezza della propria composizione collettiva e del rispetto dei limiti al cumulo degli incarichi.

2. L'organo competente, entro trenta giorni dalla comunicazione dell'interessato o dal momento in cui è venuto a conoscenza di un evento sopravvenuto rilevante, effettua una nuova valutazione di idoneità limitatamente ai profili sui quali gli eventi sopravvenuti rilevanti incidono. Copia del verbale della riunione è trasmessa all'IVASS entro trenta giorni.

3. Entro centoventi giorni dal ricevimento del verbale, l'IVASS può richiedere all'organo competente di individuare misure idonee a colmare eventuali carenze, ai sensi dell'art. 76, commi 1-sexies e 2 del Codice o avviare, ove ne ricorrano i presupposti, un procedimento d'ufficio volto a pronunciare la decadenza ai sensi dell'art. 76, comma 2-bis del Codice; il procedimento si conclude entro sessanta giorni.

4. Ai sensi di quanto previsto dall'art. 23, comma 3, del regolamento requisiti esponenti, non è necessaria una nuova valutazione dell'idoneità in occasione dei rinnovi successivi alla prima nomina, ivi inclusa la nomina da parte dell'assemblea di un amministratore nominato per cooptazione ai sensi dell'art. 2386 del codice civile, fatto salvo quando ricorrono eventi sopravvenuti rilevanti.

5. Sono fatte salve le disposizioni contenute nella disciplina transitoria del regolamento requisiti esponenti.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. L'esponente che si viene a trovare in una delle situazioni indicate nell'art. 6, commi 1 e 2 del regolamento requisiti esponenti, ne dà comunicazione all'organo competente senza indugio.

2. L'organo competente dichiara la sospensione dell'esponente senza indugio dal momento in cui è stato informato dall'esponente stesso o dal momento in cui è venuto a conoscenza della situazione rilevante.

3. Della dichiarazione di sospensione è data informazione all'IVASS tempestivamente. L'IVASS viene altresì prontamente informato in merito alla decisione dell'organo competente di pronunciare la decadenza o reintegrare il soggetto sospeso.

(introdotto dall'art. 2, comma 5, del Provv. IVASS 5 marzo 2024, n. 142)

1. IVASS può avviare un procedimento d'ufficio, della durata di sessanta giorni, volto a pronunciare la decadenza in ogni caso di difetto di idoneità degli esponenti e di titolari delle funzioni fondamentali o di violazione dei limiti al cumulo degli incarichi.

1. Ai fini di cui all'art. 258, paragrafo 1, lettera b), degli atti delegati e dell'art. 30, comma 2, lettera e), del Codice, nell'ambito del sistema di governo societario sono istituite le funzioni fondamentali in modo proporzionato alla natura, alla portata e alla complessità dei rischi inerenti all'attività dell'impresa.

2. L'istituzione delle funzioni è formalizzata in una specifica delibera dell'organo amministrativo, che ne definisce le responsabilità, i compiti, le modalità operative, la natura e la frequenza della reportistica agli organi sociali e alle altre funzioni interessate, in coerenza con il documento di cui all'art. 5, comma 2, lettera i).

1. Ai fini di cui all'art. 268 degli atti delegati, la collocazione organizzativa delle funzioni fondamentali è lasciata all'autonomia dell'impresa, nel rispetto del principio di separatezza tra funzioni operative e fondamentali e al fine di garantirne l'indipendenza, l'autonomia e l'obiettività di giudizio.

2. In coerenza con il comma 1, le funzioni fondamentali:

a) sono costituite in forma di specifica unità organizzativa o per le sole funzioni di gestione dei rischi, di conformità alle norme ed attuariale, anche mediante il ricorso a risorse appartenenti ad altre unità aziendali, tenuto conto della ridotta natura, portata e complessità dei rischi inerenti all'attività dell'impresa. In tale ultimo caso, l'indipendenza va assicurata attraverso la presenza di adeguati presidi che garantiscano la separatezza di compiti e prevengano conflitti di interesse;

b) dispongono di risorse umane, in possesso di conoscenze specialistiche e di cui è curato l'aggiornamento professionale, tecnologiche e finanziarie adeguate per lo svolgimento dell'attività;

c) hanno libero accesso alle attività dell'impresa, alle strutture aziendali e a tutte le informazioni pertinenti, incluse le informazioni utili a verificare l'adeguatezza dei controlli svolti sulle funzioni esternalizzate;

d) anche quando non costituite in forma di specifica unità organizzativa riferiscono direttamente all'organo amministrativo a cui, mediante adeguate procedure di reporting, danno contezza dell'attività svolta, dei risultati delle verifiche effettuate e rivolgono eventuali raccomandazioni. Le funzioni collaborano tra loro, al fine del perseguimento dei compiti ad esse attribuiti.

(modificato dall'art. 2, comma 6, del Provv. IVASS 5 marzo 2024, n. 142)

1. Nel rispetto di quanto previsto dagli articoli 268 e 273 degli atti delegati e dall'art. 30 del Codice, il titolare di ciascuna funzione fondamentale è nominato e revocato dall'organo amministrativo e soddisfa, in coerenza con l'art. 76 del Codice e le relative disposizioni attuative, i requisiti di idoneità alla carica fissati dalla politica di cui all'art. 5, comma 2, lettera n) del presente regolamento. Il titolare non è posto a capo di aree operative, nè è gerarchicamente dipendente da soggetti responsabili di dette aree. Il titolare assiste, su richiesta del Presidente, alle riunioni dell'organo amministrativo e di controllo. La partecipazione può essere prevista anche in via stabile, in relazione alle materie trattate.

2. Fermo restando il rispetto del comma 1, la titolarità della funzione di conformità alle norme, gestione dei rischi e attuariale può essere attribuita ad un membro dell'organo amministrativo, se sono soddisfatte le seguente condizioni:

a) è appropriato alla natura, alla portata e complessità dei rischi inerenti all'attività dell'impresa;

b) non dà luogo a conflitti di interesse;

c) il soggetto incaricato è privo di deleghe ed è in possesso dei requisiti e in ottemperanza ai criteri di idoneità previsti dall'art. 19 del regolamento requisiti esponenti, che lo rendano idoneo a ricoprire la carica e l'attribuzione della titolarità della funzione è in linea con l'allocazione dei compiti, delle responsabilità e competenze tra i membri dell'organo amministrativo;

d) la composizione complessiva dell'organo amministrativo assicura un rapporto dialettico al suo interno con riguardo alle valutazioni concernenti la funzione attribuita ad uno degli amministratori.

1. Il titolare di ciascuna funzione fondamentale presenta annualmente all'organo amministrativo un piano di attività in cui sono indicati gli interventi che intende eseguire, tenuto conto dei principali rischi cui l'impresa è esposta e delle attività da sottoporre prioritariamente a verifica.

2. Il piano di attività, approvato dall'organo amministrativo:

a) è basato su un'analisi metodica dei rischi che tenga conto di tutte le attività e dell'intero sistema di governo societario, nonchè degli sviluppi attesi delle attività e delle innovazioni;

b) comprende tutte le attività significative che sono riviste entro un periodo di tempo ragionevole;

c) è definito in modo da fronteggiare le esigenze impreviste;

d) tiene conto delle carenze eventualmente riscontrate nelle verifiche precedenti e di eventuali nuovi rischi identificati.

3. Le variazioni significative al piano di attività, già approvato ai sensi del comma 2, sono soggette all'approvazione dell'organo amministrativo.

4. Qualora necessario, il titolare di ciascuna funzione fondamentale predispone verifiche non previste nel piano di attività.

1. Il titolare di ciascuna funzione fondamentale presenta, almeno una volta l'anno o comunque quando ritenuto necessario, una relazione all'organo amministrativo che riepiloghi, in coerenza con il piano di attività di cui all'art. 29, l'attività svolta e le verifiche compiute, le valutazioni effettuate, i risultati emersi, le criticità e le carenze rilevate e le raccomandazioni formulate per la loro rimozione, nonchè lo stato e i tempi di implementazione degli interventi migliorativi, qualora realizzati.

1. Ai fini degli articoli 258, paragrafo 1, lettera a) e 268, paragrafo 1, degli atti delegati, la società di revisione, le funzioni fondamentali, l'organismo di vigilanza di cui al decreto legislativo 8 giugno 2001, n. 231, e ogni altro organo o funzione cui è attribuita una specifica funzione di controllo collaborano tra di loro per l'espletamento dei rispettivi compiti. Tali organi e funzioni assicurano adeguata collaborazione, anche informativa, nei confronti dell'organo di controllo, per l'assolvimento dei compiti ad esso assegnati.

2. L'organo amministrativo definisce e formalizza i collegamenti tra le varie funzioni cui sono attribuiti compiti di controllo.

(integrato dall'art. 2, comma 5, del Provv. IVASS 10 maggio 2023)

1. In coerenza con quanto previsto dall'art. 30-bis, comma 10, del Codice, l'impresa istituisce una funzione di gestione dei rischi, che ai fini dell'art. 269 degli atti delegati:

a) concorre alla definizione della politica di gestione del rischio e, in particolare, alla scelta dei criteri e delle relative metodologie di misurazione dei rischi compresi, ove pertinente, i rischi di sostenibilità;

b) concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi;

c) valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l'immediata rilevazione delle anomalie riscontrate nell'operatività;

d) con riferimento alle disposizioni emanate in attuazione degli articoli 30-ter e 215-ter del Codice in materia di valutazione interna del rischio e della solvibilità, almeno:

i) concorre alla definizione della politica di valutazione dei rischi e della solvibilità;

ii) contribuisce alla scelta delle metodologie, criteri e ipotesi utilizzate per le valutazioni;

iii) segnala, se non già inclusi nella relazione sulla valutazione interna del rischio e della solvibilità, all'organo amministrativo i rischi individuati come significativi ai sensi dell'art. 2, comma 1, lettera o), anche in termini potenziali e riferisce, altresì, in merito ad ulteriori specifiche aree di rischio, d'iniziativa o su richiesta dell'organo stesso;

e) predispone la reportistica nei confronti dell'organo amministrativo, dell'alta direzione e dei responsabili delle strutture operative circa l'evoluzione dei rischi e la violazione dei limiti operativi fissati;

f) verifica la coerenza dei modelli di misurazione dei rischi con l'operatività dell'impresa e concorre all'effettuazione delle analisi di scenario o di stress test operati anche nell'ambito della valutazione interna del rischio o della solvibilità o su richiesta dell'IVASS ai sensi dell'art. 19, comma 7;

g) nel caso di utilizzo di modelli interni completi o parziali, ai fini dell'art. 30-bis, comma 14 del Codice, verifica che il modello interno utilizzato sia e rimanga coerente con il profilo di rischio dell'impresa; a tal fine scambia informazioni e collabora con gli utilizzatori del modello interno, con le altre funzioni fondamentali ed in particolare con la funzione attuariale ai fini di cui all'art. 269, paragrafo 2, lettera c) degli atti delegati;

h) ai sensi dell'art. 269, paragrafo 1, lettere b) e c), degli atti delegati, monitora l'attuazione della politica di gestione del rischio e il profilo generale di rischio dell'impresa nel suo complesso;

i) collabora alla definizione dei meccanismi di incentivazione economica del personale.

2. Il titolare della funzione di gestione del rischio presenta all'organo amministrativo il piano di attività, secondo quanto previsto dall'art. 29.

3. Come parte del monitoraggio del sistema di gestione dei rischi di cui all'art. 269, paragrafo 1, lettera b) degli atti delegati, nella relazione dell'attività all'organo amministrativo di cui all'art. 30 del presente regolamento il titolare della funzione di gestione dei rischi riferisce, tra l'altro, sull'adeguatezza ed efficacia del sistema di gestione dei rischi, sulle metodologie e modelli utilizzati, in particolare nell'ambito della valutazione interna del rischio e della solvibilità, per il presidio dei rischi stessi. La funzione cura l'attuazione del sistema di gestione dei rischi, sulla base di una visione organica di tutti i rischi cui l'impresa è esposta, incluso il rischio di riservazione, atta a consentire l'individuazione tempestiva di modifiche al profilo di rischio.

4. Al fine di cui al comma 3, nell'ambito di un efficace sistema di gestione dei rischi l'impresa identifica la soluzione più idonea per assicurare un'adeguata cooperazione ed assistenza alla funzione di gestione del rischio da parte della funzione attuariale.

(integrato dall'art. 3, comma 1, del Provv. IVASS 4 agosto 2020, n. 97, a decorrere dal 31 marzo 2021)

1. Nell'ambito del sistema di controllo interno, ai fini dell'art. 270 degli atti delegati e dell'art. 30-quater del Codice, l'impresa si dota di specifici presidi, ad ogni livello aziendale pertinente, e di una funzione di verifica della conformità alle norme, nel rispetto di quanto previsto dagli articoli da 26 a 31 del presente regolamento.

2. Nell'identificazione e valutazione del rischio di non conformità alle norme, l'impresa pone, tra gli altri, attenzione al rispetto delle norme relative al processo di governo e controllo dei prodotti assicurativi, alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all'informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con specifico riferimento alla gestione dei sinistri e, più in generale, alla tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative.

1. La funzione di verifica della conformità alle norme valuta che l'organizzazione e le procedure interne dell'impresa siano adeguate al raggiungimento degli obiettivi di cui all'art. 33. A tal fine, la funzione:

a) identifica in via continuativa le norme applicabili all'impresa, valuta il loro impatto sui processi e le procedure aziendali, prestando attività di supporto e consulenza agli organi sociali e alle altre funzioni aziendali sulle materie per cui assume rilievo il rischio di non conformità, con particolare riferimento alla progettazione dei prodotti;

b) valuta l'adeguatezza e l'efficacia delle misure organizzative adottate per la prevenzione del rischio di non conformità alle norme e propone le modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio del rischio;

c) valuta l'efficacia degli adeguamenti organizzativi conseguenti alle modifiche suggerite;

d) predispone adeguati flussi informativi diretti agli organi sociali dell'impresa e alle altre strutture coinvolte.

1. Fermo quanto previsto dagli articoli da 26 a 31 e ai fini di cui all'art. 271 degli atti delegati e all'art. 30-quinquies del Codice, l'impresa istituisce una funzione di revisione interna, incaricata di valutare e monitorare l'efficacia, l'efficienza e l'adeguatezza del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario e le eventuali necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali.

2. Fermo restando il rispetto di quanto previsto dall'art. 31, comma 1, l'impresa assicura l'indipendenza della funzione di revisione interna dalle altre funzioni, incluse quelle fondamentali.

3. L'impresa può consentire, in via eccezionale e residuale, a coloro che svolgono la funzione di revisione interna di svolgere ulteriori funzioni fondamentali, laddove ricorrano le condizioni di cui all'art. 271, paragrafo 2, degli atti delegati, dimostrando che è in ogni caso in grado di evitare l'insorgenza di conflitti di interessi e di garantire l'obiettività e l'indipendenza della funzione di revisione interna. In tale ipotesi l'impresa comunica prontamente all'IVASS l'adozione della soluzione organizzativa e fornisce dimostrazione della sussistenza dei presupposti richiesti dalla normativa per l'assunzione della relativa determinazione, nonchè di quanto richiesto dal presente comma.

1. La funzione di revisione interna uniforma la propria attività agli standard professionali comunemente accettati a livello nazionale ed internazionale e verifica:

a) la correttezza dei processi gestionali e l'efficacia e l'efficienza delle procedure organizzative;

b) la regolarità e la funzionalità dei flussi informativi tra settori aziendali;

c) l'adeguatezza dei sistemi informativi e la loro affidabilità affinchè non sia inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le proprie decisioni;

d) la rispondenza dei processi amministrativo contabili a criteri di correttezza e di regolare tenuta della contabilità;

e) l'efficacia dei controlli svolti sulle attività esternalizzate.

2. Durante l'esecuzione dell'attività di revisione e in sede di valutazione e segnalazione delle relative risultanze, la funzione di revisione interna:

a) svolge i compiti ad essa assegnati con autonomia ed obiettività di giudizio, in modo da preservare la propria indipendenza e imparzialità, in coerenza con le direttive a tal fine definite dall'organo amministrativo;

b) instaura collegamenti organici con tutti i centri titolari di funzioni di controllo interno.

3. A seguito dell'analisi sull'attività oggetto di controllo, il titolare della funzione di revisione interna procede, secondo le modalità e la periodicità fissata dall'organo amministrativo, a comunicare all'organo amministrativo, all'alta direzione ed all'organo di controllo, la valutazione delle risultanze e le eventuali disfunzioni e criticità; resta fermo l'obbligo di segnalare con urgenza all'organo amministrativo e a quello di controllo le situazioni di particolare gravità.

4. L'attività di revisione, con specifica evidenza degli interventi effettuati, è adeguatamente documentata, raccolta ed archiviata. I rapporti di revisione sono obiettivi, chiari, concisi e tempestivi, contengono suggerimenti per eliminare le carenze riscontrate, riportando raccomandazioni in ordine ai tempi per la loro rimozione. I rapporti sono conservati presso la sede della società o mediante modalità alternative di assolvimento dell'obbligo di conservazione documentale coerenti con quanto previsto da ulteriori disposizioni attuative emanate dall'IVASS, e sono redatti in modo tale da consentire di effettuare una valutazione in merito all'efficacia dell'attività svolta dalla funzione stessa ed anche di riconsiderare le revisioni effettuate e le risultanze prodotte. Le risultanze della specifica area oggetto di controllo sono altresì comunicate al responsabile della funzione interessata dall'attività di revisione.

5. In coerenza con quanto previsto dagli articoli 27 e 35, comma 3 del presente regolamento e dall'art. 271 degli atti delegati con riguardo all'adozione di adeguate misure al fine di attenuare il rischio di conflitti di interesse, a coloro che svolgono la funzione di revisione interna non sono affidate responsabilità operative o incarichi di verifica di attività per le quali abbiano avuto in precedenza autorità o responsabilità se non sia trascorso un ragionevole periodo di tempo.

6. La revisione interna si conclude con l'attività di follow-up, consistente nella verifica a distanza di tempo dell'efficacia delle correzioni apportate al sistema.

1. Ai fini della nomina e della revoca del titolare della funzione di revisione interna di cui all'art. 26, comma 2, fermo quanto previsto dall'art. 28, viene sentito l'organo di controllo e, ove presente, anche il Comitato per il controllo interno e i rischi. Il titolare della funzione è dotato dell'autorità necessaria a garantire l'indipendenza della stessa.

2. Nel rispetto di quanto previsto dall'art. 29, il piano di attività presentato dal titolare della funzione di revisione interna individua almeno:

a) le attività di verifica del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario ed in particolare del flusso informativo e del sistema informatico;

b) le attività a rischio, le operazioni e i sistemi da verificare, descrivendo i criteri sulla base dei quali sono stati selezionati e specificando le risorse necessarie all'esecuzione del piano. Analogo procedimento è seguito in caso di variazioni significative ai piani approvati, che comunque sono definiti in modo da fronteggiare le esigenze impreviste.

3. Ai fini dell'art. 271, paragrafo 3 lettera d), degli atti delegati e dell'art. 30 del presente regolamento, nella relazione riepilogativa sono inclusi anche gli interventi di follow-up con indicazione degli esiti delle verifiche ivi comprese quelle di cui all'art. 29, comma 4 del presente regolamento, nonchè dei soggetti e/o funzioni designati per la rimozione, del tipo, dell'efficacia e della tempistica dell'intervento da essi effettuato per rimuovere le criticità inizialmente rilevate.

(integrato dall'art. 2, comma 6, del Provv. IVASS 10 maggio 2023)

1. Nel rispetto di quanto previsto dagli articoli 272 degli atti delegati, 30-sexies del Codice, dalle disposizioni di attuazione adottate dall'IVASS ed in particolare con riguardo alle disposizioni in materia di riserve tecniche di cui all'art. 36-bis del Codice, la funzione attuariale:

a) in attuazione dell'art. 30-sexies, comma 1, lettera a), del Codice, coordina il calcolo delle riserve tecniche. A tal fine:

i) monitora le procedure e le modalità di calcolo delle riserve tecniche e identifica qualsiasi difformità rispetto ai requisiti previsti dal Titolo III, Capo II, del Codice per il calcolo delle riserve tecniche, proponendo eventuali azioni correttive ove appropriato; e

ii) fornisce spiegazioni in merito ad ogni effetto significativo sull'ammontare delle riserve tecniche derivante da modifiche nei dati, nelle metodologie o nelle ipotesi utilizzate, intervenuto tra due diverse date di riferimento;

b) in attuazione dell'art. 30-sexies, comma 1, lettera b), del Codice fornisce su richiesta informazioni sull'adeguatezza delle metodologie, dei modelli sottostanti e delle ipotesi su cui si basa il calcolo delle riserve tecniche;

c) in attuazione dell'art. 30-sexies, comma 1, lettera c), del Codice, effettua la valutazione della qualità dei dati utilizzati per il calcolo delle riserve tecniche, in particolare con riguardo alla coerenza dei dati interni ed esterni utilizzati per il calcolo delle riserve tecniche con gli standard di qualità dei dati previsti dal Codice e dalle disposizioni di attuazione dell'IVASS e formulando, laddove opportuno, raccomandazioni sulle procedure interne per migliorare la qualità dei dati, al fine di assicurare che l'impresa sia in grado di soddisfare gli adempimenti previsti dal quadro regolamentare; ogni valutazione operata dalla funzione viene riferita direttamente all'organo amministrativo, ivi incluse quelle inerenti la verifica dell'accuratezza e completezza dei dati che incidono sulla valutazione più generale di attendibilità e adeguatezza delle riserve tecniche;

d) nell'ambito delle verifiche di cui all'art. 272, paragrafo 4, degli atti delegati e all'art. 30-sexies, comma 1, lettera d) del Codice, riporta all'organo amministrativo ogni scostamento significativo tra l'esperienza reale e la migliore stima, individuandone le cause e, se del caso, proponendo modifiche delle ipotesi e del modello di valutazione, al fine di migliorare il calcolo della migliore stima.

2. Con riguardo al parere sulla politica di sottoscrizione globale e sull'adeguatezza degli accordi di riassicurazione di cui all'art. 272, paragrafi 6 e 7 degli atti delegati, e all'art. 30-sexies, comma 1, lettere g) e h), del Codice, considera le interrelazioni tra questi e le riserve tecniche.

3. Fermo restando quanto previsto dall'art. 272, paragrafo 6, degli atti delegati, il parere della funzione attuariale sulla politica di sottoscrizione globale include, ove rilevante:

a) la coerenza della determinazione del prezzo dei prodotti con la politica di sottoscrizione per l'assunzione dei rischi;

b) l'opinione sui principali fattori di rischio che influenzeranno la redditività degli affari che saranno sottoscritti nel successivo esercizio, ivi compreso il potenziale impatto di fattori esterni quali inflazione, rischio legale, i rischi di sostenibilità, variazioni nel volume degli affari e nelle condizioni del mercato;

c) l'opinione sul possibile impatto finanziario di ogni programmata variazione rilevante dei termini e delle condizioni dei contratti;

d) il grado di variabilità della stima della redditività attesa dell'impresa e la relativa coerenza con la propensione al rischio dell'impresa.

4. Fermo restando quanto previsto dall'art. 272, paragrafo 7, degli atti delegati, il parere della funzione attuariale sull'adeguatezza degli accordi di riassicurazione include, ove rilevante:

a) la coerenza degli accordi di riassicurazione stipulati dall'impresa con la sua propensione al rischio;

b) l'effetto della riassicurazione sulla stima delle riserve tecniche al netto degli importi recuperabili dalla riassicurazione;

c) l'indicazione dell'efficacia degli accordi di riassicurazione stipulati dall'impresa nell'azione di mitigazione della volatilità dei fondi propri.

5. Il parere di cui al comma 4 include una valutazione dell'efficacia della copertura riassicurativa in presenza di alcuni scenari di stress, che comprendono, tra l'altro, l'esposizione del portafoglio dei contratti dell'impresa ai rischi catastrofali, l'aggregazione dei rischi, i default dei riassicuratori ed il potenziale esaurimento della riassicurazione. I pareri di cui ai commi 3 e 4 includono la descrizione, l'esame di altre possibili opzioni e se, del caso, proposte di modifica.

6. Nell'ambito dei compiti di cui all'art. 30-sexies, comma 1, lettera i) del Codice in materia di modelli interni, la funzione attuariale fornisce il proprio contributo, fondato su specifiche analisi tecniche che riflettono la propria esperienza e competenza, in merito:

a) alla individuazione dei rischi coperti dal modello interno;

b) alla determinazione delle correlazioni tra i rischi coperti dal modello interno e tra questi ed altri rischi.

7. L'impresa, qualora siano assegnati alla funzione attuariale compiti o attività aggiuntive, anche di coordinamento e di raccordo, rispetto a quelle di cui al comma 1, adotta adeguate misure e procedure idonee ad evitare possibili conflitti di interesse.

8. L'impresa assicura in ogni caso che i processi di calcolo e validazione delle riserve tecniche sono eseguiti in modo indipendente.

9. Nell'ambito dell'assegnazione di compiti aggiuntivi ai sensi del comma 7, la funzione attuariale verifica la coerenza tra gli importi delle riserve tecniche calcolati sulla base dei criteri di valutazione applicabili al bilancio civilistico e i calcoli risultanti dall'applicazione dei criteri Solvency II, nonchè sulla conseguente rappresentazione e motivazione delle differenze emerse. Tale verifica di coerenza è richiesta anche tra le base-dati e il processo di data quality adottati, rispettivamente, per le finalità prudenziali e civilistiche.

1. Il presente Capo si applica alle imprese di cui all'art. 3, comma 1, lettere a) e c) e, nei limiti della compatibilità con la loro organizzazione, alle sedi secondarie di cui alla lettera b).

(integrato dall'art. 2, comma 7, del Provv. IVASS 10 maggio 2023)

1. Ai fini dell'art. 258, paragrafo 1, lettera l), degli atti delegati e in linea con quanto previsto dall'art. 275 degli atti delegati, le imprese adottano politiche di remunerazione in forma scritta coerenti con la sana e prudente gestione e in linea con gli obiettivi strategici, la redditività e l'equilibrio dell'impresa nel lungo termine.

1-bis. Ai fini dell'art. 5 del regolamento (UE) 2019/2088 e dell'art. 275, paragrafo 4, degli atti delegati, le politiche di remunerazione contengono informazioni sul modo in cui tengono conto dell'integrazione dei rischi di sostenibilità nel sistema di gestione dei rischi.

2. Le imprese evitano politiche di remunerazione basate in modo esclusivo o prevalente sui risultati di breve termine, tali da incentivare una eccessiva esposizione al rischio o una assunzione dei rischi che ecceda i limiti di tolleranza al rischio fissati dall'organo amministrativo, ai sensi dell'art. 5, comma 2, lettera e).

3. Le imprese nelle politiche di cui al comma 1 assicurano, almeno, che:

a) le remunerazioni concesse non pregiudicano la capacità dell'impresa di mantenere una base patrimoniale adeguata;

b) gli accordi di remunerazione con i fornitori di servizi non incoraggiano un'eccessiva assunzione di rischi, in considerazione della strategia di gestione del rischio dell'impresa;

c) i sistemi di remunerazione siano idonei a garantire il rispetto delle disposizioni di legge, regolamentari e statutarie nonchè di eventuali codici etici, promuovendo l'adozione di comportamenti ad essi conformi;

d) siano note al personale le conseguenze di eventuali violazioni normative o di codici etici;

e) la remunerazione, nelle sue componenti fissa e variabile, riflette l'esperienza professionale e le responsabilità organizzative assegnate, in linea con quanto descritto dal documento di cui all'art. 5, comma 2, lettera i) punto i), ed è coerente con la natura, portata e complessità dei rischi inerenti all'attività dell'impresa;

f) la remunerazione degli amministratori privi di deleghe esecutive non include, di norma, componenti variabili. Nei casi eccezionali in cui tali componenti sono previste, esse sono adeguatamente motivate e rappresentano comunque una parte non significativa della remunerazione.

1. Lo statuto delle imprese prevede che l'assemblea ordinaria, oltre a stabilire i compensi spettanti ai componenti degli organi dalla stessa nominati, approvi le politiche di remunerazione a favore degli organi sociali e del personale rilevante, come identificato dall'impresa ai sensi dell'art. 2, comma 1, lettera m), inclusi i piani di remunerazione basati su strumenti finanziari.

1. Ai fini dell'art. 275, paragrafo 1, lettere d) ed e), degli atti delegati, il Consiglio di amministrazione definisce e rivede periodicamente le politiche di remunerazione ai fini dell'approvazione dell'assemblea ordinaria prevista dall'art. 41 del presente regolamento ed è responsabile della loro corretta applicazione.

2. Il Consiglio di amministrazione assicura il coinvolgimento delle funzioni fondamentali, nonchè della funzione risorse umane nella definizione delle politiche di remunerazione.

3. I processi decisionali relativi alle politiche di remunerazione sono chiari, documentati e trasparenti e includono misure atte ad evitare conflitti di interesse.

1. Le imprese, ove appropriato in relazione alla natura, portata e complessità dell'attività dell'impresa e dei rischi inerenti, costituiscono all'interno del Consiglio di amministrazione, ai sensi dell'art. 275, paragrafo 1, lettera f), degli atti delegati, il Comitato remunerazioni, composto da amministratori non esecutivi, in maggioranza indipendenti [ai sensi dell'art. 2387 del codice civile.] (inciso eliminate) (1)

2. Il Consiglio di amministrazione definisce la composizione, i compiti e le modalità di funzionamento del Comitato remunerazioni. L'istituzione del comitato non solleva il Consiglio di amministrazione dalle proprie responsabilità in materia.

3. Il Comitato remunerazioni, tra l'altro:

a) svolge funzioni di consulenza e di proposta nell'ambito della definizione delle politiche di remunerazione e formula proposte in materia di compensi di ciascuno degli amministratori investiti di particolari cariche;

b) verifica la congruità del complessivo schema retributivo, nonchè la proporzionalità delle remunerazioni dell'amministratore esecutivo rispetto al personale rilevante dell'impresa;

c) sottopone periodicamente a verifica le politiche di remunerazione al fine di garantirne l'adeguatezza anche in caso di modifiche all'operatività dell'impresa o del contesto di mercato in cui la stessa opera;

d) individua i potenziali conflitti di interesse e le misure adottate per gestirli;

e) accerta il verificarsi delle condizioni per il pagamento degli incentivi del personale rilevante;

f) fornisce adeguata informativa al Consiglio di amministrazione sull'efficace funzionamento delle politiche di remunerazione.

4. Se non è istituito un Comitato remunerazioni, il Consiglio di amministrazione svolge i compiti che gli sarebbero stati assegnati, avendo cura di prevenire conflitti di interesse.

5. I membri del Consiglio di amministrazione incaricati della formulazione di proposte per la definizione delle politiche di remunerazione, nonchè i membri del Comitato remunerazioni dispongono delle necessarie competenze ed agiscono con indipendenza di giudizio al fine di formulare valutazioni sulla adeguatezza delle politiche e sulle loro implicazioni sulla assunzione e gestione dei rischi ed hanno libero accesso alle informazioni e ai dati rilevanti per l'espletamento delle funzioni ad essi attribuite.

1. Qualora il Consiglio di amministrazione si avvalga del supporto di consulenti esterni per la determinazione delle politiche di remunerazione dell'impresa, esso verifica preventivamente, con l'ausilio del Comitato remunerazioni, ove presente, che tali soggetti non si trovino in situazioni che ne compromettano l'indipendenza di giudizio.

1. Limitatamente alla materia delle remunerazioni, per le imprese che hanno adottato il sistema di amministrazione di cui all'art. 2409-octies del codice civile, le disposizioni relative alle funzioni del Consiglio di amministrazione sono da intendersi riferite al consiglio di sorveglianza.

1. Se la politica di remunerazione degli amministratori con deleghe esecutive prevede il riconoscimento di una componente variabile, è assicurato un corretto bilanciamento tra la componente fissa e quella variabile e sono previsti limiti massimi per la componente variabile, in coerenza con quanto previsto dall'art. 275, paragrafo 2, lettera a), degli atti delegati.

2. La ripartizione tra le due componenti è tale da consentire all'impresa di perseguire una politica flessibile in materia di riconoscimento di componenti variabili, con particolare riferimento all'esercizio delle facoltà di cui all'art. 48, comma 2.

1. Ai fini di cui all'art. 275, paragrafo 2, lettera b), degli atti delegati, il riconoscimento della componente variabile è subordinato al raggiungimento di risultati predeterminati, oggettivi e agevolmente misurabili.

2. Anche ai fini di cui all'art. 275, paragrafo 2, lettere a), b), d) ed e) degli atti delegati, la politica di remunerazione, nella fissazione dei risultati da raggiungere:

a) prevede l'adozione di indicatori di performance che tengano conto dei rischi attuali e prospettici connessi ai risultati prefissati e dei correlati oneri in termini di costo del capitale impiegato e di liquidità necessaria;

b) tiene conto, ove appropriato, anche di criteri non finanziari che contribuiscono alla creazione di valore per l'impresa, quali la conformità alla normativa esterna ed interna e l'efficienza della gestione del servizio alla clientela;

c) assicura che l'importo complessivo della componente variabile sia basato su una adeguata combinazione dei risultati ottenuti dal singolo, dall'unità produttiva di appartenenza e dei risultati complessivi dell'impresa o del gruppo di appartenenza.

3. La misurazione dei risultati è effettuata su un adeguato arco temporale preferibilmente pluriennale.

1. La politica di remunerazione prevede che una parte significativa della componente variabile, indipendentemente dall'orizzonte temporale dei risultati a cui è subordinata sia erogata solo al termine di un periodo di differimento minimo in conformità all'art. 275, paragrafo 2, lettera c), degli atti delegati e tenendo conto dei rischi associati ai risultati secondo quanto disposto dall'art. 47, comma 2, lettera a) del presente regolamento.

2. Fermo restando quanto previsto dall'art. 46, comma 2 ed in coerenza con l'art. 275, paragrafo 2, degli atti delegati, se la politica di remunerazione degli amministratori prevede il riconoscimento di una componente variabile, l'impresa adotta opportune disposizioni contrattuali che le consentono di:

a) non erogare in tutto o in parte tali compensi se i risultati prefissati non sono stati raggiunti ovvero se si è verificato un significativo deterioramento della situazione patrimoniale o finanziaria dell'impresa;

b) chiedere la restituzione, in tutto o in parte, dei compensi erogati sulla base di risultati che si sono rivelati non duraturi o effettivi a causa di condotte dolose o gravemente colpose o in caso di violazioni di codici etici applicabili all'impresa, nei casi da questa stabiliti.

1. In coerenza con gli articoli 46, 47 e 48, le forme di retribuzione incentivanti basate su strumenti finanziari, sono parametrate al rischio assunto dall'impresa e strutturate in modo da evitare il prodursi di incentivi in conflitto con la sana e prudente gestione della società in un'ottica di lungo termine.

2. In coerenza con quanto previsto dall'art. 275, paragrafo 2, lettera c), degli atti delegati, i piani di remunerazione basati su azioni e altri strumenti finanziari prevedono adeguati periodi temporali per l'assegnazione delle azioni o di tali strumenti, per l'esercizio delle opzioni e per il mantenimento degli stessi, in modo che il conseguimento dei relativi vantaggi economici si compia in modo graduale nel tempo.

1. L'impresa prevede che le somme accordate in caso di anticipata cessazione dell'incarico, ivi inclusi benefici discrezionali di natura pensionistica o integrativa previdenziale, nonchè eventuali compensi corrisposti in base a patti di non concorrenza o quale indennità di mancato preavviso per l'eccedenza rispetto a quanto previsto dalla legge, sono soggette a stringenti limiti quantitativi; il pagamento è differito ai sensi dell'art. 48, e sono determinati i casi in cui tali somme non devono essere corrisposte, nel rispetto di quanto previsto dall'art. 275, paragrafo 2, lettera f), degli atti delegati.

1. Ai componenti del collegio sindacale, del consiglio di sorveglianza e comitato per il controllo sulla gestione non sono riconosciuti compensi collegati ai risultati o basati su strumenti finanziari.

1. Le disposizioni della presente Sezione si applicano nel rispetto della vigente disciplina che regola i rapporti di lavoro.

1. Ai fini dell'art. 275, paragrafo 1, lettera g), degli atti delegati, i criteri generali della politica di remunerazione del personale rilevante sono accessibili a tutto il personale a cui si applicano, nel rispetto del diritto di riservatezza di ciascun soggetto. Il personale interessato è informato in anticipo dei criteri utilizzati per determinarne la remunerazione e la valutazione dei risultati cui è collegata la componente variabile.

2. Ai fini di cui al comma 1, la politica di remunerazione e il processo di valutazione sono adeguatamente documentati e resi trasparenti a ciascun soggetto interessato.

1. Alla struttura della remunerazione del personale rilevante, ove comprenda componenti variabili, si applicano le disposizioni di cui agli articoli 46, 47, 48 e 49.

1. La remunerazione dei titolari e del personale di livello più elevato delle funzioni fondamentali è fissata in misura adeguata rispetto al livello di responsabilità e all'impegno connessi al ruolo.

2. Nel rispetto di quanto stabilito dall'art. 275, paragrafo 2, lettera h), degli atti delegati, per i soggetti di cui al comma 1 sono evitate, salvo valide e comprovate ragioni, remunerazioni variabili o basate su strumenti finanziari. Tali eventuali remunerazioni sono coerenti con i compiti assegnati, indipendenti dai risultati conseguiti dalle unità operative soggette al loro controllo e legate al raggiungimento di obiettivi connessi all'efficacia e alla qualità dell'azione di controllo, a condizione che non siano fonte di conflitti di interesse.

(integrato dall'art. 2, comma 8, del Provv. IVASS 10 maggio 2023)

1. Nella definizione delle politiche di remunerazione degli intermediari assicurativi e riassicurativi, le imprese hanno cura di assicurare che i compensi e gli incentivi siano coerenti con i principi della sana e prudente gestione e con l'integrazione dei rischi di sostenibilità nel sistema di gestione dei rischi e in linea con gli obiettivi strategici, la redditività e l'equilibrio dell'impresa nel lungo termine e che, in ogni caso, non incentivino condotte contrarie all'obbligo di comportarsi secondo correttezza nei confronti degli assicurati.

2. L'impresa, ai fini di cui al comma 1, evita politiche di remunerazione basate in modo esclusivo o prevalente su risultati di breve termine, tali da incentivare una eccessiva esposizione al rischio.

(integrato dall'art. 2, comma 9, del Provv. IVASS 10 maggio 2023)

1. In caso di esternalizzazione di attività o funzioni essenziali o importanti o di funzioni fondamentali, l'impresa adotta politiche di remunerazione coerenti con la sana e prudente gestione e con l'integrazione dei rischi di sostenibilità nel sistema di gestione dei rischi e in linea con gli obiettivi strategici, la redditività e l'equilibrio dell'impresa.

2. L'impresa, ai fini di cui al comma 1, evita politiche di remunerazione basate in modo esclusivo o prevalente sui risultati di breve termine, tali da incentivare una eccessiva esposizione al rischio.

1. L'attuazione delle politiche di remunerazione adottate dall'impresa è soggetta, con cadenza almeno annuale, ad una verifica da parte delle funzioni fondamentali che collaborano ciascuna secondo le rispettive competenze. A tal fine, tra l'altro:

a) la funzione di revisione interna verifica la corretta applicazione delle politiche di remunerazione sulla base degli indirizzi definiti dal Consiglio di amministrazione in ottica di efficienza e salvaguardia del patrimonio dell'impresa;

b) la funzione di verifica della conformità accerta che le politiche di remunerazione siano coerenti con gli obiettivi di rispetto delle norme del presente Capo, dello statuto nonchè di eventuali codici etici o altri standard di condotta applicabili all'impresa, in modo da prevenire e contenere i rischi legali e reputazionali;

c) la funzione di gestione dei rischi contribuisce, tra l'altro, ad assicurare la coerenza delle politiche di remunerazione con la propensione al rischio, come definita ai sensi dell'art. 5, comma 2, lettera e), anche attraverso la definizione degli indicatori di rischio di cui agli articoli 47 e 48, comma 2, e la verifica del relativo corretto utilizzo.

2. Le funzioni di cui al comma 1 riferiscono sui risultati delle verifiche compiute agli organi competenti all'adozione di eventuali misure correttive, che ne valutano la rilevanza ai fini di una pronta informativa all'IVASS. Gli esiti delle verifiche condotte sono portati annualmente a conoscenza dell'assemblea nell'ambito dell'informativa di cui all'art. 59, comma 2.

1. Al fine dell'approvazione delle politiche di remunerazione di cui all'art. 41, il Consiglio di amministrazione fornisce all'assemblea, distintamente per gli organi sociali e per il personale rilevante ed in maniera disaggregata per ruoli e funzioni:

a) una illustrazione delle linee generali, delle motivazioni e delle finalità che l'impresa intende perseguire attraverso la politica retributiva;

b) le informazioni relative al processo decisionale utilizzato per definire la politica retributiva, comprese quelle sui soggetti coinvolti;

c) i criteri utilizzati per definire l'equilibrio tra componente fissa e variabile ed i parametri, le motivazioni e i relativi periodi di differimento per il riconoscimento delle componenti variabili, nonchè la politica in materia di trattamento di fine incarico; la descrizione delle circostanze in presenza delle quali l'impresa ricorre ai meccanismi di cui agli articoli 48, comma 2, lettere a) e b);

d) una descrizione delle principali caratteristiche della previdenza complementare o dei piani di prepensionamento per coloro che svolgono funzioni di amministrazione, direzione e controllo e per i titolari delle funzioni fondamentali;

e) le informazioni sulle modifiche apportate rispetto alle politiche già approvate.

2. Il Consiglio di amministrazione rende annualmente all'assemblea un'adeguata informativa sull'applicazione delle politiche di remunerazione, corredata da informazioni quantitative sui compensi corrisposti nell'esercizio di riferimento ai singoli membri dell'organo amministrativo e di controllo e al direttore generale o ad altro membro dell'alta direzione che eserciti funzioni equivalenti, come individuati dalle previsioni di cui al regolamento ministeriale di attuazione dell'art. 76 del Codice. E' in tale sede fornita altresì un'adeguata rappresentazione di ciascuna delle voci, fissa e variabile, che compongono la remunerazione, compresi i trattamenti previsti in caso di cessazione anticipata dalla carica o di risoluzione del rapporto di lavoro, evidenziandone la coerenza con la politica in materia di remunerazione approvata nell'esercizio precedente. Le informazioni sui compensi riguardanti i soggetti menzionati e i titolari delle funzioni fondamentali sono rese nell'ambito dell'informativa da trasmettersi all'IVASS ai sensi dell'art. 47-quater del Codice e relative disposizioni di attuazione, nelle modalità e con il livello di dettaglio definito dall'allegato 3 al regolamento. Per l'ulteriore personale rilevante, come definito dall'art. 2, comma 1, lettera m), l'informativa è resa mediante l'invio all'IVASS del dato aggregato, a meno che l'importo complessivo della remunerazione di uno di tali soggetti sia superiore rispetto al compenso più elevato riconosciuto ad uno dei soggetti per cui è prevista la comunicazione del dato nominativo. In tal caso è comunicato all'IVASS il dato nominativo.

3. Nelle imprese che hanno adottato il sistema di amministrazione di cui all'art. 2409-octies del codice civile, le disposizioni di cui ai commi 1 e 2 relative alle funzioni del Consiglio di amministrazione sono da intendersi riferite al consiglio di sorveglianza.

1. Nel rispetto di quanto previsto dall'art. 274 degli atti delegati e dall'art. 30-septies del Codice e in coerenza con la politica di esternalizzazione di cui all'art. 5, comma 2, lettera m), l'impresa conclude accordi di esternalizzazione a condizione che la natura e la quantità delle funzioni o attività esternalizzate e le modalità della cessione non determinino lo svuotamento dell'attività dell'impresa cedente.

2. Non può in ogni caso essere esternalizzata l'attività di assunzione dei rischi.

3. In coerenza con quanto previsto dall'art. 30-septies, comma 1, del Codice, l'esternalizzazione non esonera in alcun caso gli organi sociali e l'alta direzione dell'impresa dalle rispettive responsabilità.

1. In coerenza con quanto previsto dall'art. 274, paragrafo 1, degli atti delegati, dall'art. 30, comma 5, del Codice e dall'art. 60 del presente regolamento, l'organo amministrativo definisce la politica per l'esternalizzazione delle funzioni o attività dell'impresa e per la scelta dei fornitori.

2. L'impresa che esternalizza funzioni o attività conserva l'accordo di esternalizzazione per i cinque anni successivi alla cessazione del rapporto contrattuale presso la propria sede o mediante modalità alternative di assolvimento dell'obbligo di conservazione documentale coerenti con quanto previsto da ulteriori disposizioni attuative emanate dall'IVASS.

1. L'impresa, in coerenza con quanto previsto dall'art. 30, comma 2, lettera e) del Codice, ed in linea con gli articoli 2, comma 1, lettera c) e 61 del presente regolamento, individua le funzioni o attività essenziali o importanti esternalizzate. Tale processo di individuazione è adeguatamente documentato.

2. L'impresa nell'ambito della politica di esternalizzazione definisce il processo di analisi da effettuarsi ai fini della conclusione dell'accordo di esternalizzazione. In particolare, con riguardo alla valutazione del fornitore di servizi, di cui alla lettera c) del contenuto della politica di esternalizzazione e scelta dei fornitori come descritto nell'allegato 1, l'impresa verifica la sussistenza di eventuali conflitti di interesse, anche considerando quelli tra il fornitore di servizi e l'impresa o eventuali accordi con soggetti concorrenti.

3. L'analisi di cui al comma 2 è condotta, in coerenza con la politica, al fine di comprendere i principali rischi derivanti dall'esternalizzazione, individuare le relative strategie per la mitigazione e gestione, nonchè per una adeguata valutazione in merito alla identificazione del fornitore di servizi cui affidare la funzione o l'attività. Le valutazioni dell'impresa sono adeguatamente documentate e, laddove opportuno, riviste. Su richiesta dell'IVASS, l'impresa fornisce la documentazione di supporto all'analisi effettuata.

4. L'impresa che affida ad un terzo l'esecuzione di funzioni o attività essenziali o importanti garantisce anche, in aggiunta a quanto previsto dall'art. 274, paragrafo 5, degli atti delegati e dall'art. 30-septies, comma 2, del Codice, che le modalità di esternalizzazione non compromettano i risultati finanziari e la stabilità dell'impresa e la continuità delle sue attività.

5. L'impresa individua al proprio interno uno o più responsabili delle attività di controllo sulle funzioni o attività essenziali o importanti esternalizzate e ne formalizza compiti e responsabilità. Il numero dei responsabili è proporzionato alla natura e alla quantità delle attività esternalizzate.

6. Nell'ambito della politica sono altresì definiti dall'impresa i criteri per l'individuazione dei servizi esternalizzati di funzioni o attività essenziali o importanti da sottoporre a preventiva approvazione da parte dell'organo amministrativo. Tale organo è regolarmente informato, con cadenza almeno annuale, in merito ai risultati degli accordi nel corso della operatività degli stessi

(modificato dall'art. 2, comma 7, del Provv. IVASS 5 marzo 2024, n. 142)

1. In coerenza con quanto previsto dall'art. 30, comma 2, lettera e) del Codice e salvo quanto diversamente specificato, le disposizioni dettate dal presente Capo per le funzioni o attività essenziali o importanti si applicano anche alle funzioni fondamentali.

2. L'impresa può esternalizzare le funzioni fondamentali, nel rispetto delle disposizioni di cui al presente Capo ed in conformità a quanto previsto dall'art. 30-septies del Codice e dall'art. 274 degli atti delegati, ove appropriato in ragione della ridotta portata e complessità dei rischi inerenti alla sua attività e qualora l'istituzione di funzioni fondamentali all'interno di essa non risponde a criteri di economicità, efficienza e affidabilità.

3. L'impresa designa al proprio interno il titolare della funzione fondamentale esternalizzata, cui è assegnata la complessiva responsabilità della funzione esternalizzata. Il titolare, oltre ai requisiti e ai criteri di idoneità di cui all'art. 76 del Codice e 28 del presente regolamento, possiede conoscenze ed esperienze tali da consentire una valutazione critica della prestazione svolta e dei risultati raggiunti dal fornitore di servizi.

4. In aggiunta a quanto previsto dal comma 3, coloro che presso il fornitore o subfornitore dei servizi svolgono la funzione fondamentale esternalizzata, possiedono i requisiti e soddisfano i criteri di idoneità richiesti a coloro che svolgono funzioni fondamentali nell'impresa, ai sensi dell'art. 5, comma 2, lettera n).

1. Oltre a quanto stabilito dall'art. 274, paragrafo 4 degli atti delegati, gli accordi di esternalizzazione delle funzioni o attività essenziali o importanti e delle funzioni fondamentali prevedono almeno:

a) la chiara definizione dell'attività oggetto della cessione, delle modalità di esecuzione e del relativo corrispettivo;

b) le modalità e la frequenza della reportistica al responsabile delle attività di controllo di cui all'art. 62, comma 5 o al titolare di cui all'art. 63, comma 3, concernente l'attività o la funzione esternalizzata;

c) che l'impresa possa recedere dal contratto senza oneri sproporzionati o tali da pregiudicare, in concreto, l'esercizio del diritto di recesso;

d) che l'impresa possa recedere o modificare il contratto in caso di richiesta dell'IVASS;

e) che il contratto non possa essere sub-esternalizzato senza il consenso dell'impresa;

f) che siano acquisite informazioni con riguardo all'adozione da parte del fornitore dei presidi in tema di conflitti di interesse di cui all'art. 274, paragrafo 3, lettera b) degli atti delegati.

2. L'esternalizzazione di funzioni o attività essenziali o importanti, ad un fornitore con sede legale all'interno dello S.E.E. è sottoposta agli obblighi di comunicazione di cui all'art. 67, commi 1 e 2.

3. L'esternalizzazione di funzioni o attività essenziali o importanti, ad un fornitore con sede legale fuori dallo S.E.E. è sottoposta alla preventiva autorizzazione dell'IVASS, allegando all'istanza gli elementi informativi di cui all'art. 67, comma 1. Se il fornitore è ricompreso nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice, l'esternalizzazione è, in deroga, sottoposta agli obblighi di comunicazione di cui all'art. 67, comma 3.

4. Salvo quanto previsto dal comma 5, gli accordi di esternalizzazione delle funzioni fondamentali possono essere conclusi solo con fornitori con sede legale nello S.E.E., secondo quanto previsto dall'art. 68, commi 1 e 2. In tal caso l'impresa assicura altresì che siano adeguatamente definiti:

a) obiettivi, metodologie e frequenza dei controlli;

b) modalità e frequenza dei rapporti con l'organo amministrativo e l'alta direzione;

c) possibilità di riconsiderare le condizioni del servizio al verificarsi di modifiche di rilievo nell'operatività e nell'organizzazione dell'impresa di assicurazione.

5. In deroga a quanto previsto dal comma 4, è consentita, previa autorizzazione dell'IVASS, l'esternalizzazione di funzioni fondamentali ad un fornitore con sede legale fuori dallo S.E.E., purchè ricompreso nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice. L'impresa allega all'istanza gli elementi informativi di cui all'art. 68.

1. Relativamente alle funzioni o attività esternalizzate, il sistema di governo societario garantisce controlli di standard analoghi a quelli che sarebbero attuati se le stesse fossero svolte direttamente dall'impresa. I rischi specifici connessi all'esternalizzazione sono inclusi nella politica di gestione dei rischi.

2. Ai fini di cui al comma 1, l'impresa adotta idonei presidi organizzativi e contrattuali che consentano di monitorare costantemente le attività esternalizzate, la loro conformità a norme di legge e regolamenti e alle direttive e procedure aziendali, ai termini dell'accordo di esternalizzazione, nonchè il rispetto dei limiti operativi e dei limiti di tolleranza al rischio fissati dall'impresa e di intervenire tempestivamente ove il fornitore non rispetti gli impegni assunti o la qualità del servizio fornito sia carente. I presidi sono altresì finalizzati a garantire il rispetto delle condizioni di cui all'art. 30-septies, comma 5, del Codice, con particolare riguardo alle ipotesi in cui il fornitore di servizi ha sede legale fuori dallo S.E.E.

3. In coerenza con quanto previsto dall'art. 274, paragrafo 5 lettera d) degli atti delegati e dall'art. 30-septies del Codice, l'impresa che esternalizza attività o funzioni essenziali o importanti, adotta idonee misure per assicurare la continuità della attività in caso di interruzione o grave deterioramento della qualità del servizio reso dal fornitore, inclusi adeguati piani di emergenza o di reinternalizzazione delle attività, in linea con la politica di cui all'art. 61 del presente regolamento.

4. Se l'esternalizzazione di funzioni o attività essenziali o importanti è effettuata nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice, l'ultima società controllante italiana:

a) mantiene evidenza delle funzioni o attività esternalizzate e delle imprese o società che hanno esternalizzato, assicurando l'opportuna diffusione delle informazioni alle società del gruppo interessate; e

b) assicura che l'accordo di esternalizzazione non pregiudichi la prestazione della funzione o attività a livello della società o impresa interessata.

1. L'IVASS verifica che l'esternalizzazione di funzioni e attività e la loro esecuzione rispettino le condizioni di cui al presente Capo.

2. Qualora, in considerazione della natura, della portata e della complessità dei rischi inerenti all'attività dell'impresa nonchè della propria posizione finanziaria, della natura dell'attività esternalizzata, delle caratteristiche e della posizione di mercato del fornitore o della qualità del servizio da questo reso, l'IVASS ritenga che possa essere compromessa la sana e prudente gestione dell'impresa o arrecato pregiudizio agli interessi degli assicurati e dei danneggiati, ovvero non sia consentito il pieno esercizio delle funzioni di vigilanza, può imporre all'impresa di modificare il contratto di esternalizzazione, ovvero, nei casi più gravi, di recedere dal contratto, come previsto dall'art. 64, comma 1, lettera d).

1. Coerentemente con quanto previsto dall'art. 30-septies, comma 3, del Codice e dall'art. 64, comma 2, del presente regolamento, nel caso di esternalizzazione di funzioni o attività essenziali o importanti ad un fornitore con sede legale nello S.E.E., l'impresa ne dà preventiva comunicazione all'IVASS, almeno sessanta giorni prima della esecuzione del contratto, trasmettendo il modello di cui all'allegato 2 al presente regolamento debitamente compilato ed una relazione che descriva, in modo analitico, le attività esternalizzate, l'eventuale ricorso alla sub-esternalizzazione, nonchè le motivazioni sottostanti l'esternalizzazione, la scelta del fornitore e la determinazione del corrispettivo.

2. Se l'esternalizzazione di cui al comma 1 avviene nei confronti di un fornitore ricompreso tra le società di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne dà preventiva comunicazione all'IVASS almeno quarantacinque giorni prima dell'esecuzione del contratto, fornendo indicazione del nominativo del fornitore, della portata delle attività che vengono esternalizzate, la durata e le motivazioni. La comunicazione può essere presentata dall'ultima società controllante italiana per conto delle società del gruppo interessate dall'esternalizzazione.

3. Coerentemente con quanto previsto dall'art. 64, comma 3, secondo periodo, nel caso di esternalizzazione di funzioni o attività essenziali o importanti ad un fornitore con sede legale fuori dallo S.E.E., ma ricompreso nell'ambito del gruppo di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne dà preventiva comunicazione all'IVASS almeno quarantacinque giorni prima dell'esecuzione del contratto, allegando gli elementi informativi di cui al comma 1.

4. Nelle ipotesi di cui ai commi 1, 2 e 3, alla comunicazione è allegata l'attestazione dell'impresa in merito all'idoneità e sufficienza dei presidi adottati dal fornitore di servizi in materia di conflitti di interessi, in coerenza con quanto previsto dall'art. 62, comma 2 e dall'art. 64, comma 1, lettera f).

5. L'IVASS comunica all'impresa l'esistenza di eventuali motivi ostativi all'esternalizzazione entro sessanta giorni dal ricevimento della comunicazione di cui al comma 1 o entro quarantacinque giorni dal ricevimento della comunicazione di cui ai commi 2 e 3, complete della documentazione di supporto.

6. L'impresa comunica in ogni caso tempestivamente all'IVASS se in corso di contratto sono intervenuti sviluppi rilevanti, in merito all'esternalizzazione di tali funzioni o attività, con particolare riguardo a cambiamenti relativi al fornitore che incidono sul servizio.

7. L'impresa comunica all'IVASS la cessazione del contratto di esternalizzazione, allegando una relazione sulle modalità di reinternalizzazione della funzione o dell'attività o di affidamento ad altro fornitore.

1. Coerentemente con quanto previsto dall'art. 30-septies, comma 3 del Codice e dall'art. 64, comma 4, del presente regolamento, nel caso di esternalizzazione delle funzioni fondamentali ad un fornitore con sede legale nello S.E.E., l'impresa ne dà preventiva comunicazione all'IVASS, almeno sessanta giorni prima della esecuzione del contratto, allegando la bozza del contratto e gli ulteriori eventuali elementi informativi di cui all'art. 67, comma 1, ove non illustrati nella bozza del contratto, comunicando ogni ulteriore informazione che consenta di valutare il rispetto dei criteri di economicità, efficienza ed affidabilità nonchè la sussistenza dei presupposti per il pieno esercizio dell'attività di vigilanza, anche ispettiva, da parte dell'IVASS. E' altresì comunicato il nominativo del responsabile, presso il fornitore, della funzione esternalizzata.

2. Se l'esternalizzazione di cui al comma 1 avvenga nei confronti di un fornitore ricompreso tra le società di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne dà preventiva comunicazione all'IVASS almeno quarantacinque giorni prima dell'esecuzione del contratto, fornendo l'indicazione del nominativo del fornitore di servizi e del responsabile presso il fornitore della funzione esternalizzata, della portata, ivi incluso l'oggetto, delle ragioni e della durata dell'esternalizzazione, al fine di consentire all'IVASS la valutazione di cui al comma 1. In tal caso il rispetto dei criteri di economicità di cui all'art. 63, comma 2 si presume. La comunicazione può essere presentata dall'ultima società controllante italiana per conto delle società del gruppo interessate dall'esternalizzazione.

1. Nel caso di esternalizzazione di funzioni o attività diverse da quelle di cui agli articoli 67 e 68 ad un fornitore residente al di fuori dello S.E.E., l'impresa ne dà preventiva comunicazione all'IVASS, almeno sessanta giorni prima della esecuzione del contratto, fornendo indicazione del nominativo, del luogo di ubicazione del fornitore, dell'attività o funzione esternalizzata e della durata del contratto.

2. L'IVASS comunica all'impresa la sussistenza di eventuali motivi ostativi all'esternalizzazione entro sessanta giorni dal ricevimento della comunicazione, completa della documentazione di supporto.

3. Se l'esternalizzazione di cui al comma 1 avviene nei confronti di un fornitore ricompreso tra le società di cui all'art. 210-ter, comma 2, del Codice, l'impresa ne dà successiva comunicazione all'IVASS nell'ambito della informativa trasmessa ai sensi dell'art. 216-octies del Codice e delle relative disposizioni di attuazione, fornendo le informazioni di cui al comma 1. La comunicazione può essere presentata dall'ultima società controllante italiana per le società del gruppo interessate dall'esternalizzazione.

4. In caso di esternalizzazione di altre attività di cui ai commi 1 e 3 si applicano le previsioni di cui all'art. 67, commi 6 e 7.

(modificato dall'art. 2, comma 8, del Provv. IVASS 5 marzo 2024, n. 142)

1. Ai fini di cui all'art. 215-bis del Codice, l'ultima società controllante italiana dota il gruppo, in coerenza con gli obiettivi previsti dall'art. 4 del presente regolamento e con le disposizioni di attuazione del Titolo XV del Codice, di un sistema di governo societario, adeguato alla struttura, al modello di business e alla natura, portata e complessità dei rischi del gruppo e delle singole società partecipate e controllate, che consente la sana e prudente gestione del gruppo e che tiene conto degli interessi delle società che ne fanno parte e delle modalità attraverso le quali tali interessi contribuiscono all'obiettivo comune del gruppo nel lungo periodo, anche in termini di salvaguardia del patrimonio. Tale sistema, idoneo ad attuare un controllo effettivo sulle scelte strategiche del gruppo nel suo complesso, nonchè sull'equilibrio gestionale delle singole società, comprende almeno:

a) un'adeguata e trasparente struttura organizzativa che supporti l'operatività e le strategie del gruppo, nonchè procedure e presidi che garantiscano l'efficienza e l'efficacia dei processi aziendali;

b) la definizione delle strategie e politiche di gruppo in coerenza con quanto previsto dall'art. 5, comma 2;

c) procedure formalizzate di coordinamento e collegamento, anche informativo, per le diverse aree di attività tra le società del gruppo e l'ultima società controllante italiana, che assicurino un adeguato flusso informativo bottom-up e top-down, secondo quanto previsto dall'art. 79;

d) la costituzione, a livello di gruppo, di una adeguata struttura ed organizzazione per la gestione dei rischi, anche mediante una chiara definizione dei compiti e ripartizione delle responsabilità tra le società del gruppo e delle diverse unità deputate al controllo, nonchè l'applicazione coerente di meccanismi di controllo interno, ivi inclusi adeguati meccanismi di coordinamento, che consentano, in linea con gli indirizzi strategici, con la propensione al rischio e con i limiti di tolleranza al rischio del gruppo, il raggiungimento degli obiettivi coerenti, tenuto conto della diversa natura del soggetto vigilato, con quelli di cui all'art. 4, nonchè l'attendibilità e l'integrità delle informazioni contabili e gestionali;

e) l'istituzione, in coerenza con quanto previsto dall'art. 215-bis del Codice, a livello di gruppo delle funzioni fondamentali di cui all'art. 30, comma 2, lettera e) del Codice;

f) il possesso dei requisiti e il soddisfacimento dei criteri di idoneità previsti dall'art. 76 del Codice e dal regolamento requisiti esponenti da parte di coloro che per il gruppo svolgono funzioni di amministrazione, direzione e controllo nell'ultima società controllante italiana, dei titolari delle funzioni fondamentali di cui alla lettera e) del presente comma e di coloro che svolgono tali funzioni;

g) meccanismi idonei a garantire a livello di gruppo la conformità del sistema di governo societario alle disposizioni del Codice e alle corrispondenti disposizioni di attuazione in materia di governo societario, assicurando la conformità dell'attività del gruppo alla normativa vigente, alle direttive e alle procedure aziendali e di gruppo;

h) meccanismi che consentano alla ultima società controllante italiana di verificare la rispondenza dei comportamenti delle società del gruppo di cui all'art. 210-ter, comma 2, del Codice agli indirizzi dalla stessa dettati, l'applicazione coerente da parte delle società del gruppo delle disposizioni in materia di governo societario ad esse applicabili, nonchè l'efficacia dei sistemi di controllo interno e gestione dei rischi, avuto particolare riguardo alle società di cui all'art. 210-ter, comma 2, del Codice. A tal fine l'ultima società controllante italiana si attiva affinchè siano effettuati accertamenti periodici nei confronti delle società del gruppo, anche mediante la funzione di revisione interna delle stesse.

2. Il sistema di governo societario di gruppo è sottoposto a riesame periodico, secondo quanto previsto dall'art. 71, comma 2, lettera cc) e, in ogni caso, al ricorrere di modifiche rilevanti della struttura di gruppo.

3. Ai fini della definizione del sistema di governo societario di cui al comma 1 che consenta una applicazione coerente al gruppo delle relative disposizioni, l'ultima società controllante italiana tiene conto, tra l'altro, della rilevanza delle società che fanno parte del gruppo anche in termini di attività da esse svolta, del profilo di rischio, del contributo alla rischiosità del gruppo, del rapporto di partecipazione o controllo, della natura di impresa regolamentata, della eventuale quotazione in borsa o ubicazione in uno Stato terzo, tenendo conto di quanto stabilito dal Codice e dalle relative disposizioni di attuazione.

4. Il sistema di cui al comma 1 consente all'ultima società controllante italiana di assicurare, mediante un adeguato sistema di controllo interno e gestione dei rischi di gruppo, il perseguimento a livello di gruppo di obiettivi coerenti, tenuto conto della diversa natura del soggetto vigilato, con quelli di cui all'art. 4.

5. Il sistema di cui al comma 1 consente altresì all'ultima società controllante italiana di esercitare:

a) un controllo strategico sull'evoluzione delle diverse aree di attività in cui il gruppo opera e dei rischi ad esse correlati. Il controllo verte sull'attività attuale e prospettica svolta dalle società appartenenti al gruppo e sulle politiche di acquisizione o dismissione da parte delle società del gruppo, con particolare riguardo a quelle di cui all'art. 210-ter, comma 2, del Codice;

b) un controllo gestionale volto ad assicurare il mantenimento delle condizioni di equilibrio economico, finanziario e patrimoniale delle singole società e del gruppo nel suo insieme;

c) un controllo tecnico operativo, finalizzato alla valutazione dei profili di rischio apportati al gruppo dalle singole controllate.

(integrato e modificato dall'art. 2, comma 9, del Provv. IVASS 5 marzo 2024, n. 142)

1. Ai fini dell'art. 215-bis del Codice, l'organo amministrativo dell'ultima società controllante italiana ha la responsabilità ultima del sistema di governo societario di gruppo di cui all'art. 70 del presente regolamento, del quale ne definisce gli indirizzi strategici e ne garantisce la complessiva coerenza. A tal fine, esso:

a) definisce e rivede le politiche di gruppo, assicurando l'opportuno coinvolgimento dell'organo amministrativo delle società del gruppo, con particolare riferimento alle società di cui all'art. 210-ter, comma 2, del Codice;

b) comunica le politiche di gruppo alle società del gruppo, in coerenza con la tipologia di politica e di società del gruppo cui l'informativa è diretta;

c) verifica la complessiva coerenza delle politiche individuali delle società del gruppo con quelle definite a livello di gruppo, in particolare assicurando che le politiche definite dalle società del gruppo a livello individuale non contrastino con le politiche di gruppo;

d) garantisce che le politiche di gruppo siano attuate correttamente dalle società di cui all'art. 210-ter, comma 2, del Codice e che siano coerentemente applicate dalle altre società del gruppo.

1-bis. Si applica a livello di ultima società controllante italiana quanto previsto dall'art. 5, comma 1-bis del presente regolamento.

2. L'organo amministrativo dell'ultima società controllante italiana, nel definire il sistema di governo societario di cui al comma 1:

a) approva l'assetto organizzativo del gruppo, curandone l'adeguatezza nel tempo, valutando gli effetti dei cambiamenti della struttura del gruppo sulla sostenibilità della situazione finanziaria delle singole società interessate e del gruppo, adattandolo con tempestività, se necessario. A tal fine possiede adeguate conoscenze della struttura organizzativa del gruppo, del business model delle società che ne fanno parte, dei legami e delle relazioni tra esse, anche in termini di rischi derivanti dalla struttura del gruppo, dalle operazioni infragruppo e di eventuale impatto, anche al ricorrere di circostanze avverse, sulla stabilità e sul profilo di rischio del gruppo;

b) prevede la chiara individuazione e ripartizione di compiti e di responsabilità degli organi e delle funzioni dell'ultima società controllante italiana, nonchè adeguati meccanismi di raccordo con gli organi e le funzioni delle società del gruppo mediante idonei strumenti, procedure e linee di responsabilità e rendicontazione;

c) assicura che:

i) siano adottati e formalizzati adeguati processi decisionali;

ii) i compiti e le responsabilità siano assegnati, ripartiti e coordinati nel rispetto delle politiche di gruppo e riflessi nella descrizione degli incarichi e delle responsabilità;

iii) tutti gli incarichi rilevanti siano assegnati e che siano evitate sovrapposizioni non necessarie, promuovendo un'efficace cooperazione tra i membri del personale delle società del gruppo, in particolare di quelle di cui all'art. 210-ter, comma 2, del Codice;

d) in coerenza con l'art. 258, paragrafo 4, degli atti delegati, approva, curandone l'adeguatezza nel tempo, il sistema delle deleghe di poteri e responsabilità a livello di gruppo, avendo cura di evitare l'eccessiva concentrazione di poteri in un singolo soggetto e ponendo in essere strumenti di verifica sull'esercizio dei poteri delegati, con conseguente possibilità di prevedere misure adeguate, qualora decida di avocare a sè i poteri delegati;

e) definisce le direttive in materia di sistema di governo societario di gruppo, rivedendole almeno una volta l'anno e curandone l'adeguamento alla evoluzione dell'operatività aziendale e delle condizioni esterne. Nell'ambito di tali direttive approva le politiche di gruppo relative al sistema di controllo interno, al sistema di gestione dei rischi e alla revisione interna, in linea con quanto previsto dall'art. 30, comma 5 del Codice e dall'art. 258, paragrafo 2, degli atti delegati e quella relativa alla funzione attuariale; con particolare riguardo alla politica di revisione interna assicura che essa contenga la descrizione delle modalità con cui la funzione coordina le attività di revisione interna nel gruppo e garantisce l'osservanza dei requisiti di revisione interna a livello di gruppo; definisce e approva altresì una politica di data governance, coerente con quanto previsto dall'art. 5, comma 2, lettera d), ai fini dell'assolvimento di quanto previsto dall'art. 79, comma 3, lettera b);

f) con riferimento alla valutazione prospettica dei rischi di gruppo, compie gli adempimenti previsti dalle disposizioni attuative dell'art. 215-ter del Codice e con riferimento alla concentrazione dei rischi e alle operazioni infragruppo compie gli adempimenti di cui agli articoli 215-quater e 215-quinquies del Codice e alle relative disposizioni di attuazione;

g) determina il sistema degli obiettivi di rischio di gruppo, definendo, sulla base delle valutazioni di cui alle lettere e) ed f) che rilevano a tali fini, ivi inclusa la valutazione interna del rischio e della solvibilità, la propensione al rischio del gruppo in coerenza con il fabbisogno di solvibilità globale del gruppo, individuando le tipologie di rischio di gruppo che ritiene di assumere, fissando in modo coerente i limiti di tolleranza al rischio del gruppo che rivede una volta l'anno, al fine di assicurarne l'efficacia nel tempo;

h) approva, sulla base degli elementi di cui alle lettere f) e g), la politica di gestione dei rischi e le direttive di gruppo di cui alla lettera e), in coerenza con la struttura del gruppo, la dimensione e le specificità delle società del gruppo, anche in un'ottica di medio lungo periodo, nonchè per le maggiori fonti di rischio identificate a livello di gruppo, il piano di emergenza di gruppo di cui all'art. 82, comma 5, al fine di garantire la regolarità e continuità dell'attività del gruppo;

i) approva, tenuto conto degli obiettivi strategici ed in coerenza con la politica di gestione dei rischi di gruppo, le politiche di sottoscrizione, di riservazione, di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, nonchè di gestione del rischio operativo di gruppo, in coerenza con le lettere f), g) e h);

l) definisce le direttive e i criteri per la raccolta dei dati e delle informazioni utili ai fini dell'esercizio della vigilanza sul gruppo di cui al Titolo XV del Codice e delle relative disposizioni di attuazione, nonchè le direttive in materia di controllo interno per la verifica della completezza e tempestività dei relativi flussi informativi;

m) approva un documento, coerente con le disposizioni di cui alle lettere precedenti a), e), f) e g), da diffondere a tutte le strutture del gruppo interessate, in cui sono definiti:

i) in coerenza con quanto previsto dalla normativa applicabile, i compiti e le responsabilità degli organi sociali dell'ultima società controllante italiana, dei comitati consiliari, eventualmente costituiti per l'espletamento di funzioni in ambito di gruppo e delle funzioni fondamentali di gruppo nonchè l'identificazione, mediante l'adeguata formalizzazione e motivazione delle relative scelte, delle categorie di soggetti che appartengono all'ulteriore personale rilevante di cui all'art. 2, comma 1, lettera m); ai fini di tale identificazione, si tiene conto, tra l'altro, nell'ambito di gruppo, della posizione rivestita, del grado di responsabilità, del livello gerarchico, dell'attività svolta, delle deleghe conferite, dell'ammontare della remunerazione corrisposta, della possibilità di assumere posizioni di rischio, generare profitti o incidere su altre poste contabili per importi rilevanti;

ii) i flussi informativi, ivi comprese le tempistiche, tra le diverse funzioni di gruppo, i comitati consiliari costituiti a livello di gruppo e tra questi e gli organi sociali dell'ultima società controllante italiana e

iii) nel caso in cui gli ambiti di attività presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalità di coordinamento e di collaborazione tra di essi con le funzioni operative dell'ultima società controllante italiana, nonchè di raccordo con gli organi sociali e le funzioni fondamentali delle società di cui all'art. 210-ter, comma 2, del Codice e di cooperazione con gli organi sociali e le funzioni delle altre società del gruppo. Nel definire le modalità di raccordo, l'ultima società controllante italiana presta attenzione a non alterare, anche nella sostanza, le responsabilità ultime dei propri organi sociali sul sistema di governo societario di gruppo;

n) nel rispetto di quanto previsto dall'art. 258, paragrafo 1, lettera l) degli atti delegati e in coerenza con le disposizioni di cui alla Parte II, Titolo III, Capo VII, del presente regolamento, definisce e rivede periodicamente le politiche di remunerazione di gruppo, ai fini dell'approvazione dell'assemblea ordinaria dell'ultima società controllante italiana sulla base di quanto previsto dall'art. 93, comma 5 del presente regolamento, ed è responsabile della loro corretta applicazione;

o) nel rispetto di quanto previsto dall'art. 274 degli atti delegati e dell'art. 30, comma 5, del Codice approva la politica di esternalizzazione di gruppo, definendo la strategia ed i processi applicabili per tutta la relativa durata;

p) nel rispetto di quanto previsto dagli articoli 258, paragrafo 1, lettere c) e d), 273 degli atti delegati e 215-bis del Codice approva la politica per la definizione e la valutazione dei requisiti di idoneità alla carica, in termini di onorabilità, professionalità e indipendenza e dei criteri di competenza, correttezza e di adeguata composizione collettiva degli organi, nonchè del tempo necessario stimato dall'impresa per l'espletamento dell'incarico di coloro che svolgono funzioni di amministrazione, direzione e controllo nell'ultima società controllante italiana e, anche in caso di esternalizzazione o sub esternalizzazione, dei soggetti in essa titolari delle funzioni fondamentali di gruppo e, secondo proporzionalità, di coloro che svolgono tali funzioni, nonchè dell'ulteriore personale in grado di incidere in modo significativo sul profilo di rischio, identificato dall'ultima società controllante italiana, ai sensi dell'art. 2, comma 1, lettera m) del presente regolamento. Valuta la sussistenza dei requisiti e il soddisfacimento dei criteri in capo a tali soggetti con cadenza almeno annuale. In particolare, tale politica assicura che l'organo amministrativo dell'ultima società controllante italiana sia nel suo complesso in possesso di adeguate competenze tecniche al fine di assolvere i compiti ad esso richiesti dalla struttura, dall'attività, nonchè dal profilo di rischio del gruppo;

q) con riferimento alla politica sulle informazioni di gruppo da fornire all'IVASS e di informativa al pubblico (c.d. reporting policy) di cui agli articoli 216-octies e 216-novies e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative;

r) approva la politica di gestione del capitale di gruppo di cui all'art. 86;

s) con riferimento alle ipotesi di utilizzo da parte dell'impresa di un modello interno di cui all'art. 207-octies e relative disposizioni di attuazione, nonchè con riferimento alle ipotesi di utilizzo di parametri specifici nella determinazione del requisito patrimoniale di solvibilità di cui agli articoli 216-ter del Codice e relative disposizioni di attuazione, compie gli adempimenti previsti dalle vigenti disposizioni normative;

t) verifica che l'alta direzione dell'ultima società controllante italiana implementi correttamente le indicazioni circa lo sviluppo ed il funzionamento del sistema di governo societario di gruppo, secondo quanto previsto dall'art. 73, in linea con le direttive impartite, e che ne valuti la funzionalità e l'adeguatezza complessiva;

u) dispone verifiche periodiche sulla efficacia e adeguatezza del sistema di governo societario di gruppo e che gli siano riferite con tempestività le criticità più significative, siano esse individuate dall'alta direzione dell'ultima società controllante, dalle funzioni fondamentali di gruppo, nonchè da altri soggetti nell'ambito del gruppo, impartendo con tempestività le direttive per l'adozione di misure correttive, di cui successivamente valuta l'efficacia; tale informativa riguarda, in particolare, gli obiettivi del gruppo e i rischi a cui esso è esposto. Ogni flusso informativo significativo tra le società rilevanti per il gruppo, individuate secondo i criteri di cui all'art. 70, comma 3, è documentato e reso tempestivamente accessibile, su richiesta, alle funzioni che svolgono attività di controllo e all'IVASS;

v) individua particolari eventi o circostanze a livello di gruppo che richiedono un immediato intervento da parte dell'alta direzione dell'ultima società controllante italiana;

z) assicura che sussista un'idonea e continua interazione tra tutti i comitati istituiti per espletare le funzioni a livello di gruppo, all'interno dell'organo amministrativo stesso, l'alta direzione dell'ultima società controllante e le funzioni fondamentali di gruppo, nonchè con coloro che svolgono funzioni di amministrazione direzione e controllo nelle società del gruppo, avuto particolare riguardo alle società di cui all'art. 210-ter, comma 2, del Codice e nelle altre società del gruppo che hanno un impatto significativo sul profilo di rischio del gruppo, richiedendo informazioni in modo proattivo e mettendo in discussione le decisioni che possono avere impatto sul gruppo;

aa) assicura, con appropriate misure, un aggiornamento professionale continuo delle risorse e dei componenti dell'organo stesso, predisponendo, altresì, piani di formazione adeguati ad assicurare il bagaglio di competenze tecniche necessario per svolgere con consapevolezza il proprio ruolo nel rispetto della natura, della portata e della complessità dei compiti assegnati a livello di gruppo e per preservare le proprie conoscenze nel tempo;

bb) effettua, almeno una volta l'anno, una valutazione sulla dimensione, sulla composizione e sull'efficace funzionamento dell'organo amministrativo dell'ultima società controllante italiana nel suo complesso, nonchè dei suoi comitati, operando le verifiche previste dall'art. 5, comma 2, lettera z), ed esprimendo orientamenti sulle figure professionali la cui presenza nell'organo amministrativo sia ritenuta opportuna, anche considerata la struttura del gruppo, con particolare riguardo alle società di cui all'art. 210-ter, comma 2, del Codice e proponendo eventuali azioni correttive;

cc) in coerenza con quanto previsto dall'art. 258, paragrafo 6, degli atti delegati e 215-bis del Codice, assicura che il sistema di governo societario di gruppo sia soggetto a riesame interno periodico; nella determinazione dell'ambito e della frequenza del riesame, tiene conto della natura, portata e complessità dei rischi inerenti all'attività delle società del gruppo e della struttura del gruppo stesso; le risultanze del riesame sono adeguatamente documentate e trasmesse all'organo amministrativo, con evidenza delle misure correttive intraprese;

dd) verifica che il sistema di governo societario di gruppo sia coerente con gli obiettivi strategici del gruppo, con la propensione al rischio e con i limiti di tolleranza al rischio di gruppo, e sia in grado di cogliere l'evoluzione a livello di gruppo dei rischi aziendali delle società del gruppo di cui all'art. 210-ter, comma 2, del Codice e l'interazione tra gli stessi, nonchè i rischi derivanti dall'appartenenza al gruppo.

3. L'organo amministrativo dell'ultima società controllante italiana assicura che nell'ambito dell'informativa trasmessa all'IVASS, ai sensi dell'art. 308 degli atti Delegati, degli articoli 216-octies e 216-novies del Codice e delle relative disposizioni di attuazione, in materia di governo societario di gruppo siano rappresentate le ragioni che rendono la struttura organizzativa del gruppo idonea ad assicurare la completezza, la funzionalità ed efficacia del sistema di governo societario di gruppo, informando altresì senza indugio l'IVASS qualora vengano apportate significative modifiche alla struttura organizzativa del gruppo ed illustrando le cause interne od esterne che hanno reso necessari tali interventi.

4. L'art. 5, comma 4, che prevede per il livello individuale il contenuto minimale delle politiche, si applica al gruppo, tenendo conto della diversa natura del soggetto vigilato ed in coerenza con le specificità di cui all'art. 70, comma 3. Per i gruppi rilevanti a fini di stabilità finanziaria, ai sensi dell'art. 83, comma 1, le politiche di gruppo di cui al comma 2, lettere e), h), i), n) o), p) e r) sono trasmesse all'IVASS dall'ultima società controllante italiana entro trenta giorni dalla relativa approvazione, unitamente al documento di cui al comma 2, lettera m).

5. L'organo amministrativo dell'ultima società controllante italiana approva altresì le politiche di gruppo aventi ad oggetto aspetti diversi da quelli di cui al comma 2, laddove previsto dal Codice e dalle relative disposizioni di attuazione.

6. L'organo amministrativo dell'ultima società controllante italiana assicura che le politiche, parte del sistema di governo societario di gruppo, siano coerenti tra loro e con le strategie di gruppo.

7. Secondo quanto previsto dall'art. 215-bis del Codice, l'organo amministrativo dell'ultima società controllante italiana rivede le politiche almeno una volta l'anno e ne cura l'adeguamento alla evoluzione dell'operatività aziendale del gruppo, della struttura dello stesso e delle condizioni esterne. Le risultanze della revisione sono adeguatamente documentate, fornendo idonea evidenza della revisione condotta e delle eventuali decisioni assunte dall'organo amministrativo in seguito ad essa.

1. Ai fini dell'espletamento dei compiti e delle funzioni ad esso assegnati a livello di gruppo, l'organo amministrativo dell'ultima società controllante italiana costituisce, ove appropriato in relazione alla natura, portata e complessità dell'attività del gruppo e delle società che ne fanno parte, nonchè dei rischi inerenti, comitati previsti dalle disposizioni regolamentari, con funzioni propositive e consultive. Nell'espletamento dei compiti i comitati assicurano idonei collegamenti funzionali ed operativi con le competenti strutture di gruppo.

2. L'organo amministrativo dell'ultima società controllante italiana definisce la composizione, i compiti e le modalità di funzionamento dei comitati. L'istituzione dei comitati non solleva l'organo amministrativo dalle proprie responsabilità nell'ambito del gruppo.

1. L'alta direzione dell'ultima società controllante italiana è responsabile della complessiva attuazione, del mantenimento e monitoraggio del sistema di governo societario di gruppo, secondo quanto previsto dal comma 2, coerentemente con le direttive dell'organo amministrativo e nel rispetto dei ruoli e dei compiti ad essa attribuiti. A tale fine l'alta direzione si avvale, in particolare, della collaborazione delle società di cui all'art. 210-ter, comma 2, del Codice.

2. L'alta direzione:

a) in coerenza con l'art. 258, paragrafo 5, degli atti delegati, definisce in dettaglio l'assetto organizzativo del gruppo con particolare riguardo alle società di cui all'art. 210-ter del Codice, i compiti e le responsabilità delle unità operative di base del gruppo e dell'ultima società controllante italiana, nonchè i processi decisionali in coerenza con le direttive impartite dall'organo amministrativo; in tale ambito attua l'appropriata separazione di compiti sia tra singoli soggetti che tra funzioni nell'ambito del gruppo e della ultima società controllante italiana in modo da evitare, per quanto possibile, l'insorgere di conflitti di interesse;

b) con riferimento alla valutazione interna del rischio e della solvibilità di gruppo, attua la politica di cui alle disposizioni attuative dell'art. 215-ter del Codice, contribuendo ad assicurare la definizione di limiti operativi e garantendo la tempestiva verifica dei limiti medesimi, nonchè il monitoraggio delle esposizioni ai rischi e il rispetto dei limiti di tolleranza di gruppo;

c) attua le politiche inerenti al sistema di Governo societario di gruppo, nel rispetto dei ruoli e dei compiti ad essa attribuiti in ambito di gruppo;

d) cura il mantenimento della funzionalità e dell'adeguatezza complessiva dell'assetto organizzativo e del sistema di Governo societario di gruppo di cui all'art. 70, comma 4;

e) verifica che l'organo amministrativo dell'ultima società controllante italiana sia periodicamente informato sull'efficacia e sull'adeguatezza del sistema di Governo societario di gruppo, di cui all'art. 70, comma 4, e, comunque tempestivamente, ogni qualvolta siano riscontrate criticità significative;

f) dà attuazione alle indicazioni dell'organo amministrativo dell'ultima società controllante italiana, in ordine alle misure da adottare per correggere le anomalie riscontrate e apportare miglioramenti;

g) propone all'organo amministrativo dell'ultima società controllante italiana iniziative volte all'adeguamento ed al rafforzamento del sistema di Governo societario di gruppo di cui all'art. 70, comma 4.

(integrato dall'art. 2, comma 10, del Provv. IVASS 5 marzo 2024, n. 142)

1. L'organo di controllo dell'ultima società controllante italiana verifica l'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dal gruppo e dall'ultima società controllante italiana, ai fini dell'espletamento delle funzioni ad essa assegnate a livello di gruppo, ed il suo concreto funzionamento ai fini della normativa applicabile.

1.bis Si applica a livello di ultima società controllante italiana quanto previsto dall'art. 8, comma 1-bis, del presente regolamento.

2. Per l'espletamento dei compiti di cui al comma 1 l'organo di controllo dell'ultima società controllante italiana può richiedere la collaborazione di tutte le strutture che svolgono compiti di controllo nell'ambito del gruppo, assicurando adeguati collegamenti funzionali ed informativi.

3. Ai fini di cui al comma 1, l'organo di controllo:

a) acquisisce, all'inizio del mandato, conoscenze sull'assetto organizzativo del gruppo, ed esamina i risultati del lavoro della società di revisione per la valutazione del sistema di controllo interno e del sistema amministrativo contabile;

b) verifica l'idoneità della definizione delle deleghe, nonchè l'adeguatezza dell'assetto organizzativo del gruppo, prestando particolare attenzione alla separazione di responsabilità nei compiti e nelle funzioni;

c) valuta l'efficienza e l'efficacia del sistema di governo societario di gruppo di cui all'art. 70, comma 4, con particolare riguardo all'operato della funzione di revisione interna di gruppo, della quale deve verificare la sussistenza della necessaria autonomia, indipendenza e funzionalità; nell'ipotesi in cui tale funzione sia stata esternalizzata, valuta il contenuto dell'incarico sulla base del relativo contratto;

d) mantiene un adeguato collegamento con la funzione di revisione interna di gruppo;

e) cura il tempestivo scambio con la società di revisione dei dati e delle informazioni rilevanti per l'espletamento dei propri compiti, esaminando anche le periodiche relazioni della società di revisione;

f) segnala all'organo amministrativo dell'ultima società controllante italiana le eventuali anomalie o debolezze dell'assetto organizzativo e del sistema di governo societario di gruppo di cui all'art. 70, comma 4, indicando e sollecitando idonee misure correttive; nel corso del mandato pianifica e svolge, anche coordinandosi con la società di revisione, periodici interventi di vigilanza volti ad accertare se le carenze o anomalie segnalate siano state superate e se, rispetto a quanto verificato all'inizio del mandato, siano intervenute significative modifiche del profilo di rischio e dell'operatività delle società del gruppo che impongano un adeguamento dell'assetto organizzativo del gruppo e del sistema di governo societario di gruppo di cui all'art. 70, comma 4;

g) assicura i collegamenti funzionali ed informativi con gli organi di controllo delle altre società del gruppo;

h) conserva un'adeguata evidenza delle osservazioni e delle proposte formulate e della successiva attività di verifica dell'attuazione delle eventuali misure correttive.

1. Nell'ambito dei generali obblighi di cui all'art. 258, paragrafo 1, lettera i), degli atti delegati, l'operato dell'organo amministrativo e di controllo, nonchè dell'alta direzione dell'ultima società controllante italiana è adeguatamente documentato, al fine di consentire il controllo sugli atti gestionali e sulle decisioni assunte a livello di gruppo.

2. Ai fini di cui al comma 1, l'organo amministrativo dell'ultima società controllante italiana documenta anche le modalità con le quali ha tenuto conto delle informazioni fornite dal sistema di gestione dei rischi del gruppo.

1. Ai fini di cui all'art. 266 degli atti delegati e dell'art. 215-bis del Codice, l'ultima società controllante italiana dota il gruppo di un sistema di controllo interno, proporzionato alla natura, alla portata e alla complessità dei rischi, attuali e prospettici, inerenti all'attività del gruppo e delle società che lo compongono ed in ogni caso coerente con quanto previsto dall'art. 70 del presente regolamento.

2. Tale sistema è costituito dall'insieme di regole, procedure, nonchè strutture organizzative, validate a livello di gruppo, volte ad assicurare il corretto funzionamento ed il buon andamento del gruppo, e garantisce con un ragionevole margine di sicurezza il raggiungimento a livello di gruppo degli obiettivi di cui all'art. 70, comma 4.

1. Ai fini di cui all'art. 258, paragrafo 1, lettere e), f), g) degli atti delegati, l'organo amministrativo dell'ultima società controllante italiana promuove un alto livello di integrità e una diffusa cultura del controllo interno a livello di gruppo, tale da sensibilizzare l'intero personale delle società del gruppo sull'importanza e l'utilità dei controlli interni.

2. L'alta direzione dell'ultima società controllante italiana è responsabile della promozione della cultura del controllo interno all'interno del gruppo e assicura che il personale delle società del gruppo sia messo a conoscenza del proprio ruolo e delle proprie responsabilità, in modo da essere effettivamente impegnato nello svolgimento dei controlli, intesi quale parte integrante della propria attività. A tal fine assicura la formalizzazione e l'adeguata diffusione tra il personale del sistema delle deleghe e delle procedure che regolano l'attribuzione di compiti, i processi operativi e i canali di reportistica.

3. Ai fini di cui ai commi 1 e 2, l'alta direzione dell'ultima società controllante italiana promuove continue iniziative formative e di comunicazione volte a favorire l'effettiva adesione di tutto il personale ai principi di integrità morale ed ai valori etici.

4. Al fine di promuovere la correttezza operativa ed il rispetto dell'integrità e dei valori etici da parte del personale del gruppo, nonchè per prevenire condotte devianti di cui possono essere chiamate a rispondere ai sensi del decreto legislativo 8 giugno 2001, n. 231, nonchè ai sensi dell'art. 325 del Codice, le ultime società controllanti italiane adottano per il gruppo un codice etico che definisca le regole comportamentali, disciplini le situazioni di potenziale conflitto di interesse e preveda azioni correttive adeguate, nel caso di deviazione dalle direttive e dalle procedure approvate dal vertice o di infrazione della normativa vigente e dello stesso codice etico.

5. Il gruppo, in coerenza con quanto previsto dalle disposizioni di cui alla Parte II, Titolo III, Capo VII, evita, ad ogni livello, politiche e pratiche di remunerazione che possano essere di incentivo ad attività illegali o devianti rispetto agli standard etico-legali ovvero indurre propensioni al rischio contrastanti con la sana e prudente gestione del gruppo e comportamenti non coerenti con la tutela degli assicurati e degli altri aventi diritto a prestazioni assicurative.

1. Ai fini di cui all'art. 258 degli atti delegati e dell'art. 215-bis del Codice il sistema di Governo societario di gruppo include, tra l'altro, l'esecuzione, a tutti i livelli della struttura del gruppo, di attività di controllo proporzionate alla natura, alla portata ed alla complessità dei rischi inerenti all'attività delle società del gruppo interessate ed ai processi coinvolti che contribuiscono a garantire l'attuazione delle direttive e delle politiche dettate dall'ultima società controllante italiana e a verificarne il rispetto. A tal fine, sono previsti meccanismi di controllo interno adeguatamente differenziati, in termini di tempistica e livello di dettaglio, in ragione del diverso profilo di rischio e contributo alla rischiosità del gruppo delle società interessate, nonchè alle diverse strutture organizzative e operative delle società del gruppo.

2. Le attività di controllo a livello di gruppo, di cui al comma 1, sono formalizzate e riviste su base periodica e coinvolgono il personale delle società del gruppo e possono comprendere, tra l'altro, gli strumenti di cui all'art. 12, comma 2.

3. Compatibilmente con la natura, la portata, la complessità e rischiosità delle attività delle società del gruppo, l'ultima società controllante italiana assicura che il personale incaricato del controllo a livello di gruppo sia indipendente rispetto alle funzioni operative.

1. L'ultima società controllante italiana possiede informazioni contabili e gestionali che garantiscono adeguati processi decisionali a livello di gruppo e consentono di definire e valutare se in ambito di gruppo sono stati raggiunti gli obiettivi strategici fissati dal proprio organo amministrativo in modo da sottoporli ad eventuale revisione.

2. Ai fini di cui al comma 1, l'ultima società controllante prevede per il gruppo, in coerenza con i principi previsti dall'art. 13, comma 2, anche al fine di garantire il perseguimento delle finalità di cui all'art. 13, commi 4 e 6:

a) procedure formalizzate di coordinamento e collegamento, anche informativo, con le società appartenenti al gruppo per tutte le aree di attività (flussi informativi bottom-up e top-down);

b) flussi informativi regolari che consentano adeguati processi decisionali e la verifica del perseguimento degli obiettivi strategici fissati dall'organo amministrativo dell'ultima società controllante italiana, in modo da sottoporli ad eventuale revisione; a tal fine, l'alta direzione dell'ultima società controllante italiana assicura che l'organo amministrativo abbia una conoscenza completa dei fatti rilevanti per il gruppo, anche attraverso la predisposizione di un'adeguata reportistica;

c) efficaci canali di comunicazione sia all'interno, in ogni direzione, sia all'esterno, e meccanismi che consentano la conoscenza compiuta e tempestiva di situazioni a livello di gruppo di particolare gravità da parte degli opportuni livelli di responsabilità dell'ultima società controllante italiana.

3. Con particolare riguardo alle imprese di cui all'art. 210-ter, comma 2, del Codice, sono inoltre previsti dall'ultima società controllante italiana:

a) efficaci meccanismi di integrazione dei sistemi informatici, contabili e gestionali, che, in coerenza con l'art. 13, comma 4, consentono di garantire l'affidabilità delle rilevazioni su base consolidata;

b) efficaci meccanismi, coerenti con le disposizioni di cui all'art. 14, che consentono alle società del gruppo:

i) la produzione di dati e informazioni utili ai fini della vigilanza sul gruppo;

ii) un sistema di registrazione e reportistica dei dati di gruppo, coerente con quanto previsto dall'art. 14, che consente di disporre di informazioni complete ed aggiornate sugli elementi che possono incidere sul profilo di rischio e sulla situazione di solvibilità del gruppo;

iii) lo scambio di informazioni pertinenti ai fini della vigilanza di gruppo, anche in presenza di cambiamenti nella struttura del gruppo stesso.

4. Le informazioni attinenti al gruppo dirette a terzi sono attendibili, tempestive, pertinenti e devono essere comunicate in maniera chiara ed efficace.

5. L'ultima società controllante italiana assicura che le società del gruppo conservino presso le loro sedi i dati e le informazioni ai fini dell'esercizio della vigilanza ispettiva da parte dell'IVASS, di cui all'art. 214, commi 1 e 2, del Codice.

6. L'ultima società controllante italiana informa tempestivamente l'IVASS dei casi in cui specifiche disposizioni di legge vigenti nello Stato in cui hanno sede legale le società estere del gruppo ostino al rispetto delle disposizioni in materia di governo societario di gruppo.

(integrato dall'art. 2, comma 10, del Provv. IVASS 10 maggio 2023)

1. Ai fini dell'art. 259 degli atti delegati e dell'art. 215-bis del Codice, in coerenza con l'art. 70, comma 1, lettera d) del presente regolamento, l'ultima società controllante italiana dota il gruppo di un efficace sistema di gestione dei rischi, proporzionato alla natura, alla portata e alla complessità dell'attività esercitata dalle società del gruppo che include almeno la definizione e l'aggiornamento di:

a) politica e strategia di gestione del rischio, in coerenza con quanto previsto rispettivamente nelle successive lettere b) e c);

b) processi e procedure idonei a garantire l'adeguata individuazione, misurazione, valutazione monitoraggio, gestione e rappresentazione, con frequenza adeguata al profilo di rischio, dei rischi attuali e prospettici, ivi compresi, ove pertinente, i rischi di sostenibilità, con particolare attenzione a quelli significativi, cui il gruppo e le società che lo compongono, con particolare riguardo alle società di cui all'art. 210-ter, comma 2, del Codice, è o potrebbe essere esposto e, ove possibile, le relative interdipendenze. A tale fine è prestata attenzione ai rischi derivanti da società con sede legale in Stati terzi ricomprese nel perimetro della vigilanza di gruppo, ai rischi derivanti da società non soggette a normativa di settore ricomprese nel perimetro della vigilanza di gruppo, nonchè ai rischi derivanti da altre società soggette a specifica normativa di settore ricomprese nel perimetro della vigilanza di gruppo;

c) propensione al rischio e, nell'ambito di essa, l'obiettivo di solvibilità di gruppo di cui all'art. 81, nonchè i limiti di tolleranza al rischio, anche in un'ottica di medio-lungo periodo, in coerenza con gli indirizzi strategici del gruppo.

2. Ai fini della definizione del sistema di cui al comma 1, l'organo amministrativo dell'ultima società controllante italiana assicura che siano adeguatamente documentate le decisioni in merito alla valutazione della struttura, organizzazione e accentramento del sistema di gestione dei rischi di gruppo.

3. Con riguardo alla politica di gestione dei rischi di cui al comma 1, lettera a), l'ultima società controllante italiana formalizza e rende noti a tutte le società del gruppo i processi e le procedure di cui al comma 1, lettera b), assicurandone l'adeguata documentazione e revisione.

4. L'organo amministrativo dell'ultima società controllante italiana garantisce che la politica della gestione del rischio a livello di gruppo sia attuata in modo coerente e continuativo all'interno del gruppo, tenendo conto della struttura, dimensione e specificità delle società del gruppo, nonchè dei rischi di ciascuna società del gruppo e delle reciproche interdipendenze. A tali fini si considerano, in particolare:

a) i rischi reputazionali, quelli derivanti da operazioni infragruppo, di cui all'art. 215-quinquies del Codice e relative disposizioni di attuazione, di concentrazione, di cui all'art. 215-quater del Codice e relative disposizioni di attuazione, incluso il rischio di contagio, a livello di gruppo;

b) le interdipendenze tra rischi derivanti dallo svolgimento dell'attività assicurativa e riassicurativa in società e in giurisdizioni differenti.

5. Si applicano, laddove coerenti con la diversa struttura del soggetto vigilato, le disposizioni di cui all'art. 17.

6. Resta impregiudicata la responsabilità dell'organo amministrativo delle imprese del gruppo di cui all'art. 210-ter, comma 2, del Codice in merito all'osservanza delle disposizioni in materia di gestione dei rischi di cui alla Parte II, Titolo III, Capo II.

7. L'ultima società controllante italiana verifica che le società del gruppo di cui all'art. 210-ter, comma 2, del Codice concorrano all'attuazione delle strategie e delle politiche di gestione del rischio da essa definite al fine di garantire l'osservanza delle disposizioni in materia dettate per il gruppo.

1. L'organo amministrativo dell'ultima società controllante italiana definisce per il gruppo, ai sensi dell'art. 71, comma 2, lettera g), la propensione al rischio, fissando nell'ambito di essa l'obiettivo di solvibilità di gruppo, in coerenza con quanto previsto dall'art. 18, nonchè i relativi limiti di tolleranza.

1. L'ultima società controllante italiana provvede a definire le categorie di rischio a livello di gruppo in funzione della natura, portata e complessità dell'attività svolta dal gruppo, in un'ottica attuale e prospettica tenendo conto, laddove compatibile, di quanto previsto dall'art. 19, comma 1.

2. L'ultima società controllante italiana raccoglie in via continuativa informazioni sui rischi, interni ed esterni, esistenti e prospettici, a cui, anche in via potenziale, è esposto il gruppo e che possono interessare tutti i processi operativi e le aree funzionali. La procedura di censimento dei rischi e i relativi risultati sono adeguatamente documentati.

3. L'ultima società controllante italiana è in grado, attraverso un adeguato processo di analisi, anche mediante il ricorso agli strumenti di cui all'art. 32, comma 1, lettera f), di comprendere la natura dei rischi individuati e la loro origine, al fine di un'adeguata valutazione degli stessi, per la quale si richiamano le disposizioni di attuazione dell'art. 215-ter del Codice in materia di valutazione interna dei rischi e della solvibilità.

4. Ai fini di cui al comma 3, l'ultima società controllante italiana ricorre all'utilizzo di specifici stress test calibrati sul profilo di rischio o ad altre eventuali analisi quantitative, identificando eventuali rischi di breve e lungo termine, potenziali eventi o future modifiche nelle condizioni economiche che possono avere un impatto sfavorevole sulla complessiva situazione finanziaria e sul capitale di gruppo. Nel processo di valutazione dei rischi l'impresa utilizza scenari adeguati, basati sull'analisi del peggiore caso possibile, prendendo in considerazione ogni significativo effetto indiretto che può derivare.

5. L'ultima società controllante italiana definisce procedure in grado di evidenziare con tempestività l'insorgere di rischi significativi anche in una prospettiva di medio-lungo periodo ed in coerenza con quanto previsto dall'art. 258, paragrafo 3, degli atti delegati e dall'art. 215-bis del Codice, e, per le maggiori fonti di rischio identificate, predispone un adeguato piano di emergenza di gruppo.

6. Il piano di emergenza di gruppo è approvato dall'organo amministrativo dell'ultima società controllante italiana, ai sensi dell'art. 71, comma 2, lettera h), ed è rivisto e aggiornato periodicamente, con cadenza almeno annuale, in particolare in occasione di eventuali modifiche significative della struttura e dell'organizzazione del gruppo o dell'attività delle società che ne fanno parte, al fine di valutarne l'efficacia.

7. Il piano di emergenza di cui al comma 6 è reso accessibile a livello di gruppo al personale interessato, in modo da garantire la preventiva consapevolezza del proprio ruolo al ricorrere di situazioni di emergenza, individuando altresì in tali circostanze adeguati canali di comunicazione.

8. Su richiesta dell'IVASS, l'ultima società controllante italiana effettua analisi qualitative o quantitative standardizzate sulla base di fattori di rischio e parametri prefissati.

1. Il gruppo soggetto agli obblighi di informativa a fini di stabilità finanziaria, ai sensi degli articoli 190 e 191 del Codice e relative disposizioni di attuazione, redige un piano di emergenza rafforzato. Il piano:

a) contiene le informazioni previste dall'allegato 1 al presente regolamento riguardanti tale piano;

b) indica le caratteristiche generali delle società del gruppo interessate dal piano;

c) è coerente con il sistema di governo societario di gruppo;

d) non prevede il ricorso a misure di sostegno pubblico straordinario.

2. Le misure contenute nel piano di cui al comma 1 si fondano su ipotesi realistiche ed in particolare:

a) sono plausibili ed economicamente sostenibili;

b) consentono al gruppo di superare rapidamente ed efficacemente i diversi scenari di difficoltà finanziaria e di grave stress macroeconomico contemplati;

c) sono attivate o attivabili secondo una tempistica realistica;

d) tengono conto delle interconnessioni giuridiche e operative tra le società del gruppo, nonchè delle interconnessioni esterne al gruppo.

3. Ai fini di cui ai commi 1 e 2, l'ultima società controllante italiana individua gli scenari di stress macroeconomico e finanziario nonchè i possibili eventi, connessi alle attività svolte dalle società del gruppo, capaci di incidere negativamente sul profilo di rischio del gruppo in presenza dei quali attuare il piano di emergenza rafforzato.

4. L'IVASS valuta le modalità applicative nelle ipotesi in cui il gruppo di cui al comma 1 assolva ad obblighi analoghi, in quanto soggetto a disposizioni di vigilanza equivalenti a livello di conglomerato finanziario ai sensi del decreto legislativo 30 maggio 2005, n. 142.

5. L'IVASS, al fine di assicurare la sana e prudente gestione del gruppo, può estendere l'obbligo di redigere il piano di emergenza rafforzato di cui ai commi precedenti a gruppi diversi da quelli rilevanti a fini di stabilità finanziaria o ad ulteriori entità.

1. Il piano di emergenza rafforzato di gruppo di cui all'art. 83, a seguito dell'approvazione da parte dell'organo amministrativo dell'ultima società controllante italiana, è trasmesso annualmente entro trenta giorni dalla relativa approvazione all'IVASS, che ne verifica l'adeguatezza e la completezza indicando, se del caso, le modifiche da apportare al piano.

1. Si applicano al gruppo gli articoli 20, 21 e 22 in materia di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, nonchè le previsioni di cui all'allegato 1 con riguardo al contenuto della relativa politica.

2. Laddove il ricorso alla riassicurazione sia effettuato mediante un unico contratto che assicuri la copertura di affari per più società del gruppo, l'ultima società controllante italiana assicura che siano soddisfatte le seguenti condizioni:

a) il trattato sia controfirmato da ciascuna impresa del gruppo, o vi sia evidenza che la stipulante firma anche in nome e per conto di ogni impresa del gruppo;

b) le condizioni contrattuali del contratto di riassicurazione di gruppo prevedono un rapporto di riassicurazione diretto tra il riassicuratore e ciascuna impresa, con specifica e chiara evidenza delle condizioni di riassicurazione applicabili ad ogni impresa del gruppo.

3. In tale ipotesi ogni relazione negoziale conserva la sua specifica autonomia strutturale, regolamentare e funzionale, in modo che sia in ogni caso possibile avere distinta evidenza dei singoli rapporti giuridici e degli effetti che individualmente ne derivano.

1. A livello di gruppo la politica di gestione del capitale ed il relativo piano di gestione del capitale a medio termine, approvati dall'organo amministrativo dell'ultima società controllante italiana ai sensi di quanto previsto dall'art. 71, comma 2, lettera r), sono definiti in coerenza con gli articoli 23 e 24, tenendo anche conto della disponibilità a livello di gruppo dei fondi propri ammissibili, nonchè degli effetti delle operazioni infragruppo.

(integrato e modificato dall'art. 2, comma 11, del Provv. IVASS 5 marzo 2024, n. 142)

1. Tenuto conto di quanto previsto dall'art. 273 degli atti delegati e dagli articoli 212-bis, comma 1, lettera c) e 215-bis del Codice, si applica a livello di ultima società controllante italiana quanto previsto dall'art. 25 e dal Capo V-bis - "Procedure di valutazione dell'idoneità degli esponenti aziendali e dei titolari delle funzioni fondamentali" del presente regolamento. A tal fine, l'ultima società controllante italiana:

a) assicura il rispetto dell'art. 25, commi 1, 1-bis, 1-ter e 3, in coerenza con la politica di cui all'art. 71, comma 2, lettera p), definita per il gruppo dall'organo amministrativo di tale società;

b) verifica il possesso dei requisiti e il soddisfacimento dei criteri di idoneità alla carica in capo a coloro che svolgono funzioni di amministrazione, direzione e controllo presso tale società e, anche in caso di esternalizzazione, dei soggetti in essa titolari delle funzioni fondamentali, effettuando gli adempimenti di cui all'art. 25, comma 4 e al Capo V-bis "Procedure di valutazione dell'idoneità degli esponenti aziendali e dei titolari delle funzioni fondamentali" ed inviando all'IVASS le informazioni in conformità a quanto previsto dall'art. 25, comma 6.

1. Ai fini di cui all'art. 258, paragrafo 1, lettera b), degli atti delegati e dell'art. 215-bis del Codice, l'organo amministrativo dell'ultima società controllante italiana, nell'ambito del sistema di governo societario di gruppo:

a) costituisce le funzioni fondamentali a livello di gruppo, in modo proporzionato alla natura, alla portata e alla complessità dei rischi inerenti all'attività del gruppo ed in coerenza con quanto previsto dall'art. 70, commi 1 e 3 e dall'art. 71, comma 3;

b) assicura che le funzioni fondamentali svolgano a livello di gruppo i compiti ad essi attribuiti dalle disposizioni di cui alla Parte II, Titolo III, Capo VI;

c) valuta le modalità con cui le funzioni fondamentali di gruppo svolgono i compiti ad esse assegnati, tenendo in considerazione a tali fini la struttura del gruppo, il profilo di rischio e l'attività svolta, nonchè gli elementi di cui all'art. 70, comma 3.

2. L'attribuzione dei compiti alle funzioni fondamentali di gruppo è formalizzata in una apposita delibera dell'organo amministrativo dell'ultima società controllante italiana che ne definisce le responsabilità, i compiti, le modalità operative, la natura e la frequenza della reportistica agli organi sociali e alle altre funzioni interessate, in coerenza con il documento di cui all'art. 71, comma 2, lettera m). Al fine di garantire l'espletamento delle funzioni ad esse assegnate a livello di gruppo, sono altresì definite dall'organo amministrativo dell'ultima società controllante italiana le modalità ed i meccanismi di riporto con le funzioni e gli organi sociali interessati.

3. La struttura e l'assegnazione della titolarità delle funzioni fondamentali a livello di gruppo è in ogni caso coerente con quanto previsto dagli articoli 27 e 28.

4. Il piano di attività, redatto dal titolare della funzione fondamentale a livello di gruppo, è approvato dall'organo amministrativo dell'ultima società controllante italiana. A tale piano e alla relazione dell'attività svolta dal titolare della funzione fondamentale a livello di gruppo si applicano gli articoli 29 e 30.

5. In coerenza con quanto previsto dall'art. 74 del presente regolamento, nell'ambito del gruppo, con particolare riguardo alle società di cui all'art. 210-ter, comma 2, del Codice, è assicurata la collaborazione tra le funzioni, strutture e gli organi deputati al controllo, secondo quanto previsto dall'art. 31 del presente regolamento. La definizione e formalizzazione dei collegamenti tra tali strutture e organi è rimessa all'organo amministrativo dell'ultima società controllante italiana.

6. L'organo amministrativo dell'ultima società controllante italiana del gruppo assicura che le soluzioni adottate non siano in contrasto con la sana e prudente gestione del gruppo, avendo cura di evitare l'eccessiva concentrazione di poteri, e non ostacolino il corretto esercizio dei poteri di vigilanza sul gruppo da parte dell'IVASS, in coerenza con quanto previsto dal Titolo XV del Codice e relative disposizioni di attuazione.

1. La funzione di gestione dei rischi di gruppo, costituita secondo quanto previsto dall'art. 88, assolve a livello di gruppo i compiti ad essa assegnati dall'art. 32, concorrendo altresì al perseguimento degli obiettivi del sistema di gestione dei rischi di gruppo di cui al Capo II del presente Titolo. Per l'espletamento dei propri compiti la funzione tiene conto della rilevanza delle società del gruppo secondo quanto previsto dall'art. 70, comma 3, nonchè degli specifici rischi individuati in coerenza con l'art. 80, comma 4, fornendo il proprio contributo per assicurare il rispetto degli articoli 80, 81 e 82. Il titolare della funzione è nominato ed assolve i compiti ad esso assegnati dall'art. 28.

1. La funzione di verifica della conformità di gruppo, costituita secondo quanto previsto dall'art. 88, persegue gli obiettivi e assolve a livello di gruppo i compiti ad essa assegnati dagli articoli 33 e 34. Il titolare della funzione è nominato ed assolve i compiti ad esso assegnati dall'art. 28.

1. La funzione di revisione interna di gruppo, costituita secondo quanto previsto dall'art. 88, persegue gli obiettivi e assolve a livello di gruppo i compiti ad essa assegnati dagli articoli 35, 36.

2. Il titolare della funzione è nominato ed assolve i compiti ad esso assegnati in coerenza con quanto previsto dall'art. 37.

1. L'ultima società controllante italiana richiede alla funzione attuariale di gruppo, costituita, ove rilevante, secondo quanto previsto dall'art. 88, di fornire un'opinione sulla politica di riassicurazione e delle ulteriori tecniche di mitigazione del rischio, nonchè sul programma di riassicurazione del gruppo complessivamente considerato, che include un parere sugli accordi di riassicurazione, sulle altre forme di trasferimento o sulle altre tecniche di mitigazione del rischio, relativamente ai rischi legati all'esercizio dell'attività assicurativa di gruppo. Laddove appropriato in relazione alla tipologia dei contratti, in particolare in presenza del riconoscimento da parte dell'impresa di una partecipazione discrezionale all'utile da essa realizzato, la funzione attuariale di gruppo esprime un parere, anche ai fini della distribuzione dei dividendi, in merito alla attribuzione di rendimento e all'adeguatezza dei premi e dei riconoscimenti accordati, nonchè della metodologia utilizzata ai fini della loro determinazione.

2. La funzione attuariale di gruppo fornisce altresì consulenza ed esprime pareri con riguardo ai seguenti aspetti:

a) rischi di sottoscrizione di gruppo;

b) aspetti connessi alla gestione delle attività-passività;

c) la solvibilità del gruppo, anche prospettica mediante stress test e analisi di scenario nelle aree relative alle riserve tecniche e alla gestione delle attività-passività;

d) politiche di sottoscrizione e riservazione.

3. Si applica a livello di gruppo, in coerenza con la diversa struttura del soggetto vigilato, l'art. 38.

4. Il titolare della funzione è nominato ed assolve i compiti ad esso assegnati in coerenza con quanto previsto dall'art. 28.

1. L'organo amministrativo dell'ultima società controllante italiana, ai sensi di quanto previsto dall'art. 71, comma 2, lettera n), definisce, in coerenza con le strategie e la politica di gestione del rischio del gruppo, con la propensione al rischio ed i limiti di tolleranza al rischio di gruppo, le politiche di remunerazione del gruppo, garantendo che esse siano adeguatamente calibrate rispetto alle caratteristiche delle società del gruppo, tenendo conto dei criteri a tal fine individuati dall'art. 70, comma 3 e di quanto previsto dall'art. 39.

2. Le politiche di remunerazione di gruppo si applicano anche a coloro che svolgono funzioni di amministrazione, direzione e controllo presso l'ultima società controllante italiana ai titolari e al personale di livello più elevato delle funzioni fondamentali di gruppo nonchè all'ulteriore personale rilevante, identificato dall'ultima società controllante italiana, ai sensi dell'art. 2, comma 1, lettera m).

3. Ai fini di cui al comma 1, l'organo amministrativo dell'ultima società controllante italiana assicura:

a) la complessiva coerenza delle politiche e prassi di remunerazione del gruppo, verificandone la coerente attuazione da parte delle società del gruppo;

b) la conformità delle remunerazioni delle società del gruppo ai principi e alle regole contenute nel presente Capo e, nel caso di società estere, l'assenza di contrasto con il quadro normativo dello Stato estero e della regolamentazione di settore;

c) l'adeguata gestione dei rischi significativi a livello di gruppo connessi ad aspetti attinenti alle remunerazioni delle società del gruppo.

4. Le società del gruppo mantengono la responsabilità del rispetto delle disposizioni ad esse direttamente applicabili in materia di remunerazioni e della corretta attuazione degli indirizzi forniti in materia dalla ultima società controllante italiana.

5. Si applicano al gruppo le disposizioni di cui alla Parte II, Titolo III, Capo VII, Sezioni II, III, IV, V, VI.

6. Si applicano altresì a livello di gruppo gli articoli 58 e 59, relativamente alla verifica in merito all'attuazione della politica di remunerazione, nonchè all'informativa all'assemblea sull'applicazione delle politiche di remunerazione e sui compensi da trasmettersi all'IVASS ad integrazione di quella resa ai sensi dell'art. 216-octies del Codice. Per il gruppo ai fini delle verifiche di cui all'art. 58 si tiene conto di intervenute modifiche alla rischiosità o al contributo al profilo di rischio del gruppo.

1. All'esternalizzazione a livello di gruppo si applicano le disposizioni di cui alla Parte II, Titolo III, Capo VIII. Se l'esternalizzazione avviene nei confronti di un fornitore ricompreso tra le società di cui all'art. 210-ter, comma 2 del Codice, si applica il regime semplificato di cui agli articoli 67, comma 2 e 68, comma 2.

1. In sede di prima applicazione, le imprese di cui all'art. 3 si adeguano alle previsioni del regolamento entro il termine del 31 dicembre 2019, adottando le opportune delibere entro il mese di giugno 2019.

2. Ove l'adeguamento richieda modifiche statutarie, tra cui la definizione del requisito di indipendenza dei componenti dell'organo amministrativo, la previsione del ruolo non esecutivo del presidente dell'organo amministrativo, la composizione dei comitati endoconsiliari, di cui agli articoli 5, commi 2, lettera z), 5 comma 9, 6 e 43, queste sono apportate in tempo utile ad assicurare che dispieghino i propri effetti sugli eventuali rinnovi degli organi sociali deliberati in occasione dell'assemblea chiamata ad approvare il bilancio 2018. In deroga al comma 1 le imprese assicurano l'adeguamento compiuto al più tardi entro il 2021.

3. Entro il termine per l'approvazione del bilancio 2018, le imprese sottopongono all'assemblea, per la relativa approvazione, la politica di remunerazione e approvano la politica di esternalizzazione, definite secondo le disposizioni del presente regolamento. In deroga al termine del 31 dicembre 2019 di cui al comma 1, con riferimento agli incarichi e ai contratti in corso, adottano ogni iniziativa per l'adeguamento, compatibilmente con la disciplina che ne regola la modificabilità, al più tardi entro la relativa scadenza, dandone adeguata formalizzazione nelle politiche e nell'Informativa al Supervisore di cui all'art. 47-quater del Codice e relative disposizioni di attuazione. Nel conferimento di incarichi e nella stipulazione di contratti intervenuta successivamente all'entrata in vigore del regolamento e prima dell'approvazione di tali politiche, tengono conto delle disposizioni del presente regolamento in materia di esternalizzazione e remunerazione.

1. Dalla data di entrata in vigore del presente regolamento sono abrogati:

a) il regolamento ISVAP n. 20 del 26 marzo 2008;

b) il regolamento ISVAP n. 39 del 9 giugno 2011.

2. Dalla data di entrata in vigore del presente regolamento la circolare ISVAP n. 574/D del 23 dicembre 2005 si applica alle sole imprese locali di cui al Titolo IV, Capo II, del Codice.

1. Il presente regolamento è pubblicato nella Gazzetta Ufficiale della Repubblica italiana, nel Bollettino dell'IVASS e sul sito istituzionale.

2. Il presente regolamento entra in vigore il giorno successivo alla sua pubblicazione.

Roma, 3 luglio 2018

p. Il Direttorio integrato

Il presidente

ROSSI