Informativa sui rischi

Rischi e incertezze

Il Gruppo ERG ha avviato l'implementazione di un modello integrato di gestione dei rischi basato su un approccio sistematico diretto all'individuazione dei rischi prioritari, alla valutazione dei potenziali effetti negativi e alle opportune azioni di mitigazione da intraprendere.

In tale ambito, i principali rischi identificati, monitorati e gestiti da ERG sono i seguenti:

  • Rischi di mercato

    I rischi di mercato comprendono tre tipi di rischi: rischio di cambio, rischio di tasso di interesse e rischio prezzo. In particolare:

    Rischio di cambio
    Il rischio di cambio è il rischio connesso alle oscillazioni del tasso di cambio delle diverse divise contro la valuta di riferimento Euro. Nello specifico, tali oscillazioni possono avere considerevoli impatti:

    • sul risultato economico per effetto della differente significatività di costi e ricavi in valuta rispetto al momento in cui sono state definite le condizioni di prezzo (rischio economico);
    • sul risultato economico per effetto della conversione di crediti/debiti commerciali o finanziari denominati in valuta (rischio transattivo);
    • sul bilancio consolidato (risultato economico e patrimonio netto) per effetto della conversione di attività e passività di imprese che redigono il bilancio in altra valuta (rischio traslativo).


    Il Gruppo ERG adotta una strategia prudenziale di esposizione al rischio cambio, riducendo i possibili impatti economici legati alla volatilità dei tassi di cambio sul mercato finanziario. L'utilizzo di strumenti derivati è autorizzato esclusivamente a fronte dell'esistenza di un sottostante per perseguire la riduzione degli impatti economici legati alla volatilità dei tassi di cambio sul mercato finanziario ed è monitorato dal Risk Committee. Nel Gruppo ERG non sono consentite operazioni in strumenti derivati aventi finalità speculative e tale regola è disciplinata nella Risk Policy di Gruppo.Le strategie di mitigazione di tali rischi sono realizzate in accordo con quanto stabilito nelle policy aziendali.

    Rischio di tasso di interesse
    Il rischio di tasso di interesse identifica la variazione nel livello dei tassi di interesse che può comportare una variazione di valore delle posizioni finanziarie e del relativo livello di onerosità. In tal senso, le variazioni dei tassi di mercato possono avere impatti negativi sul livello di oneri finanziari tali da compromettere la stabilità finanziaria del Gruppo e la sua adeguatezza patrimoniale. Il Gruppo ERG utilizza diverse forme di finanziamento per la copertura dei fabbisogni delle proprie attività industriali. Eventuali variazioni nei livelli dei tassi di interesse potrebbero pertanto determinare variazioni sfavorevoli nel costo dei finanziamenti. La politica di gestione del rischio tasso persegue l'obiettivo di limitare tale volatilità attraverso l'individuazione di un mix equilibrato di finanziamenti a tasso fisso e a tasso variabile e l'utilizzo di strumenti derivati di copertura che limitino gli effetti delle fluttuazioni dei tassi di interesse. Per l'analisi dei rischi è stato sviluppato internamente un modello che permette di determinare l'esposizione al rischio valutando l'impatto che le oscillazioni dei tassi di interesse hanno sui flussi finanziari prospettici. Coerentemente con le proprie politiche di gestione dei rischi, il Gruppo ERG utilizza contratti come Interest Rate Swap. L'utilizzo di strumenti derivati è autorizzato esclusivamente a fronte dell'esistenza di un sottostante per perseguire la riduzione degli impatti economici legati alla volatilità dei tassi di interesse ed è monitorato dal Risk Committee. Nel Gruppo ERG non sono consentite operazioni in strumenti derivati aventi finalità speculative e tale regola è disciplinata nella Risk Policy di Gruppo.
    Le strategie di mitigazione di tali rischi sono realizzate in accordo con quanto stabilito nelle policy aziendali.

    Rischio prezzo Commodity
    Il rischio prezzo è identificato come la possibilità che le fluttuazioni del prezzo degli acquisti e delle vendite producano significative variazioni dell'EBITDA di Gruppo, determinando un impatto sul risultato economico tale da compromettere il raggiungimento degli obiettivi definiti nel piano strategico. Nell'esercizio della sua attività, il Gruppo ERG è esposto al rischio di oscillazione dei prezzi dell'energia elettrica, delle commodity petrolifere, del gas e della CO2.

    L'esposizione al rischio prezzo dell'energia elettrica deriva essenzialmente dall'attività di vendita sui mercati spot (Borsa) dell'energia prodotta e non contrattualizzata mediante contratti "a termine" (contratti bilaterali fisici). Il Gruppo ERG minimizza il possibile impatto derivante dall'oscillazione del prezzo di vendita e acquisto dell'energia elettrica su posizioni aperte attraverso specifica copertura delle posizioni lunghe e corte derivanti dalla propria attività di produttore e fornitore di energia elettrica, il tutto nel rispetto dei limiti di P@R (Profit @ Risk) approvati. L'esposizione al rischio prezzo del gas è insito nella volatilità del prezzi di acquisto e vendita del gas su posizioni aperte. Il Gruppo ERG persegue l'obiettivo di copertura delle posizioni aperte attraverso il bilanciamento delle formule di prezzo nelle attività di commercializzazione e trasformazione del gas naturale nel rispetto dei limiti di P@R (Profit @Risk) approvati. Infine, il Gruppo ERG è esposto al rischio prezzo della CO2.

    Si identifica con tale rischio l'eventualità che il Gruppo ERG possa incorrere in danni economici derivanti dalle fluttuazioni nel mercato della CO2. Al fine di mitigare tale rischio, ERG opera in modo da mantenere bilanciata la formula di acquisto con quella di riaddebito per le quote CO2 legate ai contratti commerciali, mentre per le quote legate alle vendite di energia elettrica al mercato si opera nei limiti di rischio approvati dal CEO previo parere consultivo del Risk Committee. Dal punto di vista operativo, sull'intero portafoglio di asset e contratti del Gruppo (cd. Portafoglio Industriale) viene calcolata l'esposizione netta, cioè l'esposizione che residua dopo aver sfruttato le possibilità di integrazione verticale e orizzontale delle diverse filiere di business. Sulla base dell'esposizione netta viene calcolato un livello complessivo di Capitale Economico di rischio associato (espresso in milioni di euro), misurato tramite il P@R (Profit at Risk).

    Annualmente, vengono definiti i limiti di P@R e, in coerenza con la Policy di Rischio di cui si è dotato il Gruppo ERG, viene monitorato il rispetto di tali limiti, definendo, ove necessario, strategie di copertura volte a riportare il rischio entro i limiti definiti. Il rischio viene gestito monitorando costantemente l'esposizione netta totale del portafoglio di Gruppo e agendo sui fattori che ne condizionano maggiormente l'andamento. Attraverso la gestione di strumenti finanziari derivati si persegue l'obiettivo di stabilizzare i flussi di cassa generati dal portafoglio di asset e dai contratti in essere, contribuendo a garantire l'equilibrio economico e finanziario del Gruppo. Dal punto di vista organizzativo, il modello di Governance adottato dal Gruppo prevede la separazione delle funzioni di controllo e gestione del rischio in oggetto dall'operatività in derivati.

    L'utilizzo di strumenti derivati è autorizzato esclusivamente a fronte dell'esistenza di un sottostante per perseguire la riduzione degli impatti economici legati alla volatilità dei prezzi sul mercato finanziario ed è monitorato dal Risk Committee. Nel Gruppo ERG non sono consentite operazioni in strumenti derivati aventi finalità speculative e tale regola è disciplinata nella Risk Policy di Gruppo.
  • Rischio regolatorio
    Si definisce tale il rischio legato all'evoluzione del contesto normativo locale, nazionale e/o internazionale. Tale evoluzione, in considerazione del forte grado di regolamentazione delle aree di business in cui il Gruppo ERG opera, può determinare impatti economici negativi sulle aree di business attive e/o potenziali.
    Il Gruppo ERG opera in un settore fortemente regolamentato. Tra i fattori di rischio nell'attività di gestione va pertanto considerata l'evoluzione costante e non sempre prevedibile del contesto normativo e regolatorio di riferimento.
    Il Gruppo monitora in maniera continuativa l'evoluzione del contesto normativo di riferimento,al fine di prevenire e/o mitigarne per quanto possibile gli effetti sulle diverse aree di business, attraverso un presidio articolato su più livelli, che prevede il dialogo collaborativo con le istituzioni e con gli organismi di governo e regolazione del settore attraverso la partecipazione attiva ad associazioni di categoria e a gruppi di lavoro istituiti presso gli stessi enti, nonché l'esame delle evoluzioni normative e dei provvedimenti dell'Autorità di settore.
    A tal fine, il Gruppo ERG ha costituito specifiche Unità Organizzative nelle diverse Business Unit dedicate al monitoraggio continuo dell'evoluzione normativa nazionale e internazionale di riferimento.
    Non si possono escludere futuri cambiamenti nelle politiche normative adottate dall'Unione Europea o a livello nazionale che potrebbero avere ripercussioni impreviste sul quadro normativo di riferimento e, di conseguenza, sull'attività e sui risultati del Gruppo ERG.
  • Rischio nuovi investimenti
    Si fa riferimento con tale rischio all'insieme di eventi incerti originati da diversi fattori, ad esempio scenario (micro/ macro-economico, politico, normativo, di Business), tecnici, operativi, finanziari, organizzativi, etc. che possono impattare sulla decisione di una Nuova Iniziativa di Investimento e sulla sua riuscita, per i quali non è possibile sviluppare una previsione certa dell'andamento nel periodo di vita del Progetto, con conseguenti perdite economiche o patrimoniali, o peggioramento dell'immagine del Gruppo.

    Il Gruppo ERG ha definito uno specifico processo strutturato per la selezione degli investimenti, che per tipologia di importo e caratteristica dell'operazione devono superare una serie di successivi livelli di esame e approvazione da parte dell'Investment Committee, del Comitato Strategico e del Consiglio di Amministrazione prima di poter essere attuati, sulla base, tra l'altro, di studi interni ed esterni di supporto, analisi di benchmark, analisi giuridico-normativa, modelli di sostenibilità e valutazione finanziaria. Il Gruppo gestisce i possibili rischi legati ai nuovi investimenti valutando, per tutti i progetti Rilevanti, i rischi potenziali (tecnici, stakeholders, scenario, ecc.) associati.

    Il Gruppo ERG monitora e gestisce il rischio attraverso analisi e strumenti a supporto dell'iter formale di valutazione e approvazione dei Progetti di Investimento, di cui se ne riportano quelli principali:
    • analisi di fattibilità tecnica, legale, commerciale, economica e organizzativa;
    • assessment dei driver di rischio/incertezza (a 360°) che possono influenzare il Progetto con relativo piano di mitigazione;
    • calcolo degli economics di Progetto con utilizzo ove necessario di modelli probabilistici previsionali e a consuntivo;
    • stima della contingency (cost/time) di Progetto;
    • valutazione ex post della performance dell'investimento (Re-appraisal).
    Le strategie di mitigazione di tali rischi sono realizzate in accordo con quanto stabilito nelle policy aziendali.
  • Rischio Capitale Umano
    Si definisce tale il rischio che il Capitale Umano del Gruppo ERG, definito come l'insieme delle competenze, conoscenze, istruzione, informazione e capacità tecniche che danno luogo alla capacità umana di creare valore per l'impresa, sia quantitativamente e qualitativamente inadeguato rispetto all'evoluzione delle esigenze strategiche di business.

    Essendo il Capitale Umano un fattore chiave del proprio modello di business, il Gruppo ERG monitora e gestisce tale rischio attraverso lo Human Capital Commette e specifiche strutture di Human Capital che garantiscono il processo di pianificazione del Capitale Umano, la valorizzazione e il costante allineamento dello stesso agli obiettivi di business e alle strategie definite e lo sviluppo della cultura manageriale ERG, attraverso:
    • modello innovativo di gestione delle competenze misurato con un indice di "ritorno sul Capitale Umano";
    • processi e strumenti di sviluppo e di formazione del personale;
    • piani di successione, piani di carriera e progetti di mobilità interna del personale;
    • processi di recruiting e selezione;
    • processi di analisi del potenziale, sviluppo dei comportamenti manageriali e sviluppo dei talenti;
    • analisi dei fabbisogni formativi delle Risorse Umane e relativi interventi correttivi;
    • piano di formazione istituzionale e manageriale.

    Inoltre, lo Human Capital Committee, definisce e monitora i principali programmi e attività di sviluppo delle risorse umane e supporta l'Executive Vice President e il CEO nelle decisioni relative alla gestione del personale e a quella dei sistemi di remunerazione variabile e incentivazione a medio-lungo termine, nonché per le proposte da presentare al Comitato Nomine e Compensi. Le strategie di mitigazione di tali rischi sono realizzate in accordo con quanto stabilito nelle policy aziendali.
  • Rischio di liquidità

    Si definisce tale il rischio derivante dalla mancanza di risorse finanziarie per far fronte agli impegni commerciali e finanziari sia a breve sia a medio/lungo termine. Questa tipologia di rischio considera l'eventualità che l'impresa non sia in grado di rispettare gli impegni di pagamento a causa della difficoltà di reperire fondi (funding liquidity risk), di liquidare attività sul mercato (asset liquidity risk) o a causa di un'inadeguata gestione della liquidità aziendale. La conseguenza può consistere in un peggioramento della reputazione della società nei confronti degli stakeholder, nella riduzione del rating19 finanziario dell'azienda e in conseguenti difficoltà di accesso al credito, in un impatto negativo sul risultato economico in termini di aumento di costi, oneri finanziari e/o maggiori imposte o, come estrema conseguenza, in una situazione di insolvibilità che pone a rischio la continuità aziendale. La gestione dei rischi mira a definire, nell'ambito del processo di pianificazione, una struttura finanziaria che, in coerenza con gli obiettivi dei business e con i limiti definiti dal Consiglio di Amministrazione, garantisca un livello dliquidità adeguato per ERG, minimizzando il relativo costo-opportunità e mantenendo un equilibrio in termini di durata e di composizione del debito Il Gruppo ERG garantisce l'adeguata copertura dei propri fabbisogni finanziari con la generazione di flussi di cassa e con la disponibilità di fonti di finanziamento diversificate, nonché garantendo il mantenimento di un liquidity buffer sufficiente a far fronte ad eventuali impegni inattesi. Nello specifico, ERG gestisce il rischio liquidità attraverso la sistematica generazione di cassa da parte delle proprie attività e attuando specifici processi strutturati di pianificazione e monitoraggio di una struttura finanziaria equilibrata per durata e composizione. Le strategie di mitigazione del rischio sono realizzate in accordo con quanto stabilito nelle policy aziendali.

    19 Si specifica che il Gruppo ERG non ha mai richiesto l'attribuzione di un rating da parte delle agenzie internazionali non avendo ritenuto sino ad oggi tale operazione necessaria. Tuttavia il termine "rating" è esteso, in questa sede, al giudizio e valutazione degli analisti (sell/hold/buy) e degli istituti di credito.

  • Rischio di credito
    Il rischio di credito consiste nel deterioramento del merito creditizio di una controparte nei cui confronti esiste un'esposizione tale da provocare una variazione non prevedibile del valore della posizione a credito con conseguenze negative per la stabilità economico-patrimoniale del Gruppo; oltre alla possibilità di insolvenza (default), si fa anche riferimento all'eventualità di deterioramento del merito creditizio di una controparte.

    Il Gruppo ERG gestisce il rischio credito con l'obiettivo di ottimizzare il profilo di rischio nel perseguimento degli obiettivi commerciali e di business, tramite processi strutturati in cui specifiche Unità Organizzative e il Credit Committee valutano il merito creditizio, monitorano costantemente il livello di esposizione complessivo per singola controparte e definiscono e attuano le eventuali azioni correttive. Inoltre, nell'ambito dei processi di vendita, il Gruppo assegna ad ogni controparte uno specifico livello di affidamento non superabile o, in alternativa, effettua operazioni in vendita previa presentazione di idonea garanzia (es. lettera di credito).

    Le strategie di mitigazione del rischio sono realizzate in accordo con quanto stabilito nelle policy aziendali.
  • Rischio di default e covenant

    Tale rischio attiene alla possibilità che i contratti di finanziamento stipulati contengano disposizioni che, al verificarsi di determinati eventi, legittimino le controparti a chiedere al debitore l'immediato rimborso delle somme prestate, generando conseguentemente un rischio di liquidità.

    Il Gruppo ERG, al fine di finanziare le proprie iniziative di sviluppo, ricorre a indebitamento di medio/lungo termine e prevalentemente attraverso operazioni di project financing, ovvero tecniche di finanziamento a lungo termine in cui il rimborso del finanziamento stesso è garantito dai flussi di cassa previsti dalla attività di gestione dell'opera prevista nel progetto.

    Allo stato attuale non si è a conoscenza di alcuna situazione di breach dei covenant finanziari né di default delle società del Gruppo ERG.

  • Rischio volume

    I volumi di produzione sono soggetti a variabilità, sia a causa della naturale variabilità delle fonti di produzione rinnovabile, sia a causa di eventuali indisponibilità degli impianti. Il rischio legato alla naturale variabilità nella disponibilità delle fonti eoliche, che come noto variano in funzione delle condizioni climatiche dei siti nei quali si trovano gli impianti, viene mitigato attraverso la diversificazione geografica del parco di produzione.

    Il rischio legato a eventuali malfunzionamenti degli impianti, o a eventi accidentali avversi che ne compromettano temporaneamente la funzionalità, viene mitigato dal Gruppo ERG ricorrendo alle migliori strategie di prevenzione e protezione, incluse tecniche di manutenzione preventiva e predittiva, nonché applicando le migliori best practice in materia. Il rischio residuo viene gestito con il ricorso a specifici contratti di assicurazione, finalizzati alla copertura di un ampio spettro di rischi operativi, incluse eventuali perdite economiche da mancata produzione.
    Le strategie di mitigazione del rischio sono realizzate in accordo con quanto stabilito nelle policy aziendali.

  • Rischio di interruzione del Business
    Si individua con tale espressione il rischio connesso al verificarsi di fenomeni di carattere naturale, incidentale o catastrofico (i.e. terremoti, alluvioni, maremoti, incendi, etc.), durante l'esercizio delle attività di business, con conseguenze negative per il Gruppo in termini economici o di conservazione degli asset aziendali, tali da mettere in condizioni di forte criticità l'operatività routinaria o da minare la stabilità e l'equilibrio del Gruppo in modo significativo e durevole.
    Per quanto i rischi di indisponibilità degli impianti siano da ritenersi intrinseci al business e non del tutto eliminabili, in relazione ai rischi di carattere incidentali, il Gruppo pone in essere presso tutte le Business Unit strategie di mitigazione preventiva volte a ridurne le probabilità di interruzione del business e strategie di azione finalizzate ad attenuarne gli eventuali impatti.

    In particolare, il Gruppo ERG mitiga tali rischi attraverso politiche adeguate di gestione degli impianti volte al perseguimento di elevati livelli di sicurezza e di eccellenza operativa in linea con le migliori pratiche industriali.
    La salvaguardia degli impianti e delle infrastrutture del Gruppo prevede l'adozione e il continuo aggiornamento, in linea con le best practice di settore, di procedure di manutenzione programmata, sia ordinaria che preventiva, volta ad identificare e impedire potenziali criticità, anche sulla base di specifiche analisi ingegneristiche compiute da personale tecnico altamente specializzato.

    È prevista, inoltre, la revisione periodica degli impianti e l'utilizzo di strumenti di controllo e telecontrollo dei parametri tecnici per il monitoraggio e la tempestiva rilevazione delle eventuali anomalie oltre che, ove possibile, il ricorso alla ridondanza delle componenti necessarie a garantire la continuità dei processi produttivi. Viene inoltre garantita l'erogazione continua di corsi di formazione specifica per il personale tecnico.
    È inoltre prevista la progressiva adozione di software e sensori avanzati per il calcolo del rendimento effettivo degli impianti, volti a permettere un approccio ulteriormente predittivo, rispetto al passato, per la programmazione ed esecuzione delle manutenzioni.

    La graduale adozione di tali presidi è anche prevista nei casi di acquisizione di nuovi siti produttivi per favorirne l'allineamento agli standard di Gruppo e alle best practice in materia.
    Per quanto concerne i processi produttivi, particolare attenzione viene data alle attività di prevenzione e controllo dei rischi a questi connessi, attraverso la realizzazione di Risk Assessment, Business Impact Analysis e un'attività di Business Continuity Management, con la finalità di garantire la continuità operativa degli impianti industriali di produzione.
    Una tematica di rischio che assume sempre più rilevanza è quella relativa ai sabotaggi, che potrebbero ostacolare il corretto svolgimento delle attività operative, con potenziali ripercussioni sulla sicurezza del personale operativo, dei siti e dell'ambiente circostante, nonché impatti di natura economica a fronte dell'interruzione delle attività produttive.
    A mitigazione di tale rischio, sono in essere specifiche procedure che disciplinano le modalità operative di accesso agli impianti, sistemi di controllo degli accessi con badge, telecamere, servizi di vigilanza, per il controllo dei siti maggiormente
    esposti ad intrusioni.

    Per coprire i rischi di carattere naturale e catastrofici, per il trasferimento dei propri rischi industriali e verso terzi e coprire i rischi residuali, il Gruppo ERG ricorre al mercato assicurativo, garantendo un alto profilo di protezione per le proprie strutture anche per quanto concerne l'interruzione di attività. Le condizioni contrattuali che caratterizzano tali polizze assicurative sono state oggetto di revisione in coerenza alle modalità di funzionamento degli impianti e alle condizioni dei mercati dell'energia.

    Le strategie di mitigazione del rischio sono realizzate in accordo con quanto stabilito nelle policy aziendali.
  • Rischio Salute, Sicurezza e Ambiente (HSE)
    Il Rischio HSE è principalmente legato alla gestione degli asset industriali che hanno un impatto sulle tematiche ambientali e di salute e sicurezza dei lavoratori.
    I rischi per la Salute sono quelli con potenziale impatto e compromissione dell'equilibrio biologico del personale addetto ad operazioni o a lavorazioni, a seguito di emissione nell'ambiente di fattori ambientali di rischio, di natura chimica, fisica e biologica.
    I rischi per la Sicurezza sono i rischi riconducibili al verificarsi di incidenti o infortuni, ovvero di danni o menomazioni fisiche (più o meno gravi) subite dalle persone addette alle varie attività lavorative.
    Il Gruppo ERG, fortemente impegnato nella mitigazione di tali rischi, ha adottato specifiche linee guida in materia di salute, sicurezza e ambiente che prevedono il rispetto, da parte di tutte le Società del Gruppo, di tutte le normative in vigore, il perseguimento di specifici obiettivi di performance, la continua formazione del personale e la certificazione di specifici sistemi integrati di gestione in materia HSE, in linea con le migliori best practice di riferimento.
    Il Gruppo ERG, inoltre, adotta standard di sicurezza e pratiche operative di elevata qualità e affidabilità al fine di assicurare la compliance normativa, il miglioramento continuo delle performance ambientali e l'efficacia delle azioni intraprese in termini di prevenzione e contenimento dei possibili impatti ambientali.
    In particolare, le Società che gestiscono asset industriali, che per loro natura sono maggiormente esposte al rischio HSE, sono tutte dotate di un sistema certificato di Gestione OHSAS 18001 e ISO 14001, nonché il conseguimento della certificazione EMAS sui principali impianti.
    Le Società che non gestiscono asset industriali sono dotate di un sistema certificato di Gestione OHSAS 18001.
    Nel corso del 2015 sono state effettuate le visite periodiche da parte degli enti certificatori che hanno rilasciato e/o confermato le certificazioni in possesso dalle Società del Gruppo.
    Inoltre, il Gruppo persegue l'obiettivo di assenza di infortuni, attraverso un presidio strutturato dei temi di salute e sicurezza e lo sviluppo di numerosi programmi di prevenzione e diffusione di una "cultura della sicurezza", rivolti sia al personale sia ai fornitori. L'attenzione alle persone si esprime, inoltre, attraverso iniziative nell'ambito dello sviluppo personale, della valutazione delle performance a tutti i livelli e della condivisione delle best practice.
    L'adozione delle migliori tecnologie disponibili, l'applicazione di pratiche operative sempre più rigorose e stringenti in termini di prevenzione e riduzione dell'inquinamento e la corretta gestione dei rifiuti prodotti consentono di gestire in modo efficiente l'attività industriale e le tematiche ambientali correlate.
    Annualmente il Gruppo ERG pubblica il proprio Bilancio di Sostenibilità in cui sono riportate informazioni e dati salienti in merito agli aspetti HSE e sociali connessi all'attività del Gruppo stesso.Le strategie per la salute, la sicurezza e l'ambiente sono realizzate in accordo con quanto stabilito nelle policy aziendali e declinate nel Documento "Regole comportamentali in materia di Salute, Sicurezza e Ambiente".
  • Rischi di Information & Communication Technology

    Si identifica con il rischio informatico l'inadeguatezza dell'insieme delle misure tecniche e organizzative volte ad assicurare la protezione dell'integrità, della disponibilità, della confidenzialità dell'informazione automatizzata e delle risorse usate per acquisire, memorizzare, elaborare e comunicare tale informazione. Tale rischio attraverso il crescente uso di soluzioni tecnologiche nella gestione dei processi di business e nelle modalità di comunicazione e la sempre maggiore diffusione e pervasione del fenomeno del Cyber Crime, ha notevolmente accresciuto l'esposizione delle informazioni a minacce e rischi legati alla perdita di confidenzialità, integrità e disponibilità di dati riservati.
    In particolare, si identificano i seguenti rischi legati ai sistemi informativi:

    • rischio vulnerabilità dei sistemi informativi: si identifica con tale rischio l'eventualità che l'architettura/Framework dei sistemi IT sia vulnerabile ad attacchi interni/esterni o esposta a eventi incidentali a causa di difetti nella progettazione, nell'implementazione, nella configurazione e/o nella gestione operativa , nonché nell'assenza di consapevolezza dei rischi derivanti da attacchi informatici da parte della popolazione aziendale;
    • rischio disastro tecnologico: si identifica con tale rischio l'eventualità che le infrastrutture tecnologiche a servizio dell'operatività aziendale siano drammaticamente compromesse da eventi incidentali.

    Le attività del Gruppo ERG sono gestite attraverso sistemi informativi che supportano i principali processi aziendali, sia operativi che amministrativi e commerciali. L'inadeguatezza, la frammentazione delle piattaforme esistenti o il mancato aggiornamento di tali sistemi informativi rispetto alle esigenze di business, la loro eventuale indisponibilità, la non adeguata gestione degli aspetti legati all'integrità e alla riservatezza delle informazioni, l'assenza di una continua campagna di sensibilizzazione del personale aziendale e di formazione specifica per il personale tecnico in particolare, rappresentano potenziali fattori di rischio che il Gruppo mitiga attraverso appositi presidi di controllo, in linea con gli standard ISO 27001:2013 e del Modello Cobit 5.
    Il percorso di integrazione e consolidamento dei sistemi informativi all'interno del Gruppo, definito sulla base dei cambiamenti degli assetti societari intervenuti negli esercizi precedenti, attualmente in corso, porterà al raggiungimento di importanti benefici e la conseguente riduzione dei rischi ICT associati grazie ad un approccio basato sulla gestione dei rischi. Lo sviluppo ed efficientamento del complesso di sistemi informativi utilizzati dal Gruppo sono ulteriormente perseguiti attraverso la definizione e l'attuazione di un piano strategico di sicurezza ICT a livello di Gruppo ERG volto a garantire un adeguato presidio della sicurezza nelle seguenti aree: Security Control, Security Policies, Risk Management, Security Awareness & Training, Supplier & Third Parties Management, Compliance, Information Protection Management, Business Continuity & Disaster Recovery, Incident Management, Threat & Vulnerability Management, Identity Management & Access Control, Network Security, System Security, Application Security.

    Per mitigare i potenziali rischi di interruzione delle attività di business sui processi ritenuti strategici, il Gruppo dispone
    di un sistema di Disaster Recovery che assicura la continuità del servizio e dei dati su un Data Center alternativo la cui
    efficienza è soggetta a verifiche periodiche.
    Inoltre, in considerazione della rilevanza delle attività svolte quotidianamente sulla Borsa Elettrica, particolare attenzione
    viene prestata al presidio dei sistemi di interfacciamento con il Mercato. Tali sistemi sono sottoposti a specifiche
    procedure di gestione e manutenzione finalizzate a proteggerne la stabilità.
    Nell'ambito della gestione dei dati, il rischio della sicurezza delle informazioni si identifica nell'eventualità che il Gruppo
    non abbia implementato idonee misure di sicurezza atte a proteggere la riservatezza, integrità e disponibilità delle
    informazioni gestite attraverso il supporto di sistemi elettronici / informatici (database, applicazioni aziendali, cartelle
    individuali e condivise, siti aziendali esposti ad internet, intranet aziendale, sistema di posta elettronica, ecc.).
    Il Gruppo ERG persegue l'obiettivo di una costante protezione delle informazioni aziendali e mitiga il rischio di mancata
    protezione delle stesse attraverso l'implementazione e l'attivazione di processi e sistemi di protezione, conservazione
    e ripristino delle informazioni disponibili sui sistemi informatici. A tal fine il Gruppo ERG classifica le informazioni
    che, nell'ambito della conduzione dei processi aziendali, sono contenute e gestite tramite le applicazioni informatiche
    e i documenti elettronici.
    Inoltre, la riservatezza e la sicurezza delle informazioni sono oggetto di presidi specifici da parte del Gruppo attraverso
    strumenti di segregazione degli accessi alle informazioni, nonché specifici accordi contrattuali con i soggetti terzi che
    eventualmente accedano alle informazioni. Per migliorare ulteriormente il presidio in essere è garantito l'allineamento
    tra il modello dei ruoli organizzativi e il modello dei ruoli tecnici di Segregation of Duties implementato nei sistemi.
    Inoltre, il Gruppo esegue periodicamente vulnerability assessment interni ed esterni. Le strategie di mitigazione del
    rischio sono realizzate in accordo con quanto stabilito nelle policy aziendali.