Governance ed Etica

Modello 231

Il D.Lgs. 231/01, rubricato “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” ha introdotto la responsabilità degli Enti per gli illeciti amministrativi dipendenti da reato commessi da persone fisiche nell’interesse o a vantaggio degli enti stessi. È stata, quindi, prevista una responsabilità autonoma dell’Ente per reati che nascono all’interno del proprio ambito e che si aggiunge alla specifica responsabilità dell’autore materiale dell’illecito.

Namirial ha adottato il proprio modello di organizzazione, gestione e controllo (“Modello 231“) per la prevenzione dei reati commessi nell’interesse o a vantaggio dell’azienda e ha nominato un Organismo di Vigilanza dotato di autonomi poteri di iniziativa e controllo, in conformità alla disciplina di legge.

Download Modello 231

Finalità

Attraverso il proprio Modello 231, Namirial intende:

– rispondere alle esigenze espresse dalla normativa sulla responsabilità amministrativa degli enti, analizzando i potenziali rischi di condotte illecite rilevanti ai sensi del D.Lgs. 231/2001 e valorizzando i

– presidi di controllo atti a prevenire la realizzazione di tali condotte;
promuovere ed incentivare una cultura aziendale orientata all’eticità, correttezza e trasparenza delle attività;

– determinare, in tutti coloro che operano per conto della Società nell’ambito delle cd. attività sensibili, la consapevolezza di poter incorrere, in caso di violazione delle disposizioni ivi riportate, in conseguenze disciplinari e/o contrattuali oltre che in sanzioni penali e amministrative comminabili nei loro stessi confronti;

– ribadire che i comportamenti illeciti sono fortemente condannati, in quanto gli stessi sono contrari, oltre che alle disposizioni di legge, anche ai principi etici della Società;

– consentire alla Società, grazie a una continua azione di monitoraggio, di intervenire tempestivamente per prevenire e/o contrastare comportamenti illeciti contrari alla legge e alle regole aziendali.

Struttura

La struttura del Modello 231 si compone di:

– Codice Etico, di seguito descritto;

– Parte Generale, che descrive i contenuti del D.Lgs. 231/2001, delle finalità del Modello 231 e delle specifiche regole di governance del modello stesso, dell’Organismo di Vigilanza e del sistema sanzionatorio;

– Parti Speciali, che descrivono, per ciascun processo /area aziendale a rischio ex D.Lgs. 231/2001, le fattispecie di reato rilevanti, i principi comportamentali da rispettare, nonché i presidi di controllo da porre in essere per la prevenzione dei rischi.

Codice Etico

Finalità

Il Codice Etico di Namirial ha come obiettivo principale la chiara definizione dei valori etici fondamentali e contiene i principi generali che devono ispirare i comportamenti degli Organi societari e dei loro componenti, dei dipendenti e dei collaboratori e consulenti della Società al fine di promuovere, attraverso l’autodisciplina e le tecniche di governo societario, la creazione e la massimizzazione del valore per gli azionisti, per coloro che prestano attività lavorativa nell’impresa, e per i clienti cui la Società si rivolge. Esso stabilisce, quale principio imprescindibile dell’operato della stessa, il rispetto delle leggi e dei regolamenti vigenti e sancisce i principi di comportamento cui devono attenersi tutti i destinatari nello svolgimento quotidiano delle proprie attività lavorative e dei propri incarichi.

Destinatari

Il Codice Etico si applica a tutti coloro che hanno rapporti di lavoro dipendente o di collaborazione con la Società.

Download Codice Etico

Policy Anticorruzione

Finalità

La Policy Anticorruzione delinea i principi generali e le regole di condotta da seguire nello svolgimento delle attività, i comportamenti vietati e i presidi individuati dalla Società a mitigazione del rischio di corruzione

Destinatari

La policy si applica a Namirial, alle società controllate/partecipate e a tutti i partner di Namirial, per quanto compatibile, ed è inoltre portata a conoscenza delle altre società partecipate allo scopo di promuovere principi e comportamenti coerenti con quelli espressi dalla Società.

In generale, la policy si applica a tutti coloro che collaborino professionalmente con Namirial, nonché a ogni altro soggetto, ovunque si trovi, che agisca, a qualsiasi titolo, in nome e/o per conto della Società, nei limiti del proprio incarico e delle proprie responsabilità.

Download Policy Anticorruzione

Whistleblowing

Finalità

Namirial ha adottato una Policy Whistleblowing con lo scopo di rafforzare il controllo sull’effettiva applicazione e sul rispetto del Codice Etico, delle disposizioni e dei principi delle policy e delle procedure interne, di leggi e regolamenti, nonché per garantire l’integrità aziendale e ad affrontare efficacemente le potenziali problematiche in una fase precoce, riducendo il rischio di possibili danni significativi al business e alla reputazione della Società.

In particolare, la presente policy regola il processo di invio, ricezione, analisi e trattamento delle segnalazioni da chiunque provenienti o trasmesse, anche in forma confidenziale o anonima, riguardanti violazioni o sospette violazioni:

  • del Codice Etico;
  • delle norme di comportamento, divieti e principi di controllo riportati dal Modello 231, nonché la commissione di condotte illecite rilevanti ai sensi del D.Lgs. 231/2001;
  • di leggi, atti aventi forza di legge o regolamenti applicabili;
  • di procedure interne adottate dalla Società.
Destinatari

La policy si applica ai soggetti amministratori, dirigenti, dipendenti nonché a chiunque sia, sia stato o sia in procinto di entrare in relazione di lavoro/ interessi con la Società, come meglio individuati nella Policy Whistleblowing.

Canali di comunicazione

Le suddette segnalazioni possono essere trasmesse, all’attenzione del Comitato, attraverso:

  • piattaforma digitale “Whistleblowing” al link https://namirial.segnalazioni.net/ , che consente alla Persona Segnalante di inviare segnalazioni in forma scritta e/o orale (tramite messaggistica vocale) sia registrando i propri dati sia in forma anonima;
  • posta ordinaria cartacea (es. lettera, raccomandata a/r), all’attenzione del Comitato di NAMIRIAL S.p.A. presso Via Caduti sul Lavoro 4, 60019, Senigallia (AN), sia fornendo i propri dati sia in forma anonima;
  • incontro diretto con il Comitato da richiedersi via e-mail o in via diretta.

Il Comitato può essere contattato attraverso i seguenti indirizzi:

  • posta elettronica: whistleblowing@ethics.namirial.com, ovvero
  • posta ordinaria: all’attenzione del Comitato di NAMIRIAL S.p.A. – Via caduti sul lavoro 4, 60019, Senigallia (AN).

 

Download Whistleblowing Policy

Sicurezza delle informazioni

Cyber Security Statement

Il Gruppo Namirial (il “Gruppo”) è l’entità organizzativa che identifica la società Namirial S.p.A e le sue società controllate o possedute. Per controllata (la “Controllata”) si intende qualsiasi società controllata da Namirial S.p.A, il cui 50% o più degli interessi azionari in circolazione siano di proprietà di Namirial S.p.A e delle sue controllate dirette o indirette e di cui la società possiede, direttamente o indirettamente, il potere di dirigere o causare la direzione della gestione o delle politiche, sia attraverso la proprietà di interessi azionari con diritto di voto, sia attraverso accordi o altro.

Per noi “Sicurezza delle informazioni” significa assicurare che tutte le informazioni e i sistemi informativi, da cui dipende il Gruppo, compresi quelli relativi ai dati dei clienti, dei dipendenti e dei nostri partner commerciali, siano adeguatamente protetti, garantendo la sicurezza dei servizi aziendali e la continuità delle nostre attività. Il quadro attuale, caratterizzato dalla continua evoluzione delle minacce informatiche e dalle normative più stringenti imposte dalle autorità, presenta diverse sfide importanti per le aziende.

Sistemi di sicurezza

Ci preoccupiamo di garantire che il Gruppo sia costantemente dotato di adeguati sistemi di sicurezza, in modo da diventare sempre più affidabile per i nostri stakeholder.

In particolare, ci impegniamo a

  • proteggere i servizi dell’azienda e rafforzare gli standard di sicurezza
  • definire le norme di sicurezza interne e monitorarne l’applicazione
  • definire un solido processo di gestione dei rischi informatici
  • garantire l’implementazione di misure di sicurezza per la gestione delle minacce informatiche
  • aumentare la consapevolezza e la comprensione del problema tra tutti i dipendenti.

Abbiamo quindi sviluppato una strategia per migliorare continuamente il livello di sicurezza del Gruppo, in quattro aree chiave.

4 aree chiave per migliorare la sicurezza

Abilitazione al business

Essere preparati alle nuove minacce informatiche che colpiscono le nuove imprese digitali e supportare lo sviluppo del business.

Nuove minacce informatiche

Essere resilienti agli attacchi informatici con adeguate capacità di prevenzione, rilevamento e risposta.

Governance

Essere efficienti nel gestire il processo di sicurezza delle informazioni, affrontare la gestione del rischio informatico e garantire la conformità alle normative.

Persone, competenze e formazione

Essere consapevoli dei rischi informatici e acquisire le competenze necessarie per affrontare le nuove sfide informatiche.

Programma di trasformazione della sicurezza informatica

Il Gruppo ha sviluppato un programma di sicurezza informatica a lungo termine per affrontare le problematiche di sicurezza informatica analizzate. Questo programma include contromisure adeguate per situazioni specifiche. Tutti i progetti definiti e inclusi nel programma vengono rivisti regolarmente secondo un calendario, mentre la strategia a lungo termine viene rivista annualmente.

Il programma di sicurezza informatica è stato approvato dalla Direzione del Gruppo.

Per rafforzare la sicurezza e la gestione del rischio informatico, il Consiglio di amministrazione ha istituito un comitato direttivo specificamente dedicato alla definizione e allo sviluppo della strategia di sicurezza del Gruppo, nonché alla gestione e al monitoraggio dei rischi informatici aziendali. Questo comitato, che opera a livello di gruppo, è denominato Corporate Security & IT Risk Steering Committee e i suoi membri effettivi sono il CEO, il CFO, il CHRO, il CTO e il CISO.

Crediamo che il fattore umano sia fondamentale per proteggere le nostre informazioni. Infatti, abbiamo sviluppato un programma di sensibilizzazione sulla sicurezza informatica per tutti i nostri dipendenti sotto forma di attacchi di phishing simulati periodicamente e di una miniserie di video didattici. Tutto il materiale è disponibile sui portali interni dedicati al personale. Gli episodi riguardano aree specifiche della sicurezza informatica, per esempio la sicurezza di smartphone e tablet e il social engineering.

Namirial S.p.A, la società del Gruppo che fornisce i servizi fiduciari qualificati e altri servizi regolamentati dall’AgID, fornisce anche i servizi e le infrastrutture informatiche alle principali società del Gruppo ed è certificata secondo i seguenti standard:

  • ISO/IEC 27001:2013
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2015
  • Regolamento (UE) 910/2014 eIDAS come fornitore di servizi fiduciari qualificato
  • ETSI EN 319 401 per il servizio fiduciario di identificazione elettronica
  • Regolamento (UE) 910/2014 eIDAS punto 24 per l’erogazione di servizi fiduciari di conservazione dei documenti informatici
  • Regolamento AgID per la conservazione a lungo termine dei documenti
  • Regolamento AgID per SPID (Sistema pubblico italiano per l’identità digitale)

Le certificazioni della serie ISO/IEC 27k sono state realizzate su misura per implementare le norme settoriali relative ai servizi Namirial senza esclusioni nella Dichiarazione di Applicabilità; i controlli di sicurezza riflettono quelli richiesti dalla norma ETSI 319 401 e dalle direttive AgID.

Dal 2010 siamo sottoposti a verifiche annuali per le certificazioni ISO/IEC e per tutti gli standard precedenti da parte di Bureau Veritas e dell’organo di vigilanza nazionale AgID, oltre a essere regolarmente controllati per il bilancio.

La conformità a tali normative è assicurata dal Corporate Legal & Compliance Risk Steering Committee formato dal CFO, dai responsabili legali e di compliance e dal lead auditor.

Per evitare conflitti con gli standard e le normative per cui l’azienda è sottoposta a revisione, e in virtù delle certificazioni possedute, Namirial non implementa sui propri servizi le politiche di sicurezza specifiche emesse e fornite dai propri clienti.

Inoltre, data la criticità dei servizi erogati, Namirial non condivide documenti o informazioni relative ai propri sistemi e controlli di sicurezza per rispondere alle richieste di integrazioni e chiarimenti sulla sicurezza delle informazioni avanzate da terzi, siano essi Clienti, Fornitori e/o Partner.

A tale scopo, Namirial dispone di certificazioni internazionali e tecniche verificabili su siti pubblici con valore legale e contrattuale. Infatti, la protezione della riservatezza, dell’integrità e della disponibilità delle informazioni, oggetto delle attività di Namirial, potrebbe essere compromessa se alcune informazioni fossero rese disponibili al di fuori del contesto Namirial e/o fossero in qualche modo soggette a qualsiasi forma di pubblicazione non autorizzata. Inoltre, alcuni sistemi e protezioni sono parzialmente o totalmente integrati in servizi soggetti a vincoli di sicurezza tecnici, normativi, contrattuali e legali, pertanto non saranno divulgati a terzi.

Namirial si adatta continuamente all’evoluzione del panorama della cybersicurezza e a tenere testa alle minacce ai nostri sistemi e applicazioni. Tuttavia, per mantenere al sicuro le informazioni dei nostri clienti e dipendenti non basta la sola tecnologia, ma occorrono dipendenti, clienti e partner attenti, che sappiano riconoscere e segnalare i problemi. Per questo motivo, permettiamo ai nostri clienti e partner di segnalare le vulnerabilità e/o gli eventi di sicurezza che possono scoprire su qualsiasi sito web o applicazione di proprietà, gestita o controllata da Namirial attraverso un Programma di divulgazione responsabile.