Nella metà delle imprese italiane mancano regole chiare nella valutazione e gestione dei rischi relativi a fornitori, clienti e partner. Eppure, quasi tutte sono incorse in incidenti nella supply chain: cyber-attacchi e data breach subiti dalle controparti di più del 50% delle imprese, oltre a corruzione, reati contro la PA, riciclaggio (tra i casi più frequenti). È quanto rileva uno studio condotto da Crime&tech – spin-off company del Centro di ricerca Transcrime dell’Università Cattolica in collaborazione con Lab4Compliance e il dipartimento DEMS dell’Università di Palermo. La prima analisi organica sul fenomeno in Italia, presentata lunedì 10 giugno al convegno "La valutazione e gestione del rischio terze parti: uno studio sulle pratiche delle imprese italiane".
Lo studio disponibile qui, tramite interviste e questionari rivolti a 50 imprese di differenti settori (l’80% delle quali con più di 1000 dipendenti) e l’analisi della letteratura e fonti normative, ha esplorato le pratiche attuali di Third Party Risk Assessment (TPRM) adottate dalle imprese italiane. Ciò allo scopo di elaborare risposte e raccomandazioni per gli operatori, in un settore reso sempre più complesso dall'espansione globale delle supply-chain, l’evoluzione della criminalità organizzata e finanziaria, i recenti e imprevedibili eventi socioeconomici e geopolitici e il conseguente ampliamento delle liste di soggetti sanzionati.
Fenomeni che determinano un aumento esponenziale dei rischi reputazionali, legali e di business continuity nei rapporti con fornitori, clienti e partner. Nonostante la rilevanza del tema, i processi di TPRM non sono però facilitati dalla frammentazione e sovrapposizione tra ambiti normativi diversi, di cui lo studio fornisce una panoramica: disciplina antiriciclaggio (AML/CFT), anticorruzione, responsabilità amministrativa degli enti (D.Lgs 231/2001), sugli appalti pubblici e sulla corporate sustainability due diligence (CSDDD).
Le evidenze emerse dallo studio
Dallo studio emergono alcuni dati. Innanzitutto, l’estensione di queste attività è evidenziata dal numero di controparti acquisite in media ogni anno: oltre 400 nuovi fornitori e sub-appaltatori (ciclo passivo) per le imprese del settore industriale e retail, circa 950 nel settore finanziario. In media, il 31% di questi ha proprietà o collegamenti esteri – il 25% nel settore finanziario.
In secondo luogo, nonostante questi numeri, nel 44% delle imprese interpellate mancano regole o policy interne, e nel 38% i processi sono gestiti da più funzioni aziendali – in primis compliance e security – evidenziando il carattere trasversale delle attività di TPRM.
Infine, il 30% delle imprese interpellate nel settore industriale e retail effettua controlli, in media, solo su un fornitore ogni quattro. Più diffusi sono invece i controlli nel settore finanziario, anche sul ciclo attivo (clienti).
Tutti i rispondenti eccetto uno hanno dichiarato di essere già incorsi in incidenti nella gestione delle terze parti, e il 77% in almeno due aree di rischio. Le criticità più frequenti (più del 50% dei rispondenti) riguardano la sicurezza delle informazioni, in termini di episodi di data breach, attacchi o tentativi di attacchi cyber subiti dalle terze parti. Seguono l’esposizione a rischi di corruzione e di reati contro la PA, di riciclaggio/finanziamento del terrorismo, o relativi a sanzioni internazionali. Particolarmente esposto a incidenti di intermediazione illecita e sfruttamento del lavoro è il settore del lusso (54% dei casi), mentre episodi di infiltrazione criminale vengono segnalati dal 66% dei rispondenti nel settore edile ed energetico – solo dal 10% negli altri settori.
Controlli e pratiche adottati dalle aziende
Lo studio ha quindi analizzato le tipologie di controlli e le pratiche adottate dalle aziende. Nonostante la varietà delle aree di rischio, solo il 31% dei rispondenti adotta controlli TPRM diversificati in base ai rischi/reati presupposto, mentre il 69% adotta i medesimi controlli indipendentemente dai rischi valutati.
Tra i metodi di screening più frequenti, prevale il ricorso alle cosiddette ‘liste’, ovvero sulla rilevazione del coinvolgimento di individui o società in precedenti provvedimenti amministrativi o giudiziari (enforcement) o in notizie negative (adverse media), rilevate da fonti aperte e di stampa.
Diffuso è l’utilizzo di banche dati e tool, con il 78% dei rispondenti che si avvale di strumenti forniti da provider terzi in modalità software as a service (S-a-a-S), funzionali soprattutto a individuare i titolari effettivi delle controparti. La dotazione tecnologica appare più ampia per il settore finanziario che per quello industriale. La maggior parte degli operatori avverte la necessità di miglioramenti nelle tecnologie in uso, soprattutto sull’ampiezza della copertura (48% dei rispondenti) e l’efficacia dei sistemi di disambiguazione dei match dei nominativi proposti (39% dei rispondenti).
Ancora carente è il ricorso a indicatori di anomalia (60% nel settore finanziario, 50% per il settore industriale), pur riconoscendone la validità e nonostante le raccomandazioni delle istituzioni nazionali e internazionali. La percentuale aumenta in maniera significativa per banche e soggetti obbligati antiriciclaggio.
Le raccomandazioni per gli operatori
Questi risultati hanno condotto alla definizione di raccomandazioni per gli operatori. Dalla frammentazione normativa emerge la necessità di programmi TPRM capaci di rispondere trasversalmente alle diverse esigenze legislative. Al contempo, occorre una definizione dei ruoli chiara tra le diverse funzioni aziendali, adottando policies e tecnologie comuni, minimizzando duplicazioni e costi ridondanti. Fondamentale è un censimento e una mappatura sistematica e aggiornata delle controparti, per tipologie e per aree di rischio, e il superamento degli approcci tradizionali a favore di strumenti analitici avanzati, che impieghino indicatori di rischio dotati di maggiore capacità predittiva.
Durante la Conferenza, i risultati dello studio sono stati discussi in un dibattito aperto alla partecipazione del pubblico, che ha coinvolto ricercatori, esperti e operatori della compliance e security.
«Questo studio ha evidenziato i benefici di cui le aziende possono giovare introducendo procedure chiare e maggiore innovazione tecnologica per la valutazione e la gestione dei rischi relativi alle terze parti - ha affermato Michele Riccardi, vice-direttore di Transcrime -. Un TPRM evoluto è una difesa innanzitutto della reputazione aziendale, ma anche della resilienza della propria supply-chain. Ma servono passi avanti sia in termini di nuovi strumenti e metodi, che di sensibilizzazione dei diversi attori aziendali».