Polizza D&O (Director’s and officers liability)

Polizza D&O, una tutela per i nuovi rischi

Leggi sempre più complesse e rischi emergenti rendono le polizze di Responsabilità Civile uno strumento di tutela sempre più indispensabile

 

Le conseguenze di un’accusa di mala gestio a seguito di una liquidazione o di un fallimento societario, i rischi legati alle perdite dei dati, sempre più frequenti a causa dei cyber attack, o ancora le conseguenze di  un danno ambientale. Ai vertici aziendali, soprattutto con l’entrata in vigore nel 2001 del Decreto legislativo 231 che ha come oggetto la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni, sono imputabili sempre più reati, provenienti da ambiti diversi, dalla salute all’ambiente, con ripercussioni sia in ambito civile, sia penale.

Le conseguenze dell’applicazione dei principi contenuti nel decreto si sono viste in numerosi processi, anche rilevanti, come quello dell’Eternit, dell’Ilva e della Thyssen-Krups.

Assume per questo sempre più un ruolo importante per dirigenti e amministratori la polizza D&O (Director’s and Officers liability), che tutela il patrimonio personale degli organi di gestione aziendali nei casi in cui vengano chiamati in causa per un risarcimento danni.

Oggetto della copertura è la responsabilità  civile sia verso la Società, sia verso terzi per le richieste di risarcimento ricevute per la prima volta durante il periodo di assicurazione per un reale o presunto atto illecito commesso dagli assicurati.

 

Nuovi rischi e nuove responsabilità

La ricerca di profili di responsabilità, anche penale, da parte delle Procure italiane nei casi di fallimento di rilievo è un’attività che si sta negli ultimi anni sempre più consolidando, così come è stato rilevato un aumento dei contenziosi in ambito bancario a carico di amministratori accusati di operazioni finite in perdita.

Anche in Italia è cresciuta negli ultimi anni la sensibilità degli amministratori e di conseguenza la richiesta delle polizze D&O a tutela dei propri beni, probabilmente anche per la congiuntura difficile che ha portato molte aziende al fallimento con pesanti conseguenze anche per i vertici e i membri dei collegi sindacali, spesso chiamati in causa per omesso controllo.

Sono inoltre emersi nuovi rischi dai quali occorre tutelarsi: le conseguenze di  attacchi cyber e la mancata protezione dei dati personali così come l’interruzione della supply chain o il rischio reputazionale potrebbero ripercuotersi anche sugli amministratori, potenzialmente chiamati in causa qualora non abbiano adottato tutte le misure, assicurative e non, a tutela degli asset fondamentali dell’azienda. Ecco perché, prima di stipulare una polizza D&O, è importante identificare tutte le aree di rischio da trasferire all’assicurazione, individuando insieme a un qualificato consulente e broker assicurativo la soluzione che meglio si adatta alle singole esigenze. Attenzione anche alla compliance italiana: può capitare che le polizze adottate dalle multinazionali a favore dei propri organi di gestione abbiano a riferimento la normativa anglosassone o americana e sfuggano dal controllo alcune normative italiane.

Importante anche il fattore tempo: le polizze vengono emesse in modalità claims made, che tutela per un errore commesso anche nel periodo in cui il soggetto non era assicurato purché la richiesta di risarcimento danni avvenga nel momento in cui la copertura è valida. Da parte delle compagnie, per soddisfare sempre più le esigenze dei clienti, sta inoltre crescendo l’offerta della garanzia postuma, attiva in caso di mancato rinnovo della polizza.

Ecco perché è importante, prima di stipulare la polizza, individuare tutte le circostanze passate che potrebbero potenzialmente portare a una richiesta di danni, così da non rischiare che qualcosa resti non coperto. Il testo di polizza dovrebbe quindi prevedere che nella definizione di sinistro siano incluse anche le eventuali circostanze e non solo le richieste risarcitorie.

 

 

Decreti attuativi Legge Gelli

Legge Gelli-Bianco, l’efficacia si gioca sui decreti attuativi ancora in via di definizione

 Il 6 novembre a Roma un confronto fra gli operatori

La Legge Gelli – Bianco (n.24/2017),  considerata all’unanimità epocale per l’insieme degli ambiti che è riuscita a coinvolgere e regolamentare, è entrata in vigore a marzo ma si è in attesa dei decreti attuativi che andranno a definire e completare la norma primaria per garantirle piena efficacia.

Una delle grandi novità introdotte dalla Legge riguarda l’estensione dell’obbligo assicurativo da parte delle aziende sanitarie sia pubbliche sia private per le conseguenze di eventuali errori commessi nell’esercizio dell’attività assistenziale e clinica.

In precedenza, con la legge n. 148 del 2011, era già stato definito per i professionisti sanitari l’obbligo di sottoscrivere coperture assicurative.

Le strutture sanitarie assumono ora nuove e maggiori responsabilità, divenendo il soggetto primario al quale i pazienti devono rivolgersi in caso ritengano di aver subito un danno.

Ogni struttura si farà quindi carico del rischio, tramite autoassicurazione, per quanto riguarda le conseguenze pregiudizievoli denunciate da chi accede al servizio offerto.

Sono però ancora in fase di lavorazione i decreti che dovranno  regolamentare alcuni aspetti chiave, definendo ad esempio i requisiti minimi che le polizze dovranno avere e specificando ad esempio gli oneri di riservazione dei sinistri per i quali la struttura sanitaria si espone e assume il rischio finanziario. Indicazioni che, ovviamente, avranno anche un forte impatto sull’offerta delle soluzioni assicurative da parte delle compagnie assicurative.

C’è attesa anche per le indicazioni che dovranno emergere dai decreti in relazione  alle azioni giudiziali dirette che il paziente ha facoltà di intentare contro l’assicuratore della struttura o del singolo professionista. Una garanzia per i pazienti, che potranno più facilmente far valere i propri diritti.

Da regolamentare è anche il Fondo di Garanzia per i danni derivanti da responsabilità sanitaria (rif. art. 14). Si è in attesa del provvedimento assicurativo che ne determini il finanziamento e le modalità di intervento. Lo scopo del Fondo è quello di garantire i risarcimenti nei casi in cui la copertura assicurativa non sia sufficiente o sia inferiore al risarcimento dovuto.

Forum "Nuova responsabilità sanitaria"

Assiteca organizza il 6 novembre 2017 a Roma un forum dedicato alla "Nuova responsabilità sanitaria. Un confronto fra legislatore, istituzioni, operatori e partecipanti". Non si tratta di un convegno formativo ma di un confronto diretto fra le istituzioni coinvolte e i Direttori e Dirigenti di strutture pubbliche e private sull'operatività, le prime esperienze e criticità.

Sarà anche l'occasione per fare il punto sullo stato dell'arte dei decreti attuativi insieme all'onorevole Federico Gelli.

Una preziosa opportunità per aziende cliniche, pubbliche e private, aperto alle istituzioni, stampa di settore e compagnie assicurative.

 

European Partner Conference - EOS RISQ

La gestione integrata del rischio d’impresa

Il ruolo e la funzione del Risk Manager

 

Il Risk Manager è la figura professionale specificatamente dedicata alla gestione integrata dei rischi aziendali. Dopo essere stato al centro del 18° Convegno Annuale di Anra, svoltosi il 19 e 20 settembre a Milano, è ora il protagonista del Ferma Forum 2017, in corso proprio in questi giorni a Monte Carlo.

Individuare, valutare e definire le strategie di gestione dei rischi

Il Risk Manager agisce nell’ambito di obiettivi strategici prefissati, individuando e analizzando i rischi nei quali l’azienda può incorrere, per limitarne l’esposizione. Valuta i rischi in base alla loro potenziale frequenza e gravità, identifica la politica adatta a ottimizzare la loro gestione, tenendo in considerazione anche le capacità e le disponibilità finanziarie dell’azienda. È suo compito individuare quali rischi possono essere assunti in forma di “autoassicurazione” e quelli per cui è necessaria una copertura assicurativa. Definisce le misure di eliminazione o prevenzione dei rischi stessi, eventualmente in collaborazione con tecnici di settore, e monitora i risultati nel tempo. Include inoltre la valutazione di possibili rischi e responsabilità per l’azienda insiti nei contratti con terzi. Il ruolo del Risk Manager assiste quindi tutte le funzioni aziendali, fornendo le proprie competenze per l’individuazione delle criticità potenzialmente insite in ogni operazione.

La capacità di comunicare come qualità chiave

Per la funzione che ricopre, è importante che il Risk Manager abbia buone capacità di comunicazione e di intermediazione. Dovendosi relazionare con diverse figure professionali interne ed esterne all'azienda, deve essere in grado di mantenere un dialogo attivo e continuo con tutte le aree aziendali, dalle funzioni tecniche a quelle commerciali, amministrative e logistiche.

In primo luogo, il Risk Manager deve lavorare a stretto contatto con la direzione e il consiglio di amministrazione, dal quale deriva le informazioni sulle strategie aziendali utili a identificare i rischi e le politiche di controllo e prevenzione da seguire. Il CdA dev’essere d’altra parte in grado di trarre vantaggio dalle informazioni raccolte dall’attività di Risk Management nell’effettuare scelte strategiche in piena consapevolezza di possibili criticità. Il contatto con tutte le altre funzioni aziendali è ugualmente necessario al fine di individuare debolezze e soluzioni a protezione dei rischi individuati direttamente sul campo delle varie attività aziendali.

Verso l’esterno, il Risk Manager dev’essere in grado di relazionarsi direttamente con le diverse figure professionali collegate all’ambito delle assicurazioni e dei sinistri: consulenti, compagnie assicurative, broker, periti e legali.

Un traduttore capace di destreggiarsi tra diversi linguaggi

Il Risk Manager interagisce con una moltitudine di referenti dal profilo spesso molto vario e dalla diversa sensibilità nei confronti del rischio aziendale. L’ampia componente relazionale della sua funzione richiede di saper padroneggiare i diversi linguaggi degli interlocutori, per essere anche in grado di tradurre le informazioni da un linguaggio ad un altro. In questo senso, si rivelano utili strumenti specifici che equilibrino, attraverso la misurazione, le percezioni soggettive dei rischi, fornendo un quadro complessivo oggettivo. L’efficienza della gestione del rischio aziendale dipende in maniera diretta dall’attività di comunicazione e intermediazione del Risk Manager. L’azienda dev’essere in grado di rappresentare nel modo più accurato possibile il frame dei propri rischi all’assicuratore, per agevolare l’individuazione del supporto assicurativo adeguato.

La cultura del rischio

“L’obiettivo del Risk Manager è quello di promuovere, a tutti i livelli, l’attività di gestione del rischio, facendo crescere la responsabilizzazione di tutto il personale riguardo specifiche politiche di presidio del rischio.”

Position Paper di Anra “Gli standard di Risk management e l’ISO 31000”.

L’importanza delle informazioni a livello globale per la definizione di una strategia aziendale, che tenga conto dei potenziali impatti degli eventi geopolitici e agisca in maniera consapevole e mirata per la mitigazione dei rischi rende primaria la necessità della creazione di una cultura aziendale di gestione integrata del rischio. La formazione interna ha il compito di creare una cultura condivisa. È necessario che tutta l’azienda percepisca i processi arricchiti, come l’Erm, non come un peso ma come uno strumento di maggiore controllo ed efficienza. La possibilità da parte del top management di comprendere i rischi si traduce nella facoltà di decidere con la necessaria consapevolezza sulle strategie di business aziendali.

“Ai risk manager è chiesto di cavalcare una cultura che permetta di integrarsi veramente nei processi aziendali e capirne le logiche, con competenze trasversali in diverse discipline”, ha sottolineato nella sua introduzione al Convegno Anra 2017 il Presidente Alessandro De Felice, secondo cui “il risk manager e il processo di ERM sono fondamentali, perché contribuiscono alla governance dei decision maker, attraverso l’elaborazione di analisi basate su assunzioni valide e misurabili”.

Gestione dei rischi aziendali

Ricavi a +30% per le aziende che gestiscono i rischi

Il 25,3% delle imprese adotta un sistema integrato di gestione dei rischi.
Sicurezza sul lavoro e Cyber Security i rischi più temuti

Buone notizie: è aumentata da parte delle aziende la percezione dell’importanza di una gestione dei rischi integrata e puntuale.

E’ quanto è emerso dal quinto Osservatorio Cineas – MedioBanca dedicato al Risk Management, che ha coinvolto 272 medie imprese con fatturato medio di oltre 60 milioni dei settori metalmeccanico, chimico farmaceutico, alimentare, carta e stampa, metallurgico, beni per la persona e per la casa.

Rispetto al 2016 è in crescita il numero delle imprese che si è dotato di un sistema integrato per la gestione dei rischi (25,3% contro il 17,2% dell’anno precedente). Il 47,2% delle aziende coinvolte nell’indagine dichiara di avere un approccio segmentato, mentre il 27,5% non ne dispone ritenendo presumibilmente il risk management più fonte di costi che di benefici. Un errore di valutazione, perché in realtà i vantaggi derivanti dalla gestione integrata dei rischi aziendali sono molteplici e garantiscono maggiore competitività alle aziende.

I VANTAGGI DELLA GESTIONE INTEGRATA DEI RISCHI

Considerando le performance economiche, emerge che le aziende che gestiscono i rischi hanno ricavi superori del 30% rispetto a quelle meno sensibili al tema. Un risultato che conferma quanto la gestione e la prevenzione dei rischi, non solo la loro protezione, possano incidere sullo sviluppo di ogni realtà. E’ inoltre emerso come si amplii il differenziale in termini di redditività a vantaggio delle imprese più attente migrando verso una gestione dei rischi che esuli semplicemente dagli obblighi di compliance ma che si attenga più all’attivazione di leve di competitività. I maggiori benefici si registrano nell’ambito delle competenze professionali (+80%), degli aspetti reputazionali (+10%), della sicurezza informatica evoluta e protezione dall’hackeraggio (+14%) e della qualità del prodotto e della sua non replicabilità (+21%).

Ma quali sono i costi? Partendo dal dato relativo al giro d’affari delle medie imprese italiane che è pari a 154 miliardi di euro, si stima che la gestione del rischio valga 1,4 miliardi di cui 700 milioni di euro rappresentati da costi assicurativi, 500 milioni da costo del personale specializzato in questo ambito (meno di tre risorse in media) e 200 milioni di euro vengono corrisposti ai consulenti.

 

I RISCHI PIU’ TEMUTI DALLE AZIENDE

La sicurezza sul lavoro e la cyber security sono i rischi maggiormente sentiti dalle aziende. L’attenzione nei confronti della sicurezza informatica, in particolare, è cresciuta a ritmo elevato nell’ultimo periodo, complici i sempre più numerosi attacchi da parte di hacker e i conseguenti problemi di business continuity che ne possono derivare. Sul podio dei rischi maggiormente percepiti anche la difettosità del prodotto, seguito dal rischio reputazionale, che in epoca di social network vede amplificarsi le conseguenze, e il rischio ambientale. Seguono le interruzioni della supply chain, le imitazioni del prodotto e solo in fondo alla classifica il rischio legato alle catastrofi naturali.

 

COME SI TUTELANO LE AZIENDE DAI RISCHI

Un partner esterno, spesso un consulente, è la soluzione più adottata dalle aziende per poter meglio gestire i rischi aziendali. Il 28,8% del campione si affida invece alle compagnie assicurative, il 16,7% si organizza con risorse interne alla struttura mentre solo il 5,2% delle aziende intervistate ha un vero e proprio risk manager in organico. Fra le risorse che si occupano di gestione del rischio ben il 32,4% non ha una qualifica accademica. Le imprese però si stanno sensibilizzando anche sul tema della formazione: il 66% degli intervistati ha dichiarato di voler avviare un programma di iniziative formative sulla gestione dei rischi. Obiettivo i concetti base della gestione, per poi approfondire gli strumenti disponibili per affrontare una situazione di crisi e comprendere come garantire la continuità operativa.

Data Protection Officer (DPO)

Una nuova figura in azienda: il Data Protection Officer (DPO)

Il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce una figura preposta al controllo della compliance aziendale in riferimento al trattamento dei dati personali.

 

L'introduzione da parte del nuovo regolamento del Data Protection Officer (DPO) assicura la presenza costante in azienda di un professionista con conoscenze specialistiche della normativa e delle prassi riguardanti la protezione dei dati personali. L'osservanza delle nuove norme risulta indispensabile anche alla luce della recente sentenza della Corte Europea dei Diritti dell'Uomo, che il 5 settembre ha condannato la Romania per violazione dell’articolo 8 della Convenzione europea dei diritti dell'uomo. 

Il Data Protection Officer (DPO): quando è obbligatorio?

Per essere reso effettivo, il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce la figura del Data Protection Officer (DPO), il responsabile della sicurezza dei dati. In Italia, il Codice della Privacy (d.lgs. n. 196/2003) non lo prevedeva, motivo per cui è ora necessario introdurre una nuova figura professionale in molti enti e aziende. Il DPO è un professionista con conoscenze specifiche in ambito di trattamento dati, sul piano teorico e su quello pratico. Sebbene possa anche essere selezionato tra i dipendenti del titolare del trattamento, è consigliabile individuare un soggetto esterno: la legge garantisce l’autonomia del soggetto, ma occorre domandarsi se davvero un dipendente denuncerebbe comportamenti o valutazioni errate del titolare o del responsabile del trattamento ai vertici aziendali, a cui il DPO direttamente risponde.

Il titolare del trattamento ha il compito di designarlo in tre occasioni:

  • quando il trattamento è attuato da un'autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni);
  • nel caso i trattamenti consistano e richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
  • se il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Negli altri casi i titolari e i responsabili del trattamento, nonché loro associazioni o altri organismi che li rappresentano, devono designare il responsabile della protezione dati che può agire per le stesse associazioni e organismi.

I dati di contatto del DPO devono comunque essere resi noti agli interessati e comunicati all'autorità di controllo competente.

I compiti del Data Protection Officer

L’articolo 39 del Regolamento specifica nel dettaglio i compiti minimi del DPO:

  • fornire consulenza e informare il titolare e il responsabile del trattamento in merito agli obblighi derivanti dal Regolamento o dalle altre disposizioni legislative nazionali o europee che disciplinano la protezione dati;
  • vigilare sull’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, inclusi l’attribuzione delle responsabilità, la formazione e la sensibilizzazione del personale addetto al trattamento;
  • condividere su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo in qualità di punto di contatto con l’ente per questioni legate al trattamento di dati, con particolare riguardo a un’attività di consultazione preventiva.

È infine un diritto degli interessati potersi rivolgere al responsabile della protezione dei dati in merito al trattamento che li riguarda.

L’introduzione di questa nuova figura permette di avere un soggetto specializzato, che si occupi esclusivamente della protezione dei dati personali, restando aggiornato sui rischi, i problemi e le misure di sicurezza capaci di garantire un livello di tutela adeguato.

Attenzione alla compliance aziendale

Una sentenza della Grande Camera della Corte europea dei diritti dell’uomo del 5 settembre ha mostrato che un’azienda che non rispetta le norme sulla tutela della privacy dei dipendenti non riuscirà a far valere in giudizio le proprie ragioni nei confronti di un dipendente inadempiente. Occorre quindi che tutte le aziende predispongano un documento di valutazione dei rischi privacy e un regolamento interno sull'uso della posta e degli altri strumenti elettronici in dotazione ai lavoratori, che ne diano comunicazione ai dipendenti e che lo rispettino.