Enterprise risk management Nexi

Principali rischi

Il Gruppo è soggetto a rischi che sono parte integrante della sua attività. Di seguito sono riportati i principali rischi emersi dall' ultimo Enterprise Risk Assessment, con un dettaglio sui potenziali impatti derivanti da essi, e sulla loro probabilità di accadimento. 

1. Evoluzione macroeconomica

Il Gruppo Nexi è esposto al mercato europeo e extra-europeo e alle relative condizioni economiche e politiche dei paesi in cui opera. I ricavi che il Gruppo genera dipendono in parte dal numero e dal volume delle operazioni di pagamento (c.d. ricavi volume-driven). Queste, a loro volta, sono legate, tra le altre cose, alla penetrazione dei pagamenti digitali e alla spesa complessiva di consumatori, imprese e amministrazioni pubbliche. Le condizioni economiche generali influenzano la fiducia, la spesa dei consumatori, l’ammontare di reddito disponibile per il consumo, nonché i cambiamenti nelle abitudini di acquisto dei consumatori. 

Impatto Potenziale:
Un deterioramento prolungato delle condizioni economiche generali potrebbe impattare significativamente i ricavi, a causa di una possibile riduzione nel numero di transazioni di pagamento digitale o della spesa per transazione, nonché di un minor numero di carte emesse o POS distribuiti agli esercenti, impattando negativamente la redditività del Gruppo. Tuttavia, la probabilità di tale evento è valutata come bassa per l’ anno corrente. Infatti, nonostante le crescenti tensioni geopolitiche attuali, come i conflitti in Ucraina e in Medio Oriente e gli attacchi alla navigazione nel Mar Rosso, si prevede che l'economia europea, dopo una moderata crescita nel 2023, continuerà a rafforzarsi nel 2024. Questo rafforzamento sarà sostenuto dall'aumento del reddito disponibile reale, dalla diminuzione dell'inflazione, dalla crescita robusta dei salari e dall'occupazione resiliente. Inoltrel’incremento, l'aumento della penetrazione dei pagamenti digitali è atteso come un fattore di supporto per la crescita dei ricavi del Gruppo Nexi.

2. Prestazioni delle iniziative di crescita del gruppo

Il piano aziendale include obiettivi di crescita ambiziosi relativi a iniziative commerciali che, insieme all'aumento dei consumi nominali e alla prevista maggiore penetrazione dei pagamenti digitali, mirano a favorire una maggiore diffusione dei prodotti consolidati e/o garantire un'efficace entrata in segmenti e/o mercati inesplorati.

Impatto Potenziale:
Il rischio, che potrebbe avere un impatto economico medio e una probabilità medio-bassa di accadimento, è quindi rappresentato dalla possibilità di non raggiungere gli obiettivi di crescita pianificati nelle aree di maggior interesse e nel periodo stabilito, a causa di cause interne ed esterne. Questo anche alla luce della complessità di organizzare le iniziative commerciali mentre sono ancora in corso le operazioni di integrazione (ad es. sistemi IT).

3.Concentrazione della clientela

Una parte significativa delle attività del Gruppo Nexi viene svolta attraverso relazioni commerciali con  banche, grazie anche alla loro rete e alle loro filiali. La concentrazione dei rapporti con le banche partner, in particolare nel mercato italiano, espone il Gruppo Nexi al rischio che la performance del settore bancario e delle istituzioni finanziarie, nonché eventuali integrazioni all'interno di tale settore, possano comportare effetti negativi sul Gruppo Nexi stesso. È anche possibile che istituti bancari o finanziari più grandi, derivanti da fusioni o consolidamenti, detengano un maggiore potere contrattuale nelle negoziazioni con il Gruppo Nexi.

Impatto Potenziale:
il venire meno dei rapporti commerciali con uno o più dei principali clienti comporterebbe una riduzione dei ricavi del Gruppo Nexi causando effetti negativi di entità media sulla sua situazione economica, patrimoniale e finanziaria. Considerando il forte legame che il Gruppo Nexi ha con i principali partner, questo evento è considerato avere una probabilità medio-bassa di accadimento.

4. Concorrenza

Il mercato europeo è sempre più competitivo nel settore dei pagamenti digitali e sta vivendo un processo di rapida trasformazione a causa delle abitudini dei clienti, dell'innovazione tecnologica e della recente armonizzazione della legislazione a livello internazionale. Inoltre, in considerazione delle crescenti esigenze e aspettative dei clienti, l'attenzione al cliente finale – consumatore e business – e la gestione dell'esperienza utente stanno acquisendo sempre maggiore improtanza.

Impatto Potenziale:
Il mancato adattamento alle dinamiche di mercato in evoluzione può portare alla perdita di business e può avere un impatto economico e reputazionale. A causa del panorama altamente competitivo, questo evento è considerato avere un impatto medio-alto e una probabilità media di accadimento.

5. Attrazione e retenzione del personale

Le performance del Gruppo e il successo futuro delle sue attività dipendono in modo significativo dalla sua capacità di attrarre, trattenere e motivare determinate professionalità nel management e nell’alta direzione con significativo livello di specializzazione e dotate di elevate competenze tecniche

Inoltre, i risultati del Gruppo e le prospettive future delle sue attività dipendono dalla propria capacità di adattarsi proficuamente ai cambiamenti tecnologici, sociali, economici e normativi. A tal fine, il Gruppo deve sfruttare la presenza di un ampio organico di personale altamente specializzato nei campi dell'ingegneria, dei servizi tecnici, della finanza e controllo, delle vendite, dell'amministrazione e della gestione.

Impatto Potenziale:
Il mercato del personale altamente qualificato è fortemente competitivo e potrebbe ostacolare la capacità del Gruppo di assumere personale aggiuntivo, sostituire personale in uscita con personale altrettanto qualificato o trattenere personale essenziale per la crescita. Il rischio ha una probabilità media di accadimento e potenziali impatti reputazionali bassi. A tal proposito, il Gruppo pone particolare enfasi sulla selezione, reclutamento e formazione delle risorse umane, con l'obiettivo di mantenere i massimi standard.

6. Rischio cyber

Nell’ambito della propria attività, il Gruppo Nexi tratta dati personali, tra cui i dati relativi alle transazioni di pagamento, ai titolari delle carte ed esercenti ed è, pertanto, esposto al rischio di attacchi e/o incidenti di cyber security con la conseguente potenziale fuoriuscita di dati o interruzione di business. Inoltre, Nexi è consapevole dei rischi derivanti dalle attività svolte da terze parti, come fornitori di servizi o partner commerciali. Oltre a includere clausole contrattuali per garantire la sicurezza e la riservatezza dei dati, Nexi si impegna a mitigare tali minacce attraverso la vigilanza e una stretta collaborazione. Nexi è vincolata dalle leggi sulla protezione dei dati e sulla privacy, oltre alle regole dei circuiti internazionali come Visa e Mastercard.  La conformità a tali normative comporta l’adozione di standard di protezione dei dati e il mantenimento delle certificazioni di settore, come quelle richieste dal consorzio PCI (Payment Card Industry). 


Impatti Potenziali:
Il rischio di un incidente di sicurezza è considerato critico, con una probabilità bassa di verificarsi. Nel peggiore dei casi, le minacce alla sicurezza potrebbero causare inattività del sistema, compromissione di sistemi IT critici, potenziali violazioni di informazioni riservate o uso improprio di informazioni di pagamento. Analogamente, la perdita o la divulgazione non autorizzata di informazioni personali dei clienti o altre informazioni sensibili potrebbe comportare sanzioni normative o legali, multe significative, costi di rimedio sostanziali e danneggiamento della reputazione aziendale.

Azioni di mitigazione:
 Il Gruppo Nexi si impegna attivamente nella mitigazione dei rischi legati alla sicurezza informatica. Oltre a essere dotata di una polizza assicurativa adeguata, Nexi implementa misure di sicurezza IT specifiche, promuove sessioni di formazione per sensibilizzare il personale sui rischi e sulle migliori pratiche da adottare e mantiene un costante monitoraggio dei servizi e un piano di continuità operativa per garantire la risposta efficace a eventuali crisi.

7. Interruzione delle attività (rischi dell'infrastruttura ICT)

L’affidabilità, le prestazioni operative, l’integrità e la continuità dell’infrastruttura ICT del Gruppo Nexi, nonché delle reti tecnologiche, sono fondamentali per l’attività, le prospettive e la reputazione del Gruppo medesimo. Una parte particolarmente cruciale dell'infrastruttura ICT in questione sono le piattaforme di acquisizione dei commercianti e di emissione delle carte. Questi sistemi gestiscono l'autorizzazione e l'elaborazione dei pagamenti digitali, l'emissione e la gestione delle carte, la gestione dei terminali di pagamento e dei servizi - tutti soggetti agli standard interbancari. 

Impatti Potenziali:
Un'imprevista inattività delle piattaforme potrebbe influenzare la disponibilità dei nostri servizi, causando potenziali violazioni degli accordi di livello di servizio e dell’affidabilità nell’ elaborazione delle operazioni dei clienti. Questo potrebbe portare a una perdita di ricavi e ad un incremento delle spese operative. Inoltre, il Gruppo Nexi potrebbe subire danni alla reputazione in caso di incidenti di inattività prolungati o ripetuti. Pertanto, questo rischio è considerato ad alto impatto economico, operativioe e reputazionale, sebbene con una bassa probabilità di verificarsi.

Azioni di mitigazione:
Nexi ha implementato un modello di gestione del rischio IT integrato con il quadro di gestione del rischio operativo e il sistema di controllo interno del Gruppo. Un'unità dedicata alla sicurezza IT è responsabile della definizione delle strategie di protezione, della supervisione della continuità operativa e della gestione dei relativi incidenti, garantendo l'applicazione degli standard di sicurezza. L'unità di gestione dell'infrastruttura, invece, supervisiona la continuità dei servizi IT, gestisce gli incidenti IT, coordina la transizione di nuovi servizi, sistemi, applicazioni e cambiamenti in produzione, e si occupa della progettazione, implementazione e operatività tecnica delle infrastrutture tecnologiche di Nexi.

8. Dipendenza dai fornitori

Per la gestione delle proprie attività, il Gruppo Nexi si affida a fornitori di servizi terzi e fornitori di prodotti. I principali fornitori includono (i) processori di pagamento, (ii) fornitori di manutenzione ICT e applicazioni, (iii) fornitori di carte, POS e ATM, (iv) contact unit. La colalborazione con terze parti consente a Nexi di ottenere una maggiore efficienza, ottimizzare i costi operativi e concentrarsi sul proprio core business. Tuttavia, il crescente ricorso a terze parti può aumentare i livelli di dipendenza che possono esporre Nexi a rischi connessi al controllo del livello di servizion offerto, alla gestione e protezione dei dati, alla continuità dei sistemi, al rischio di concentrazione e di conformità e reputazione.

Impatto Potenziale:
Si ritiene che l’evento abbia una bassa probabilità di accadimento, e che questo rischio ptorebbe avere un impatto medio. 

9. Rischio di credito/controparte

Per il Gruppo Nexi il rischio di credito ha origine principalmente nell’ambito di:

  • Attività di acquiring, ed in particolare nella forma di rischio chargeback, in caso di mancata consegna di un prodotto/servizio acquistato in modalità prepagata, il titolare della carta può ricevere un anticipo da parte dell'acquirer, che solo successivamente si rivale sul merchant; 
  • Attività di issuing, Nexi addebita ai clienti le spese della carta di credito in una data successiva a quella in cui sono stati effettuati i pagamenti, creando così un credito nei confronti dei titolari della carta. 
  • Attività di Buy now pay later (“BNPL”) dove il rischio di credito è insito nella tipologia di servizio erogato.
  • Attività di processing, ed in particolare in relazione ai crediti commerciali generati dal mancato pagamento di fatture.

 

Impatto Potenziale:
Impatto medio in caso di eventi, ma con una bassa probabilità di accadimento, grazie alle misure di mitigazione messe in atto e ai robusti sistemi di monitoraggio

10. Rischio di frode

Il Gruppo Nexi potrebbe incorrere in responsabilità e potrebbe pertanto subire danni, anche reputazionali, in connessione a transazioni di pagamento digitale fraudolente, crediti fraudolenti avanzati da esercenti o da altre parti, o vendite fraudolente di beni e servizi. Fra gli esempi di frodi commerciali rientrano gli attacchi di phishing, la commercializzazione di prodotti contraffatti, l'utilizzo fraudolento di carte di credito o debito rubate o falsificate, le registrazioni di vendite o transazioni fittizie da parte dei commercianti o di terzi mediante l'uso improprio di numeri di carte di pagamento, l'elaborazione di carte non valide e il mancato adempimento doloso nella consegna di beni o servizi nell’ambito di un’oeprazione altrimenti valida.

Impatto Potenziale:
I responsabili di tali operazioni utilizzano metodi sempre più sofisticati per svolgere attività illecite come la contraffazione e la frode. La mancata identificazione dei furti, nonchè un’inefficace gestione del rischio e della prevenzione delle frodi, potrebbero portare a un aumento della responsabilità di chargeback per il Gruppo, oltre a  possibili multe o sanzioni. Gli impatti possono estendersi al deterioramento dell'esperienza cliente online e a un danno reputazionale significativo, erodendo la fiducia nell'utilizzo dei sistemi di pagamento digitale. Il rischio è comunque considerato avere un impatto economico basso e una probabilità media di accadimento, grazie ai sofisticati sistemi di monitoraggio e rilevamento del Gruppo Nexi per prevenire e bloccare potenziali casi di frode che i nostri clienti potrebbero subire.

11. Evoluzione del contesto normativo

In base al settore in cui opera, le principali direttive/regolamenti a cui il Gruppo deve conformarsi sono l'antiriciclaggio, il GDPR, la PSD2, l'antitrust e altre norme vincolanti emesse periodicamente dagli schemi internazionali. Il Gruppo Nexi si sta preparando a conformarsi all'imminente regolamento DORA, rafforzando la resilienza operativa dei sistemi ICT a partire da gennaio 2025. In qualità di società quotata, Nexi SpA aderisce a diverse norme speciali di quotazione, tra cui le leggi finanziarie italiane, i regolamenti Consob, le direttive UE come MAD II e MAR, la legge 262/2005, il bilancio di sostenibilità CSRD e i codici di condotta specifici del mercato. 

Impatto potenziale:
La mancanza di conformità normativa può potenzialmente comportare raccomandazioni e multe da parte delle autorità di regolamentazione locali o delle banche centrali. Inoltre, il Gruppo Nexi potrebbe subire danni alla reputazione in caso di violazione dei dati, facilitazione del riciclaggio di denaro, attuazione tardiva di nuovi requisiti normativi, ecc. Questo rischio potrebbe avere un impatto medio-alto in caso di evento, ma una bassa probabilità di verificarsi.