Logo Banca Ifis

Sistema di controllo interno e gestione dei rischi

Il sistema di controllo interno comprende le regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali, l’efficacia ed efficienza dei processi e la conformità delle operazioni con la normativa e con la regolamentazione aziendale.

Il sistema di controllo interno

Il sistema di controllo interno riveste un ruolo centrale nell’organizzazione di Banca Ifis. Rappresenta un elemento fondamentale di presidio dei rischi aziendali, e favorisce la diffusione di una corretta cultura del rischio, della legalità e dei valori aziendali.

Esso rappresenta un elemento fondamentale di conoscenza per gli organi aziendali in modo da:

  • Garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni;
  • Orientare i mutamenti delle linee strategiche e delle politiche aziendali;
  • Adattare in modo coerente il contesto organizzativo;
  • Presidiare la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale;
  • Favorire la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali.

Banca Ifis, conformemente a quanto disposto dalla regolamentazione di vigilanza e dalla normativa relativa ai servizi di investimento prestati, persegue i seguenti principi generali di organizzazione:

  • I processi decisionali e l’affidamento di funzioni al personale sono formalizzati e consentono l’univoca individuazione di compiti e responsabilità e sono idonei a prevenire i conflitti di interessi. In tale ambito, viene assicurata la necessaria separatezza tra le funzioni operative e quelle di controllo;
  • Le politiche e le procedure di gestione delle risorse umane assicurano che il personale sia provvisto delle competenze e della professionalità necessarie per l’esercizio delle responsabilità a esso attribuite;
  • Il processo di gestione dei rischi è efficacemente integrato. Infatti:
    • Esiste un linguaggio comune nella gestione dei rischi a tutti i livelli;
    • I metodi e gli strumenti di rilevazione e valutazione dei rischi adottati sono tra di loro coerenti;
    • Sono definiti modelli di reportistica dei rischi, al fine di favorirne la comprensione e la corretta valutazione, anche in una logica integrata;
    • Sono individuati momenti di coordinamento ai fini delle rispettive attività;
    • Sono previsti flussi informativi su base continuativa tra le diverse funzioni in relazione ai risultati delle attività di controllo di propria pertinenza;
    • Sono condivise le azioni di rimedio individuate;
  • I processi e le metodologie di valutazione, anche a fini contabili, delle attività / passività aziendali sono affidabili e integrati con il processo di gestione del rischio. A tal fine: la definizione e la convalida delle metodologie di valutazione sono affidate a unità differenti; le metodologie di valutazione sono robuste, testate sotto scenari di stress e non fanno affidamento eccessivo su un’unica fonte informativa; la valutazione di uno strumento finanziario è affidata a un’unità indipendente rispetto a quella che negozia detto strumento;
  • Le procedure operative e di controllo minimizzano i rischi legati a frodi o infedeltà dei dipendenti, prevengono o, laddove non sia possibile, attenuano i potenziali conflitti di interesse e, inoltre, prevengono il coinvolgimento, anche inconsapevole, in fatti di riciclaggio, usura o di finanziamento al terrorismo;
  • Il sistema informativo rispetta i requisiti previsti dalla disciplina di vigilanza, tempo per tempo vigente;
  • I livelli di continuità operativa garantiti sono adeguati e conformi a quanto stabilito dalla normativa di vigilanza, tempo per tempo vigente.

Ruolo degli organi societari:

  • Il Consiglio di Amministrazione approva il documento delle “Linee di indirizzo di Gruppo sul Sistema dei Controlli interni”, aggiornato per l’ultima volta a novembre 2025. Verifica che le linee di indirizzo siano coerenti con gli indirizzi strategici e la propensione al rischio stabiliti, e che siano in grado di cogliere l’evoluzione dei rischi aziendali e l’interazione tra gli stessi. Approva il Risk Appetite Framework e le politiche di gestione del rischio;
  • Il Comitato Controllo e Rischi ha il compito di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del Consiglio di Amministrazione relative al sistema di controllo interno e di gestione dei rischi, all’approvazione delle relazioni periodiche di carattere finanziario e non finanziario e di supportare il Consiglio in tema di analisi dei temi rilevanti per la generazione di valore nel lungo termine nell’ottica di successo sostenibile;
  • Il Collegio sindacale si assicura che tutte le funzioni e strutture coinvolte nel sistema dei controlli interni siano adeguatamente coordinate, inclusa la società di revisione contabile. Promuove, ove necessario, gli opportuni interventi correttivi e scambia dati e informazioni con la società di revisione per svolgere i propri compiti;
  • L’Amministratore Delegato è l’amministratore incaricato di sovrintendere alla funzionalità del sistema di controllo interno e di gestione dei rischi.

Il corretto funzionamento del sistema dei controlli interni si basa sulla proficua interazione fra gli organi aziendali, gli eventuali comitati costituiti all’interno di questi ultimi, i soggetti incaricati della revisione legale dei conti e le funzioni di controllo.

In particolare, il Comitato Controllo e Rischi e il Collegio Sindacale interagiscono frequentemente nel corso delle proprie riunioni e, all’occorrenza, con l’Amministratore Delegato, il Dirigente preposto alla redazione dei documenti contabili e societari, la Società di revisione, il Chief Risk Officer, il Responsabile della Compliance e la Responsabile dell’Antiriciclaggio. Interagiscono inoltre in via sistematica con il Responsabile dell’Internal Audit, che di norma assiste alle riunioni di entrambi gli organi.

Tutte le attività aziendali sono oggetto di controlli, articolati su tre livelli:

  • Controlli di linea (primo livello): aree di business, owner dei diversi processi e attività;
  • Controlli di secondo livello: funzioni aziendali di Risk Management, Compliance e Antiriciclaggio;
  • Controlli di terzo livello: Internal Audit.

I responsabili delle unità organizzative di controllo interagiscono, coordinandosi e collaborando, al fine di evitare sovrapposizioni, sviluppare sinergie e ottimizzare la collaborazione.

Tassonomia dei Rischi

Il Gruppo ha definito una Tassonomia dei Rischi, che descrive le logiche seguite nell’identificazione dei rischi attuali e/o prospettici a cui il Gruppo potrebbe essere esposto nel conseguire i propri obiettivi strategici e, per ciascuna tipologia, gli strumenti di prevenzione e mitigazione previsti.

Tale documento viene condiviso con l’Internal Audit ed è approvato, previa condivisione con l’Amministratore Delegato e successivo parere favorevole del Comitato Controllo e Rischi, dal Consiglio di Amministrazione della Capogruppo.

L’Amministratore Delegato segnala al Consiglio di Amministrazione della Capogruppo, su indicazione delle Funzioni di Controllo, del Dirigente Preposto, nonché dell’Organizzazione, eventuali esigenze di aggiornamento che si rendano necessarie per modifiche al contesto normativo, strategico ed organizzativo.

Risk Management

Il Risk Management identifica i rischi ai quali la Capogruppo e le società del Gruppo sono esposte, e provvede alla misurazione e al monitoraggio periodico degli stessi attraverso specifici indicatori di rischio, pianificando le eventuali azioni di mitigazione per i rischi rilevanti. Le attività del Risk Management sono oggetto di periodica rendicontazione agli organi aziendali tramite il Tableau de Bord, e, ove previsto, anche a Banca d’Italia e a Consob.

La struttura complessiva di governo e gestione dei rischi a livello di Gruppo è disciplinata nel Risk Appetite Framework (RAF) e nei documenti che ne discendono, tenuti costantemente aggiornati in base alle evoluzioni del quadro strategico del Gruppo stesso.

Con specifico riferimento ai rischi climatici e ambientali, l’analisi delle aspettative di Banca d’Italia sui rischi climatici e ambientali e, a seguire, gli Orientamenti sulla gestione dei rischi ambientali, sociali e di governance (rischi ESG) pubblicati dall’European Banking Authority (EBA) hanno dato luogo all’avvio di un programma strutturato con lo scopo di integrare i fattori ambientali nelle strategie aziendali, nei sistemi di governo e controllo, nel risk management framework e nella disclosure. Ulteriore obiettivo strategico è quello di incorporare i relativi rischi nei principali processi valutativi aziendali.

Tra le attività già intraprese da Banca Ifis troviamo l’esercizio di materiality assessment, funzionale all’individuazione dei fattori di rischio climatici e ai meccanismi causali secondo cui tali fattori si trasferiscono ai rischi tradizionali (canali di trasmissione).

Le risultanze dell’esercizio di materiality assessment denotano un’esposizione nel complesso moderata ai rischi climatici e ambientali. In linea con quanto previsto dalle aspettative di Banca d’Italia sui rischi climatici e ambientali (i.e. aspettative VI), la Capogruppo Banca Ifis ha effettuato nel corso del 2025 un primo esercizio di Climate Stress test che è stato allegato al Resoconto ICAAP. Lo studio degli effetti dei rischi climatici e ambientali sul rischio di credito è stato condotto analizzando il possibile impatto di gravi cambiamenti climatici sul conto economico attraverso il deterioramento della qualità del credito e dei parametri di rischio.

Compliance

La funzione Compliance garantisce il presidio del rischio di non conformità, ad esempio, valutando l’adeguatezza dei presidi rispetto alla normativa applicabile o verificando la conformità dei messaggi pubblicitari previsti. Inoltre, a seguito dell’introduzione di nuovi prodotti e servizi, la funzione Compliance richiede la predisposizione di corsi formativi adeguati alle unità organizzative impattate dai nuovi prodotti e servizi bancari (e.g. in tema di rischi insiti nel nuovo prodotto e relative modalità di mitigazione).

Le attività di controllo effettuate dalla funzione Compliance mirano a verificare l’efficacia delle misure organizzative richieste, proposte e attuate ai fini della gestione del rischio di non conformità, pertanto, si applicano a tutti gli ambiti in cui sussiste tale rischio. Gli esiti dei controlli sono formalizzati in relazioni che vengono condivise con le strutture aziendali competenti, alle quali è richiesto di fornire riscontro sulle azioni di rimedio individuate e sulla tempistica di realizzazione. Tali adempimenti sono soggetti al monitoraggio della funzione e alla rendicontazione periodica agli organi aziendali tramite il Tableau de Bord e, ove previsto, anche a Banca d’Italia e a Consob. Essa opera con un approccio ex-ante, effettuando consulenza a supporto del business su ambiti normativi identificati, ed ex-post, effettuando verifiche di conformità.

La funzione Compliance monitora l’adempimento alle normative vigenti attraverso controlli continuativi e verifiche, con l’obiettivo di valutare l’efficacia delle misure organizzative predisposte, proposte e implementate per la gestione del rischio di non conformità in ogni ambito in cui tale rischio è presente.

Antiriciclaggio

La funzione Anti-Money Laundering effettua controlli sistematici di secondo livello in relazione al rischio di riciclaggio e di finanziamento del terrorismo, volti a verificare la corretta applicazione delle procedure ai processi operativi, produce Key Risk Indicator rappresentativi degli elementi di rischio più significativi da tenere monitorati ed effettua l’esercizio di autovalutazione dei rischi di riciclaggio e finanziamento del terrorismo con cadenza annuale. L’esito delle verifiche effettuate e il piano di azione sono condivisi con il Management di riferimento. Tali controlli e indicatori sono, inoltre, esposti trimestralmente nel Tableau de Bord e portati all’attenzione del Consiglio di Amministrazione e, ove previsto, anche a Banca d’Italia.

Internal Audit

L’attività di revisione condotta dalla funzione Internal Audit è trasversale a tutti i processi aziendali. Al fine di individuare eventuali andamenti anomali o violazioni della regolamentazione interna e di valutare la funzionalità del Sistema dei Controlli Interni nel suo complesso, alla funzione è attribuita la responsabilità delle verifiche sulla corretta applicazione delle disposizioni interne.

La funzione Internal Audit opera sulla base della pianificazione approvata dal Consiglio di Amministrazione a cui si aggiungono interventi non pianificati per specifiche necessità e/o richieste dei principali organi aziendali o di vigilanza esterni. Gli esiti degli audit sono condivisi con l’unità organizzativa di riferimento e con le funzioni di controllo di secondo livello, quindi inviati al Collegio Sindacale e al Comitato Controllo e Rischi. La funzione Internal Audit, inoltre, si relaziona periodicamente con gli organi aziendali anche tramite la presentazione di specifiche rendicontazioni di sintesi (Relazioni annuali e Tableau de Bord trimestrali) che, ove previsto, sono oggetto di trasmissione anche a Banca d’Italia o a Consob. Il ciclo di audit, come previsto dalla normativa di vigilanza, è triennale e prevede verifiche su tutti i principali processi aziendali.

Rischio di credito

In considerazione delle particolari attività svolte dalle società del Gruppo, il rischio di credito configura l’aspetto più rilevante della rischiosità complessiva assunta. Il mantenimento di un’efficace gestione del rischio di credito costituisce un obiettivo strategico per il Gruppo Banca Ifis ed è perseguito adottando strumenti e processi integrati al fine di assicurare una corretta gestione del credito in tutte le sue fasi (istruttoria, concessione, monitoraggio e gestione, intervento su crediti problematici).

Il rischio di credito è presidiato nel continuo con l’ausilio di procedure e strumenti che consentono una tempestiva individuazione delle posizioni che presentano particolari anomalie. Il Gruppo Banca Ifis nel tempo si è dotato di strumenti e procedure che consentono di valutare e monitorare il rischio in modo specifico per ciascuna tipologia di clientela e di prodotto.

Il Gruppo Banca Ifis pone particolare attenzione alla concentrazione del rischio di credito con riferimento a tutte le società del Gruppo, sia a livello individuale che consolidato. Il Consiglio di Amministrazione di Banca Ifis ha dato mandato all’Alta Direzione di agire in funzione di un contenimento delle “Grandi esposizioni”. In linea con le indicazioni del Consiglio, sono sottoposte a monitoraggio in via sistematica anche le posizioni a rischio che impegnano il gruppo in misura rilevante.

Tecniche di mitigazione del rischio di credito

Rientrano nell’ambito delle tecniche di mitigazione del rischio di credito quegli strumenti che contribuiscono a ridurre la perdita che il Gruppo andrebbe a sopportare in caso di default della controparte; nello specifico, ci si riferisce alle garanzie ricevute dalla clientela, sia di tipo reale sia personale, e a eventuali contratti che possono determinare una riduzione del rischio di credito.

In linea generale, nell’ambito del processo di concessione e gestione del credito, per talune tipologie di affidamenti, viene incentivato il rilascio da parte della clientela di idonee garanzie atte a ridurne la rischiosità. Esse possono essere rappresentate da garanzie reali che gravano su beni, quali ad esempio i pegni su attività finanziarie, le ipoteche su immobili (residenziali/non residenziali) e/o da garanzie personali (tipicamente le fidejussioni) che gravano su un soggetto terzo ove la persona (fisica o giuridica) si costituisce garante della posizione debitoria del cliente in caso di insolvenza.

In particolare:

  • nell’ambito dell’attività di factoring, qualora la tipologia e/o la qualità del credito ceduto non risultino pienamente soddisfacenti o, più in generale, il cliente cedente non risulti di merito creditizio sufficiente, è prassi consolidata, a maggior tutela del rischio di credito assunto dal Gruppo nei confronti del cliente cedente, acquisire garanzie fideiussorie aggiuntive da parte di soci o amministratori dei clienti cedenti. Per quanto riguarda i debitori ceduti nei rapporti di factoring, ove si ritiene che gli elementi di valutazione disponibili sul debitore ceduto non siano adeguati per una corretta valutazione/assunzione del rischio di credito connesso alla controparte debitrice, o che l’ammontare di rischio proposto superi i limiti individuati nella valutazione della controparte, si acquisisce idonea copertura dal rischio di default del debitore ceduto. La copertura prevalentemente utilizzata su debitori ceduti esteri con operatività pro soluto è realizzata attraverso garanzie rilasciate da factor corrispondenti e/o polizze assicurative sottoscritte con operatori specializzati;
  • in ambito finanziamenti verso imprese, ove possibile, si acquisiscono idonee garanzie del Fondo Centrale di Garanzia o da altre società rientranti nel perimetro pubblico come SACE S.p.A.;
  • in relazione all’operatività di Structured Finance, si acquisiscono garanzie in funzione allo standing della controparte, alla durata ed alla tipologia del finanziamento. Tra queste garanzie rientrano oltre alle garanzie ipotecarie, i privilegi su impianti e macchinari, i pegni, le fideiussioni, le assicurazioni del credito ed i depositi collaterali;
  • in relazione all’operatività relativa al leasing finanziario, occorre sottolineare che il rischio di credito è attenuato dalla presenza del bene oggetto del leasing. Il locatore ne mantiene la proprietà sino all’esercizio dell’eventuale opzione di acquisto finale, garantendosi un maggior tasso di recupero in caso di insolvenza del cliente;
  • in relazione all’operatività in crediti di difficile esigibilità ed acquisto di crediti fiscali da procedure concorsuali, ed al relativo modello di business, non vengono di norma poste in essere azioni volte ad acquisire copertura a fronte dei rischi creditizi;
  • la cessione del quinto è senza dubbio una forma tecnica poco rischiosa, in considerazione delle particolarità di questo prodotto che prevede obbligatoriamente una copertura assicurativa per il rischio di decesso e/o di perdita di impiego del cliente ed il vincolo, a maggior garanzia del finanziamento, del Trattamento di Fine Rapporto (TFR) maturato dal cliente.
  • l’operatività di finanziamento alle farmacie prevede un’anticipazione accompagnata da una cessione o da un mandato all’incasso dei crediti con la possibilità di utilizzare le anticipazioni successive a decurtazione dei finanziamenti in essere.

In linea con quanto stabilito dal Decreto Liquidità (D.L. 8 aprile 2020 n. 23) il Gruppo ha usufruito delle garanzie offerte dal Fondo di Garanzia statale per la tipologia di clientela e finanziamenti previsti dal Decreto, con coperture che possono arrivare fino al 100%. Tale garanzia consente una riduzione degli RWA relativi al rischio di credito, in proporzione alla quota di esposizione coperta dal Fondo.

Nell’ambito dei portafogli Npl acquisiti sono incluse posizioni garantite da ipoteche su immobili che presentano una rischiosità inferiore rispetto al portafoglio complessivo acquisito.

La determinazione dell’ammontare complessivo degli affidamenti concedibili allo stesso cliente e/o gruppo giuridico ed economico tiene conto di appositi criteri per la ponderazione delle diverse categorie di rischio e delle garanzie. In particolare, al valore di stima delle garanzie reali vengono applicati “scarti” prudenziali, differenziati per tipologia di garanzia.

Il Gruppo verifica nel continuo la qualità e l’adeguatezza delle garanzie acquisite sul portafoglio crediti, con presidi di secondo livello effettuati dalla funzione di Risk Management della Capogruppo e svolti in ambito Single File Review (SFR).

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2025 alla pagina Risultati finanziari e presentazioni.

Rischio di mercato

Rischio di tasso di interesse e rischio di prezzo – portafoglio di negoziazione di vigilanza

Nel corso del 2025 sono proseguite le strategie di investimento disciplinate nella “Politica di gestione del Portafoglio di Proprietà di Banca Ifis” e nella “Politica di gestione dell’operatività di investimento di Securitization & Structured Solutions”, articolate in coerenza con l’appetito al rischio formulato dal Consiglio di Amministrazione nell’ambito del processo del Risk Appetite Framework (RAF) e declinato nella “Politica di Gruppo del Risk Management per la gestione dei rischi di mercato” e con il sistema di obiettivi e limiti.

In coerenza con la “stance” conservativa declinata nei documenti sopra citati, la strategia di investimento complessiva si è focalizzata nel contenimento del rischio, attuata principalmente ricercando titoli caratterizzati da un’elevata liquidabilità e da una strategia di ritorni costanti nel medio termine. Nel corso dell’esercizio è stato comunque scelto di aumentare progressivamente la duration del portafoglio, con contestuale aumento del controvalore investito, al fine di perseguire una maggior stabilità dei flussi di interesse in presenza di rendimenti futuri attesi in ribasso. La modifica della composizione del portafoglio è stata accompagnata da un continuo monitoraggio dell’esposizione dei rischi da essa generati. Il rispetto dei limiti di rischio stabiliti dal Gruppo Banca Ifis è stato sempre oggetto di verifica da parte della funzione Risk Management. Con l’acquisizione di illimity Bank, le linee strategiche di Capogruppo sono state naturalmente estese alla nuova controllata e alle altre società del Gruppo illimity, e pertanto si è assistito nel corso degli ultimi mesi del 2025 ad un allineamento delle strategie e delle procedure tra le due realtà.

Si segnala inoltre che nel corso del 2024 sono state poste in essere alcune operazioni di hedge accounting (micro fair value hedge) su alcuni titoli di capitale valutati al fair value con impatto sulla redditività complessiva, realizzate mediante combinazioni di opzioni call e put ed aventi scadenza entro i 36 mesi. Tali operazioni perseguono una finalità di riduzione del rischio prezzo dei titoli sottostanti e sono continuate anche nel corso del 2025.

La componente afferente al “portafoglio di negoziazione” (trading book) da cui si origina il rischio di mercato in oggetto, è risultata marginale rispetto al totale degli investimenti nel banking book, sia in termini assoluti di valori di rischio rilevati che rispetto ai limiti stabiliti. Il portafoglio di negoziazione risulta principalmente composto da opzioni e future derivanti da operazioni di hedging ed enhancement ancillari alla strategia di investimento negli asset facenti parte del “portafoglio bancario” (banking book) e dal portafoglio di “discretionary trading”, caratterizzato da un’ottica speculativa di breve periodo e da un’esposizione marginale.

All’interno del portafoglio di negoziazione sono inoltre presenti operazioni in derivati con controparte clientela corporate del Gruppo Banca Ifis (quasi interamente relativi a illimity Bank). Tali posizioni risultano essere gestiti “a libro”, monitorando e gestendo nel continuo il rischio di greche generato dal portafoglio. Le metriche di rischio osservate sono risultati estremamente contenuti.

Rischio di tasso di interesse e rischio di prezzo – portafoglio bancario

L’assunzione di un significativo rischio di tasso d’interesse è in linea di principio estranea alla gestione del Gruppo. In termini di composizione dello stato patrimoniale con riferimento alla fattispecie di rischio in oggetto, relativamente alla componente passiva, la fonte di provvista prevalente continua ad essere costituita dai conti di deposito online e conti corrente (in particolare Rendimax e illimityBank.com), declinati nelle forme tecniche di conti deposito della clientela a tasso fisso per la componente vincolata, e a tasso variabile non indicizzato, rivedibile unilateralmente da parte del Gruppo nel rispetto delle norme e dei contratti, per le forme tecniche di conti correnti liberi a vista e a chiamata. Le ulteriori componenti principali di provvista riguardano raccolta obbligazionaria a tasso fisso, operazioni di cartolarizzazione a tasso variabile, pronti contro termine (PCT) sia a tasso fisso che variabile e i prestiti con l’Eurosistema (c.d. LTRO, MRO e altri tipi di operazioni con BCE) a tasso variabile.

Relativamente all’attivo gli impieghi alla clientela rimangono prevalentemente a tasso variabile, sia con riguardo alla componente di credito commerciale e che di finanziamenti corporate.

Nell’ambito dell’operatività in crediti di difficile esigibilità svolta dalle controllate Ifis Npl Investing e Ifis Npl Servicing, la prima risulta caratterizzata da un modello di business focalizzato sull’acquisto di crediti a valori inferiori rispetto al nominale e rileva un potenziale rischio di tasso d’interesse connesso anche all’incertezza sui tempi di incasso.

Al 31 dicembre 2025 il portafoglio titoli obbligazionari complessivo è composto principalmente da titoli governativi, per una percentuale pari all’87%; la modified duration media e scadenza media del portafoglio risultano rispettivamente pari a 4,1 anni e a 5,3 anni. Su questi titoli sono comunque iscritte alcune posizioni derivative, in regime di hedge accounting, finalizzate a ridurre la rischiosità di rischio tasso del portafoglio (micro fair value hedge). Pertanto, l’effettiva duration media del portafoglio, inclusiva dei derivati, al 31 dicembre 2025 risulta essere di 2,3 anni.

La funzione Capital Market è preposta a garantire la gestione del rischio di tasso, in linea con il risk appetite stabilito, definisce le azioni necessarie al perseguimento dello stesso. Alla funzione di Risk Management spetta il compito di proporre il risk appetite, individuare gli indicatori di rischio più opportuni e monitorarne l’andamento delle masse attive e passive in relazione ai limiti prefissati. L’Alta Direzione propone annualmente al Consiglio della Capogruppo Banca Ifis le politiche di impiego e raccolta e di gestione del rischio di tasso, nonché suggerisce in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività in coerenza con le politiche di rischio approvate nell’ambito del Gruppo.

La posizione di rischio di tasso è oggetto di periodico reporting al Consiglio di Amministrazione della Capogruppo nell’ambito della specifica reportistica mensile predisposta dalla funzione Risk Management per i vertici aziendali.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2025 alla pagina Risultati finanziari e presentazioni.

Rischio di cambio

L’assunzione del rischio di cambio, intesa quale componente gestionale potenzialmente idonea a consentire migliori performance di tesoreria, rappresenta un’operatività estranea alle politiche del Gruppo. Le operazioni in divisa del Gruppo Banca Ifis si sostanziano principalmente in operazioni di incasso e pagamento correlate alla tipica attività di factoring e nella copertura di asset denominati in divisa, come quote di fondi OICR. In tale ottica le attività in oggetto sono generalmente coperte da depositi e/o finanziamenti acquisiti da banche espressi nella stessa divisa eliminando sostanzialmente il rischio di perdite connesso all’oscillazione dei cambi. In taluni casi la copertura viene effettuata utilizzando strumenti sintetici.

Un rischio di cambio residuale si manifesta quale conseguenza del fisiologico mismatching tra gli utilizzi da parte della clientela ed i relativi approvvigionamenti di valuta da parte della funzione Capital Markets, prevalentemente connessi alla difficoltà di formulare previsioni esatte sulle dinamiche finanziarie connesse all’attività di factoring, con particolare riferimento ai flussi d’incasso da parte dei debitori ceduti rispetto alle scadenze dei finanziamenti accesi alla clientela, nonché all’effetto degli interessi sugli stessi.

La funzione Capital Markets è impegnata a minimizzare questa differenza, riallineando nel continuo il dimensionamento e la cadenza temporale delle posizioni in valuta.

L’assunzione e la gestione del rischio di cambio connesso all’attività avvengono nel rispetto delle politiche di rischio e dei limiti fissati dal Consiglio di Amministrazione della Capogruppo, ed è disciplinata da precise deleghe operative in materia che fissano limiti di autonomia per i soggetti autorizzati ad operare, nonché limiti alla posizione giornaliera netta in cambi particolarmente stringenti.

Le funzioni aziendali preposte a garantire la corretta gestione del rischio di cambio sono la funzione Capital Markets, che si occupa, fra le sue varie attività, della gestione diretta del funding e della posizione in cambi, la funzione di Risk Management, cui spetta il compito di individuare gli indicatori di rischio più opportuni e monitorarne l’andamento in relazione ai limiti prefissati, e l’Alta Direzione, cui spetta il compito, sulla base delle proposte effettuate dalla funzione Capital Markets, di asseverare tali suggerimenti e proporre quindi annualmente al Consiglio di Amministrazione di Banca Ifis le politiche di funding e di gestione del rischio cambio nonché suggerire in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività del Gruppo in coerenza con le politiche di rischio approvate.

Per quanto concerne le controllate Ifis Finance Sp. z o.o. e Ifis Finance I.F.N. S.A., operanti rispettivamente su mercato polacco e rumeno, le esposizioni in zloty e in leu rivenienti dall’attività di factoring vengono finanziate mediante provvista nella medesima valuta.

Con l’acquisizione della partecipata polacca, Banca Ifis ha assunto in proprio il rischio di cambio rappresentato dall’investimento iniziale nel capitale di Ifis Finance Sp. z o.o. per 21,2 milioni di zloty e dal successivo aumento di capitale sociale di importo pari a 66 milioni di zloty.

Per quanto riguarda invece la controllata rumena Ifis Finance I.F.N. S.A., Banca Ifis ha assunto in proprio il rischio di cambio al momento della sua costituzione tramite il versamento iniziale nel capitale sociale per complessivi 14,7 milioni di leu romeni e al momento dei versamenti a titolo di aumento di capitale nel corso del secondo semestre 2022, del primo e del secondo semestre 2023 rispettivamente di 9,6 milioni di leu, 24,7 milioni di leu e 49,0 milioni di leu.

La funzione Risk Management è impegnata nel monitoraggio dei limiti prefissati, finalizzati a verificare che il rischio cambio del Gruppo rimanga contenuto. Al 31 dicembre 2025 la posizione netta complessiva ammonta a circa 7,1 milioni di euro (pari a circa lo 0,3% dei Fondi propri), con un’esposizione massima sulla singola divisa pari a 5 milioni di euro.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2025 alla pagina Risultati finanziari e presentazioni.

Rischio di liquidità

Il rischio di liquidità è rappresentato dalla possibilità che il Gruppo non riesca a mantenere i propri impegni di pagamento a causa dell’incapacità di reperire fondi o dell’incapacità di cedere attività sul mercato per far fronte ad esigenze di liquidità. Rappresenta, altresì, rischio di liquidità l’incapacità di reperire nuove risorse finanziarie adeguate, in termini di ammontare e di costo, rispetto alle necessità/opportunità operative, che costringa il Gruppo a rallentare o fermare lo sviluppo dell’attività, o sostenere costi di raccolta eccessivi per fronteggiare i propri impegni, con impatti negativi significativi sulla marginalità della propria attività.

Al 31 dicembre 2025 le fonti finanziarie sono rappresentate principalmente dal patrimonio, dalla raccolta online (principalmente prodotti Rendimax e illimityBank.com) composta da depositi a vista e vincolati, dai prestiti obbligazionari a medio-lungo termine emessi nell’ambito del programma EMTN, da operazioni di cartolarizzazione a medio-lungo termine nonché dalla raccolta da clientela corporate; la raccolta sotto forma di pronti contro termine (PCT), stipulati con primarie realtà bancarie, si è confermata anche nel 2025 una rilevante fonte di funding. Per quanto infine concerne la raccolta presso l’Eurosistema (TLTRO, LTRO e MRO e altri tipi di operazioni con BCE), la Capogruppo partecipa in maniera continuativa alle aste settimanali, e alla data del 31 dicembre 2025 risultano in essere un’operazione di MRO per 500 milioni di euro, rimborsata in data 7 gennaio 2026, e un’operazione di tipo OT (Other Type of operation) per 260 milioni di USD (pari a 221 milioni di euro), rimborsata in data 8 gennaio 2026.

Con riferimento alle attività del Gruppo esse sono composte dall’operatività inerente al factoring, derivante principalmente da crediti commerciali e presso la Pubblica Amministrazione con scadenze entro l’anno, da crediti con durata a medio-lungo termine rivenienti principalmente dall’operatività di Leasing, Corporate banking, Structured Finance e Workout, Restructuring & Recovery; di notevole importanza anche l’attività di gestione del portafoglio titoli, composto principalmente da titoli governativi italiani eleggibili e prontamente liquidabili.

Relativamente all’attività svolta dal Gruppo nell’ambito del Settore Npl e del comparto relativo all’acquisto di crediti fiscali da procedure concorsuali, le caratteristiche del modello di business determinano un elevato grado di variabilità con riferimento sia all’importo che alla data di effettivo incasso. In tale ottica assume particolare rilevanza una puntuale ed attenta gestione dei flussi di cassa. Al fine di assicurare una corretta valutazione dei flussi attesi, anche in ottica di un pricing corretto delle operazioni realizzate, l’evoluzione degli incassi rispetto ai flussi previsionali viene posta sotto attento monitoraggio.

Il Gruppo è costantemente impegnato nell’armonico sviluppo delle proprie risorse finanziarie, sia dal punto di vista dimensionale che dei costi, al fine di disporre di riserve di liquidità disponibili adeguate ai volumi di attività attuali e prospettici.

Le funzioni aziendali della Capogruppo preposte a garantire la corretta applicazione della politica di liquidità sono la funzione Capital Markets, che si occupa della gestione diretta della liquidità la funzione di Risk Management, cui spetta il compito di proporre il risk appetite, individuare gli indicatori di rischio più opportuni e monitorarne l’andamento in relazione ai limiti prefissati e supportare l’attività dell’Alta Direzione. A quest’ultima spetta il compito, con il supporto della funzione Capital Markets, di proporre annualmente al Consiglio di Amministrazione le politiche di funding e di gestione del rischio liquidità e suggerire in corso d’anno gli eventuali opportuni interventi per assicurare lo svolgimento dell’attività in piena coerenza con le politiche di rischio approvate.
In conformità alle disposizioni di vigilanza il Gruppo è altresì dotato di un piano di emergenza (Contingency Funding Plan) al fine di salvaguardarsi da danni o pericoli derivanti da una eventuale crisi di liquidità e garantire la continuità operativa aziendale anche in condizioni di grave emergenza derivante dagli assetti interni e/o dalla situazione dei mercati.
La posizione di rischio di liquidità è oggetto di periodico reporting predisposto dalla funzione Risk Management per il Consiglio di Amministrazione di Banca Ifis, che include ora anche il perimetro del Gruppo illimity.

Il Gruppo Banca Ifis svolge con frequenza annuale l’esercizio di Internal Liquidity Adequacy Assessment Process (ILAAP), ai fini del Supervisory Review and Evaluation Process (SREP). L’obiettivo del processo ILAAP è la valutazione dell’adeguatezza del profilo di rischio liquidità e funding e dell’impianto di governo, gestione e monitoraggio del rischio stesso. Con riferimento alle partecipate polacca e rumena, l’attività di tesoreria è coordinata dalla Capogruppo.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2025 alla pagina Risultati finanziari e presentazioni.

Impatti derivanti dal contesto macroeconomico

Come già illustrato in occasione delle rendicontazioni precedenti, si evidenzia che l’emergenza sanitaria connessa al Covid-19 di inizio marzo 2020 ha generato impatti senza precedenti sulla crescita economica mondiale. Tale circostanza ha spinto gli intermediari a considerare possibili impatti sul rischio di credito prodotti da tali fattori di rischio straordinari non adeguatamente intercettati dai modelli di calcolo della perdita attesa (ECL) in uso. Quanto premesso, unito alla necessità di cogliere in ottica “forward looking” le aspettative di un rapido deterioramento delle condizioni macroeconomiche, ha portato il Gruppo ad introdurre nel tempo correttivi di tipo prudenziale (c.d. management overlay) nella determinazione delle perdite attese (ECL); tali correttivi avevano in particolare l’obiettivo di cogliere i rischi connessi alle esposizioni nei confronti di controparti appartenenti ai settori economici potenzialmente più vulnerabili.

Successivamente al 2021, a seguito delle tensioni geopolitiche connesse al conflitto Russia-Ucraina e a quello in Medio-Oriente, dello scenario inflattivo e del rallentamento della crescita economica, i correttivi prudenziali applicati e precedentemente descritti sono stati sostituiti e rideterminati con l’obiettivo di fattorizzare i rischi emergenti dal contesto macroeconomico di riferimento.

In particolare,  sono stati introdotti alcuni nuovi correttivi prudenziali per tener conto del contesto macroeconomico fortemente influenzato dalle tensioni geopolitiche, dall’impatto della crescita dei prezzi energetici, dalla dinamica inflattiva, e dal significativo incremento dei tassi di interesse al fine di intercettare fattori di rischio relativi alle controparti appartenenti a settori ritenuti particolarmente esposti ai nuovi rischi emergenti; in particolare, imprese  dei  settori manifatturiero, agricolo, trasporti, commercio ed energia. 

Al 31 dicembre 2023 l’ammontare complessivo dei correttivi prudenziali descritti (management overlay) era pari a circa 52,3 milioni di euro suddivisi quasi equamente tra correttivi a copertura di multipli fattori di rischio (in particolare connessi ai rischi inflattivi, geopolitici e di approvvigionamento energetici) e correttivi a copertura delle aspettative macro-economiche avverse, le cui quantificazioni sono anche supportate da analisi di stress scenario e di sensitivity. Al 31 dicembre 2023 erano stati altresì previsti ulteriori 12,8 milioni di euro di correttivi prudenziali a protezione di posizioni specificatamente individuate per tenere in considerazione di un loro possibile deterioramento stimabile in un orizzonte di tempo ragionevolmente breve e non colto dagli attuali modelli (valutazioni “expert based”).

Nel corso del 2024 la Banca aveva interamente utilizzato i correttivi prudenziali derivanti da valutazioni “expert based” a seguito dell’effettiva classificazione tra le esposizioni deteriorate delle posizioni specificatamente individuate. Inoltre, i “management overlay” accantonati a copertura di multipli fattori di rischio (in particolare connessi ai rischi inflattivi, geopolitici e di approvvigionamento energetici) e a copertura delle aspettative macro-economiche avverse, sono stati utilizzati a fronte delle dinamiche di deterioramento dei cluster di portafoglio a questi sottesi in quanto si è ritenuto che si siano manifestati i rischi a fronte dei quali tali overlay erano stati costituiti. L’ammontare totale residuo dei management overlay al 31 dicembre 2024 era quindi pari a 25,2 milioni di euro.

Nel corso del terzo trimestre 2025 l’ammontare di overlay è stato ridotto di circa 8 milioni di euro a fronte di una diminuzione della severità degli scenari a supporto della quantificazione nonché in seguito ad utilizzo a fronte delle dinamiche di deterioramento dei cluster di portafoglio a questi sottesi.

A fine 2025 i management overlay a copertura di multipli fattori di rischio e delle aspettative macro-economiche avverse sono stati integralmente utilizzati con un conseguente impatto economico positivo.

Tale decisione, oltre a coprire alcune posizioni specifiche deteriorate nel trimestre, è stata ritenuta ragionevole sulla base di un insieme di evidenze, interne ed esterne, che da un lato confermano la piena incorporazione nei nuovi scenari macroeconomici degli elementi legati ai “rischi emergenti” e, dall’altro, attestano un rafforzamento dei presidi interni di misurazione e controllo del rischio di credito. In particolare, sono progressivamente venute meno le condizioni di straordinarietà che avevano motivato l’introduzione dei management overlay. I “novel risk”, quali quelli di natura geopolitica o climatico‑ambientale, risultano oggi integrati negli scenari macroeconomici utilizzati per la calibrazione dei parametri di rischio; inoltre, le sensitivity illustrate evidenziano una reattività contenuta dell’ECL anche in presenza di peggioramenti del quadro macroeconomico.

Con riferimento ai principali fattori macroeconomici si osservano segnali di miglioramento. Infatti, l’inflazione nell’area Euro è scesa al 2% nel mese di dicembre, centrando l’obiettivo di stabilità dei prezzi della BCE e segnalando un allentamento delle pressioni inflazionistiche; parallelamente l’Euribor 3 mesi si è stabilizzato intorno al 2%, con oscillazioni contenute che riflettono aspettative di politica monetaria relativamente stabili dopo i tagli dei tassi operati nel 2025. Nel complesso, queste dinamiche delineano un quadro macroeconomico più stabile e meno esposto a shock avversi.

Accanto alla descritta evoluzione del contesto esterno, i modelli IFRS 9 in uso hanno progressivamente mostrato un livello di solidità tale da ridurre ulteriormente la necessità di overlay prudenziali: i modelli hanno superato stabilmente i backtest, condotti secondo un framework reso più strutturato nel corso del 2025, e garantiscono livelli di coverage da ritenersi adeguati anche alla luce delle evidenze di sistema. Ulteriore aspetto rilevante è il progressivo rafforzamento dei processi di monitoraggio e controllo del portafoglio creditizio, sia nell’ambito delle attività di primo livello, sia attraverso il presidio di secondo livello, assicurando una capacità più tempestiva ed efficace di individuazione delle dinamiche di deterioramento.

Infine, a partire dall’esercizio 2025 la componente forward looking dei parametri è stata rivista mediante l’incorporazione di elementi ESG, grazie all’introduzione di uno scenario climatico dedicato che consente di riflettere nel modello potenziali vulnerabilità legate alla transizione climatica. Nel loro insieme, tali elementi concorrono a definire un quadro metodologico e gestionale solido e adeguatamente presidiato.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2025 alla pagina Risultati finanziari e presentazioni.

Rischi operativi

Il rischio operativo è definito come il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di processi, risorse umane e sistemi interni, oppure da eventi esogeni. Non rientrano in tale definizione il rischio strategico e il rischio di reputazione, mentre risultano ricompresi il rischio legale (ossia il rischio di perdite derivanti da violazioni di leggi o regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da altre controversie), il rischio informatico, il rischio di mancata conformità, il rischio di frode, il rischio di riciclaggio e finanziamento al terrorismo nonché il rischio di errata informativa finanziaria.

Le fonti principali di manifestazione del rischio operativo sono rappresentate da errori operativi, inefficienza o inadeguatezza dei processi operativi e dei relativi controlli/presidi, frodi interne ed esterne, mancata conformità della regolamentazione interna alle norme esterne, esternalizzazione di funzioni aziendali, livello qualitativo della sicurezza fisica e logica, inadeguatezza o indisponibilità dei sistemi hardware e software, crescente ricorso all’automazione, sottodimensionamento degli organici rispetto al livello dimensionale dell’operatività e infine inadeguatezza delle politiche di gestione e formazione del personale.

La gestione del rischio si articola attraverso processi strutturati, quali:

  • l’attività di Loss Data Collection, ossia la raccolta e il censimento delle perdite derivanti da eventi di rischio operativo;
  • le campagne periodiche di Risk Self Assessment e Model Risk Self Assessment, volte a fornire una visione complessiva dei rischi in termini di frequenza, impatto potenziale e presidi organizzativi;
  • la definizione e il monitoraggio di processi, indicatori e soglie di rischio, per rilevare tempestivamente variazioni nell’esposizione ai rischi operativi (incluso, laddove applicabile il rischio frode).

Per la definizione del Risk Appetite Framework (RAF), nell’ambito del Resoconto ICAAP e del Recovery Plan, sono inoltre condotte analisi di stress per verificare la resilienza del Gruppo in scenari avversi.

Ai fini della determinazione del requisito patrimoniale a fronte dei rischi operativi, il Gruppo Banca Ifis ha adottato il cosiddetto Standardised Measurement Approach (SMA) previsto dalla normativa prudenziale.

La funzione Risk Management di Capogruppo, in collaborazione con le altre funzioni aziendali, supervisiona altresì i rischi connessi alle esternalizzazioni di funzioni aziendali, valuta i rischi associati all’introduzione di nuovi prodotti e servizi e analizza l’impatto operativo di modifiche massive alle condizioni contrattuali.

Parallelamente alla gestione del rischio operativo, è attivo un processo di gestione del rischio reputazionale. Il rischio reputazionale rappresenta il rischio attuale o prospettico di flessione degli utili o del capitale derivante da una percezione negativa dell’immagine del Gruppo da parte di clienti, controparti, azionisti del Gruppo, investitori o Autorità di Vigilanza. La gestione del rischio reputazionale, analogamente a quella del rischio operativo, è affidata alla funzione di Risk Management della Capogruppo. Tale funzione definisce il framework complessivo, che include processi specifici di valutazione e un set di indicatori di rischio monitorati in modo continuativo, in conformità alle prescrizioni normative e alle best practice di settore. L’obiettivo è garantire un presidio efficace del rischio reputazionale, attraverso l’identificazione, la valutazione e il monitoraggio dei rischi assunti o potenzialmente assumibili dalle varie unità organizzative del Gruppo.

Con specifico riferimento al monitoraggio dell’evoluzione del rischio ICT e di Sicurezza e della valutazione dell’efficacia delle misure di protezione delle risorse ICT, il Gruppo Banca Ifis ha definito un framework finalizzato a garantire l’identificazione, la valutazione e il monitoraggio dei rischi informatici e di sicurezza, assicurando al contempo un’adeguata comunicazione ai livelli gerarchici competenti. In conformità con il requisito normativo il Gruppo ha optato per un modello condiviso di responsabilità assegnando i compiti alle funzioni aziendali di controllo Risk Management e Compliance, in relazione ai ruoli, alle responsabilità e alle competenze proprie di ciascuna delle due funzioni. In particolare, la funzione Risk Management, conduce i processi di analisi dei rischi ICT e di sicurezza secondo il quadro di riferimento organizzativo e metodologico approvato dal Consiglio di Amministrazione di Banca Ifis, che si sostanzia nelle attività di misurazione dei rischi informatici sui servizi IT e sui processi che supportano, con l’obiettivo di rilevare potenziali minacce e vulnerabilità che possano compromettere la disponibilità, l’integrità e la riservatezza delle informazioni. A questa attività si aggiunge la definizione e il monitoraggio di un set di indicatori di rischio ICT e di Sicurezza e relative soglie in grado di evidenziare prontamente l’insorgenza di potenziali vulnerabilità. Inoltre, il quadro prevede la valutazione dei rischi sui progetti che comportano modifiche sostanziali ai sistemi informativi, per assicurare che le evoluzioni tecnologiche siano coerenti con il livello di rischio accettabile e con le misure di protezione in essere.

Infine, il Gruppo adotta un approccio strutturato alla gestione dei rischi connessi ai servizi IT forniti da terze parti, in linea con il quadro regolamentare di riferimento, DORA. Le analisi di rischio, svolte sia in fase precontrattuale sia nel continuo, assicurano un’adeguata valutazione dei principali profili di rischio, incluso quello di concentrazione, e supportano la tutela della continuità operativa, della sicurezza dei dati e della conformità complessiva.

Tutti questi processi sono accompagnati dall’impegno della funzione Risk Management alla diffusione di una cultura orientata alla gestione proattiva dei rischi.

Il Gruppo Banca Ifis si è dotato di politiche interne e regolamenti e ne cura il periodico aggiornamento. Tali documenti definiscono il framework metodologico, le modalità di identificazione, valutazione e mitigazione dei rischi, nonché le responsabilità delle funzioni coinvolte. Esse rappresentano il riferimento per garantire un approccio strutturato, coerente e conforme alle normative vigenti.

In relazione alle società del Gruppo Banca Ifis, si specifica che la gestione dei rischi operativi, reputazionali, ICT e di sicurezza risultano assicurate dallo stretto coinvolgimento della Capogruppo Banca Ifis che assume decisioni in ordine alle strategie per quanto riguarda la gestione dei rischi. Il framework complessivo di gestione di tali rischi è stato pertanto esteso, sulla base del principio di proporzionalità, mediante l’adozione del medesimo approccio metodologico e degli strumenti informatici sviluppati presso la Capogruppo.

Per approfondire, si rimanda alle Relazioni e bilancio consolidato 2025 alla pagina Risultati finanziari e presentazioni.