MODELLO ORGANIZZATIVO AI SENSI DEL DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231

MODELLO ORGANIZZATIVO AI SENSI DEL DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Adottato dal Consiglio di Amministrazione il 25 gennaio 2007; Modificato nelle adunanze del Consiglio di Amministrazione del: 16 luglio 2010 22 dicembre 2011 25 febbraio 2013 16 dicembre 2013 Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 1/36

INDICE 1 IL DECRETO LEGISLATIVO N. 231/2001... 4 1.1 Quadro normativo... 4 1.2 Tipologie di reato previste dal D.Lgs. 231/01... 5 1.2.1 Reati commessi nei rapporti con la Pubblica Amministrazione... 5 1.2.2 Delitti informatici e trattamento illecito dei dati... 6 1.2.3 Delitti in materia di criminalità organizzata... 6 1.2.4 Reati di falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento.... 6 1.2.5 Delitti contro l industria e il commercio... 7 1.2.6 Reati societari... 7 1.2.7 Delitti aventi finalità di terrorismo o di eversione dell ordine democratico previsti dal codice penale e dalle leggi speciali... 8 1.2.8 Delitti contro la persona e delitti contro la personalità individuale... 8 1.2.9 Delitti di abuso di informazioni privilegiate e di manipolazione del mercato... 8 1.2.10 Reati di omicidio colposo e lesioni colpose gravi o gravissime commesse con violazione delle norme antinfortunistiche e sulla tutela dell igiene e della salute sul lavoro... 9 1.2.11 Reati di riciclaggio, ricettazione, impiego di denaro, beni o utilità di provenienza illecita e reati transnazionali... 9 1.2.12 Delitti in materia di violazione del diritto d autore... 10 1.2.13 Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all Autorità Giudiziaria... 11 1.2.14 Reati ambientali... 11 1.2.15 Delitto di impiego di cittadini di paesi terzi il cui soggiorno è irregolare... 12 2 MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO... 13 2.1 Obiettivi perseguiti con l adozione del Modello... 13 2.2 Modifiche e integrazioni del Modello... 13 2.3 Destinatari del Modello... 14 2.4 Individuazione dei rischi e sistema di governo delle procedure... 14 2.4.1 Ruolo ed individuazione dei Process Owner... 14 2.5 Aree di attività a rischio e relativi sistemi di presidio organizzativo/gestionale... 15 2.5.1 Attività a rischio in relazione ai reati contro la Pubblica Amministrazione... 16 2.5.2 Attività a rischio in relazione ai delitti informatici e trattamento illecito di dati... 18 2.5.3 Attività a rischio in relazione ai reati in materia di criminalità organizzata.... 20 2.5.4 Attività a rischio in relazione ai reati di falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento... 21 2.5.5 Attività a rischio in relazione ai reati contro l industria e il commercio... 21 2.5.6 Attività a rischio in relazione ai reati societari... 22 2.5.7 Attività a rischio in relazione ai delitti di terrorismo ed eversione dell ordine democratico, ai delitti contro la persona e contro la personalità individuale... 24 2.5.8 Attività a rischio in relazione ai reati di abuso di informazioni privilegiate e di manipolazione del mercato... 25 2.5.9 Attività a rischio in relazione ai reati di omicidio colposo e lesioni colpose gravi e gravissime commessi in violazione della normativa antinfortunistica e sulla tutela dell igiene e della salute sul lavoro... 25 2.5.10 Attività a rischio in relazione ai reati di riciclaggio e ricettazione... 26 Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 2/36

2.5.11 Attività a rischio in relazione ai reati in materia di violazione del diritto d autore 27 2.5.12 Attività a rischio in relazione al reato di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all Autorità Giudiziaria... 27 2.5.13 Attività a rischio in relazione ai reati ambientali... 28 2.5.14 Attività a rischio in relazione al delitto di impiego di cittadini di paesi terzi il cui soggiorno è irregolare... 28 2.6 Adozione dei modelli organizzativi nell ambito delle società appartenenti al Gruppo PI... 29 3 ORGANISMO DI VIGILANZA... 30 3.1 Natura, qualificazione, nomina e durata in carica dell Organismo di Vigilanza.. 30 3.2 Cause di ineleggibilità, decadenza e revoca dell Organismo di Vigilanza... 30 3.3 Funzioni e poteri dell Organismo di Vigilanza... 31 3.4 Attività di reporting dell Organismo di Vigilanza... 32 3.4.1 Reporting nei confronti degli Organi Societari... 32 3.4.2 Reporting in relazione alla normativa antiriciclaggio... 32 3.5 Flussi informativi nei confronti dell Organismo di Vigilanza... 32 3.5.1 Segnalazioni da parte di esponenti aziendali o da parte di terzi... 32 3.5.2 Obblighi di informativa relativi ad atti ufficiali... 33 3.5.3 Sistema delle deleghe... 33 4 SELEZIONE E FORMAZIONE DEL PERSONALE E DIFFUSIONE DEL MODELLO... 33 4.1 Selezione del personale... 33 4.2 Formazione del personale e diffusione del Modello nel contesto aziendale... 33 4.3 Informativa a Collaboratori esterni, Partner e Fornitori... 34 5 SISTEMA DISCIPLINARE... 34 5.1 Principi generali... 34 5.2 Sanzioni per i lavoratori dipendenti... 34 5.3 Misure nei confronti dei dirigenti... 35 6 ALTRE MISURE DI TUTELA IN CASO DI MANCATA OSSERVANZA DEL MODELLO... 35 6.1 Violazione del Modello da parte di Amministratori e Sindaci... 35 6.2 Misure nei confronti di soggetti esterni... 35 7 CODICI DI COMPORTAMENTO... 36 Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 3/36

1 IL DECRETO LEGISLATIVO N. 231/2001 1.1 Quadro normativo Il Decreto Legislativo n. 231 dal titolo Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica (di seguito Il Decreto 231 ), ha introdotto nell ordinamento italiano un regime di responsabilità amministrativa (riferibile sostanzialmente alla responsabilità penale) a carico degli enti (da intendersi come Società, associazioni, consorzi, ecc., di seguito denominati enti e, singolarmente, ente ) per alcuni reati commessi, nell'interesse o a vantaggio degli stessi: a) da persone fisiche che rivestano funzioni di rappresentanza, di amministrazione o di direzione degli enti stessi o di una loro unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone fisiche che esercitino, anche di fatto, la gestione e il controllo degli enti medesimi; b) da persone fisiche sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati. Tale responsabilità si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto. Le sanzioni previste sono pecuniarie ed interdittive (quali la sospensione o revoca di licenze e concessioni, il divieto di contrattare con la Pubblica Amministrazione (PA), l'interdizione dall'esercizio dell'attività, l'esclusione o la revoca di finanziamenti e contributi, il divieto di pubblicizzare beni e servizi). La responsabilità prevista dal Decreto si configura anche in relazione a reati commessi all estero, purché per gli stessi non proceda lo Stato del luogo in cui è stato commesso il reato. Il Decreto 231 prevede, all art. 6, una forma specifica di esonero dalla responsabilità amministrativa (c.d. esimente) qualora l ente sia in grado di dimostrare: a) di aver adottato ed efficacemente attuato, prima della commissione di eventuali fatti illeciti, modelli di organizzazione e di gestione idonei a prevenire la commissione di reati della specie di quelli verificatisi; b) che il compito di vigilare sul funzionamento e l osservanza dei Modelli nonché di curare il loro aggiornamento sia stato affidato a un organismo dell ente dotato di autonomi poteri di iniziativa e controllo (di seguito, l Organismo di Vigilanza o OdV ); c) che le persone che hanno commesso il reato abbiano agito eludendo fraudolentemente i suddetti modelli di organizzazione e gestione; d) che non vi sia stata omessa o insufficiente vigilanza da parte dell Organismo di cui alla precedente lett. b). L adozione ed efficace implementazione di un Modello (di cui alla precedente lettera a) assume rilevanza anche in relazione al caso previsto nell art. 5, comma 1 lettera b) del decreto, rispetto al quale l ente è responsabile se la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione o vigilanza posti a carico di chi riveste funzioni di rappresentanza, amministrazione o direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale o esercita anche di fatto la gestione e il controllo dello stesso. Infatti, è espressamente previsto che non ricorre detta inosservanza se l ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. Riguardo a tali ipotesi il Modello, tenuto conto della natura, della dimensione e del tipo di attività svolta, deve contenere misure idonee a: Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 4/36

- garantire lo svolgimento dell attività nel rispetto della legge; - scoprire ed eliminare tempestivamente situazioni di rischio. L efficace attuazione del Modello richiede: - una verifica periodica e l eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell organizzazione o nell attività; - un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. 1.2 Tipologie di reato previste dal D.Lgs. 231/01 Le fattispecie di reato rilevanti, in base al Decreto e successive integrazioni, al fine di configurare la responsabilità amministrativa dell ente, possono essere comprese nelle categorie di seguito enunciate. 1.2.1 Reati commessi nei rapporti con la Pubblica Amministrazione Si riferisce alle seguenti tipologie di reato commesse nei rapporti con la Pubblica Amministrazione e disciplinati dagli artt. 24 e 25 del Decreto 231 1 : indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico o delle Comunità europee (art. 316-ter c.p.); truffa in danno dello Stato o di altro ente pubblico o delle Comunità europee (art. 640, 1 2 comma, n. 1 c.p.); truffa aggravata per il conseguimento di erogazioni pubbliche (art. 640-bis c.p.); frode informatica in danno dello Stato o di altro ente pubblico (art. 640-ter c.p.); corruzione per l esercizio della funzione (art. 318 c.p.); corruzione per un atto contrario ai doveri d ufficio (art. 319 c.p.); corruzione in atti giudiziari (art. 319-ter c.p.); istigazione alla corruzione (art. 322 c.p.); concussione (art. 317 c.p.); induzione indebita a dare o promettere utilità (art. 319-quater c.p.). malversazione a danno dello Stato o di altro ente pubblico (art. 316-bis c.p.). La responsabilità amministrativa degli enti è prevista anche quando i delitti di cui ai commi da 1 a 3 dell art. 25 del Decreto 231 sono stati commessi dalle persone indicate negli articoli 320 c.p. (persona incaricata di pubblico servizio) e 322-bis c.p. (membri della Corte penale internazionale o degli organi delle Comunità europee e funzionari delle Comunità europee e di Stati esteri). La legge n. 190 del 2012, nel prevedere sostanziali modifiche ai reati contro la pubblica amministrazione, ha altresì introdotto nel codice penale il reato di traffico di influenze illecite (art. 346 bis c.p.). Pur non costituendo detto reato presupposto per la responsabilità amministrativa delle Società ai sensi del Decreto 231, si ritiene comunque che esso assuma - nel generale contesto delineato dal vigente quadro normativo, che recepisce gli orientamenti internazionali sul contrasto anche di comportamenti prodromici rispetto ad accordi corruttivi - particolare rilevanza, in quanto le relative condotte illecite potrebbero avere un carattere di connessione e/o contiguità rispetto a quelle corruttive, rilevanti in ottica 231 e, come tali, le stesse debbano, in via prudenziale, essere opportunamente considerate a livello aziendale. 1 I reati commessi nei rapporti con la Pubblica Amministrazione sono stati oggetto di ampia rivisitazione nell ambito della Legge 6 novembre 2012 n. 190, recante Disposizioni per la prevenzione e la repressione della corruzione e dell illegalità nella Pubblica Amministrazione (cd. Legge anticorruzione ). Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 5/36

1.2.2 Delitti informatici e trattamento illecito dei dati La legge 18 marzo 2008, n. 48, Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno ha ampliato le fattispecie di reato che possono generare la responsabilità della società. L art. 7 del provvedimento, infatti, ha introdotto nel Decreto 231 l art. 24-bis per i reati di: a) accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.); b) detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.); c) - diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.) - intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.); - installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.); - danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.); - danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); - danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.); - danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.). d) falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.); e) frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.). 1.2.3 Delitti in materia di criminalità organizzata La Legge del 15 luglio 2009, n. 94 recante Disposizioni in materia di sicurezza pubblica ha inserito nel Decreto 231 l art. 24 ter riguardante i delitti in materia di criminalità organizzata, con riferimento a: associazione per delinquere (art. 416 c.p.); associazione per delinquere finalizzata a commettere delitti di riduzione o mantenimento in schiavitù o in servitù, tratta di persone, acquisto e alienazione di schiavi ed ai reati concernenti le violazioni delle disposizioni sull immigrazione clandestina di cui all art. 12 del D.Lgs. n. 286/1998 (art. 416 c.p., sesto comma); associazioni di tipo mafioso e delitti commessi avvalendosi delle condizioni previste dall articolo 416-bis c.p. o al fine di agevolare l attività delle associazioni previste dallo stesso articolo (art. 416-bis c.p.); scambio elettorale politico-mafioso (art. 416-ter c.p.); sequestro di persona a scopo di rapina o di estorsione (art. 630 c.p.); associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope (art. 74. DPR 9 ottobre 1990, n. 309); illegale fabbricazione, introduzione nello Stato, messa in vendita, cessione, detenzione e porto in luogo pubblico o aperto al pubblico di armi da guerra o tipo guerra o parti di esse, di esplosivi, di armi clandestine nonché di più armi comuni da sparo (art. 407, comma 2, lett. a), n.5) c.p.p.). 1.2.4 Reati di falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento. L art. 6 della legge 23 novembre 2001, n. 409, recante Disposizioni urgenti in vista dell introduzione dell euro, ha inserito nel Decreto 231 l art. 25-bis, che mira a punire il reato di falsità in monete, in carte di pubblico credito e in valori di bollo e precisamente: falsificazione di monete, spendita e introduzione nello Stato, previo concerto, di monete falsificate (art. 453 c.p.); Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 6/36

alterazione di monete (art. 454 c.p.); spendita e introduzione nello Stato, senza concerto, di monete falsificate (art. 455 c.p.); spendita di monete falsificate ricevute in buona fede (art. 457 c.p. ); falsificazione di valori di bollo, introduzione nello Stato, acquisto, detenzione o messa in circolazione di valori di bollo falsificati (art. 459 c.p.) e uso di valori di bollo contraffatti o alterati (art. 464 c.p.); contraffazione di carta filigranata in uso per la fabbricazione di carte di pubblico credito o di valori di bollo (art. 460 c.p.) e fabbricazione o detenzione di filigrane o di strumenti destinati alla falsificazione di monete, di valori di bollo, o di carta filigranata (art. 461 c.p.). La Legge 23 luglio 2009, n. 99 recante Disposizioni per lo sviluppo e l internazionalizzazione delle imprese, nonché in materia di energia ha riformulato il titolo dell art. 25-bis, estendendo la responsabilità attribuibile in capo agli enti per i reati di: contraffazione, alterazione o uso marchi o segni distintivi ovvero di brevetti, modelli e disegni (art. 473 c.p.); introduzione nello Stato e commercio di prodotti con segni falsi (art. 474 c.p.). 1.2.5 Delitti contro l industria e il commercio La Legge 23 luglio 2009, n. 99 recante Disposizioni per lo sviluppo e l internazionalizzazione delle imprese, nonché in materia di energia ha inserito nel decreto l art. 25-bis.1, che estende la responsabilità amministrativa degli enti per i reati di: turbata libertà dell industria o del commercio (art. 513 c.p.); frode nell esercizio del commercio (art. 515 c.p.); vendita di sostanze alimentari non genuine come genuine (art. 516 c.p.); vendita di prodotti industriali con segni mendaci (art. 517 c.p.); fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale (art. 517-ter c.p.); contraffazione di indicazioni geografiche o denominazioni di origine dei prodotti agroalimentari (art. 517-quater c.p.); illecita concorrenza con minaccia o violenza (art. 513-bis c.p.); frodi contro le industrie nazionali (art. 514 c.p.). 1.2.6 Reati societari L art. 3 del decreto legislativo 11 aprile 2002, n. 61, in vigore dal 16 aprile 2002, nell ambito della riforma del diritto societario ha poi introdotto l art. 25-ter che estende il regime di responsabilità amministrativa ai seguenti reati societari: false comunicazioni sociali (art. 2621 c.c.); false comunicazioni sociali in danno dei soci o dei creditori (art. 2622, commi 1 e 3, c.c.); falsità nelle relazioni o nelle comunicazioni della Società di revisione (art. 2624, commi 1 e 2, c.c.) 2 ; impedito controllo (art. 2625, comma 2, c.c.); formazione fittizia del capitale (art. 2632 c.c.); indebita restituzione dei conferimenti (art. 2626 c.c.); illegale ripartizione degli utili e delle riserve (art. 2627 c.c.); illecite operazioni sulle azioni o quote sociali o della Società controllante (art. 2628 c.c.); operazioni in pregiudizio dei creditori (art. 2629 c.c.); 2 Il D.Lgs. n. 39/2010 sulla revisione legale dei conti ha abrogato l art. 2624 del Codice civile, ma, nel contempo, ha introdotto, nell art. 27, il reato di Falsità nelle relazioni o nelle comunicazioni dei responsabili della revisione legale dei conti per cui, allo stato, nell incertezza del quadro normativo di riferimento, il reato in parola viene in questa sede prudenzialmente indicato quale presupposto della responsabilità amministrativa degli enti. Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 7/36

indebita ripartizione dei beni sociali da parte dei liquidatori (art. 2633 c.c.); corruzione tra privati (art. 2635 c.c.) 3 ; illecita influenza sull assemblea (art. 2636 c.c.); aggiotaggio (art. 2637 c.c.); ostacolo all esercizio delle funzioni delle autorità pubbliche di vigilanza (art. 2638, commi 1 e 2, c.c.); omessa comunicazione del conflitto di interessi (art. 2629-bis c.c.). 1.2.7 Delitti aventi finalità di terrorismo o di eversione dell ordine democratico previsti dal codice penale e dalle leggi speciali L art. 25-quater, introdotto dall art. 3 della legge 14 gennaio 2003, n. 7 di ratifica ed esecuzione della Convenzione internazionale per la repressione del finanziamento del terrorismo (New York, 9 dicembre 1999), opera un rinvio generale a tutte le ipotesi attuali e future di reati terroristici ed eversivi previsti dal codice penale e dalle Leggi Speciali. La disposizione di cui all'art. 1 della L. 6 febbraio 1980, n. 15 prevede una circostanza aggravante destinata ad applicarsi a qualsiasi reato sia "commesso con finalità di terrorismo o di eversione dell'ordine democratico. 1.2.8 Delitti contro la persona e delitti contro la personalità individuale L ambito dei delitti contro la persona è stato introdotto con la legge del 9/01/06 n. 7 che ha aggiunto l art. 25-quater-1 e riguarda il divieto delle pratiche di mutilazione dei genitali femminili. L ambito legislativo riguardante i delitti contro la personalità individuale è stato introdotto con L. 11/08/2003 n. 228 che ha aggiunto l art. 25-quinquies che richiama specifici articoli contenuti nella Sez. I, capo III, titolo XII, Libro II del codice penale: riduzione o mantenimento in schiavitù e servitù (art. 600 c.p.); tratta di persone (art. 601 c.p.); acquisto o alienazione di schiavi (art. 602 c.p.); prostituzione minorile (art. 600-bis c.p.); pornografia minorile (art. 600-ter c.p.); detenzione di materiale pornografico (art. 600-quater c.p.); pedopornografia virtuale (art. 600-quater - 1 c.p.) 4 ; iniziative turistiche volte allo sfruttamento della prostituzione minorile (art. 600-quinquies c.p.). 1.2.9 Delitti di abuso di informazioni privilegiate e di manipolazione del mercato In relazione alla disciplina sul Market Abuse (Parte V Titolo I bis, Capo II del T.U.F.), sono stati introdotti nel disposto del Decreto 231 (art. 25-sexies) i reati di abuso di informazioni privilegiate (art. 184 del TUF) e di manipolazione del mercato (art. 185 del TUF). In particolare, per abuso di informazioni privilegiate (insider trading) si intende il reato per il quale chiunque, essendo in possesso di informazioni non di pubblico dominio, le divulghi a terzi, o le utilizzi al fine di effettuare o indurre altri a compiere operazioni di compravendita o altre operazioni relative a strumenti finanziari. Tali informazioni permettono ai soggetti che ne facciano utilizzo una scelta basata su un'asimmetria informativa, privilegiandoli rispetto ad altri investitori operanti sul medesimo mercato. L ipotesi di reato di manipolazione del mercato si configura invece a carico di chiunque diffonda informazioni false o ingannevoli o pone in essere operazioni simulate o altri artifizi concretamente 3 Reato introdotto nell art. 25 ter del Decreto 231 dalla Legge n. 190 del 2012. 4 Reato introdotto nell art. 25 quinquies del Decreto 231 dalla Legge n. 38 del 2006. Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 8/36

idonei a provocare una sensibile alterazione del prezzo degli strumenti finanziari. L articolo 187-quinquies del TUF introduce una specifica ipotesi di responsabilità amministrativa a carico degli enti per illeciti amministrativi in materia di abusi di mercato (artt. 187 bis e 187 ter del TUF) commessi nel loro interesse o a loro vantaggio da soggetti aziendali in posizioni apicali o a loro subordinati. 1.2.10 Reati di omicidio colposo e lesioni colpose gravi o gravissime commesse con violazione delle norme antinfortunistiche e sulla tutela dell igiene e della salute sul lavoro La legge n.123/07, ha introdotto due nuove tipologie di reato-presupposto all interno della disciplina di cui al Decreto 231. Nel Decreto è stato infatti inserito l art. 25-septies, successivamente sostituito dall art. 300 del D.Lgs. 81/08, che prevede l estensione della responsabilità amministrativa dell ente ai reati di omicidio colposo e lesioni colpose gravi o gravissime (artt. 589 e 590 del Codice Penale), commessi in violazione della normativa antinfortunistica e sulla tutela dell igiene e della salute sul lavoro. Il provvedimento legislativo, integrando il quadro delle norme di presidio in materia di salute e sicurezza dei lavoratori nei luoghi di lavoro stabilisce, come fattore di novità, la punibilità delle Società anche per i reati di natura colposa, diversamente da quanto previsto finora per i reati in ambito 231, che richiedevano il presupposto della sussistenza del dolo (coscienza e volontarietà dell azione criminosa). Da segnalare che ulteriori elementi di novità in materia di salute e sicurezza sul lavoro sono stati introdotti dal D.Lgs. n. 106 del 2009. 1.2.11 Reati di riciclaggio, ricettazione, impiego di denaro, beni o utilità di provenienza illecita e reati transnazionali Il Decreto Legislativo n. 231 del 21 novembre 2007, relativo all attuazione della direttiva 2005/60/CE concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/CE che ne reca misure di esecuzione, ha introdotto nel Decreto 231 l art.25-octies che estende l ambito della responsabilità amministrativa per gli enti in relazione ai reati di riciclaggio (art. 648-bis c.p.), ricettazione (art 648 c.p.) e impiego di denaro, beni o utilità di provenienza illecita (art. 648-ter c.p.). L art. 648 del codice penale dispone che commette il reato di ricettazione chiunque, fuori dai casi di concorso nel reato, acquista, riceve od occulta, denaro o cose provenienti da un qualsiasi delitto al fine di procurare a se od ad altri un profitto. L art. 648-bis del codice penale dispone che, al di fuori dei casi di concorso nel reato, commette il delitto di riciclaggio chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da un delitto non colposo ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l identificazione delittuosa della loro provenienza. L art. 648-ter del codice penale dispone inoltre che, al di fuori dei casi di concorso nel reato e dei casi previsti dagli articoli 648 (ricettazione) e 648-bis (riciclaggio), commette il delitto di impiego di denaro, beni o altre utilità di provenienza illecita chiunque impiega in attività economiche o finanziarie denaro, beni o altre utilità provenienti da delitto. Inoltre, la legge n. 146/2006, ha ratificato la normativa comunitaria contro il crimine organizzato transnazionale relativamente a quei reati posti in essere da un gruppo organizzato in più di uno Stato, Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 9/36

ovvero a quelli commessi in uno Stato singolo, da parte di una organizzazione criminale operante su base internazionale. Tale legge comprende le seguenti tipologie di reato: associazione per delinquere (art. 416 c.p.); associazione di tipo mafioso (art. 416-bis c.p.); reati concernenti intralcio alla giustizia (art. 377-bis e 378 c.p.); traffico di migranti (D.Lgs. n. 286/98 e successive modifiche). 1.2.12 Delitti in materia di violazione del diritto d autore La Legge 23 luglio 2009, n. 99 recante Disposizioni per lo sviluppo e l internazionalizzazione delle imprese, nonché in materia di energia ha inserito nel Decreto 231 l art. 25-novies, che prevede l estensione della responsabilità amministrativa dell ente ai seguenti reati: Messa a disposizione del pubblico in un sistema di reti telematiche, mediante connessioni di qualsiasi genere e senza averne diritto di un'opera o di parte di un opera dell'ingegno protetta (art. 171, co. 1, lett a-bis), L. 633/1941). Reato di cui al punto precedente commesso su un opera altrui non destinata alla pubblicazione, ovvero con usurpazione della paternità dell opera, ovvero con deformazione, mutilazione o altra modificazione dell opera stessa, qualora ne risulti offeso l onore o la reputazione dell autore (art. 171, co. 3, L. 633/1941). Abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione, distribuzione, vendita, detenzione a scopo commerciale o imprenditoriale ovvero concessione in locazione di programmi contenuti in supporti non contrassegnati dalla SIAE; predisposizione di mezzi per consentire o facilitare la rimozione arbitraria o l elusione funzionale di dispositivi di protezione di programmi per elaboratori (art. 171-bis, co. 1, L. 633/1941). Riproduzione su supporti non contrassegnati SIAE, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati al fine di trarne profitto; estrazione o reimpiego della banca dati in violazione delle disposizioni sui diritti del costitutore e dell utente di una banca dati; distribuzione, vendita o concessione in locazione di banche di dati (art. 171-bis, co. 2, L. 633/1941). Reati commessi a fini di lucro, per uso non personale, e caratterizzati da una delle seguenti condotte descritte all art. 171-ter, comma 1, L. 633/1941: - abusiva duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in tutto o in parte, di opere dell'ingegno destinate al circuito televisivo, cinematografico, della vendita o del noleggio, di dischi, nastri o supporti analoghi ovvero di ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento (lett. a); - abusiva riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, di opere o parti di opere letterarie, drammatiche, scientifiche o didattiche, musicali o drammaticomusicali, multimediali, anche se inserite in opere collettive o composite o banche dati (lett. b); - introduzione nel territorio dello Stato, detenzione per la vendita o la distribuzione, distribuzione, messa in commercio, concessione in noleggio o cessione a qualsiasi titolo, proiezione in pubblico, trasmissione a mezzo televisione con qualsiasi procedimento, trasmissione a mezzo radio, delle duplicazioni o riproduzioni abusive di cui alle lettere a) e b) senza aver concorso nella duplicazione o riproduzione (lett. c); - detenzione per la vendita o la distribuzione, messa in commercio, vendita, noleggio, cessione a qualsiasi titolo, proiezione in pubblico, trasmissione a mezzo radio o televisione con qualsiasi procedimento, di videocassette, musicassette, qualsiasi supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive o sequenze di immagini in movimento, o altro supporto per il quale è prescritta l'apposizione del contrassegno SIAE, privi del contrassegno medesimo o dotati di contrassegno contraffatto o alterato (lett. d); - ritrasmissione o diffusione con qualsiasi mezzo di un servizio criptato ricevuto per mezzo di apparati o parti di apparati atti alla decodificazione di trasmissioni ad accesso condizionato, in assenza di accordo con il legittimo distributore (lett. e); Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 10/36

- introduzione nel territorio dello Stato, detenzione per la vendita o la distribuzione, distribuzione, vendita, concessione in noleggio, cessione a qualsiasi titolo, promozione commerciale, installazione di dispositivi o elementi di decodificazione speciale che consentono l'accesso a un servizio criptato senza il pagamento del canone dovuto (lett. f); - fabbricazione, importazione, distribuzione, vendita, noleggio, cessione a qualsiasi titolo, pubblicizzazione per la vendita o il noleggio, o detenzione per scopi commerciali, di attrezzature, prodotti o componenti ovvero prestazione di servizi aventi impiego commerciale o prevalente finalità di eludere efficaci misure tecnologiche di protezione ovvero progettati, prodotti, adattati o realizzati con la finalità di rendere possibile o facilitare l'elusione di tali misure (lett. f-bis); - abusiva rimozione o alterazione di informazioni elettroniche sul regime dei diritti di cui all'articolo 102-quinquies, ovvero distribuzione, importazione a fini di distribuzione, diffusione per radio o per televisione, comunicazione o messa a disposizione del pubblico di opere o altri materiali protetti dai quali siano state rimosse o alterate le informazioni elettroniche stesse (lett. h). Reati caratterizzati da una delle seguenti condotte descritte all art. 171-ter, comma 2, L. 633/1941: - riproduzione, duplicazione, trasmissione o diffusione abusiva, vendita o commercio, cessione a qualsiasi titolo o importazione abusiva di oltre 50 copie o esemplari di opere tutelate dal diritto d'autore e da diritti connessi (lett. a); - immissione a fini di lucro in un sistema di reti telematiche, mediante connessioni di qualsiasi genere, di un'opera o parte di un opera dell'ingegno protetta dal diritto d'autore, in violazione del diritto esclusivo di comunicazione al pubblico spettante all autore (lett. a-bis); - realizzazione delle condotte previste dall art. 171-ter, co. 1, L. 633/1941, da parte di chiunque eserciti in forma imprenditoriale attività di riproduzione, distribuzione, vendita o commercializzazione, ovvero importazione di opere tutelate dal diritto d'autore e da diritti connessi (lett. b); - promozione od organizzazione delle attività illecite di cui all art. 171-ter, co. 1, L. 633/1941 (lett. c). Mancata comunicazione alla SIAE dei dati di identificazione dei supporti non soggetti al contrassegno, da parte di produttori o importatori di tali supporti, ovvero falsa dichiarazione circa l assolvimento degli obblighi sul contrassegno (art. 171-septies, L. 633/1941): Fraudolenta produzione, vendita, importazione, promozione, installazione, modifica, utilizzo per uso pubblico e privato di apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale (art. 171-octies, L. 633/1941). 1.2.13 Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all Autorità Giudiziaria La Legge 3 agosto 2009, n. 116 recante Ratifica ed esecuzione della Convenzione dell Organizzazione delle Nazioni Unite contro la corruzione adottata dall Assemblea Generale dell ONU il 31 ottobre 2003 ha introdotto la responsabilità amministrativa degli enti per il reato di cui all art. 377 bis c.p. Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all Autorità Giudiziaria (art. 25 decies del Decreto 231). 1.2.14 Reati ambientali Il D.Lgs. n. 121 del 7 luglio 2011, emanato in attuazione della direttiva 2008/99CE sulla tutela penale dell ambiente, nonché della direttiva 2009/123/CE che modifica la direttiva 2005/35/CE relativa all inquinamento provocato dalle navi e all introduzione di sanzioni per violazioni, ha inserito nel Decreto 231 l art 25-undecies, con l estensione della responsabilità amministrativa degli enti alle Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 11/36

fattispecie dei Reati ambientali commessi nell interesse o a vantaggio dell ente stesso. La normativa, peraltro molto articolata, prevede le seguenti tipologie di illeciti. a) Reati previsti dal Codice Penale: - art. 727 bis (uccisione, distruzione, cattura, prelievo, detenzione di esemplari di specie animali o vegetali selvatiche protette); - art. 733 bis (distruzione o deterioramento di habitat all interno di un sito protetto) b) Reati previsti dal D.Lgs. n. 152/2006 ( Codice dell ambiente ): - art. 137, commi 2, 3, 5, primo e secondo periodo, 11 e 13 (scarico acque reflue industriali); - art. 256, commi 1, lettere a) e b), 3, primo e secondo periodo, 5 e 6, primo periodo (attività di gestione rifiuti non autorizzata); - art. 257, commi 1 e 2 (bonifica dei siti); - art. 258, comma 4, secondo periodo (obblighi di comunicazione, di tenuta dei registri obbligatori e dei formulari); - art. 259, comma 1 (traffico illecito di rifiuti); - art. 260, commi 1 e 2 (attività organizzate per il traffico illecito di rifiuti); - art. 260-bis, commi 6, 7, secondo e terzo periodo, 8, primo e secondo periodo (sistema informatico di controllo della tracciabilità dei rifiuti SISTRI); - art. 279, comma 5 (tutela dell aria e riduzione emissioni nell atmosfera). c) Reati previsti dalla Legge n. 150/1992 ( Disciplina dei reati sul commercio internazionale delle specie animali e vegetali ): - art. 1, commi 1 e 2, art. 2, commi 1 e 2, art 3 bis, comma 1, art. 6, comma 4 (commercio, utilizzo, trasporto di esemplari animali o vegetali e detenzione esemplari vivi di specie selvatica o pericolosi). d) Reati previsti dalla Legge n. 549/1993 ( Misure a tutela dell ozono stratosferico e dell ambiente ): - art. 3, comma 6 (cessazione e riduzione dell impiego delle sostanze lesive). e) Reati previsti dalla Legge n. 202/2007 ( Inquinamento del mare provocato dalle navi ): - art. 8, commi 1 e 2 (inquinamento doloso dell ambiente marino); - art. 9, commi 1 e 2 (inquinamento colposo dell ambiente marino). 1.2.15 Delitto di impiego di cittadini di paesi terzi il cui soggiorno è irregolare Il D.Lgs. 25 luglio 1998, n. 286 recante Testo unico delle disposizioni concernenti la disciplina dell'immigrazione e norme sulla condizione dello straniero, all art. 22, comma 12, prevede sanzioni nei confronti del datore di lavoro che occupi alle proprie dipendenze lavoratori stranieri il cui soggiorno è irregolare. Il D.Lgs. del 16 luglio 2012, n. 109 ha inserito nel Decreto 231 l art. 25-duodecies, con l estensione della responsabilità amministrativa degli enti in relazione al delitto sopra citato, laddove ricorrano le specifiche circostanze aggravanti previste dall art. 22, comma 12-bis, del D. Lgs. 25 luglio 1998, n. 286; dette circostanze aggravanti sussistono nei seguenti casi: a) se i lavoratori occupati sono in numero superiore a tre; b) se i lavoratori occupati sono minori in età non lavorativa; c) se i lavoratori occupati sono sottoposti alle altre condizioni lavorative di particolare sfruttamento di cui al terzo comma dell articolo 603 bis del codice penale (delitto di Intermediazione illecita e sfruttamento del lavoro ). Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 12/36

2 MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO 2.1 Obiettivi perseguiti con l adozione del Modello Il presente Modello che si applica ad Address Software S.r.L ha lo scopo di costruire un sistema strutturato e organico di procedure ed altri strumenti normativi contenuti nel Sistema Documentale - e di attività di controllo, volto principalmente a prevenire (controllo ex ante) la commissione dei reati previsti dal Decreto. In particolare, mediante l individuazione delle aree di attività a rischio e la loro conseguente proceduralizzazione, il Modello si propone di: determinare, in tutti coloro che operano in nome e per conto di Address Software nelle aree di attività a rischio, la consapevolezza di poter incorrere, in caso di violazione delle disposizioni ivi riportate, in un illecito passibile di sanzioni, sul piano penale e amministrativo, non solo a proprio carico ma anche a carico della Società; ribadire che tali forme di comportamento illecito sono fortemente condannate da Address Software in quanto (anche nel caso in cui la Società fosse apparentemente in condizione di trarne vantaggio) contrarie alla legge e ai principi etico-sociali cui il Gruppo Poste Italiane si attiene nell espletamento della propria missione aziendale; consentire alla Società, grazie a un azione di monitoraggio sulle aree di attività a rischio, di intervenire tempestivamente per prevenire e contrastare la commissione dei reati stessi. Punti cardine del Modello sono, oltre ai principi già indicati: l individuazione delle aree di attività a rischio dell Azienda, vale a dire le attività nel cui ambito è ipotizzabile la commissione di reati e l evidenza delle fasi principali che caratterizzano le singole operazioni a rischio; la manutenzione di adeguate procedure aziendali a presidio delle aree di attività a rischio in modo integrato con la regolamentazione dei sistemi di controllo dei processi aziendali; l attività di sensibilizzazione e diffusione a tutti i livelli aziendali delle regole comportamentali e delle procedure istituite; l attribuzione all OdV di specifici compiti di vigilanza e di attuazione di quanto previsto nel Modello; la verifica dell effettivo rispetto ed efficacia del Modello e delle relative procedure aziendali di cui sopra; attuazione di un adeguato sistema sanzionatorio; il coordinamento con la Capogruppo Poste Italiane e con la controllante Postel. 2.2 Modifiche e integrazioni del Modello Il Modello Organizzativo è approvato con apposita deliberazione del Consiglio di Amministrazione che provvede anche alle sue modifiche su proposta dell Amministratore Delegato. Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 13/36

2.3 Destinatari del Modello Sono destinatari del Modello tutti coloro che operano per il conseguimento dello scopo e degli obiettivi di Address Software S.r.L.. 2.4 Individuazione dei rischi e sistema di governo delle procedure Le previste Funzioni della controllante Postel forniscono le attività di competenza ad Address Software a fronte di un contratto quadro da cui derivano una pluralità di contratti di service tra la controllante e la controllata. In relazione alle singole fattispecie di reato previste dal Decreto 231, viene effettuata l analisi del contesto aziendale per evidenziare dove e secondo quali modalità possono potenzialmente verificarsi eventi pregiudizievoli per gli obiettivi indicati dal citato Decreto. Tale analisi dei rischi, direttamente o indirettamente riferibile al rischio di reato e comprensiva dei processi aziendali ritenuti sensibili, è eseguita dalla controllante Postel attraverso la funzione Risorse Umane, Organizzazione e Qualità, con il supporto di Prevendita e Realizzazione Soluzioni e Controllo Processi, e viene successivamente rappresentata in una Mappa dei Rischi 231. Quest ultima viene sottoposta all esame dei componenti della Segreteria Tecnica dell OdV da Risorse Umane, Organizzazione e Qualità e successivamente presentata all OdV stesso, affinché possa sottoporre all Amministratore Delegato le eventuali proposte di integrazione del Modello Organizzativo. In base alle indicazioni ed alle risultanze di tale analisi, le singole Funzioni aziendali, individuate come Process Owner, secondo le modalità descritte nel successivo paragrafo, elaborano ed implementano le Procedure aziendali relative alle aree di attività a rischio, anche ad integrazione di procedure aziendali già esistenti, avvalendosi del supporto della Funzione Risorse Umane, Organizzazione e Qualità. Le procedure sono pubblicate nel Sistema Documentale del Gruppo Postel, comprensivo del Manuale del Sistema di Gestione per la Qualità. Quest ultimo documento, con l attenzione che pone alle esigenze e alla soddisfazione del Cliente, all eccellenza del servizio e agli obiettivi di Qualità, che costituiscono elementi in antitesi alla definizione di reato, richiama quei principi etico-sociali e comportamentali che costituiscono i punti basilari e imprescindibili del Modello Organizzativo stesso e da cui le Procedure aziendali traggono ispirazione per l attribuzione delle responsabilità e la definizione dei processi. Le procedure sono pubblicate nel Sistema Documentale dalla funzione Risorse Umane, Organizzazione e Qualità di Postel, secondo quanto disciplinato dalla Policy Approvazione documenti per la formalizzazione dei processi. 2.4.1 Ruolo ed individuazione dei Process Owner Al fine di garantire la continua efficacia del Modello, Address Software individua il Process Owner che rappresenta il punto di riferimento organizzativo per il complesso delle attività svolte nell ambito dei processi sensibili afferenti alle aree di attività a rischio individuate. Per le attività a rischio espletate da Postel in nome e per conto di Address Software, i Process Owner sono gli stessi che in Postel sono responsabili degli equivalenti processi. In particolare il Process Owner: 1) promuove la diffusione e la conoscenza del Modello e del Codice Etico anche attraverso l identificazione dei fabbisogni formativi e informativi; 2) redige o aggiorna le Procedure ed altre tipologie documentali correlate alle attività a rischio, evidenziando un adeguato sistema di controllo, e ne cura la pubblicazione nel Sistema Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 14/36

Documentale del Gruppo Postel; 3) assicura il rispetto delle procedure, relative al processo di cui è il punto di riferimento organizzativo, monitorando l osservanza delle stesse attraverso idonee modalità, che garantiscano anche l attuazione di un sistema di tracciabilità dell intero processo in cui ogni operazione sia provvista di un adeguato supporto documentale; 4) propone eventuali aggiornamenti alla mappa dei processi sensibili e miglioramenti al sistema di controllo interno; 5) redige ed invia i flussi informativi trimestrali, per le diverse aree di attività a rischio, in base alle modalità stabilite. I flussi informativi sono trasmessi all OdV e all Amministratore Delegato. Sulla base della mappa e dei processi sensibili individuati nell ambito del Sistema dei processi aziendali, la Funzione Risorse Umane, Organizzazione e Qualità di Postel individua quali Process Owner i responsabili pro tempore delle Funzioni aziendali operanti nelle aree di attività a rischio, tenendo conto delle responsabilità che Address Software ha formalmente assegnato. In particolare, sulla base di tali responsabilità, la predetta Funzione Risorse Umane, Organizzazione e Qualità individua quali Process Owner le Funzioni aziendali che: hanno elevata conoscenza dei processi sensibili, in termini di attività e rischi e possono assicurare un processo di formazione ed attuazione delle decisioni chiaro e trasparente; possono favorire modalità di monitoraggio sulla funzionalità del Modello preventivo adottato, nonché gli eventuali adeguamenti necessari. Se l estensione del processo presidiato e la complessità delle operazioni lo richiedono, il Process Owner potrà attribuire, secondo i criteri definiti dalla Funzione Risorse Umane, Organizzazione e Qualità di Postel ed in coerenza con i processi e le responsabilità organizzative aziendali, parte delle proprie competenze a uno o più Sub Process Owner, che saranno responsabili delle operazioni svolte relativamente alla parte di processo assegnata. Qualora la gestione del processo, ferma restando la sua unitarietà, in considerazione di particolari esigenze aziendali prioritariamente riferibili agli acquisti di beni e servizi, preveda la delega di specifiche attività e l attribuzione delle conseguenti responsabilità a Funzioni aziendali diverse da quella del Process Owner di riferimento, Risorse Umane, Organizzazione e Qualità di Postel potrà, su richiesta e d intesa con le Funzioni interessate, provvedere a nominare distinti Process Owner Delegati a cui verranno affidate con responsabilità autonoma, in tutto o in parte, le competenze del Process Owner relativamente alla gestione delle attività oggetto di delega. 2.5 Aree di attività a rischio e relativi sistemi di presidio organizzativo/gestionale Seguono, per ciascuna tipologia di reati enunciata, i risultati dell analisi dei rischi che tenga conto dei vantaggi potenziali che Address Software potrebbe conseguire a fronte della realizzazione degli stessi. Per tutte le aree di attività a rischio, valgono i seguenti presidi organizzativo/gestionali di carattere generale: Codice Etico del Gruppo Poste Italiane e Codice di comportamento Fornitori e Partner recepiti dal CdA Address Software il 16/07/2010 (di cui al paragrafo 7); Sistema di attribuzione dei poteri e delle deleghe da parte dell Amministratore Delegato mediante eventuale conferimento ai primi livelli aziendali Procedure e strumenti normativi che regolamentano il processo in generale; Sistema sanzionatorio (di cui ai paragrafi 5 e 6). Per talune tipologie di attività esposte al rischio di reato sono stati altresì evidenziati i principali presidi organizzativi/gestionale specifici di seguito indicati. Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 15/36

Con riferimento a questi ultimi, ad integrazione di quanto riportato nei paragrafi che seguono si richiamano, per la loro attinenza a diverse aree di rischio-reato (es, reati contro la Pubblica Amministrazione, reati Societari, reati di criminalità organizzata, reati di ricettazione) le attività e i controlli espletati in ambito aziendale in adempimento agli obblighi di tracciabilità dei flussi finanziari in materia di appalti pubblici di lavori, servizi e forniture, introdotti dalla Legge 13 agosto 2010 n. 136 Piano straordinario contro le mafie (art 3: tracciabilità dei flussi finanziari ). Le attività previste nei successivi paragrafi contemplano anche quelle fornite dalla controllante Postel ad Address Software, a fronte di un contratto quadro da cui derivano una pluralità di contratti di service tra la controllante e la controllata. 2.5.1 Attività a rischio in relazione ai reati contro la Pubblica Amministrazione I reati contro la Pubblica Amministrazione hanno come presupposto l instaurazione di rapporti con soggetti pubblici e/o lo svolgimento di attività concretanti una pubblica funzione o un pubblico servizio. Tenuto conto dei rapporti che Address Software potrebbe intrattenere con Amministrazioni Pubbliche, le aree di attività ritenute potenzialmente a rischio ( Aree di Attività a Rischio ) sono individuabili, con riferimento alle diverse fattispecie di reato richiamate dagli artt. 24 e 25 del Decreto 231 (di cui al precedente par. 1.2.1), nelle seguenti. - Reati di corruzione (per un atto contrario ai doveri d ufficio, per l esercizio della funzione e istigazione alla corruzione), induzione indebita a dare o promettere utilità, truffa in danno dello Stato o di altro Ente pubblico (o delle Comunità europee) e frode informatica: 1. la partecipazione a procedure di gara indette da enti pubblici, italiani o stranieri, per l affidamento di appalti, di forniture o di servizi, di concessioni, di partnership, di asset (complessi aziendali, partecipazioni, ecc.) o di altre operazioni simili, caratterizzate dal fatto di essere svolte in un contesto potenzialmente competitivo, intendendosi tale anche un contesto in cui, pur essendoci un solo concorrente in una particolare procedura, l ente appaltante avrebbe avuto, tuttavia, la possibilità di scegliere anche altre imprese presenti sul mercato; 2. la partecipazione a procedure di negoziazione diretta per la prestazione, in favore della Pubblica Amministrazione o di altri enti pubblici, di servizi riservati o in regime di concorrenza; 3. l attività di selezione, negoziazione, stipula ed esecuzione dei contratti con la Pubblica Amministrazione, Enti o Società Pubbliche; 4. i rapporti con le Autorità Indipendenti, di Vigilanza e con gli Organismi di Diritto Pubblico, nonché il rilascio di informazioni alla Pubblica Amministrazione; 5. i rapporti con i pubblici ufficiali e gli incaricati di pubblico servizio relativamente agli adempimenti fiscali, tributari e previdenziali; - Reati di indebita percezione di erogazioni, truffa aggravata per il conseguimento di erogazioni pubbliche, malversazione a danno dello Stato o di altro ente pubblico, reati di corruzione (per un atto contrario ai doveri d ufficio, per l esercizio della funzione e istigazione alla corruzione) e induzione indebita a dare o promettere utilità: 6. la partecipazione a procedure per l ottenimento di erogazioni, contributi o finanziamenti da parte di organismi pubblici italiani o comunitari e il loro concreto impiego; - Reati di corruzione (per un atto contrario ai doveri d ufficio, per l esercizio della funzione e istigazione alla corruzione) e di induzione indebita a dare o promettere utilità: 7. la richiesta di provvedimenti amministrativi occasionali, di autorizzazioni, licenze e concessioni per lo svolgimento di attività strumentali a quelle tipiche della Società; Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 16/36

- Reati di corruzione in atti giudiziari (e, in via subordinata, per un atto contrario ai doveri d ufficio e per l esercizio della funzione), di istigazione alla corruzione e di induzione indebita a dare o promettere utilità: 8. i rapporti con l Autorità Giudiziaria, i pubblici ufficiali e gli incaricati di pubblico servizio nell ambito del contenzioso penale, civile, del lavoro, amministrativo, tributario e fiscale; Sono state altresì individuate le seguenti ulteriori attività a rischio che, pur non comportando contatti o rapporti diretti con la P.A., potrebbero assumere carattere strumentale e/o di supporto alla commissione dei reati di corruzione (per un atto contrario ai doveri d ufficio, per l esercizio della funzione e di istigazione alla corruzione) e di induzione indebita a dare o promettere utilità: 9. l attività di selezione, negoziazione, stipula ed esecuzione di contratti di acquisto, ivi compresi gli appalti di lavori, che, pur non prevedendo alcun contatto con la Pubblica Amministrazione, sono potenzialmente strumentali alla realizzazione di fattispecie di reato contro la stessa; 10. i processi di selezione e assunzione del personale; 11. la gestione delle risorse finanziarie e di strumenti finanziari derivati; 12. la gestione delle posizioni creditorie e delle iniziative di recupero delle stesse (in relazione a ipotesi di stralci di credito, parziali o totali), nonché le transazioni commerciali remissive a fronte di disservizi o contestazioni. Inoltre, costituiscono situazioni di particolare attenzione nell ambito delle suddette aree di attività a rischio: a) lo svolgimento delle attività di cui ai punti 1, 2, 3, 9 in aree geografiche nelle quali non risultino garantite adeguate condizioni di trasparenza; b) la partecipazione alle procedure di cui ai precedenti punti 1 e 2 in associazione con un Partner (es.: RTI, ATI, joint venture, consorzi, ecc.); c) l assegnazione, ai fini della partecipazione alle procedure di cui ai precedenti punti 1 e 2 di uno specifico incarico di consulenza o di rappresentanza a un soggetto terzo; d) l assunzione nei ruoli dirigenziali o di quadro di persone che negli ultimi cinque anni abbiano svolto funzioni di parlamentare o abbiano avuto cariche elettive in enti pubblici territoriali, oppure incarichi di governo, oppure incarichi di collaborazione di natura continuativa con le suddette cariche elettive o di Governo; e) con riferimento ai punti 3 e 4 la selezione del contraente, l esecuzione del contratto ed in particolare il ricevimento dei beni e le attività di avvenuta prestazione dei servizi e di benestare al pagamento, specialmente in relazione ad acquisti di natura immateriale, tra cui: consulenze direzionali, commerciali, amministrativo legali, e le collaborazioni a progetto; pubblicità; sponsorizzazioni; spese di rappresentanza; locazioni passive; attività di sviluppo di software e servizi ICT. f) la realizzazione di accordi di partnership con terzi soggetti per collaborazioni commerciali e, in generale, il ricorso ad attività di intermediazione finalizzate alla vendita di prodotti e/o servizi di Address nei confronti di soggetti pubblici nazionali; g) la realizzazione di iniziative in ambito internazionale; Rappresenta, infine, un aspetto di ulteriore attenzione l eventuale conferimento di utilità a titolo gratuito (donazioni, regali, omaggi, ecc.) nei confronti di esponenti pubblici, con particolare seppur non esclusivo riferimento a rapporti di carattere continuativo che la Società intrattiene con Ministeri, enti pubblici e pubbliche istituzioni. Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 17/36

Principali presidi organizzativo/gestionali Con riferimento alle attività sensibili ai reati nei rapporti con la Pubblica Amministrazione, Address Software, oltre ai presidi di carattere generale individuati in precedenza, che disciplinano gli aspetti etico comportamentali che devono essere osservati dai destinatari del Modello Organizzativo, ha provveduto ad adottare specifiche procedure aziendali in relazione ai singoli processi sensibili. Le procedure sono raccolte nel Sistema Documentale del Gruppo Postel (ivi compresa la procedura di tracciabilità dei flussi finanziari e le altre procedure dell ambito finanza) e definiscono con chiarezza i ruoli ed i compiti delle Funzioni responsabili della gestione degli eventuali rapporti con la Pubblica Amministrazione. Tale gestione, relativamente alle operazioni comprese nei procedimenti delle aree di attività a rischio di competenza, è affidata al Process Owner. Inoltre, nel caso di attività svolte nell ambito di un pubblico servizio, il Process Owner o l eventuale Sub Process Owner è responsabile nei rapporti con i terzi nei singoli procedimenti da espletare. Rispetto all eventuale partecipazione di Address Software a forme di aggregazioni tra imprese di cui al precedente punto b) quali, in particolare, RTI e ATI, nonché in relazione alle situazioni descritte nei precedenti punti c) e f), assumono rilevanza le specifiche clausole contrattuali adottate, in sede di definizione degli accordi, a tutela dell azienda; inoltre, si richiamano le disposizioni contenute nel Codice di Comportamento Fornitori e Partner del Gruppo Poste Italiane cui devono aderire le controparti interessate. In merito alla realizzazione di iniziative in ambito internazionale, le relative attività sono disciplinate da apposite disposizioni organizzative di riferimento. Ad ulteriore rafforzamento dei presidi in materia, Address Software promuove specifiche iniziative formative finalizzate al rafforzamento - nel contesto aziendale - della sensibilità sui temi dell etica e della legalità, con il coinvolgimento - in via prioritaria - delle risorse che operano nelle attività aziendali esposte al potenziale rischio di reati contro la Pubblica Amministrazione (a titolo meramente esemplificativo: finanza agevolata, acquisti, ecc.). Infine, relativamente al tema generale inerente ai possibili riconoscimenti di utilità, a titolo gratuito, a soggetti pubblici, si richiamano i principi generali sanciti dal Codice Etico del Gruppo Poste Italiane (Par. 3, lett. e) che prevedono, per tutti i destinatari del Codice medesimo (amministratori, dipendenti del gruppo e tutti coloro che operano, stabilmente o temporaneamente, per conto delle società del gruppo) di non effettuare donazioni in denaro o in beni, ad eccezione degli omaggi e degli atti di cortesia commerciale di modico valore. 2.5.2 Attività a rischio in relazione ai delitti informatici e trattamento illecito di dati In relazione alle tipologie di delitti informatici e di trattamento illecito di dati indicate al paragrafo 1.2.2., si rilevano i seguenti ambiti di attività ritenuti specificatamente a rischio. 1. Rispetto al reato di accesso abusivo a un sistema informatico o telematico (rif. par. 1.2.2, lettera a), le aree individuate come potenzialmente a rischio sono quelle relative sia alla gestione dei dati aziendali (es. database/archivi elettronici), che dei sistemi che li elaborano (es. applicazioni, software). In particolare, si fa riferimento ai dati: - dei dipendenti (es. dati relativi a buste paga), dei clienti e dei fornitori; - amministrativo-contabili aziendali; Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 18/36

che potrebbero essere modificati o alterati, ad esempio accedendo ai sistemi sfruttando la vulnerabilità nelle configurazioni e/o attraverso l utilizzo improprio di privilegi di accesso sia logico che fisico ai sistemi stessi. 2. Con riferimento al reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (rif. par. 1.2.2, lettera b), sono state individuate quali attività sensibili quelle di gestione delle credenziali di accesso (utenze e password) ai diversi sistemi aziendali che, se intercettate in maniera abusiva, potrebbero essere utilizzate per compiere le fattispecie di reato descritte al precedente punto 1 e successivo punto 4. 3. Rispetto ai reati riconducibili alle diverse ipotesi di distruzione/deterioramento di sistemi informatici e telematici altrui, ovvero di manomissione degli stessi tali da renderli in tutto o in parte inutilizzabili (rif. par. 1.2.2, lett. c), sono da considerarsi a rischio le attività illecite (es. diffusione di software malevoli, attacchi informatici), che potrebbero essere condotte da risorse interne all azienda, eventualmente attraverso strumenti/dispositivi/informazioni aziendali, allo scopo di violare e/o rendere indisponibili sistemi ICT di aziende concorrenti o altri sistemi target. 4. Relativamente al reato di falsità in un documento informatico pubblico o avente efficacia probatoria (rif. par. 1.2.2, lett. d), le aree individuate come potenzialmente a rischio risiedono nella gestione dei flussi elettronici di dati verso soggetti terzi, in considerazione della teorica possibilità di modificare/alterare tali flussi attraverso l accesso ai sistemi informatici che li gestiscono da parte di personale autorizzato che utilizza in modo improprio i propri privilegi di accesso, ovvero di personale non autorizzato che riesce ad ottenere l accesso in maniera illecita (es. utilizzo software malevolo). 5. Per quanto concerne, infine, il reato di frode informatica del certificatore di firma elettronica (rif. par. 1.2.2, lett. e), si evidenzia che allo stato attuale Address non svolge la funzione di Certification Authority. In considerazione dell ampio spettro di aree potenzialmente a rischio, risultano sensibili tutti i processi ICT riconducibili alla sicurezza informatica ed in particolare: gestione della sicurezza fisica dei sistemi ICT; gestione della sicurezza logica, con particolare attenzione al controllo accessi a sistemi informativi e rete dati (rete aziendale, internet, extranet) e alla crittografia dei dati e/o del canale di comunicazione ( ad esempio infrastrutture firewall, Reti private virtuali ecc.); sviluppo ed attuazione di sistemi di monitoraggio e revisione per la prevenzione e individuazione di attività non autorizzate /illecite sulla rete, sistemi e banche dati aziendali. Principali presidi organizzativo/gestionali Oltre ai presidi di carattere generale individuati in precedenza, che disciplinano gli aspetti etico - comportamentali che devono essere osservati dai destinatari del Modello Organizzativo, Address ha previsto i seguenti specifici presidi organizzativi e gestionali in tema di sicurezza informatica: policy aziendali di sicurezza informatica emanate, tenuto conto degli standard ISO27001 e 27002, con continuità dalla Funzione Tecnologie dell Informazione di Postel, nonché procedure operative e linee guida; definizione e formalizzazione dei processi di gestione della sicurezza informatica con individuazione del Process Owner, degli output chiave e di indicatori di performance; funzioni aziendali preposte alla sicurezza informatica con specifici compiti e responsabilità; un sistema di gestione della sicurezza informatica che prevede l attuazione di adeguate misure per garantire la sicurezza dei dati, delle informazioni e dei dispositivi hardware/software presenti in Azienda; un sistema di monitoraggio della sicurezza delle informazioni che prevede la tempestiva rilevazione e correlazione degli eventi registrati dai sistemi di sicurezza informatica allo scopo di impedire e bloccare possibili attività illecite; attività di formazione e sensibilizzazione del personale, nonché di informazione e Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 19/36

sensibilizzazione del personale esterno, sui temi specifici della sicurezza informatica e istruzioni al personale emanate, tenuto conto degli standard ISO27001 e 27002, dalla funzione Tecnologie dell Informazione di Postel, per il corretto utilizzo delle risorse informatiche aziendali. Oltre a tale presidio specifico in ambito sicurezza informatica, vanno considerati anche i presidi di carattere generale già individuati che disciplinano gli aspetti etico comportamentali che devono essere osservati dai destinatari del Modello Organizzativo. 2.5.3 Attività a rischio in relazione ai reati in materia di criminalità organizzata. La commissione, nell interesse o a vantaggio della Società, dei reati indicati al precedente par. 1.2.3 sembra difficilmente ravvisabile, in ragione delle oggettive finalità istituzionali e del ruolo di Address Software. Fermo restando quanto sopra, tenuto presente che i delitti associativi si caratterizzano per l esistenza di un vincolo associativo tra i compartecipi teso a commettere una serie indeterminata di delitti, in sede di analisi delle potenziali aree di rischio aziendali risulta opportuno, in via prudenziale, prendere altresì in considerazione fattispecie delittuose che, pur non essendo espressamente richiamate dal Decreto 231, appaiono teoricamente realizzabili mediante il predetto vincolo associativo. Premesso quanto sopra e considerato, altresì, che l art. 5 del Decreto 231 prefigura la responsabilità dell ente solo nella misura in cui esso consegua un interesse o vantaggio, anche indiretto, le aree aziendali che si ritiene possano essere maggiormente esposte al rischio di commissione dei reati indicati al paragrafo 1.2.3 risultano individuate nelle seguenti attività: 1. appalti di servizi, lavori e forniture; 2. accordi commerciali in partnership; 3. processi di selezione, assunzione e gestione delle risorse umane; 4. gestione della fiscalità aziendale; 5. compravendita, locazione e gestione di immobili; Principali presidi organizzativo/gestionali Oltre ai presidi di carattere generale individuati in precedenza, che disciplinano gli aspetti eticocomportamentali che devono essere osservati dai destinatari del Modello Organizzativo, valgono, in via prioritaria, gli specifici presidi organizzativo-gestionali già previsti da Address Software, in relazione ad altre tipologie di reato 231 disciplinate nel presente Modello Organizzativo (Reati nei rapporti con la Pubblica Amministrazione, Par. 2.5.1 - Reati Societari, Par. 2.5.6 - Reati di Terrorismo ed eversione dell ordine democratico, Par. 2.5.7 - Reati di Ricettazione, Par. 2.5.10), quali, in particolare, le procedure in materia di acquisto, di selezione e assunzione del personale, gli indirizzi specifici di cui alla Mappa delle Interrelazioni di Gruppo di Poste Italiane recepita dal CdA di Address Software il 20/12/2004, e aggiornata il 18/07/2007 per la locazione e gestione di immobili e i presidi attuati in ambito amministrativo-contabile ai sensi della Legge n. 262/2005. In merito agli accordi commerciali infragruppo, si richiamano le Disposizioni aziendali sugli Accordi Intercompany. Inoltre, tra i presidi organizzativi previsti per la tipologia di reati del presente Paragrafo, assumono rilevanza le attività svolte da Controllo Processi e Acquisti e Immobili, appartenenti a Postel, in materia di prevenzione, individuazione e gestione di eventi illeciti nel contesto aziendale. Aggiornamento deliberato nell adunanza del 16 dicembre 2013 del Consiglio di Amministrazione 20/36