RELAZIONE DEL COLLEGIO SINDACALE

ALL'ASSEMBLEA DEGLI AZIONISTI DI MEDIOBANCA S.P.A.

ai sensi dell'art. 153 del D.Lgs. n. 58/1998 e dell'art. 2429 c.c.

Signori Azionisti,

la presente relazione, redatta ai sensi dell'art. 153 del D.Lgs. n. 58/1998 e s.m.i. (il "T.U.F."), riferisce sull'attività svolta dal Collegio Sindacale (il "Collegio") di Mediobanca S.p.A. ("Mediobanca", la "Banca" o anche la "Società") nell'esercizio concluso il 30 giugno 2024, in conformità alla normativa di riferimento, tenuto altresì conto delle Norme di comportamento del Collegio Sindacale delle Società Quotate emesse dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ("CNDCEC"), così come aggiornate il 21 dicembre 2023 (le "nuove Norme di Comportamento"), delle disposizioni Consob in materia di controlli societari e delle indicazioni contenute nel Codice di Corporate Governance promosso da Borsa Italiana.

Inoltre, avendo Mediobanca adottatto il modello di governance tradizionale, il Collegio Sindacale si identifica con il Comitato per il controllo interno e la revisione contabile cui competono ulteriori specifiche funzioni di controllo e monitoraggio in tema di informativa finanziaria e revisione legale, previste dall'art. 19 del D.Lgs. n. 39/2010 e s.m.i.

L'attuale Collegio Sindacale è stato nominato il 28 ottobre 2023 e scadrà con l'Assemblea degli Azionisti di Mediobanca convocata per l'approvazione del bilancio al 30 giugno 2026.

1. ATTIVITÀ DI VIGILANZA

1.1. Attività di vigilanza sull'osservanza delle norme di legge, regolamentari e statutarie

Nel corso dell'esercizio il Collegio Sindacale ha tenuto 41 riunioni, di cui 16 congiuntamente con il Comitato Rischi, cui si aggiungono 7 riunioni a valle di quelle congiunte volte, se del caso, ad approfondire i temi discussi nel Comitato Rischi, negli altri Comitati endoconsiliari e nel Consiglio di Amministrazione. Il Collegio Sindacale ha, inoltre, partecipato a 13 riunioni del Consiglio di Amministrazione, a 6 riunioni del Comitato Parti Correlate, a 10 riunioni del Comitato Remunerazioni, a 10 riunioni del Comitato Nomine e a 4 riunioni del Comitato Sostenibilità. Il Collegio, nella precedente composizione, ha altresì partecipato a una riunione del Comitato Esecutivo, istituito fino al 28 ottobre 2023.

I componenti del Collegio Sindacale hanno partecipato all'induction e training program per i componenti degli Organi Sociali di Mediobanca, in particolare, la formazione ha avuto ad oggetto 5 sessioni di induction, 9 di induction dedicate in particolare agli esponenti di nuova nomina e 3 di training sui seguenti temi: SREP Letter - tematiche IT; Recovery Plan e Resolution Plan; Mercato del credito al consumo e rischi Compass; RAF, RAS e Budget; Budget e RAS 2024/2025; Governance: normativa, Statuto, Regolamenti; Tesoreria: ALM e FTP; Funzione Risk Management: attività, assetto organizzativo e flussi informativi; Funzione Risk Management: requisiti di capitale e liquidità; Politiche di remunerazione e incentivazione del Gruppo; Informativa finanziaria e Bilancio; Funzione Audit di Gruppo, Funzione Compliance e Funzione Group AML; IT Governance: organizzazione; tematiche ESG; Intelligenza artificiale e principali utilizzi nell'ambito del Gruppo; Cybersecurity; Scenari Geopolitici.

Il Collegio Sindacale nel corso dell'esercizio ha ricevuto periodicamente dagli Amministratori - anche attraverso la partecipazione alle riunioni del Consiglio di Amministrazione e prendendo parte a tutti i comitati endoconsiliari secondo le best practices contenute nelle nuove Norme di

1

Comportamento, nonché in occasione degli incontri con i Presidenti dei Collegi Sindacali delle principali controllate e con le figure apicali della Banca - le informazioni sull'attività svolta e sugli atti di gestione compiuti dalla Banca e, alla luce delle informazioni disponibili, può ragionevolmente confermare che le operazioni realizzate sono conformi alla legge e allo Statuto sociale.

Tra i fatti significativi dell'esercizio che il Collegio Sindacale ritiene opportuno richiamare, in considerazione della loro rilevanza nell'ottica di una valutazione della solidità della Banca e della coerenza delle scelte gestionali con il Piano strategico 2023-2026, si ricordano:

  • la sostanziale conferma dei requisiti prudenziali SREP alla luce dell'andamento della gestione del Gruppo;
  • l'acquisto a seguito del rilascio delle relative autorizzazioni della partecipazione di controllo di Arma Partners LLP, società di consulenza finanziaria indipendente entrata a far parte del Gruppo e consolidata integralmente da ottobre 2023;
  • l'acquisizione da parte di Compass Banca S.p.A. (anche "Compass Banca") del 100% di HeidiPay Switzerland AG, società fintech specializzata nel settore del Buy Now Pay Later ("BNPL");
  • la cessione della controllata Revalea S.p.A., a seguito del rilascio delle relative autorizzazioni, e uscita dal Gruppo con effetto dal 1° ottobre 2023;
  • il processo di riposizionamento di Mediobanca Premier S.p.A. (già "CheBanca!", anche "Mediobanca Premier") verso una fascia di clientela più elevata;
  • l'iscrizione nell'elenco degli Specialisti in Titoli di Stato ("BTP Specialist") del Ministero dell'Economia e delle Finanze dal 1° giugno 2024, accreditando così la Banca alla funzione di Primary Dealer; e
  • l'operazione di cartolarizzazione di crediti erogati da Compass Banca, riconosciuta dalla BCE come "trasferimento significativo del Rischio di Credito" ("SRT Consumer").

Il Collegio ricorda altresì che l'Assemblea del 28 ottobre 2023 ha deliberato importanti iniziative collegate al Piano strategico 2023-2026, in particolare:

  • il piano di incentivazione a lungo termine destinato alle risorse apicali e strategiche del Gruppo da assegnare al raggiungimento di determinati obiettivi;
  • il piano di azionariato diffuso e coinvestimento ("ESOP 2023-2026") destinato al personale del Gruppo che intenda, volontariamente e a condizioni agevolate, acquistare azioni della Banca; e
  • il primo programma di acquisto di azioni proprie, successivamente annullate l'11 giugno 2024.

Si riferisce che, a seguito della modifica statutaria che ne ha previsto la facoltà, il Consiglio di Amministrazione ha deliberato la distribuzione di un acconto sui dividendi il 9 maggio 2024 e il Collegio Sindacale ha vigilato sulla osservanza della legge e Statuto, riscontrandone la conformità.

Il Collegio ha osservato che durante l'esercizio la Società ha rispettato gli obblighi informativi in materia di informazioni regolamentate, privilegiate o comunque richieste dalle Autorità.

Con riferimento ai rapporti con le Autorità di vigilanza (BCE, Banca d'Italia e Consob), il Collegio Sindacale è stato sempre tenuto aggiornato dalle funzioni aziendali preposte - in particolare dalla Funzione Compliance per quanto attiene all'attività della Consob e di Banca d'Italia sulle tematiche antiriciclaggio - e dai Presidenti dei Collegi Sindacali delle principali società controllate, sulle richieste e verifiche effettuate, anche nell'ambito dell'attività ispettiva e con riguardo alla corrispondenza intercorsa. La Funzione Risk Management ha informato

2

mensilmente il Collegio delle varie attività svolte dalla BCE e dalla Banca d'Italia, presentando i risultati di tali attività e riferendo sulle azioni di remediation, completate o in corso di attuazione, in merito alle problematiche sollevate dalle Autorità.

Inoltre, il Collegio, nello svolgimento della sua attività di vigilanza, ha sentito i competenti Dirigenti aziendali su varie tematiche di interesse.

Si segnala infine che il 23 aprile 2024 il Collegio ha incontrato il team ispettivo BCE della OSI in tema di "Remuneration and risk culture".

1.2. Attività di vigilanza sul rispetto dei principi di corretta amministrazione

Il Collegio Sindacale ha acquisito conoscenza e vigilato sul rispetto dei principi di corretta amministrazione, tramite acquisizione di informazioni dai Responsabili delle competenti funzioni aziendali preposte e dal Dirigente preposto alla redazione dei documenti contabili societari (di seguito il "Dirigente Preposto") e in occasione degli incontri con la Società di Revisione nel quadro del reciproco scambio di dati e informazioni rilevanti. Ha, inoltre, incontrato più volte nel corso dell'esercizio l'Amministratore Delegato, il Direttore Generale e le figure apicali della Banca nell'ambito delle riunioni del Consiglio di Amministrazione, dei comitati endoconsiliari o nel corso di incontri ad hoc, al fine di ottenere informazioni sull'andamento della gestione, sul sistema dei controlli interni e sui principali rischi aziendali. Durante tali incontri il Collegio ha constatato l'ampia disponibilità al dialogo e il regolare flusso informativo proveniente dalle principali strutture operative aziendali e dalle società controllate nonché, per quanto riguarda il Consiglio di Amministrazione, il suo costante aggiornamento in merito all'attività della Banca e delle controllate.

Il Collegio Sindacale può quindi ragionevolmente affermare che le operazioni effettuate sono improntate ai principi di corretta amministrazione e che le scelte gestionali sono state assunte avendo a disposizione flussi informativi adeguati.

In particolare, per quanto riguarda le operazioni di maggior rilievo economico, finanziario e patrimoniale effettuate dalla Banca, per le quali è stata effettuata attività di vigilanza, il Collegio può ragionevolmente confermare che le operazioni medesime sono conformi alla legge, alla Circolare 285/2013 di Banca d'Italia (la "Circolare 285") e allo Statuto e non sono manifestamente imprudenti, azzardate o tali da compromettere l'integrità del patrimonio sociale. Le operazioni in relazione alle quali gli Amministratori risultavano portatori di interessi sono state deliberate in conformità alla legge, alle disposizioni regolamentari, allo Statuto e alla normativa interna. Le informazioni ai sensi dell'art. 150 del T.U.F. sono rese oltre che dall'Amministratore Delegato anche dal Dirigente Preposto nel quadro dell'informativa sulla predisposizione dei bilanci annuali e semestrali.

Sulla scorta dell'informativa finanziaria, delle informazioni ricevute nel corso delle riunioni del Consiglio di Amministrazione e di quelle fornite dal Responsabile della Funzione Audit di Gruppo, dai Collegi Sindacali delle principali società direttamente controllate e dalla Società di Revisione, il Collegio Sindacale ha, inoltre, riscontrato l'inesistenza di operazioni atipiche e/o inusuali - cioè quelle operazioni che per le loro caratteristiche possono dare luogo a dubbi sulla correttezza o completezza dell'informativa in bilancio, sul conflitto di interesse, sulla salvaguardia del patrimonio aziendale e sulla tutela degli azionisti di minoranza - con società del Gruppo, con terzi o con parti correlate.

Dagli incontri intercorsi con i componenti dei Collegi Sindacali delle maggiori controllate e dall'esame delle loro relazioni annuali ai bilanci non sono emersi profili di criticità.

3

1.3. Attività di vigilanza sull'adeguatezza della struttura organizzativa

La struttura organizzativa della Banca ha subito nel corso dell'esercizio talune modifiche sulle quali il Collegio ha svolto la propria attività di vigilanza.

In particolare, il Consiglio di Amministrazione uscente, dopo ampio dibattito, ha deliberato di non istituire il Comitato Esecutivo (i) in linea con l'esperienza di governance prevalente nelle banche europee vigilate dalla BCE e (ii) al fine di non accrescere il numero di Amministratori esecutivi a beneficio del funzionamento del Consiglio di Amministrazione.

A seguito delle dimissioni del Responsabile della Funzione Risk Management rassegnate il 20 dicembre 2023, la Società ha avviato un processo di selezione del nuovo Group Chief Risk Officer (il "CRO") che ha coinvolto, per i profili di rispettiva competenza, i comitati endoconsiliari Nomine, Remunerazioni e Rischi ed un consulente esterno. Il Collegio Sindacale, oltre ad aver partecipato a tutte le suddette riunioni ed interviste dei candidati, ha vigilato sulla corretta applicazione della procedura di selezione con specifico riguardo ai requisiti di professionalità ed esperienza dei candidati, anche acquisendo i documenti sottoposti alla valutazione dei comitati. Infine, il Collegio, in stretto raccordo con il Comitato Remunerazioni, ha vigilato in particolare sulla corretta applicazione delle regole relative alla remunerazione.

Nel corso dell'esercizio la Società ha deliberato la costituzione di una nuova unità denominata "Retail Credit Risk Management" a riporto del CRO, al fine di rafforzare il controllo centralizzato di tale rischio sulle controllate Compass Banca e Mediobanca Premier, le quali, alla luce del Piano strategico 2023-2026, hanno subito un notevole sviluppo e ampliamento delle attività.

  • stata, inoltre, istituita una nuova divisione "Fraud Risk" all'interno del "Non-Financial Risk Management" con la responsabilità di promuovere e mantenere un presidio per l'individuazione, mitigazione e gestione del rischio di frode a livello di Gruppo.

Il Collegio Sindacale ha anche vigilato sul corretto esercizio delle attività di coordinamento e controllo svolte da Mediobanca sulle società del Gruppo. La Banca è dotata di un Regolamento di Gruppo che definisce l'architettura organizzativa del Gruppo, i meccanismi di coordinamento e gli strumenti di governo nonché le aree di competenza e responsabilità delle unità centrali della Capogruppo. È, inoltre, previsto che il Consiglio di Amministrazione di ciascuna controllata, approvi il Regolamento di Gruppo e garantisca che eventuali propri Regolamenti interni siano coerenti con quello di Gruppo.

La Capogruppo ha svolto la propria attività d'indirizzo e coordinamento attraverso: a) le linee guida tracciate nel Piano strategico 2023-2026 per il Gruppo nel suo complesso e per ciascuna controllata; b) l'emanazione di Politiche, Regolamenti e Direttive di Gruppo elaborate dalle funzioni centrali di Capogruppo; e c) un presidio accentrato sui principali rischi del Gruppo. Inoltre, le funzioni di controllo delle singole controllate, ove non già accentrate, rispondono funzionalmente al responsabile della relativa funzione della Capogruppo.

Il Collegio ha vigilato sull'adeguatezza delle disposizioni impartite dalla Società alle sue controllate ai sensi dell'art. 114, co. 2 del T.U.F.

4

1.4. Attività di vigilanza sul sistema di controllo interno e di gestione del rischio

Il Collegio Sindacale ha vigilato sull'adeguatezza dei sistemi di controllo interno e di gestione del rischio attraverso:

  • incontri con i vertici della Banca per l'esame del sistema di controllo interno e di gestione del rischio;
  • incontri periodici con le Funzioni Audit di Gruppo, Compliance, Antiriciclaggio e Risk Management (di seguito le "Funzioni di controllo") al fine di valutare le modalità di pianificazione del lavoro, basato sulla identificazione e valutazione dei principali rischi presenti nei processi e nelle unità organizzative;
  • esame delle relazioni periodiche delle Funzioni di controllo e delle informative periodiche sugli esiti dell'attività di monitoraggio sull'attuazione delle azioni correttive individuate ("Follow-Up");
  • acquisizione di informazioni dai responsabili di funzioni aziendali;
  • incontri con gli organi di controllo delle principali società controllate ai sensi dell'art. 151, commi 1 e 2 del T.U.F. nel corso dei quali il Collegio Sindacale ha acquisito informazioni sulle vicende ritenute significative e sul sistema di controllo interno;
  • discussione dei risultati del lavoro della Società di Revisione; e
  • partecipazione alle riunioni congiunte con il Comitato Rischi.

Nel prosieguo verrà data indicazione delle attività svolte al riguardo dalla Società, sulla quale il Collegio ha svolto la propria attività di vigilanza.

Nel corso dell'esercizio la Società ha adottato una nuova politica di Gruppo in materia di gestione del rischio non finanziario di frode, coerentemente con la relativa modifica organizzativa, sulla quale il Collegio ha apprezzato l'attenzione posta dalla Società sul tema in questione.

Inoltre, a seguito dell'elaborazione di una strategia per l'assunzione del rischio di mercato, la Società ha adottato una nuova Politica di Gruppo di gestione del rischio di mercato, di credito, di controparte ed emittente, a completamento della normativa interna già in vigore, volta a fornire le linee guida alle società del Gruppo per una gestione accentrata e coordinata dei relativi rischi.

Nell'ambito dell'operazione di cartolarizzazione SRT Consumer, la Società ha adottato una nuova politica che stabilisce la disciplina per lo svolgimento di tale tipologia di operazione. Il Collegio ha attivamente partecipato alle riunioni congiunte con il Comitato Rischi, fornendo le proprie osservazioni e suggerimenti per la redazione di tale politica.

Nel corso dell'esercizio il Collegio ha continuato a monitorare sul processo di riduzione dei findings di ageing elevato svolto dalla Funzione Audit di Gruppo.

Il Collegio Sindacale ha vigilato, inoltre, sul rispetto della Politica di remunerazione in relazione alle Funzioni di controllo, partecipando a tutte le adunanze del Comitato Remunerazioni e del Comitato Rischi.

Mediobanca ha adottato e aggiorna periodicamente la Politica di Gruppo in materia di sistema di controlli interni, che definisce l'articolazione del sistema, i ruoli e le responsabilità degli organi sociali e delle Funzioni di controllo e le modalità di coordinamento tra tali funzioni. Il sistema dei controlli interni di Mediobanca è conforme a quello suggerito dalla prassi internazionale e codificato in Italia dalla Circolare 285. È un sistema strutturato su tre livelli: il primo livello attiene ai controlli di linea diretti ad assicurare un corretto svolgimento delle operazioni, un secondo livello attinente al controllo dei rischi e della conformità alle norme, un terzo livello

5

diretto ad individuare le violazioni delle procedure e della regolamentazione interna. A completamento del framework sul sistema dei controlli interni ed in linea con le disposizioni normative vigenti, specifici compiti di controllo (ad esempio su tematiche relative all'informativa finanziaria ed al rischio informatico) sono attribuiti ad alcune strutture aziendali non strettamente riconducibili al secondo e terzo livello di controllo sopra descritti.

Per quanto riguarda il primo livello dei controlli, Mediobanca dispone di procedure operative (flussi di processo), che attengono a tutte le attività che vengono svolte e che definiscono, secondo l'albero dei processi aziendali, le attività, i ruoli, gli strumenti e i controlli di linea.

Queste procedure sono costantemente aggiornate dalla Funzione Organizzazione di Gruppo - che il Collegio Sindacale ha periodicamente incontrato per aggiornamenti sulla relativa attività - per adeguarle a cambiamenti della normativa esterna, normativa interna, variazione della struttura organizzativa e modalità operative e per recepire i suggerimenti migliorativi che emergono dalle attività svolte delle Funzioni di controllo.

Per quanto riguarda il secondo e terzo livello, nello svolgimento della propria attività, il Collegio Sindacale ha mantenuto un'interlocuzione costante con le Funzioni di controllo.

Durante l'esercizio la Banca, con il supporto di un consulente indipendente, ha condotto un self- assessment delle Funzioni di controllo al fine di verificare l'adeguatezza delle stesse ed individuare eventuali punti di attenzione. Il Collegio Sindacale ha partecipato attivamente a tale attività tramite incontri con il consulente ad esito della quale i giudizi sono stati prevalentemente positivi e ha condiviso le aree di miglioramento e di evoluzione con i Responsabili delle Funzioni interessate.

Il Collegio Sindacale dà atto che le Relazioni annuali delle Funzioni di controllo concludono con un giudizio complessivamente favorevole sull'assetto dei controlli interni della Società.

Sulla base dell'attività svolta, delle informazioni acquisite, del contenuto delle relazioni trimestrali e annuali delle Funzioni di controllo e in particolare del giudizio complessivamente favorevole espresso dalla Funzione Audit di Gruppo in relazione al sistema dei controlli interni, il Collegio Sindacale ritiene che non vi siano elementi di criticità tali da inficiare l'assetto del sistema dei controlli interni e di gestione del rischio. Di seguito si fornisce una sintesi delle attività di dette Funzioni.

Funzione Audit di Gruppo

La Funzione Audit di Gruppo opera sulla base di piani triennali e annuali. Il piano triennale di Gruppo definisce gli obiettivi attesi e svolge anche funzione di coordinamento ed indirizzo per quelli triennali ed annuali elaborati dalle singole società. Nell'arco del triennio viene fornita assurance su tutti i processi identificati nel risk assessment utilizzato per definire le priorità d'intervento. Il piano annuale definisce quali attività e processi sono da sottoporre a verifica in coerenza con il piano triennale ed in ottica risk based. I piani sopra richiamati sono approvati annualmente dal Consiglio di Amministrazione.

L'interazione tra il Collegio Sindacale e la Funzione di Audit di Gruppo è stata costante durante l'esercizio. In aggiunta agli incontri periodici programmati, la Funzione è, in ogni caso, tenuta ad informare tempestivamente il Collegio delle eventuali evidenze negative che dovessero emergere a seguito della sua attività.

Le attività pianificate per questo esercizio hanno sostanzialmente coperto il perimetro di attività che la Funzione si era impegnata ad eseguire ed anche il mix di tipologia di interventi risulta

6

sostanzialmente raggiunto. Da tali attività non sono emersi profili di criticità significativi. Le attività di controllo e di Follow-Up svolte (anche a livello di Gruppo) hanno comunque evidenziato specifici ambiti di attenzione e la necessità di implementare fisiologici interventi da parte delle competenti unità organizzative al fine di mitigare i rischi insiti in alcuni processi e prassi operative, senza però pregiudicare l'affidabilità del sistema dei controlli interni nel suo complesso, che si conferma quindi adeguato.

Il Collegio, in sede di pianificazione della propria attività, ha condiviso con la Funzione il programma di verifica annuale con riguardo a diverse tematiche tra le quali RAF ed Operazioni di Maggior Rilievo, Recovery e Resolution Plan; le risultanze delle attività di controllo sono state quindi portate all'attenzione del Collegio Sindacale, che ha analizzato il lavoro svolto, e i vari suggerimenti formulati in ottica di miglioramento, monitorando l'avanzamento delle attività in corso.

La Funzione Audit di Gruppo ha fornito costante e crescente supporto alle Autorità di Vigilanza, principalmente la BCE, ma anche la Banca d'Italia, nell'ambito delle visite on-site, dei deep dive, delle thematic review, in occasione della compilazione di questionari/template e dell'invio di flussi informativi periodici.

Funzione Compliance

La Funzione Compliance presidia direttamente le aree normative ritenute a maggior rischio reputazionale e, secondo un modello "graduato", le aree normative presidiate da altre unità specialistiche.

La Funzione ha presentato al Collegio le relazioni istituzionali e periodiche per l'esercizio chiuso al 30 giugno 2024 unitamente al piano di interventi per l'esercizio 2024/2025 ai sensi della Circolare 285 e del Regolamento Intermediari della Consob. In particolare, è stato riferito al Collegio Sindacale che le attività, per la Divisione di Private Banking si sono focalizzate, tra l'altro, su: (i) attività di due diligence su certificati e prodotti di private markets; (ii) controlli svolti ex post sulla distribuzione di tali prodotti; (iii) controlli e verifiche sulle attività di consulenza; e (iv) iniziative di formazione.

La Relazione annuale contiene anche informazioni sugli indicatori di rischio (KRI) basati su un framework di KRI di compliance approvato dal Comitato Conduct. Dal monitoraggio dei KRI non si segnalano criticità significative: il numero dei reclami resta contenuto e comunque in diminuzione rispetto allo scorso esercizio (7 rispetto agli 11 ricevuti nel precedente) e i casi di whistleblowing (1) non evidenziano fenomeni rilevanti.

Funzione Antiriciclaggio

La Funzione Antiriciclaggio è gestita con un modello misto che fa capo alla unità Group AML della Capogruppo. In particolare, per le società italiane il presidio è assicurato secondo un approccio accentrato, mentre per le società estere è assicurato secondo un approccio decentrato, fungendo da coordinatore. È collocata organizzativamente all'interno della Funzione Compliance & Group AML. La Funzione ha presentato al Collegio le relazioni annuale e periodiche per l'esercizio al 30 giugno 2024 unitamente al piano di interventi per l'esercizio 2024/2025 ai sensi delle Disposizioni in materia di organizzazione, procedure e controlli interni di antiriciclaggio di Banca d'Italia del 26 marzo 2019 a seguito dell'aggiornamento del 1° agosto 2023 (le "Disposizioni").

7

Per quanto riguarda le nuove normative si segnala l'aggiornamento della Politica di Gruppo sulla gestione del rischio di riciclaggio e finanziamento del terrorismo al fine di specificare i compiti della nuova figura dell'esponente responsabile per l'antiriciclaggio, istituita ai sensi delle Disposizioni, nonché al fine di recepire alcuni nuovi principi generali nel modello di gestione del rischio ML/FT del Gruppo e includere un paragrafo ad hoc dedicato alle sanzioni finanziarie internazionali.

Per quanto attiene ai controlli ex post svolti sul rispetto delle procedure antiriciclaggio, la Funzione ha completato tutte le attività previste dal Piano annuale delle attività e dei controlli. È stata rilevata una situazione generalmente adeguata.

A seguito della guerra Russia-Ucraina, hanno assunto particolare rilevanza, anche in ragione degli impatti sull'operatività delle banche e degli intermediari finanziari, le numerose sanzioni finanziarie internazionali nei confronti della Russia e della Bielorussia. La Funzione ha proseguito il monitoraggio dei rapporti rientranti nel potenziale perimetro di segnalazione all'Autorità.

Nel corso dell'esercizio la Funzione ha coordinato il completamento delle residuali azioni di rimedio, la cui conclusione è prevista per il prossimo ottobre, a fronte degli esiti dell'attività ispettiva della Banca d'Italia in ambito antiriciclaggio.

A seguito dell'aggiornamento del 1° agosto 2023 delle Disposizioni, la Funzione ha fornito supporto, negli ambiti di propria competenza, al Consiglio di Amministrazione ai fini della nomina dell'esponente responsabile per l'antiriciclaggio di Mediobanca e di Gruppo, rispettivamente con efficacia immediata e a far data dal 1° gennaio 2025, a valle della nomina dell'esponente da parte delle entità di Gruppo rientranti nel perimetro.

  • proseguita l'attività di formazione in modalità e-learning con una percentuale di completamento giudicata soddisfacente.

Con riferimento all'autovalutazione del rischio antiriciclaggio, non si segnalano variazioni nell'esposizione di Mediobanca al rischio di riciclaggio e finanziamento al terrorismo che si attesta ad un livello "Basso".

Funzione Risk Management

La Funzione Risk Management svolge un'attività di gestione e di monitoraggio dei principali rischi a cui è esposta la Banca con particolare riferimento ai rischi di credito, ai rischi finanziari e di mercato e ai rischi operativi. Dalla verifica di tale attività non sono emersi profili di criticità meritevoli di segnalazione.

Nell'ambito dei processi di monitoraggio strategico del rischio, la Funzione ha svolto verifiche sulle metriche regolamentari e gestionali del RAS, ICAAP e ILAAP, confermando il mantenimento di un profilo di rischio adeguato alle soglie di Risk Appetite.

Nel corso dell'esercizio è stata aggiornata la mappa dei rischi di Gruppo, integrando pienamente l'analisi di materialità dei fattori climatici nelle singole categorie di rischio.

Il Gruppo ha approvato la calibrazione annuale del RAS proposta della Funzione per l'esercizio 2024/2025, in coerenza con il Risk Appetite definito nel Piano strategico 2023-2026. Inoltre è stato rafforzato il processo di declinazione degli indicatori primari sulle business line garantendone la conformità con gli obiettivi di rischio di Gruppo.

8

Il Collegio ha esaminato i documenti di autovalutazione del capitale (ICAAP), che quantifica il capitale interno, attuale e prospettico, da detenere a fronte dei rischi detenuti dal Gruppo e della liquidità (ILAAP), che mira a valutare l'adeguatezza della liquidità detenuta dalla Banca, entrambi approvati dal Consiglio di Amministrazione del 26 ottobre 2023, anche sulla base delle relazioni di aggiornamento ricevute dalla Funzione di Validazione e dalla Funzione Audit di Gruppo, che concludono sul rispetto delle disposizioni regolamentari.

Il Collegio Sindacale ha esaminato la Relazione annuale della Funzione di Validazione e della Funzione Audit di Gruppo sul sistema di Rating Corporate di Mediobanca. Tali Relazioni concludono entrambe con un giudizio di complessiva adeguatezza del sistema di Rating Corporate della Banca che si è dimostrato rispondente ai requisiti normativi rilevati per l'approccio IRB, inclusa la capacità di generare stime accurate e ragionevoli.

Continuità operativa e rischio informatico

L'analisi del rischio informatico viene condotta annualmente in adesione alla Politica di Gruppo Gestione del rischio IT e di sicurezza e consiste nella valutazione del rischio relativa alle principali risorse di tipo applicativo (applicazioni) e a quelle di tipo tecnologico (infrastrutture). Coerentemente con quanto indicato dalla normativa, che richiede esplicitamente l'estensione dell'analisi ai sistemi non critici almeno una volta ogni tre anni, la Funzione ha analizzato tutte le applicazioni del perimetro applicativo di Mediobanca indipendentemente dal livello di criticità.

In un generale contesto di governo del profilo di rischio e di attento monitoraggio della sua evoluzione, l'analisi dei rischi IT e di sicurezza della Banca per l'esercizio 2023-2024 non ha rilevato rischi di livello "critico" e "alto".

Il processo di analisi dei rischi IT e di sicurezza tiene in considerazione, oltre all'impatto potenziale e alla frequenza di accadimento delle minacce cyber, anche il trend dei principali attacchi cyber a livello nazionale e la capacità sia del Gruppo che di Mediobanca di identificare e contrastare tali eventi in maniera efficace.

L'analisi dei rischi IT e di sicurezza, riconferma anche per questo esercizio che la principale vulnerabilità del sistema informativo, con un livello di rischio "medio" o "medio-alto", è relativa all'obsolescenza applicativa e infrastrutturale, trasversale a tutte le società del Gruppo.

Per tale motivo e dato il crescente interesse della BCE al tema dell'obsolescenza delle componenti tecnologiche, infrastrutturali e applicative (c.d. "End of Life"), nel corso dell'esercizio, il Gruppo ha redatto un piano volto alla riduzione sistematica dell'obsolescenza dei sistemi informativi.

Per quanto attiene la continuità operativa sono stati eseguiti i test pianificati con esito complessivamente positivo.

1.5. Attività di vigilanza sul sistema amministrativo contabile e sul processo di informativa finanziaria

Il Collegio Sindacale, in qualità di Comitato per il controllo interno e la revisione contabile ai sensi dell'art. 19, comma 2, lett. c) del D.Lgs. 39/2010, ha monitorato il processo e controllato l'efficacia dei sistemi di controllo interno e di gestione del rischio per quanto attiene all'informativa finanziaria, vigilando sul rispetto dei principi generali in materia di informativa

9

finanziaria adottati dal Gruppo Mediobanca, in base a quanto disciplinato nella Politica di Gruppo in materia.

L'informativa finanziaria è monitorata dal Dirigente Preposto, in coerenza con la Politica di Gruppo, adottando modelli che fanno riferimento alla migliore prassi di mercato (il "COSO Framework" e il "Cobit Framework") e che forniscono una ragionevole sicurezza sull'affidabilità dell'informativa finanziaria, sull'efficacia e efficienza delle attività operative, sul rispetto delle leggi e dei regolamenti interni. I processi e i controlli sono rivisti e aggiornati semestralmente.

Nell'esercizio 2023-2024 è proseguita l'attività finalizzata a mantenere aggiornata la mappatura dei processi in linea con le iniziative progettuali intercorse, le nuove modalità operative e le variazioni organizzative.

Nel corso dell'esercizio è intervenuto il rafforzamento del Modello 262 amministrativo-contabile del Gruppo. In tale ambito, si segnalano le attività di aggiornamento della normativa interna del Dirigente Preposto e l'identificazione delle sinergie con il Tax Control Framework.

Tale modello di controllo, implementato attraverso un'attività progettuale in capo all'unità Tax di Gruppo, si sostanzia in un articolato sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale. Conseguentemente all'adozione del Tax Control Framework e in coerenza con i Principi di condotta in materia fiscale approvati l'11 maggio 2021 dal Consiglio di Amministrazione, la Banca è stata ammessa in data 27 giugno 2024 al regime di adempimento collaborativo e contestualmente è stata presentata l'istanza di adesione a tale regime anche per le controllate Compass Banca e Mediobanca Premier.

Sono state inoltre avviate le attività previste dal D. Lgs. n. 209 del 27 dicembre 2023 di "attuazione della riforma fiscale in materia di fiscalità internazionale" (la c.d. Global Minimum Tax) il cui primo anno di applicazione per il Gruppo Mediobanca sarà l'esercizio chiuso al 30 giugno 2025.

Il Collegio ha incontrato periodicamente il Dirigente Preposto, la responsabile Presidio Informativa Finanziaria e Tax e la Società di Revisione con i quali ha discusso e analizzato le attività implementate.

Il controllo del corretto funzionamento del Modello 262 è garantito da una serie di controlli svolti in self-assessment dai singoli process owner, che vengono successivamente verificati a campione dalla Funzione Audit di Gruppo.

Il Collegio Sindacale ha scambiato con il Dirigente Preposto informazioni sull'affidabilità del sistema amministrativo-contabile ai fini di una corretta rappresentazione dei fatti di gestione, e verificato le Relazioni del Dirigente Preposto contenente l'esito dei test sui controlli svolti, nonché le principali tematiche rilevate nel quadro dell'applicazione della L. n. 262/2005.

Il Collegio Sindacale ha inoltre esaminato le dichiarazioni dell'Amministratore Delegato e del Dirigente Preposto a norma delle disposizioni contenute nell'art. 154-bis del T.U.F..

Per quanto attiene alla formazione del bilancio d'esercizio e consolidato, si segnala che gli stessi sono stati predisposti, in accordo con il D.Lgs. n. 38/2005, secondo i principi internazionali IAS/IFRS emanati dallo IASB (International Accounting Standard Board), che sono stati omologati dalla Commissione Europea come stabilito dal Regolamento Comunitario 1606/2002,

10

Disclaimer

Mediobanca Banca di Credito Finanziario S.p.A. published this content on September 27, 2024 and is solely responsible for the information contained herein. Distributed by Public, unedited and unaltered, on September 27, 2024 at 07:52:05 UTC.