Andrea Puccio
Avvocato Studio Legale Puccio Penalisti Associati
È ormai prossimo il termine di adeguamento, per gli enti di piccole e medie dimensioni, alle disposizioni previste dal Decreto Legislativo del Il 10 marzo 2023, n. 24 (di seguito anche solo il “Decreto”) in tema di whistleblowing, con il quale il Legislatore italiano ha dato attuazione alla Direttiva Europea (UE) 2019/1937 riguardante la protezione delle persone che segnalano condotte illecite di cui vengano a conoscenza nel contesto lavorativo, pubblico o privato.
Il testo normativo, infatti, ha differenziato il termine di operatività delle nuove disposizioni a seconda delle soglie dimensionali dei destinatari: per gli enti che impiegano una media di lavoratori superiore a 249 unità, il termine di adeguamento era previsto per lo scorso 15 luglio; quelli con una media di lavoratori inferiore a tale soglia, invece, saranno tenuti ad uniformarsi alla normativa a decorrere dal 17 dicembre 2023.
Le innovazioni introdotte dalla riforma rispetto alla disciplina previgente sono molteplici.
Il Decreto ha, in taluni casi, abrogato e, in altri, modificato le disposizioni in materia, contenute in diverse fonti normative: scopo primario della nuova disciplina, in conformità con gli obiettivi previsti dalla sopracitata Direttiva, infatti, è proprio quello di conformare le previsioni interne in tema di whistleblowing agli obiettivi minimi stabiliti dal Legislatore europeo, assicurando adeguata protezione ai soggetti che segnalano la violazione di norme nazionali e comunitarie, al fine di evitare possibili atti ritorsivi nei loro confronti.
L’oggetto della segnalazione può riguardare sia disposizioni normative nazionali che dell’Unione Europea. Tra le violazioni delle disposizioni normative nazionali vi sono:
- illeciti penali, civili, amministrativi o contabili (diversi rispetto a quelli specificamente individuati come violazioni del diritto dell’Unione Europea);
- reati presupposto di cui al D. Lgs. n. 231/2001;
- violazioni dei modelli di organizzazione e gestione (di seguito anche “MOG 231”) previsti dal D. Lgs. n. 231/2001, anch’esse non riconducibili alle violazioni del diritto dell’UE.
Per quanto attiene alle violazioni della normativa europea, invece, è possibile segnalare:
- le inosservanze della normativa dell’Unione Europea relativa a determinati settori espressamente indicati dal Decreto (tra cui contratti pubblici, prevenzione al riciclaggio e al finanziamento al terrorismo, etc.), nonché delle norme nazionali di recepimento;
- le violazioni che ledono gli interessi finanziari dell’Unione Europea;
- le violazioni in tema di mercato interno dell’Unione Europea;
- atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni dell’Unione Europea inerenti ai sopracitati settori.
Diversificati sono poi i canali attraverso cui i whistleblower possono effettuare le segnalazioni; sono, infatti, previsti: (I) un canale di segnalazione interno all’ente, (II) un canale esterno, istituito e gestito dall’ANAC, e (III) la divulgazione pubblica.
Resta ferma, peraltro, la possibilità di denunciare le violazioni riscontrate alle competenti Autorità Giudiziarie.
In tale assetto, l’utilizzo del canale di segnalazione interno assume un ruolo prioritario rispetto gli altri due: scopo del Decreto, infatti, è quello di incentivare gli enti privati a dotarsi di sistemi organizzativi efficienti ed idonei a consentire una gestione tempestiva delle segnalazioni.
La nuova disciplina amplia, altresì, la compagine dei soggetti qualificabili come whistleblowers: in tale nozione non rientrano più solo i dipendenti, bensì anche i lavoratori autonomi, coloro che hanno un rapporto di collaborazione professionale, gli azionisti e le persone che ricoprono una funzione di amministrazione, controllo, vigilanza e rappresentanza (anche di fatto) all’interno dell’ente di appartenenza.
Quanto ai soggetti nel cui contesto lavorativo possono essere segnalate le condotte illecite, la norma distingue tra le Società che operano nel settore privato e quelle che operano nel settore pubblico: a seconda della natura dell’ente, mutano, infatti, l’oggetto della segnalazione e il canale utilizzabile.
In particolare, quanto ai secondi, l’ambito applicativo della nuova disciplina è più esteso: possono essere segnalate tutte le tipologie di violazioni sopra citate, indipendentemente dal numero di dipendenti impiegati nell’ente pubblico.
Più articolata è, invece, l’individuazione delle violazioni che possono essere segnalate nel settore privato.
In questo senso, infatti, viene operata una distinzione tra le seguenti ipotesi:
- se si tratta di ente con una media di almeno 50 lavoratori privo di un MOG 231, o di ente che opera negli ambiti specifici previsti dalla Direttiva (a prescindere dal numero di dipendenti), oggetto di segnalazione possono essere le violazioni del diritto UE e della normativa nazionale di recepimento. In questo caso, tutti i canali previsti dal Decreto sono utilizzabili;
- se si tratta di ente con una media di almeno 50 lavoratori e dotato di un MOG 231, le segnalazioni di violazioni del D. Lgs. n. 231/2001 possono essere effettuate esclusivamente tramite canale interno; quelle aventi ad oggetto il diritto dell’UE e la normativa nazionale di attuazione, invece, possono essere effettuate tramite tutti i canali di segnalazione;
- se si tratta di ente dotato di un MOG 231, con meno di 50 lavoratori, possono essere segnalate le violazioni del D. lgs. 231/01 solo tramite il canale interno.
Funzione centrale della nuova disciplina assume il c.d. gestore delle segnalazioni, che può essere individuato in una persona fisica o in un ufficio interno all’impresa, ovvero in un soggetto esterno alla realtà aziendale.
Requisito necessario di tale soggetto è che sia autonomo. Secondo l’Anac, tale caratteristica va declinata come “imparzialità” e “indipendenza” del gestore, rispettivamente definite da Confindustria, nella propria guida operativa, come la “mancanza di condizionamenti e di pregiudizi nei confronti delle parti coinvolte nelle segnalazioni whistleblowing” e l’“autonomia e libertà da influenze o interferenze da parte del management, al fine di garantire un’analisi oggettiva e imparziale della segnalazione”.
A titolo esemplificativo, il ruolo di gestore può essere ricoperto dal responsabile anticorruzione, nonché dai responsabili delle funzioni di compliance o Internal Audit; nel caso delle PMI, che presentano una struttura organizzativa semplificata, tale figura potrebbe essere anche individuata in un soggetto privo di mansioni operative (qual è il responsabile delle funzioni legali o delle risorse umane).
Al gestore, il Decreto impone diversi obblighi, quali, in particolare:
- rilasciare al whistleblower un avviso di ricevimento della segnalazione entro sette giorni dalla data in cui è pervenuta;
- mantenere le interlocuzioni con il predetto soggetto;
- dare un corretto seguito alle segnalazioni ricevute;
- fornire un riscontro alla persona, entro tre mesi dalla data di avviso di ricevimento o – in mancanza – dalla scadenza del termine di sette giorni per l’invio di tale comunicazione.
Quanto all’iter successivo alla segnalazione, occorre preliminarmente accertare la sussistenza dei requisiti essenziali – tra cui, in particolare, la non manifesta infondatezza – della stessa, per valutarne l’ammissibilità.
Fatta questa verifica, si apre l’istruttoria, fase in cui il gestore è demandato al gestore il compito di svolgere adeguate indagini interne, attraverso, ad esempio, audizioni del personale o acquisizioni documentali.
Si tratta di un’attività complessa e delicata, caratterizzata da un elevato tecnicismo e che richiede, pertanto, competenze specifiche.
In questo frangente, diventa, allora, auspicabile il coinvolgimento di professionisti esterni, quali investigatori privati e avvocati esperti in internal investigation, dotati – ognuno nel proprio ambito di specializzazione – delle competenze e dell’esperienza necessarie per guidare l’ente in questa articolata attività di verifica e gestione delle situazioni critiche, nonché nell’adozione di tutte le opportune iniziative a tutela della sua dimensione patrimoniale e reputazionale.
Il crescente ricorso alle investigazioni interne si inserisce, invero, in un contesto di sempre maggiore responsabilizzazione delle imprese, nonché di prevenzione del rischio di diffusione di condotte illecite in seno alle predette.
In questo senso, dunque, tale strumento – se ben gestito – risulta funzionale al raggiungimento di un duplice scopo: gestire il rischio connesso alla ricezione di segnalazioni di whistleblowing, da un lato, e riuscire ad individuare eventuali carenze organizzative degli enti, in un’ottica di prevenzione di future violazioni, dall’altro.
In tale contesto, affidare la gestione e l’esecuzione di tali investigazioni a soggetti altamente specializzati, in grado di condurle e portarle a termine in compliance con le diverse normative rilevanti, diventa, quindi, fondamentale.
L’attività degli investigatori privati si snoda attraverso un iter ormai collaudato: vi è un momento inziale, in cui si procede alla raccolta ed elaborazione delle informazioni a diposizione, necessarie per definire il campo d’indagine.
Segue, poi, una fase più propriamente “operativa”, nel corso della quale l’investigatore svolge tutte le opportune verifiche.
Infine, si passa al momento valutativo, caratterizzato da un’analisi sistematica degli elementi raccolti, i cui esiti confluiscono, poi, in approfonditi report, in cui si dà evidenza delle attività svolte e delle risultanze, e si indicano, ove vengano ravvisate lacune nel sistema aziendale interno, misure correttive idonee a colmare tale gap o, comunque, a migliorare il sistema di gestione e organizzazione dell’ente.
Il ricorso a professionisti dotati della necessaria expertise, consente, infine, di garantire la dovuta tutela al whistleblower, questo aspetto, come anticipato, è, invero, uno dei pilastri della disciplina introdotta dal Decreto.
Del resto, la stessa Confindustria riconosce il valore del supporto offerto da professionisti esterni, dotati di competenze specifiche, per svolgere accertamenti in seno all’ente e verificare la fondatezza della violazione segnalata, sempre, però, nel rispetto dei doveri di riservatezza e di confidenzialità previsti a tutela del segnalante e del segnalato.
Il nuovo impianto normativo e le sinergie che esso favorisce rappresentano certamente un valore aggiunto per gli enti, che sono, dapprima, tenuti ad adeguarsi alla nuova disciplina, adottando gli strumenti interni e i canali di segnalazione più idonei, nell’ottica di prevenire il rischio sanzionatorio dovuto alla mancata o inadeguata adozione di procedure interne per la gestione del whistleblowing; poi, al ricorrere di eventuali situazioni patologiche, posso fare ricorso a professionisti esterni, in grado di assicurare una gestione altamente specializzata e professionale delle condotte illecite emerse, in compliance con le normative vigenti e con la garanzia un’efficace tutela della reputation aziendale.