Articolo a cura di Dott.ssa Laura Aliberti, specializzata in Anti-Bribery and Corruption, esperta in Internal Auditing
La Direttiva (UE) 2019/1937 1 del Parlamento europeo e del Consiglio riguardante la “protezione delle persone che segnalano violazioni del diritto dell’Unione” garantisce degli standard minimi di tutela per il whistleblower europeo, senza differenziazioni tra l’ambito pubblico e privato, disciplinando la predisposizione di canali di segnalazione interni ed esterni anche per i soggetti giuridici del settore privato con almeno 50 lavoratori. Concretamente, la novella disciplina spinge l’ordinamento italiano a superare la restrittiva costruzione normativa della legge n. 179/2017 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, svincolando definitivamente il sistema di tutele previsto per il dipendente privato all’adozione volontaria di un Modello di Organizzazione, Gestione e Controllo (ex D.lgs. 231/2001)2.
Sotto un profilo operativo, l’aumento della complessità dell’istituto del whistleblowing e l’estensione del campo di applicazione anche alle aziende e gruppi societari di dimensioni e complessità medio grandi, come risposta alle attuali esigenze normative sovranazionali, richiede opportune considerazioni in termini organizzativi sia circa l’identificazione dei soggetti preposti alla ricezione e verifica delle segnalazioni, sia in merito alle competenze necessarie per assicurarne un diligente «seguito» 3.
Certamente, per l’implementazione della visione europea, risulta fondamentale individuare canali di ricezione adeguati, capaci di garantire una reale protezione dell’identità del segnalante nonché di prevedere misure di tutela contro ritorsioni o atti discriminatori.
Ciononostante, si rivela altresì indispensabile assicurare opportuni e tempestivi accertamenti circa la sussistenza dei fatti ed un esito certo alla segnalazione (dato atto che anche nell’ipotesi in cui non si giunga ad alcun provvedimento contro il soggetto segnalato, il processo di whistleblowing deve prevedere comunque un «riscontro»)4.
È noto, infatti, che un diffuso ostacolo all’attività di segnalazione concerne la sfiducia del segnalante nella risposta alle questioni segnalate. Il whistleblower, non sempre crede che la sua segnalazione possa innescare un seguito, vale a dire indagini indirizzate ad accertare le condotte segnalate e fornire evidenze a supporto di eventuali decisioni circa azioni penali, disciplinari o altri rimedi. Molto spesso, a destare tali dubbi, sono gli stessi vertici dell’organizzazione che, invece di promuovere una “cultura della trasparenza”, condizionano il soggetto evidenziando una molto probabile inutilità dell’azione di denuncia. Invero, la stessa disciplina europea sottolinea l’esigenza di fornire al segnalante, in termini ragionevoli (non superiori a tre mesi) un aggiornamento e/o un esito relativo alla gestione della segnalazione:
Nell’ambito della segnalazione interna, informare nei limiti di legge e nel modo più completo possibile la persona segnalante circa il seguito dato alla segnalazione è fondamentale per aumentare la fiducia nell’efficacia di tutto il sistema di protezione degli informatori e ridurre il rischio di segnalazioni o divulgazioni pubbliche inutili. La persona segnalante dovrebbe essere informata entro un termine ragionevole delle misure previste o adottate per dare seguito alla segnalazione e dei motivi della scelta di tale seguito dato 5.
È bene ricordare che la “credibilità” delle modalità di gestione della segnalazione e delle persone che le governano incidono notevolmente sullo sviluppo e l’utilizzo di tale strumento che, a seconda del singolo caso segnalato, può richiedere l’impiego di competenze diverse ai fini dell’accertamento6. Pensando ad esempio all’eterogeneità ed alla vastità delle funzioni e dei servizi della Pubblica Amministrazione italiana, i rischi che possono incidere sul perseguimento dell’interesse pubblico risultano molteplici e di varia natura. Di conseguenza, l’accertamento di un’eventuale segnalazione potrebbe richiedere conoscenze diverse per una pluralità di scenari.
Eppure, la vigente legge 179/2017 identifica, nel quadro dei poteri e obblighi conferiti 7, il Responsabile per la Prevenzione della Corruzione e della Trasparenza (RPCT) quale unico soggetto interno deputato al ricevimento, verifica e accertamento delle segnalazioni (coadiuvato, ove la struttura organizzativa lo consenta, da un gruppo di lavoro con competenze trasversali).
Precisamente, una volta valutata l’ammissibilità della segnalazione, per lo svolgimento dell’istruttoria il RPCT può avviare un dialogo con il whistleblower per chiedere chiarimenti, documenti e informazioni ulteriori, ove necessario acquisire atti e documenti da altri uffici, coinvolgere terze persone tramite audizioni e altre richieste, garantendo sempre la tutela della riservatezza del segnalante e del segnalato 8. In questa logica, il Responsabile è chiamato a svolgere una funzione complessa e non sempre agevole, che richiede inevitabilmente garanzie di indipendenza e conoscenze professionali che non sempre possiede per il ruolo che ricopre:
Va detto che altre (forse la maggioranza e soprattutto molti enti locali specialmente di piccole dimensioni) non hanno nel loro organico nemmeno le professionalità adeguate a predisporre un buon piano. Il che accade perché la normativa è entrata in vigore senza alcuna previa formazione dei funzionari e dirigenti in una materia complicata e per evitare “pericolose” esternalizzazioni hanno opportunamente vietato che l’elaborazione del piano potesse essere affidata all’esterno 9.
Vanno quindi utilizzati con notevole prudenza e rigore tali strumenti di verifica e accertamento; per contro, senza queste premesse, il rischio è quello di generare un flusso vuoto: se non si trasmette la consapevolezza dell’efficacia dell’azione del RPCT (unico destinatario di un internal whistleblowing), tale istituto giuridico resta un esercizio di stile, un mero adempimento burocratico.
È bene ricordare che, in conformità con la disciplina europea, l’attuale regime normativo italiano consente al whistleblower pubblico di utilizzare (anche direttamente) un valido canale esterno di segnalazione: l’Autorità Nazionale Anticorruzione (ANAC).
Comunque, considerando la vasta platea di amministrazioni pubbliche, al fine di non aggravare notevolmente sull’operato dell’Autorità (che, tra l’altro, svolge un ruolo di vigilanza su vari fronti 10), emerge con forza la necessità di investire sullo sviluppo delle strutture organizzative dedicate all’internal whistleblowing, anche in senso ampio, con l’implementazione di nuove metodologie – già in uso nel settore privato – di Controllo Interno e Gestione dei Rischi 11.
Un altro terreno dove saggiare tali circostanze è proprio quello delle medie imprese, ove la normativa europea impone l’obbligo di adottare appositi canali di ricezione a garanzia delle segnalazioni relative a violazioni del diritto europeo. In tali contesti, analogamente alla pubblica amministrazione, le dimensioni aziendali e la carenza di risorse non agevolano l’implementazione di un canale interno indipendente e competente. Molto spesso, le imprese concentrano in una sola figura più funzioni operative con il comprensibile intento di risparmiare e/o semplificare. Tuttavia, tale soluzione non può essere considerata ottimale, se non altro in termini di conoscenza e soprattutto di indipendenza delle modalità di accertamento delle segnalazioni.
Rispetto ai requisiti di imparzialità ed indipedenza previsti dalla disciplina europea del whistleblowing, certamente l’eventuale sovrapposizione di responsabilità del soggetto incaricato alla gestione, impone di evitare qualsiasi attribuzione che comporti situazioni di conflitto d’interesse12, ciononostante, a lungo andare, questa condizione può influire negativamente sulla credibilità e la fiducia dell’azione di denuncia. D’altronde, se per le Pubbliche Amministrazioni italiane è possibile dare vita ad un external whistleblowing, in ambito privatistico non esiste un’autorità equivalente all’ANAC. A tal proposito, interviene la Direttiva europea che disciplina da un lato l’individuazione di un’Autorità indipendente per gestire in autonomia la ricezione e l’accertamento delle segnalazioni del whistleblower privato, dall’altro un terzo canale “pubblico” che consente una divulgazione pubblica delle segnalazioni riguardanti violazioni del diritto dell’Unione 13. È sempre più evidente che, a fronte di questo scenario in evoluzione, le aziende necessitano di opportuni strumenti e competenti strutture per la verifica e l’accertamento della segnalazione (in via esemplificativa definendo ruoli e responsabilità, tecniche di investigazione, flussi di informazione, comunicazioni con i whistleblower) in un perimetro strettamente aziendale. Infatti, oltre l’indiscutibile e condivisa utilità dell’istituto, il ricorso ad un internal whistleblowing consente di contenere la “soffiata” all’interno dell’organizzazione e di ridurre l’impatto mediatico della notizia, mitigando possibili rischi reputazionali e di perdita di immagine. Dunque, adottare nuove soluzioni operative per la crescita di questo strumento, con gli opportuni adattamenti, rappresenta per le medie imprese la strada migliore da percorrere, uno sforzo che può trasformarsi in una vera e propria sfida: gestire strategicamente i rischi al fine di promuovere un controllo etico che favorisce il business.
In conclusione, è un lavoro lungo e complesso, ma il recepimento della Direttiva europea sul whistleblowing – ancorché con certo ritardo – consente di creare un nuovo spazio di discussione, ove sarà possibile ripensare allo sviluppo di un approccio più evoluto e strutturato alle attività di verifica e controllo della segnalazione, in un’ottica più ampia di prevenzione e gestione del rischio, utile a ridisegnare l’organizzazione pubblica e privata, incidendo strategicamente sul suo funzionamento.
1 Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
2 Il decreto legislativo 231/2001 prevede l’esonero da responsabilità per le aziende che adottano i c.d. modelli organizzativi idonei a prevenire il verificarsi di illeciti. Le organizzazioni private, solo ed esclusivamente se dimostrano di attuare in modo efficace e concreto il modello organizzativo predisposto, possono essere esonerate da forme di responsabilità derivanti dalla commissione di condotte che integrano i reati riportati nel decreto stesso.
3 Tale dicitura consiste nell’azione intrapresa dal destinatario di una segnalazione o da un’autorità competente, allo scopo di valutare la sussistenza dei fatti segnalati e, se del caso, porre rimedio alla violazione segnalata, anche attraverso azioni come un’inchiesta interna, indagini, l’azione penale, un’azione per il recupero dei fondi o l’archiviazione della procedura (Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, art. 5 “Definizioni”, comma 12).
4 Comunicazione alla persona segnalante (whistleblower) di informazioni sull’azione prevista o adottata per dar seguito alla loro segnalazione e sui motivi del seguito dato (Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, art. 5 “Definizioni”, comma 13).
5 Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
6 Cfr. Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, art. 9 “Procedure per la segnalazione interna e relativo seguito”, comma 1.
7 In via esemplificativa, il RPCT predispone il Piano triennale di prevenzione della corruzione e della trasparenza (PTPC), vigila sull’osservanza e il funzionamento del Piano e svolge attività di controllo sull’adempimento degli obblighi di pubblicazione previsti (Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione).
8 Cfr. AUTORITÀ NAZIONALE ANTICORRUZIONE PRESIDENTE, Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del d.lgs. 165/2001 (c.d. whistleblowing), Delibera n. 469 del 9 giugno 2021 modificate con il Comunicato del Presidente dell’Autorità del 21 luglio 2021, pubblicato sul sito www.anticorruzione.it.
9 R. Cantone, E. Carloni, Corruzione e Anticorruzione. Dieci lezioni, Feltrinelli Editore, Milano 2018, p. 95.
10 Vigilanza sulla adozione delle misure per la prevenzione della corruzione e gli obblighi di trasparenza, sui Piani triennali, compatibilità e inconferibilità, vigilanza sui contratti pubblici e qualificazione degli operatori economici, vigilanza collaborativa (www.anticorruzione.it).
11 L’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) raccomanda l’implementazione di un’efficace strategia di Internal control e di risk management per salvaguardare l’integrità delle organizzazioni del settore pubblico, in particolare in materia di whistleblowing, con l’obiettivo di «ensuring control mechanisms are coherent and include clear procedures for responding to credible suspicions of violations of laws and regulations, and facilitating reporting to the competent authorities without fear of reprisal» (OECD, Recommendation on Public Integrity, 2017).
12 La scelta relativa alle persone o ai servizi più competenti, all’interno di un soggetto giuridico del settore privato, preposti a ricevere e a dare seguito alle segnalazioni, dipende dalla struttura del soggetto stesso; di fatto però la loro funzione dovrebbe assicurare sempre l’indipendenza e l’assenza di conflitto di interesse. Nei soggetti più piccoli tale funzione potrebbe essere duplice ed affidata ad un funzionario che faccia capo direttamente al direttore organizzativo, come un responsabile della conformità o delle risorse umane, un responsabile dell’integrità, un responsabile delle questioni giuridiche o della privacy, un direttore finanziario, un revisore contabile capo o un membro del consiglio di amministrazione (Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione).
13 Naturalmente, per beneficiare delle tutele previste per il whistleblower, la divulgazione pubblica deve soddisfare determinate condizioni: se un dipendente ha segnalato ripetutamente una condotta illecita tramite i canali interni e/o esterni, senza ottenere alcuna risposta, appare legittimo e opportuno l’impiego di un canale pubblico, come quello dei media.