di Ermelindo LUNGARO
Il D.lgs. 24/23 ha introdotto, ormai da oltre un anno, un’importante novità a livello di sistemi di whistleblowing, ovvero l’obbligatorietà, da parte di alcune tipologie di organizzazioni, di adottare sistemi di comunicazione ad hoc a garanzia delle segnalazioni relative a violazioni del diritto UE e/o del D.lgs. 231/01.
Questa novità, letta insieme ad altri recenti obblighi di legge, come ad esempio, in materia di sostenibilità e/o presidi di legalità per le imprese beneficiarie dei fondi del PNRR, probabilmente costituiranno un’ulteriore spinta per le imprese ad avviare percorsi di compliance 231 finalizzati a rafforzare ed integrare i propri Sistemi di Controllo Interno.
La tutela a “geometria variabile”: i 4 punti da ricordare
Il D.lgs. 24/23, entrato in vigore il 30 marzo 2023(1), è stato adottato in Italia in attuazione della Direttiva Europea n. 1937/2019(2) riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (di seguito anche Direttiva), con disposizioni normative che hanno avuto impatti organizzativi differenti in base al settore di appartenenza; le diverse conseguenze in base al settore di applicazione derivano dalla scelta normativa di introdurre un regime di obblighi e tutele a geometria variabile che dipende da:
- (i) l’oggetto della violazione (ad esempio nella previgente normativa non vi era nessuna distinzione tra violazioni del diritto nazionale e del diritto dell’UE);
- (ii) la natura pubblica/privata dell’ente di appartenenza del segnalante;
- (iii) le dimensioni dell’ente privato e al settore in cui opera;
- (iv) l’ applicabilità allo stesso della disciplina del D.lgs. 231/2001(3) e/o della Legge Anticorruzione 190/2012(4).
In particolare, per quanto riguarda il settore privato, le segnalazioni possono avere a oggetto violazioni della disciplina nazionale solo con riferimento ai reati previsti dal D. lgs 231/01 e alle violazioni del Modello 231, nonché quelle riguardanti il diritto europeo in settori particolarmente sensibili.
Le condizioni ed i 2 scenari per la compliance integrata
Nel presente articolo ci soffermeremo sulle loro implicazioni in termini di compliance integrata prendendo come riferimento due scenari:
- aziende che si sono dotate di un Modello 231 e nominato il relativo Organismo di Vigilanza ed,
- aziende che ancora non hanno maturato tale scelta.
Iniziamo subito a comprendere per il settore privato, a differenza del settore pubblico in cui vige l’obbligatorietà, le condizioni di applicabilità del D.lgs. 24/23 della presenza di “almeno 50 lavoratori” e/o del Modello 231, ovvero l’obbligo del rispetto del D.lgs. 24/23 (di seguito anche Decreto) per le seguenti realtà organizzative:
- Enti senza Modello 231, ma con un media di almeno 50 lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, e/o che rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato (cd. settori sensibili) della Direttiva Europea(5) (in tal caso solo per violazioni della disciplina del diritto europeo).
- Enti con il Modello 231, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati (in tale ultimo caso solo per violazioni della disciplina nazionale con esclusivo riferimento ai reati presupposto del D.lgs. 231/01).
Tale differenza relativa all’ambito di applicazione oggettivo del Decreto comporta che anche i canali di segnalazione utilizzabili nel settore privato sono diversi:
- per le violazioni del Modello 231 è utilizzabile soltanto il canale interno, mentre
- per le violazioni della normativa europea sono utilizzabili tutti i canali (interno, esterno e pubblico).
Da tale quadro normativo emerge, per il settore privato, che riconoscere il contesto di riferimento e i conseguenti diritti è estremamente complicato e per quanto riguarda il diritto interno sono tutelate solo le segnalazioni relative a violazioni ai Modelli 231 e/o che possono comportare la commissione dei reati presupposto che tali Modelli intendono prevenire.
Questo assunto ci porta a riflettere su come l’Unione Europea vuole intensificare i controlli sulle violazioni che intaccano in via esclusiva l’Europa, obbligando i diretti interessati a munirsi di appositi canali di comunicazione, da mettere a disposizioni dei segnalanti:
- sia per le segnalazioni all’interno, intese quelle provenienti dai dipendenti ed indirizzate ad un membro/organo della Società, e
- sia all’esterno, ovvero quelle rivolte:
- all’ANAC e/o
- ad altri soggetti esterni come Autorità o, persino,
- la stampa.
Non bisogna tralasciare quest’ultimo punto delle segnalazioni all’esterno, poiché, la previsione di una simile possibilità potrebbe incidere negativamente sulla reputazione della società oggetto del Decreto nel momento in cui non avesse adottato tutte le misure necessarie a mitigare un simile rischio.
Per quanto attiene agli strumenti concreti attraverso cui attivare il canale di segnalazione interno, l’articolo 4 del Decreto prevede che le segnalazioni possono essere effettuate secondo diverse modalità: i) in forma scritta: analogica o con modalità informatiche(6); ii) in forma orale, attraverso linee telefoniche dedicate o sistemi di messaggistica vocale e, su richiesta del segnalante, attraverso un incontro diretto con il gestore della segnalazione, che deve essere fissato entro un tempo ragionevole.
Come individuare il gestore del canale di segnalazione
Ma veniamo ora ad uno degli aspetti più “critici” per il successo di un efficace ed efficiente implementazione del sistema di whistleblowing, ovvero l’individuazione del cd. “gestore del canale interno”. La scelta del soggetto interno/esterno a cui affidare la gestione del canale di segnalazione è rimessa alla libera discrezionalità dell’ente, tenendo in considerazione l’attività esercitata e le relative responsabilità, nonché l’assetto organizzativo di cui si è dotato.
In questa direzione si muovono le Linee guida ANAC e/o la Guida Operativa di Confindustria “NUOVA DISCIPLINA “WHISTLEBLOWING” – ottobre 2023(7) (di seguito anche Guida Operativa di Confindustria) che, pur riconoscendo piena discrezionalità all’ente nella scelta del gestore della segnalazione, prevedono la possibilità di affidare la gestione del canale a un loro ufficio interno preesistente o a un organo collegiale/comitato appositamente costituito e composto da soggetti interni che, nel suo complesso, risponda al requisito di autonomia necessario. “Tale comitato potrebbe essere composto, ad esempio, dai responsabili delle funzioni di controllo (compliance o Internal Audit) e di alcune delle altre funzioni aziendali in grado di gestire in maniera appropriata e diligente la segnalazione (si pensi, ad esempio, alle funzioni legali o alle funzioni risorse umane, al responsabile anticorruzione o a Comitati Etici, nonché, all’Organismo di vigilanza 231 – OdV -, se monocratico, o a un suo membro, se collegiale)”.
Infine, novità rilevante rispetto alla precedente normativa (in una logica di semplificazione degli adempimenti e di contenimento dei costi, anche al fine di ottimizzare e specializzare il lavoro sulle segnalazioni in esame) è costituita dalla possibilità per gli enti di piccole dimensioni di “condividere” il canale di segnalazione interna e la relativa gestione (cfr. art 4, co. 4, del d.lgs. 24/2023); purchè nell’ultimo anno, abbiano impiegato una media di lavoratori subordinati, con contratto di lavoro a tempo determinato o indeterminato, non superiore a 249.
Aspetti non regolamentati: le modalità di Vigilanza, Coordinamento e Reporting
Sia le Linee Guida ANAC che la Guida Operativa di Confindustria non regolamentano però:
- le modalità di vigilanza e coordinamento del “gestore del canale Interno” con gli altri organi di controllo interno (es. Collegio Sindacale), né tantomeno,
- le modalità di reporting verso l’Alta Direzione in seguito al ricevimento delle segnalazioni (es. tempestiva trasmissione delle stesse all’Amministratore Delegato, relazione annuale nei confronti del CdA e Collegio Sindacale, ecc.).
Su tale argomento è parzialmente intervenuto, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili in occasione dell’aggiornamento delle “Norme di comportamento del collegio sindacale di società non quotate“, introducendo il seguente nuovo principio: “3.10. “Vigilanza sull’istituzione di canale di segnalazione (whistleblowing)”, in virtù del quale il collegio sindacale deve verificare: 1. se la società rientri nell’ambito di applicazione del D.Lgs. 24/2023 e di conseguenza sia tenuta al rispetto dell’obbligo di attivazione del canale di segnalazione interna; 2. in caso affermativo, che la stessa abbia provveduto in tal senso; 3. che il canale di segnalazione interna garantisca la riservatezza dell’identità della persona segnalante; 4. che la gestione del canale di segnalazione sia a data a persona o ufficio interno oppure ad un soggetto esterno specificamente formato per la gestione del canale……. Il collegio sindacale deve segnalare per iscritto all’organo amministrativo l’eventuale mancata istituzione del canale interno, nonché le anomalie nel sistema di segnalazione, ovvero la mancanza di strumenti che consentano la protezione dell’identità del segnalante”.
Sarebbe, dunque, opportuno che il “gestore del canale interno”, oltre a definire lo strumento digitale o analogico per gestire la ricezione delle segnalazioni, formalizzi nella Policy che regolamenta il processo di gestione delle segnalazioni (dalla ricezione fino all’indagine/chiusura/riscontro al segnalante), di concerto con la governance aziendale, le modalità operative e/o di coordinamento con gli altri Organi di Gestione e Controllo, distinguendo tra i casi in cui il ruolo di “gestore del canale interno” è assunto dall’OdV(8) da tutte le altre situazioni.
Con l’occasione si potrebbero anche precisare gli ambiti di verifica dell’OdV in riferimento al sistema di whistleblowing come ad esempio: i) Il ruolo e i compiti dei soggetti che hanno accesso alle segnalazioni, limitando il trasferimento di dati e informazioni in casi strettamente necessari; ii) Le modalità e i termini di conservazione dei dati e delle documentazioni, nel rispetto della normativa; iii) L’adeguatezza della procedura, che deve includere: i destinatari, l’oggetto e il contenuto della segnalazione, le caratteristiche del canale interno e le ipotesi di utilizzo del canale esterno, e infine, la descrizione delle forme di tutela della riservatezza, della protezione dalle ritorsioni, e delle responsabilità del segnalante; iv) Il corretto aggiornamento del Modello 231– se adottato – e in particolare l’aggiornamento del sistema disciplinare con l’introduzione di sanzioni nei confronti dei responsabili delle violazioni; v) L’erogazione di attività formative in merito all’eventuale adeguamento del Modello 231 e alla procedura Whistleblowing; vi) La comunicazione formale delle procedure di Whistleblowing ai dipendenti; vii) L’accessibilità alle informazioni sull’utilizzo del canale interno ed esterno.
Enti che ricevono sovvenzioni dall’UE (PNRR)
Appare quindi evidente che, nelle società che hanno adottato un Modello 231, gli Organismi di Vigilanza dovranno farsi promotori di un approccio integrato che eviti duplicazioni e garantisca la compliance al D.lgs. 231/01 e al D.lgs. 24/23.
Riflessioni diverse andrebbero fatte invece per le altre realtà aziendali che non hanno ancora avviato un percorso di compliance al D.lgs. 231/01 ma che sono comunque soggette all’obbligo di rispettare il D.lgs. 24/23 se:
- da una parte, il Decreto prevede l’imposizione di istituire canali di comunicazioni e non di implementare un sistema di compliance;
- dall’altra, se guardiamo alla sua finalità ultima, che è quella di prevenire comportamenti che violino il diritto dell’Unione Europea, probabilmente la governance dovrebbe essere indotta a rafforzare il proprio sistema di controllo interno fino al punto di adottare un Modello 231.
Tale considerazione dovrebbero riguardare in particolar modo gli Enti che ricevono sovvenzioni finanziarie dall’Unione Europea (es. Piano Nazionale di Ripresa e Resilienza) e/o rientrano con i loro parametri nell’applicazione delle Direttive Europee in materia ESG(9) (es. CSDDD-Corporate Sustainability Due Diligence Directive, CSRD-Corporate Sustainability Reporting Directive, ecc.).
Considerazioni finali
Se a questo si aggiunge:
- L’entrata in vigore dal 1° giugno 2021 della cosiddetta “Procura Europea” istituita con Regolamento (EU) 2017/1939, con il quale viene istituto l’organo chiamato EPPO avente la finalità di far fronte ai reati a danno degli interessi finanziari dell’UE;
- la Direttiva n. 1371/2017 (detta anche Direttiva PIF) recepita con il Decreto Legislativo n. 75/2020 con lo scopo di contrastare le frodi che ledono gli interessi finanziari dell’Unione Europea(10).
si comprende bene come per determinati settori la compliance al D.lgs. 231/01 231 non sia più un “nice to have” ma un MUST.
È infatti facilmente comprensibile che la vera finalità della Direttiva Europea in materia di whistleblowing sia quella di rafforzare i sistemi di compliance nelle realtà nazionali, in vista dei notevoli contributi che stanno arrivando dall’Unione Europea.
Intervento di Ermelindo LUNGARO, Founder di My Compliance, membro Organismi di Vigilanza ex D.lgs. 231/01 ed esperto compliance e risk management nel settore pubblico e privato
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Decreto Legislativo 10 marzo 2023, n. 24 | Attuazione della Direttiva (UE) 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione
(2) Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 | Protezione delle persone che segnalano violazioni del diritto dell’Unione
(3) Decreto Legislativo 8 giugno 2001, n. 231 | Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300
(4) Legge 6 novembre 2012, n. 190 | Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione
(5) Ossia nel settore dei contratti pubblici, servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza e conformità dei prodotti, sicurezza dei trasporti, tutela dell’ambiente, radioprotezione e sicurezza nucleare, sicurezza degli alimenti e dei mangimi e salute e benessere degli animali, salute pubblica, protezione dei consumatori, tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi; ciò che rileva principalmente, quindi, non è la consistenza dei lavoratori impiegati, quanto piuttosto i settori in cui operano.
(6) L’impresa potrà decidere se utilizzare lo strumento della piattaforma on-line oppure optare per la posta cartacea (in via esemplificativa, prevedendo il ricorso a lettere raccomandate).
(7) Nuova Disciplina Whistleblowing (10/2023) – Guida operativa per gli Enti Privati – Confindustria
(8) Valentini M. (2023), “ODV Gestore del canale di segnalazione Whistleblowing. Riflessinoi sulla Guida di ANAC e Confindustria” – Risk & Compliance Platform Europe, www.riskcompliance.it
(9) Per comprendere al meglio il rapporto tra whistleblowing e ESG è necessario chiarire al meglio il significato di questa normativa: Il whistleblowing, o la segnalazione di illeciti, rappresenta un’azione cruciale per garantire trasparenza e integrità all’interno delle organizzazione: l’obiettivo è fondamentalmente quello di portare alla luce comportamenti scorretti, eventuali abusi di potere, frodi, forme di corruzione o rischi e pericoli per la salute e la sicurezza pubblica, affinché possano essere indagati, individuati e per permettere un intervento prima che sia troppo tardi.
(10) Tale novità normativa ha anche interessato il D. Lgs. 231/01 attraverso l’ampliamento di alcune fattispecie di reato presupposto (quali ad esempio i reati di frode nelle pubbliche forniture).