segnalazione whistleblowing

OdV gestore del canale di segnalazione whistleblowing. Riflessioni sulla Guida di ANAC e di Confindustria

15 novembre 2023

di Marta VALENTINI

L’organismo di vigilanza del sistema 231 come possibile gestore del canale di segnalazione whistleblowing. Riflessioni alla luce del d.lgs. 24/2023, come interpretato dalle Linee Guida ANAC e dalla Guida Operativa Confindustria.

Il D.lgs. 10 marzo 2023, n. 24 (“Decreto”) ha riscritto, tra le altre cose, anche le regole per l’istituzione e la gestione dei canali whistleblowing, senza indicare in maniera tassativa chi possa essere il “destinatario” della segnalazione, vale a dire il soggetto incaricato di ricevere e di gestire le segnalazioni oggetto della nuova disciplina.

L’art. 4 co. 2 ne individua, infatti, solamente i requisiti: “(l) la gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione ovvero è affidata a un soggetto esterno, anch’esso autonomo e con personale specificamente formato”.

In questi primi mesi di vigenza della nuova normativa (efficace già dal 15 luglio per i soggetti del settore pubblico e le realtà più grandi del settore privato[1]) ci si sta interrogando su quale possa essere il soggetto più idoneo al quale affidare la gestione del canale di segnalazione interno e, in particolare, se tale soggetto possa essere l’Organismo di Vigilanza (“OdV”) nominato ai sensi del D.lgs. 231/2001 (“Decreto 231”).

Una prima risposta è, in realtà, già ricavabile dalla lettura combinata del richiamato art. 4, co. 2 con il considerando n. 56 della Direttiva UE 2019/1937 sul whistleblowing (“Direttiva UE” recepita dal Decreto), che fornisce alcune indicazioni utili per orientare la scelta del gestore delle segnalazioni. Secondo il legislatore europeo, infatti: “La scelta relativa alle persone o ai servizi più competenti all’interno di un soggetto giuridico del settore privato a ricevere e a dare seguito alle segnalazioni dipende dalla struttura del soggetto stesso, di fatto però la loro funzione dovrebbe assicurare sempre:

  • l’indipendenza e
  • l’assenza di conflitto di interesse.

Nei soggetti più piccoli tale funzione potrebbe essere duplice e affidata a un funzionario che faccia capo direttamente al direttore organizzativo, come:

  • un responsabile della conformità o delle risorse umane,
  • un responsabile dell’integrità,
  • un responsabile delle questioni giuridiche o della privacy,
  • un direttore finanziario,
  • un revisore contabile capo o un membro del consiglio di amministrazione[2].

La Direttiva UE, rivolgendosi a 27 ordinamenti giuridici diversi, non fa ovviamente riferimento a specifiche figure di controllo, meno che mai all’OdV del sistema 231, tipico dell’ordinamento italiano. Tuttavia, l’Organismo di Vigilanza sembrerebbe avere effettivamente tutti i requisiti previsti dal considerando n. 56 della Direttiva e dall’art. 4, co. 2 del Decreto, trattandosi di:

  • persona o ufficio “interno”, a seconda che si tratti, rispettivamente, di un Organismo monocratico ovvero collegiale;
  • autonomo, come richiesto dallo stesso Decreto 231 e poi ulteriormente specificato dalle Linee Guida Confindustria, secondo cui l’iniziativa di controllo dell’OdV deve essere  libera da “ogni forma di interferenza o condizionamento da parte di qualunque componente dell’ente e, in particolare, dell’organo dirigente[3];
  • indipendente: come chiarito dalla giurisprudenza, l’OdV deve essere infatti privo di condizionamenti economici e personali e di conflitti di interesse, anche solo potenziali; 
  • dedicato: il Decreto non parla di soggetto “esclusivamente dedicato” alla gestione del canale, ma semplicemente “dedicato”, quindi ben può trattarsi di un soggetto che in via principale si occupa di altro, come la vigilanza sul Modello 231 nel caso specifico dell’OdV;
  • composto da professionisti che, al pari di qualsiasi altro soggetto eventualmente incaricato, devono essere specificatamente formati per la gestione del canale ai sensi della nuova normativa. Al riguardo si segnala inoltre che l’OdV, in applicazione del Decreto 231: è già destinatario dei flussi informativi periodici e ad evento interni all’ente, tra cui quelli relativi ad eventuali criticità riscontrate dalle funzioni nell’attuazione del Modello di organizzazione e gestione del c.d. “rischio reato” (“Modello 231”) e a sue violazioni; pertanto, ha già esperienza nella verifica dei fatti segnalati, i cui esiti sono poi riportati al vertice per l’adozione dei necessari (o anche solo opportuni) provvedimenti rimediali per la tenuta del sistema 231.

Tali considerazioni sono state recentemente confermate anche da Confindustria. Nella Guida operativa licenziata il 27 ottobre u.s. sulla disciplina whistleblowing si legge infatti che l’OdV “è dotato delle competenze tecniche e adeguate e di autonomia, indipendenza, funzionali e gerarchiche, rispetto a qualsiasi altro ufficio interno all’ente”, che “gli consente di svolgere, senza interferenze e condizionamenti, l’attività di gestione delle segnalazioni[4].

E allora quali i dubbi sull’opportunità di investire l’OdV dell’onere di gestire il canale interno whistleblowing?

Una prima perplessità è legata al perimetro di applicazione del nuovo Decreto, che ha esteso l’oggetto della segnalazione ben oltre le violazioni rilevanti ai sensi del Decreto 231 e/o del relativo Modello[5]

Nell’ambito delle realtà pubbliche e private con almeno 50 dipendenti[6], può ora infatti essere oggetto di segnalazione ogni violazione che leda l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui il segnalante sia venuto a conoscenza nel contesto lavorativo, avente ad oggetto: (esclusivamente per i soggetti pubblici) qualsivoglia illecito amministrativo, civile e/o penale; violazioni che rientrino nell’ambito di applicazione degli atti dell’Unione Europea per taluni settori[7]; atti od omissioni che riguardino il mercato interno (ad esempio in materia di concorrenza e aiuti di Stato); atti o comportamenti che vanifichino l’oggetto e le finalità degli atti dell’Unione.

Per sopperire al possibile deficit di competenze in capo al gestore (qualunque esso sia), Confindustria, già nel commentare la vecchia normativa whistleblowing (dove l’oggetto della segnalazione era circoscritto, come si è detto, alle sole violazioni 231), suggeriva nelle proprie Linee Guida l’ulteriore interlocuzione con un consulente esternocompetente in materia di diritto penale ed esperto nel settore, al fine di consentire all’impresa di ricevere una valutazione qualificata della segnalazione ricevuta e, di conseguenza, agevolarne la gestione interna” (si pensi al caso di OdV/gestori della segnalazione non dotati di una simile figura professionale)[8].

Tale considerazione appare ancora più opportuna oggi in ragione delle numerose normative che possono rilevare ai fini della segnalazione, con il conseguente opportuno coinvolgimento (a seconda del caso specifico) di consulenti esterni specializzati nei singoli settori del diritto e/o di esperti in investigazioni.

La seconda perplessità riguarda gli adempimenti operativi oggi demandati al gestore del canale interno di segnalazione che, nel caso di un gestore-OdV, potrebbero pregiudicare la necessaria obiettività di giudizio dell’Organismo nello svolgimento del proprio incarico 231[9]

In particolare, l’art. 5, co. 1, lett. c) del Decreto prevede che “nell’ambito della gestione del canale di segnalazione interna, la persona o l’ufficio interno ovvero il soggetto ai quali è affidata la gestione del canale di segnalazione interna … danno (tra l’altro) diligente seguito alle segnalazioni ricevute”.

L’art. 2, co. 1, lett. q) del Decreto definisce “seguito” “l’azione intrapresa … per valutare la sussistenza dei fatti segnalati, l’esito delle indagini e le eventuali misure adottate”.

Ragionando solo sul dato letterale, il gestore sembrerebbe quindi essere investito non solo della fase investigativa, ma anche della valutazione e reazione ai fatti oggetto di segnalazione/investigazione. Come è stato correttamente rilevato anche dall’Associazione dei Componenti degli Organismi di Vigilanza (“AODV”)[10], non è infatti chiaro se “l’esito delle indagini” e “le eventuali misure adottate” siano componenti del “seguito” ovvero se siano elementi oggetto della “valutazione” attribuita al gestore al pari della fase di accertamento della “sussistenza dei fatti segnalati”.

Al riguardo giova ricordare che la norma italiana recepisce la Direttiva UE che, all’art. 5, n. 12 definisce “seguito” come “l’azione intrapresa dal destinatario di una segnalazione o da un’autorità competente, allo scopo di valutare la sussistenza dei fatti segnalati e, se del caso, porre rimedio alla violazione segnalata, anche attraverso azioni come un’inchiesta interna, indagini, l’azione penale, un’azione per il recupero dei fondi o l’archiviazione della procedura”.

Nel tentativo di fare un po’ di chiarezza sulle attività e sui soggetti a cui si riferisce il concetto di “seguito”, prima l’Autorità Nazionale Anticorruzione (ANAC), poi Confindustria – andando oltre l’interpretazione meramente lessicale delle singole norme e considerando la ratio dell’intera disciplina whistleblowing – hanno concluso che:

  • al gestore della segnalazione è richiesto di verificare l’ammissibilità della segnalazione e l’accertamento sulla sussistenza dei fatti segnalati
  • mentre alle figure istituzionali interne all’ente è demandato il follow-up dell’esito dell’istruttoria, ad esempio per quanto concerne l’esercizio del potere disciplinare e l’assunzione di iniziative giudiziali. 

In particolare, nelle Linee Guida del 12 luglio u.s., l’ANAC ha chiarito che il gestore delle segnalazioni ha il compito di “vagliarne l’ammissibilità” e “compiere una prima imparziale delibazione della segnalazione per valutare la sussistenza di quanto rappresentato nella segnalazione”. 

Laddove si ravvisi invece “il fumus di fondatezza della segnalazione”, secondo l’Autorità è opportuno rivolgersi immediatamente agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze. Non spetta al soggetto preposto alla gestione della segnalazione accertare le responsabilità individuali qualunque natura esse abbiano, né svolgere controlli di legittimità o di merito su atti e provvedimenti adottati dall’ente/amministrazione oggetto di segnalazione, a pena di sconfinare nelle competenze dei soggetti a ciò preposti all’interno di ogni ente o amministratore ovvero della magistratura[11].

Più sinteticamente Confindustria, pensando proprio all’OdV come possibile gestore del canale di segnalazione interno, ha ribadito nella propria Guida Operativa che “l’attività di gestione delle segnalazioni interne” deve essere intesa “in termini di verifica e istruttoria, lasciando poi alle competenti funzioni aziendali le eventuali decisioni operative sui seguiti[12].

Posta la totale discrezionalità di ciascun ente nell’individuare la soluzione più adatta alla propria attività e assetto organizzativo, nell’ipotesi di coincidenza tra gestore e OdV, è in conclusione opportuno definire in una norma interna il perimetro delle attività del gestore-OdV (fase investigativa) al fine di preservarne l’autonomia e l’indipendenza[13]

Tale soluzione operativa, oltre ad assicurare un corretto funzionamento del sistema 231, scongiura l’addebito di responsabilità penali ai componenti dell’Organismo qualora siano commessi reati presupposto nell’interesse e a vantaggio dell’ente.

Al netto di ogni considerazione sulla (in)sussistenza di una posizione di garanzia in capo ai componenti dell’OdV e, quindi, di una responsabilità penale per non aver impedito l’evento-reato a seguito dell’insufficiente o omessa vigilanza sull’applicazione del Modello[14],  si rileva che i singoli membri dell’Organismo di Vigilanza possono essere comunque chiamati a rispondere penalmente a titolo di concorso/cooperazione colposa nel reato altrui (ex artt. 110 e 113 c.p.) qualora abbiano prestato un contributo materiale o morale alla realizzazione del reato. Negare all’OdV-gestore ogni possibilità di intervento/decisione sugli esiti dell’istruttoria impedisce, a monte, che possa contribuire causalmente all’adozione di atti/provvedimenti sulla segnalazione che si potrebbero poi rivelare penalmente rilevanti.

Qualora l’OdV non coincida con il gestore del canale interno, è comunque opportuno che sia coinvolto nel funzionamento del sistema whistleblowing mediante l’istituzione di appositi flussi informativi, in considerazione della possibile rilevanza delle violazioni segnalabili anche ai fini 231.

In tale ottica, occorre che l’OdV:

  • abbia notizia delle segnalazioni rilevanti ai sensi del Decreto 231, affinché possa svolgere la propria attività di vigilanza, eventualmente anche prendendo parte all’istruttoria del gestore o, quantomeno, rimanendo informato del suo andamento e delle relative conclusioni;
  • sia periodicamente aggiornato sull’attività complessiva di gestione delle segnalazioni al fine di accertare il corretto funzionamento del sistema whistleblowing, che dialoga con quello 231.

Quali che siano i flussi informativi verso l’OdV, è ovviamente necessario che siano sempre rispettati gli obblighi di riservatezza imposti dal Decreto sull’identità delle persone coinvolte e sui contenuti della segnalazione.

Intervento di Marta VALENTINI, Avvocato, Studio Legale LP Avvocati


LP Avvocati è uno studio legale multidisciplinare di Roma. 

Il Dipartimento di Compliance offre assistenza in materia di responsabilità da reato degli enti, anticorruzione, privacy, cybersecurity, salute e sicurezza sul lavoro, tutela dell’ambiente, whistleblowing, indagini interne e diritto dello sport. Gli avvocati ricoprono anche il ruolo di docenti presso Università, pubbliche e private; ISPRA; Camera Penale e altri Enti oltre a partecipare periodicamente, quali relatori, a convegni nazionali e internazionali. 

Lo Studio si avvale di tecnologie avanzate e di strumenti di intelligenza artificiale per prestazioni di alto livello.


Per approfondimenti, consultare i seguenti link e/o riferimenti:

[1] Ossia i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, superiore ai 249 (cfr. art. 3, co. 2 e art. 24, co. 2 del Decreto).

[2] “The choice of the most appropriate persons or departments within a legal entity in the private sector to be designated as competent to receive and follow up on reports depends on the structure of the entity, but, in any case, their function should be such as to ensure independence and absence of conflict of interest. In smaller entities, this function could be a dual function held by a company officer well placed to report directly to the organisational head, such as a chief compliance or human resources officer, an integrity officer, a legal or privacy officer, a chief financial officer, a chief audit executive or a member of the board”.

[3] Confindustria, “Linee Guida per la costituzione dei modelli di organizzazione gestione e controllo, ai sensi del D.lgs. 8 giugno 2001, n. 231” aggiornate al mese di giugno 2021, par. 2.2.

[4] Confindustria, “Disciplina whistleblowing, nuova guida operativa” del 27 ottobre 2023, p. 15.

[5] Cfr. art. 6. co. 2-bis del D.lgs. 231/2001 come modificato all’epoca dalla L. 179/2017.

[6] Il riferimento è, nello specifico, ai soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati (con contratti di lavoro a tempo indeterminato o determinato).

[7] Appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.

[8] Confindustria, “Linee Guida”, cit., p. 63.

[9] Come infatti chiarito dalla giurisprudenza e dalle best practice, per essere efficiente e funzionale, l’OdV “non d(eve) avere compiti operativi che, facendolo partecipe di decisioni dell’attività dell’ente, potrebbero pregiudicare la serenità di giudizio al momento delle verifiche” (così G.i.p. Tribunale Roma, 4 aprile 2003, come richiamato al par. 2.2 dalle citate Linee Guida Confindustria).

[10] AODV, position paper “Il ruolo dell’Odv nell’ambito del whistleblowing” del 10 ottobre 2023, p. 6.

[11] ANAC, “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne”, pp. 40-41.

[12] Confindustria, “Disciplina whistleblowing”, cit., p. 13.

[13] AODV, position paper, cit., p. 6.

[14] La dottrina maggioritaria nega che la responsabilità penale ai sensi dell’art. 40, co. 2, c.p. in capo ai componenti dell’OdV per reato omissivo improprio, data l’insussistenza di una loro posizione di garanzia quali destinatari dell’obbligo di impedire l’evento-reato commesso dagli esponenti dell’ente. Difettano infatti entrambi i presupposti necessari a fondare una simile posizione di garanzia, ovvero: i) l’esistenza di una norma giuridica che definisca, per i componenti dell’OdV, un obbligo di impedimento dell’evento; ii) l’esistenza di  un potere giuridico (e naturalistico) di impedimento dell’evento, visto che l’OdV è titolare di poteri di sorveglianza sul Modello e di informazione, ma non anche impeditivi degli eventi lesivi, essendo tale potere esclusivo dei vertici aziendali, sui quali l’OdV non ha alcun tipo di sindacato.

Del resto, quando il legislatore ha inteso ipotizzare la configurabilità di una responsabilità penale in capo ai membri dell’Organismo di Vigilanza, lo ha fatto espressamente: ci si riferisce alle ipotesi di mancate comunicazioni previste dall’art. 52 del D.lgs. 231/2007 in materia antiriciclaggio, cui era tenuto l’OdV prima dell’eliminazione di tale previsione con l’entrata in vigore del D.lgs. 90/2017.

Anche l’Autorità Garante per la Protezione dei Dati Personali, nel definire la qualificazione soggettiva dell’OdV ai fini privacy, ha espressamente escluso la configurabilità di una sua responsabilità penale per reato omissivo, fornendo così una veste più autorevole alle conclusioni della dottrina (v. “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231”).

Analoghe conclusioni sono state infine definitivamente raggiunge anche dalla giurisprudenza di legittimità che, nell’ambito della decisione sul c.d. caso Impregilo, ha sancito l’assenza di un nesso eziologico tra la mancata attivazione del controllo da parte dell’Organismo e la verificazione del fatto di reato (cfr. Cass. Pen., Sez. VI, 15 giugno 2022 (ud. 11 novembre 2021) n. 23401).



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *