Per anni relegato al dibattito tra addetti ai lavori, il whistleblowing è oggi un elemento centrale nella governance d’impresa e nella gestione del rischio reputazionale. Con l’entrata in vigore del Decreto Legislativo 10 marzo 2023, n. 24, il legislatore italiano ha recepito la Direttiva UE 2019/1937, dando piena attuazione a un sistema organico di tutela per chi segnala comportamenti illeciti, violazioni normative e condotte contrarie all’interesse pubblico o aziendale.
Il decreto è operativo dal 15 luglio 2023 per i soggetti privati con almeno 250 dipendenti e dal 17 dicembre 2023 anche per le imprese tra i 50 e i 249 dipendenti. Ma i numeri non sono l’unico parametro: sono obbligate anche tutte le aziende che hanno adottato un Modello 231 o che operano in settori regolamentati (finanziario, ambientale, salute pubblica, trasporti), a prescindere dalla dimensione. Di fatto, oggi il whistleblowing è un obbligo diffuso per gran parte del tessuto imprenditoriale italiano.
Al centro della riforma c’è la previsione di canali interni di segnalazione che devono essere efficaci, sicuri e confidenziali. Le modalità possono essere scritte, orali o in presenza, purché venga garantita la tracciabilità e, soprattutto, la riservatezza dell’identità del segnalante.
I soggetti abilitati a segnalare non sono solo i dipendenti, ma anche ex collaboratori, fornitori, tirocinanti, liberi professionisti e persino candidati a una posizione lavorativa. Le segnalazioni possono riguardare violazioni di normative nazionali o europee, comportamenti fraudolenti, pratiche scorrette o illeciti relativi a salute, ambiente, sicurezza o concorrenza.
Il canale interno è la via preferenziale, ma non è l’unica. Il decreto riconosce la possibilità, in presenza di determinate condizioni, di ricorrere alla segnalazione esterna all’ANAC oppure alla divulgazione pubblica.
Chi può rivolgersi direttamente ad ANAC? Chi non ha accesso a un canale interno attivo, o chi ha motivi ragionevoli per temere ritorsioni o per ritenere che la segnalazione sarebbe inutile. In casi eccezionali, ad esempio in presenza di un pericolo imminente o danni irreparabili, è consentita anche la diffusione tramite stampa o social media, con le dovute cautele.
Tutele effettive per chi segnala
La vera svolta sta nella protezione del segnalante. Il decreto vieta qualunque forma di ritorsione: licenziamenti, demansionamenti, esclusione da percorsi formativi, isolamento professionale, pressioni indebite o anche semplici comportamenti discriminatori sono vietati e sanzionabili.
A ciò si aggiunge un meccanismo di inversione dell’onere della prova: è il datore di lavoro a dover dimostrare che eventuali misure sfavorevoli adottate nei confronti del segnalante siano del tutto estranee alla segnalazione.
La tutela si estende anche ai facilitatori (chi aiuta il segnalante nel processo), nonché ai colleghi, familiari e persone collegate che possano subire conseguenze indirette.
Sanzioni e ruolo dell’ANAC
L’ANAC è l’autorità designata per ricevere le segnalazioni esterne e vigilare sull’applicazione della normativa. Le sanzioni amministrative sono particolarmente rilevanti: si va da 10.000 a 50.000 euro, in caso di:
Queste sanzioni non esauriscono le responsabilità: in caso di danno al segnalante, l’ente può essere chiamato anche al risarcimento, con impatti sulla reputazione e sulla governance.
Il whistleblowing non è una novità per chi ha già adottato un Modello di Organizzazione, Gestione e Controllo ex D.lgs. 231/2001. Ma con la nuova normativa, il canale di segnalazione assume una funzione strutturale: deve essere pienamente integrato nei protocolli esistenti e gestito in modo da rafforzare l’efficacia del sistema di controllo interno.
Un sistema 231 privo di un canale di whistleblowing aggiornato, funzionante e ben comunicato rischia di essere ritenuto inefficace in sede giudiziaria, compromettendo la funzione esimente del modello stesso. L’Organismo di Vigilanza, in particolare, assume un ruolo cruciale nel monitoraggio e nella gestione delle segnalazioni.
Altro aspetto chiave è la conformità al GDPR. Il trattamento dei dati personali – inclusi quelli eventualmente riferiti a persone segnalate – deve essere lecito, limitato, sicuro e proporzionato. I sistemi di segnalazione devono prevedere misure tecniche adeguate per proteggere i dati, garantire l’anonimato (se previsto) e limitare l’accesso solo a personale autorizzato e formato.
Le registrazioni delle segnalazioni devono essere conservate solo per il tempo strettamente necessario alla gestione del caso. In caso di data breach o violazioni di riservatezza, si aprono scenari sanzionatori anche in ambito privacy.
Il nuovo sistema di whistleblowing impone alle imprese di andare oltre la logica dell’adempimento formale. Non basta attivare un canale interno: occorre informare, formare, coinvolgere, costruire un ambiente in cui il dipendente si senta libero di parlare senza timori.
Il whistleblowing può diventare un vero strumento di prevenzione, utile a intercettare criticità prima che diventino crisi, e a promuovere una cultura aziendale fondata sull’etica, sul rispetto delle regole e sulla responsabilità.
Le imprese che lo capiranno per prime – e che sapranno dotarsi non solo di strumenti tecnici, ma di una visione lungimirante – potranno trasformare un vincolo normativo in un vantaggio competitivo solido e duraturo.
Riguardo all'autore
Esperta in Security e Risk Management, con una formazione nella Guardia di Finanza e un’esperienza consolidata nella prevenzione delle frodi, nelle investigazioni aziendali e nella compliance normativa. Attualmente ricopre il ruolo di Senior Manager, Risk – Global Investigations & Security Operations presso Amazon, dove è responsabile di attività investigative su scala globale, protezione degli asset aziendali e sviluppo di strategie di mitigazione del rischio.
