Il whistleblowing (letteralmente, "soffiare nel fischietto") indica la possibilità per un dipendente - pubblico o privato - di segnalare un illecito o un’irregolarità commessa dall'azienda o dall'organizzazione per cui lavora.
Non solo. Tale pratica deve avvenire in modo da garantire la protezione della persona che effettua la segnalazione, come stabilito anche dalle leggi di riferimento.
Proprio su questo tema, di recente è entrato in vigore il D.Lgs. 10 marzo 2023, n. 24, che recepisce la Direttiva UE 2019/1937. Vediamo, in questo articolo, di capire meglio cos'è il whistleblowing, le tipologie di segnalazione e le sanzioni previste.
Cos’è il whistleblowing e normativa in Italia
Come anticipato, il whistleblowing è uno strumento che permette, alle persone che lavorano in un'azienda pubblica o privata, di segnalare in forma anonima una violazione “di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato” (articolo 1, comma 1 del D.Lgs. 24/2023).
Non è raro, infatti, che siano proprio coloro che lavorano all'interno di un'azienda a venire a conoscenza diretta di comportamenti illeciti, frodi o reati compiuti da terzi. E che spesso non vengano segnalati, per paura di ritorsioni nei propri confronti.
Il tema del whistleblowing, in Italia, è stato regolamentato dapprima nel settore pubblico, con la legge 90/2012, con l'obbligo per le PA di dotarsi di sistemi di prevenzione alla corruzione e meccanismi di whistleblowing.
In seguito, con la legge 179/2017, le tutele in questo senso sono state allargate anche al settore privato. Questa legge ha creato una connessione con il D.Lgs. n. 231/2001 e, appunto, con il Modello organizzativo 231, ovvero l'insieme di regolamenti e procedure che indica alle aziende come devono essere strutturate e come gestire i relativi processi interni, in un'ottica di legalità, trasparenza, correttezza, responsabilità, tutela e rispetto. Attraverso l’adozione (facoltativa) di un Modello Organizzativo - che può prevedere vari canali di segnalazione - le imprese possono diminuire il rischio di commettere illeciti ed essere esentate dalla responsabilità amministrativa in caso di reati commessi da soggetti che appartengono ad esse.
Ora, con il D.Lgs. 24/2023, l'Italia ha recepito la Direttiva UE 2019/1937 sul whistleblowing, con l'obiettivo appunto di garantire un elevato livello di protezione a chi effettua le segnalazioni sopra menzionate.
La nuova normativa tutela, dunque, i "whistleblowers" senza distinzione tra ambito pubblico e privato, considerando come tali tutti coloro che sono collegati a un'organizzazione e che potrebbero avere ritorsioni in caso di segnalazione di una violazione (le misure di protezione includono, ad esempio, anche i "facilitatori", ovvero coloro che aiutano il segnalante nel processo di segnalazione e la cui assistenza deve essere mantenuta riservata. Oppure colleghi o persone dello stesso contesto lavorativo).
È importante ricordare (come da definizione del nuovo decreto) che per "ritorsione" viene inteso "qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto".
Whistleblowing: le tipologie di segnalazione
Le segnalazioni effettuate dai whistleblowers possono essere di tre tipologie. Nello specifico:
- segnalazione interna: la comunicazione, scritta o orale, viene presentata tramite un apposito canale interno all'organizzazione pubblica o privata. Questo canale di segnalazione deve garantire la riservatezza dell'identità della persona segnalante, di quella coinvolta e della persona menzionata nella segnalazione, oltre al contenuto e alla relativa documentazione;
- segnalazione esterna: la comunicazione, scritta o orale, avviene tramite un canale esterno, attivato dall'ANAC (Autorità Nazionale Anticorruzione) e che sappia garantire le tutele di riservatezza menzionate al punto precedente;
- divulgazione pubblica: vengono rese di pubblico dominio informazioni sulle violazioni tramite la stampa o mezzi elettronici, o comunque tramite mezzi di diffusione in grado di raggiungere un numero elevato di persone. La persona segnalante beneficia della protezione prevista dal decreto solo nel caso in cui: sia stata effettuata una segnalazione interna o esterna, cui non è stato dato riscontro sulle misure previste o adottate per dare seguito alle segnalazioni; la persona segnalante ha un fondato motivo per ritenere che la violazione possa rappresentare un pericolo imminente o palese per il pubblico interesse; la persona segnalante ha fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o non avere un seguito efficace (es. per il rischio di prove occultate o distrutte).
Tra i temi affrontati nel decreto 24/2023, inoltre, si fa riferimento anche a:
- obbligo di riservatezza (art. 12): le segnalazioni non possono essere usate oltre quanto necessario per dare seguito alle stesse, e l'identità della persona segnalante non può essere direttamente o indirettamente rivelata senza il consenso della stessa;
- trattamento dati personali (art. 13): ogni trattamento, compresa la comunicazione tra le autorità competenti, deve essere effettuato a norma del regolamento (UE) 2016/679, del decreto legislativo 30 giugno 2003, n. 196 e del decreto legislativo 18 maggio 2018, n. 51;
- conservazione della documentazione sulle segnalazioni (art. 14): deve essere sempre conservata per il tempo necessario al trattamento della segnalazione, e comunque non oltre i 5 anni dalla comunicazione dell'esito finale della procedura di segnalazione.
Whistleblowing: le sanzioni previste
Il decreto 24/2023, all'articolo 21, specifica quali sono le sanzioni amministrative pecuniarie che l'ANAC può applicare al responsabile (fermi restando gli altri profili di responsabilità).
In particolare, sono previste sanzioni:
- da 10 mila a 50 mila euro, quando vengono accertate ritorsioni, quando la segnalazione è stata ostacolata (o si è tentato di farlo) oppure quando viene violato l'obbligo di riservatezza;
- da 10 mila a 50 mila euro, quando non sono stati istituiti canali di segnalazione, quando non sono state adottate le procedure di effettuazione e gestione delle segnalazioni oppure qualora non sia stata svolta attività di verifica e analisi delle segnalazioni ricevute;
- da 500 a 2.500 euro, "nel caso di cui all'articolo 16, comma 3, salvo che la persona segnalante sia stata condannata, anche in primo grado, per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria o contabile".
Vuoi sapere se la tua azienda è tenuta a dotarsi di un sistema di segnalazione interna, oppure vuoi implementare un Modello Organizzativo 231? Vuoi capire come tutelare i dati personali di dipendenti, clienti e fornitori? Contattaci oggi stesso per richiedere la consulenza di un nostro esperto.
![]() |
Scritto da: Marco Inama Socio fondatore di Studio Essepi, RSPP e consulente esperto in ambito sicurezza e sistemi di gestione, appassionato di golf. |