Il whistleblowing tra normativa generale e discipline di settore: soggetti obbligati e ambiti oggettivi di applicazione

Obiettivi e finalità del whistleblowing

Chi lavora per un’organizzazione (pubblica o privata) svolge un ruolo decisivo nella denuncia e nella prevenzione di violazioni che ledono il pubblico interesse o l’integrità di amministrazioni pubbliche o di enti privati.

I potenziali “whistleblower” sono tuttavia poco inclini a segnalare violazioni di cui vengono a conoscenza nel timore di ritorsioni da parte dei loro datori di lavoro. Da ciò la necessità di assicurare una specifica protezione giuridica per le persone che, avendo acquisito informazioni nell’ambito del contesto lavorativo in cui operano, portano all’attenzione, di specifiche autorità o di organi interni, circostanze e fatti concernenti irregolarità di diversa natura e rilevanza. È quindi evidente come lo squilibrio di potere legato al rapporto lavorativo renda assolutamente necessaria una tutela rafforzata contro tutte le possibili conseguenze negative che tale denuncia potrebbe determinare.

La tutela del whistleblower nella disciplina ante decreto legislativo 24/2023

Nel nostro paese il primo settore che ha previsto specifiche forme di protezione in favore dei whitleblowers è stato quello pubblico. La legge 6 novembre 2012, n. 190 (Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione) ha recepito le sollecitazioni sovranazionali, sia pure limitatamente all’ambito della pubblica amministrazione, introducendo l’art. 54 bis nel corpo del D.lgs.165/2001 – Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche -, successivamente ridisegnato dalla legge 179/17.

Una prima previsione del whistleblowing nel settore privato è, invece, rinvenibile nella disciplina introdotta dal D.lgs. 231 del 2001, in tema di responsabilità amministrativa delle imprese per fatti costituenti reato. In particolare, la legge 179 del 2017, con l’art. 8, nel novellare il d.lgs. 231/01, ha introdotto aggiunto nell’art. 6, i commi 2 bis, 2 ter e 2 quater.

La disciplina del “MOG 231”, e conseguentemente dell’istituto del whistleblowing, in questo caso non si presenta come disposizione cogente[1] per tutti soggetti del settore privato, in quanto si applica solo verso gli enti/società che vogliano accedere ad ipotesi di esenzione da responsabilità per i fatti (di cui al catalogo dei reati presupposti) commessi da persone che operano nell’organizzazione di riferimento[2].

In pratica trattasi di prescrizioni “facoltative”, ossia adempimenti che, se non osservati, fanno scattare la responsabilità dell’ente per la cd “colpa di organizzazione” intesa come carenza organizzativa rispetto ad un modello di diligenza standard stabilito dalla norma.

Le successive tutele del “whistleblower” nei settori speciali

Concomitantemente al “MOG 231” le tutele del whistleblower in ambito privato sono state progressivamente estese con previsioni vincolanti per tutti i soggetti appartenenti al settore di riferimento. In particolare:

• Il Testo Unico in materia bancaria e creditizia (TUB D.lgs 385/93)[3]. Al riguardo il D.lgs 72/2015, ha introdotto l’art.52-bis che dispone, per le banche e le relative capogruppo, l’adozione di procedure specifiche per la segnalazione al proprio interno, da parte del personale, di atti o fatti che possano costituire una violazione delle norme disciplinanti l’attività bancaria;
• Il Testo Unico delle disposizioni in materia di intermediazione finanziaria (TUF – D.Lgs. 58/1998). Al riguardo il D.Lgs. 129/2017 ha introdotto l’art. 4-undecies e 4-duodecies. Per effetto di tale novellai soggetti (di cui alle parti II[4] e III[5] del TUF) adottano procedure specifiche per la segnalazione al proprio interno, da parte del personale, di atti o fatti che possano costituire violazioni delle norme disciplinanti l’attività svolta nel mercato finanziario, nonché del regolamento prospetto come definito all’articolo 93-bis, comma 1, lettera a), e del Regolamento (UE) n. 596/2014;
• Il lgs. 231 del 2007, in tema di antiriciclaggio. Al riguardo il D.lgs.90/2017, nel ridefinire l’intera materia per effetto della III direttiva UE, ha introdotto l’art. 48 che prevede l’obbligo, per i destinatari della disciplina, di istituire «procedure per la segnalazione al proprio interno […] di violazioni, potenziali o effettive, delle disposizioni dettate in funzione di prevenzione del riciclaggio e del finanziamento del terrorismo»;
• illgs. 39 del 2010, in tema di revisione legale. Al riguardo il D.lgs. 135/2016 ha introdotto l’art. 26 bis che ha previsto l’obbligo per le società di revisione legale di adottare procedure specifiche per la segnalazione al proprio interno, da parte del personale, di atti o fatti che possano costituire violazioni potenziali o effettive della disciplina in materia di revisione legale dei conti;
• il Codice delle assicurazioni private (lgs. 209/2005). Al riguardo il D.lgs.68/2018ha introdotto gli artt. 10-quater e 10-quinquies che prevedono l’obbligo per le imprese di assicurazione o di riassicurazione, le ultime società  controllanti  (di cui  all’articolo  210,  comma  2),  gli intermediari assicurativi e riassicurativi (inclusi gli  intermediari assicurativi a titolo accessorio), di adottare procedure  specifiche  per la segnalazione al proprio interno, da parte del personale, di atti o fatti che possano costituire  violazioni  delle  norme  disciplinanti l’attività assicurativa e distributiva svolta.

Dobbiamo altresì segnalare, per completezza, che l’art. 6, 9^ comma, della legge 62/2022 (cd Sunshine Act) ha introdotto un ulteriore ipotesi “settoriale” di whistleblowing avente ad oggetto le violazioni della stessa legge ed inerente alla trasparenza dei rapporti, aventi rilevanza economica o di vantaggio, intercorrenti tra le imprese produttrici di farmaci (e di “strumenti, apparecchiature, beni e servizi, anche non sanitari”) e i soggetti che operano nel settore della salute o le organizzazioni sanitarie. Si tratta di una segnalazione c.d. “esterna” in favore del Ministero della salute da rendere “in conformità alle disposizioni di cui alla legge 30 novembre 2017, n. 179”[6]. Con il decreto del Ministero della salute (posto in consultazione il 17 agosto 2023) dovrebbero essere disciplinate le modalità per l’attuazione delle predette segnalazioni[7].

Verso una disciplina organica e generalista (pubblico e privato) del whistleblowing

Il decreto legislativo 24/2023 nel recepire la Direttiva (UE) 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, ha disciplinato in modo organico l’intera materia del whistleblowing, estendendo le sue prescrizioni non solo verso i soggetti del settore pubblico ma anche verso tutti i soggetti del settore privato, indipendentemente dal settore di appartenenza.

Chi segnala e ha modo di fornire informazioni che possono portare all’indagine, all’accertamento e al perseguimento dei casi di violazione delle norme contribuisce, infatti, a rafforzare i principi di trasparenza e responsabilità. Gli obiettivi del legislatore sono chiari: garantire la protezione – sia in termini di tutela della riservatezza che di tutela da ritorsioni – dei soggetti che si espongono con segnalazioni o denunce e contribuire all’emersione e alla prevenzione di rischi e situazioni pregiudizievoli non solo per la pubblica amministrazione ma anche per qualsiasi organizzazione cui appartiene. 

L’asse portante della nuova disciplina è rappresentato dal sistema di tutele offerte a coloro che segnalano ovvero, in presenza di specifiche condizioni, effettuano la divulgazione pubblica di violazioni apprese nel proprio contesto lavorativo[8]. Tali tutele si estendono, peraltro, anche a soggetti diversi dal segnalante e denunciante che, proprio in ragione del ruolo assunto nell’ambito del processo di segnalazione e/o del particolare rapporto che li lega al segnalante, potrebbero essere destinatari di ritorsioni (anche in via indiretta).                                                                    

Tra le principali novità contenute nella nuova disciplina vi è:

• l’abrogazione del richiamato 54-bis del D.lgs n. 165/2001, che disciplinava il settore pubblico e che, quindi, risulta interamente assorbito nella nuova normativa,
• l’abrogazione dei commi 2 ter e 2 quater, dell’articolo 6, del decreto legislativo 231/2001, contenenti previsioni di dettaglio sul divieto di misure ritorsive e l’eventuale loro nullità. Rimane in vigore il solo comma 2 bis, concernente la previsione dell’istituto della segnalazione delle violazioni come componente rilevante ai fini dell’idoneità del “MOG 231”,
• la specificazione dell’ambito di applicabilità delle norme ai soggetti del settore pubblico e privato, con l’estensione dell’ambito soggettivo di applicazione con riguardo ai segnalanti tutelati.

I “soggetti obbligati” del settore privato

Di particolare interesse è la definizione delle categorie dei soggetti del settore privato destinatari degli obblighi e delle prescrizioni. La norma ne individua tre, e cioè:

1. nella prima vi rientrano i soggetti che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
2. nella seconda sono compresi coloro i quali rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo) e II (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza dei trasporti, tutela dell’ambiente) dell’allegato, anche se nell’ultimo anno non hanno raggiunto la media di lavoratori subordinati di cui alla prima categoria;
3. nella terza sono compresi soggetti diversi da quelli ricompresi nella seconda categoria, che rientrano nell’ambito di applicazione del decreto legislativo 8 giugno 2001, n. 231, e adottano modelli di organizzazione e gestione ivi previsti, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati.

In pratica gli enti che raggiungono la media fino a 49 dipendenti subordinati occupati sono comunque soggetti alla disciplina generale purché rientrino nel campo di applicazione di materie indicate nell’allegato al decreto nelle parti I.B e II, ovvero, per i soggetti diversi da essi, che abbiano adottato il MOG 231.

Quanto evidenziato permette di rilevare come in sostanza il d.lgs. 24/2023, pur se con alcuni limiti dimensionali, sia diventata la normativa generale di riferimento.

La convivenza di una disciplina generale del whistleblowing con specifiche discipline di settore

Uno dei temi che tuttavia si pone con riferimento al whistleblowing riguarda le normative speciali, rimaste comunque in vigore e non abrogate. Si tratta in pratica di valutare con precisione quali disciplina si debba applicare a determinati soggetti (del settore privato) su cui appaiono concretizzarsi i presupposti applicativi di differenti discipline, sia della nuova normativa di portata generale sia delle normative riferite a specifiche regolamentazioni di settore.

Nel caso si convenisse che, comunque, risulta applicabile la normativa generale dovremmo ritenere allora che vi sia stata una sorta di abrogazione implicita per le disposizioni delle discipline di settore.Un esempio in proposito può essere rappresentato da una banca, piuttosto che da un intermediario finanziario abilitato ovvero da una grande società di revisione legale, o ancora da un’assicurazione oppure da un soggetto obbligato ai fini antiriciclaggio sebbene di ridotte dimensioni. Detti enti/soggetti, ricompresi tra i soggetti obbligati delle discipline speciali ed anche della legge antiriciclaggio, si ritroverebbero ad essere teoricamente assoggettati anche alla normativa generale del D.lgs 24/2023.                                                         

La valutazione delle categorie dei soggetti obbligati a prima vista farebbe supporre di sì. Infatti:

• qualora vi sia una media di 50 o più dipendenti, i soggetti di riferimento rientrerebbero nella prima categoria;
• in caso di una media di lavoratori subordinati inferiore a 50 dipendenti e svolgano attività ex allegato al Dlgs 24/2023, i soggetti di riferimento rientrerebbero nella seconda categoria;
• in caso di una presenza media di lavoratori subordinati inferiore a 50 dipendenti e non si svolgano attività ex allegato al Dlgs 24/2023, i soggetti di riferimento risentirebbero comunque nella terza categoria, qualora abbiano adottato il “MOG 231”.

La convivenza di una disciplina generale del whistleblowing con specifiche discipline di settore: l’ambito “oggettivo” di applicazione

Tale interpretazione in realtà non sembra aderente al dettato normativo dell’art. 1 che disciplina l’ambito oggettivo di applicazione. Al 2 comma, punto b), viene evidenziato, infatti, che le disposizioni del Dlgs. 24/2023 non si applicano, tra l’altro, laddove le segnalazioni delle violazioni risultano già disciplinate in via obbligatoria:

• dagli atti dell’Unione europea o nazionali, indicati nella parte II dell’allegato al Dlgs. 24/2023,
• ovvero dagli atti nazionali che costituiscono attuazione degli atti dell’Unione europea, indicati nella parte II dell’allegato alla direttiva (UE) 2019/1937, seppur non indicati nella parte II dell’allegato al Dlgs. 24/2023.

Sulla base del dettato normativo è necessario quindi verificare se gli ambiti di nostro interesse siano state già disciplinati in via obbligatoria nei due allegati richiamati (parte II allegato al decreto D.lgs. 24/2023 ovvero parte II dell’allegato alla direttiva (UE) 2019/1937).

La tecnica legislativa al riguardo non brilla per chiarezza e costringe l’interprete a continui rinvii e riscontri con gli atti legislativi richiamati negli allegati, per verificare quali sono le specifiche normative (nazionali o comunitarie) richiamate nell’allegato e, eventualmente, escluse dall’ambito oggettivo di applicazione.

Dall’esame di dettaglio degli atti indicati negli allegati risultano comunque richiamate le normative inerenti: 

• alla revisione legale (D.lgs. 39/2010),
• all’antiriciclaggio (D.lgs. 90/2017 e direttive UE 847/17 e 849/17),
• ai servizi finanziari (lgs. 58/98, Regolamento UE n. 596/2014 sugli abusi di mercato),
• ai servizi assicurativi (D.lgs. 68/2018, n. 68, recante attuazione della direttiva (UE) 2016/97),
• ai servizi bancari (D.lgs. 385/93, D.lgs. 72/2015, recante attuazione della direttiva 2013/36/UE).

L’autonomia delle normative di settore

Possiamo pertanto ritenere che tali discipline di settore abbiano comunque una loro autonomia rispetto alla disciplina generale e non siano da considerarsi assorbite da quest’ultima. Il legislatore ha peraltro attribuito alle Autorità di Vigilanza di settore la possibilità di emanare disposizioni di attuazione al fine di disciplinare nel dettaglio condizioni, limiti e procedure per la ricezione delle segnalazioni e per la gestione delle segnalazioni esterne da indirizzare alle richiamate Autorità.

Diversamente da quanto previsto dalla normativa generale, le normative di settore avranno altresì quali destinatari tutti i soggetti operanti nel settore di riferimento, senza alcuna previsione di limiti minimi di operatività ovvero di dipendenti occupati. In questo senso, ad esempio, i soggetti obbligati dalla normativa antiriciclaggio saranno tutti complessivamente obbligati ad osservare l’art. 48 del Dlgs. 231/2007, anche quelli di minori dimensioni che hanno, cioè, assetti organizzativi e gestionali semplificati ovvero un numero di dipendenti occupati molto ridotti (si pensi ad esempio agli studi professionali).

Residua ovviamente la facoltà per enti e società dei vari settori di adottare e attuare (ex art. 6, comma 2bis del d.lgs.231/01) il “MOG 231”. In questi casi:

• le segnalazioni potranno riguardare solo le violazioni inerenti alle violazioni del MOG o le violazioni concernenti i reati presupposto “231”,
• i modelli di organizzazione e di gestione, ai sensi dell’art. 4, 1 c., 2 capoverso del d.lgs. 24/2023, dovranno gestire i canali di segnalazione interna secondo le prescrizioni della disciplina generale (ex D.Lgs. 24/2023).

Quest’ultima disposizione in definitiva rappresenta l’unico “ponte” che collega le normative speciali e quella generale. Quest’ultima potrà quindi refluire nei “MOG 231” quantomeno con riferimento alla sola gestione del canale di segnalazione interna.

Ed infine un un’ultima annotazione: è possibile che un soggetto rientri nell’ambito applicativo di diverse discipline speciali (come ad es. una banca o un’assicurazione che sono assoggettate sia al Tub/Tuf/Codice Assicurazioni che alla normativa Antiriciclaggio). In questo caso riteniamo che la costruzione delle procedure e degli assetti organizzativi dovrà tener conto (in modo integrato) delle particolarità delle diverse discipline e adottare canali per la segnalazione di violazioni specifiche (e limitate) a ciascuna di esse. Il problema in questo caso sarà di valutare quale norma sarà applicabile dal punto di vista sanzionatorio in caso di omissioni o carenze nella gestione dei canali di segnalazione previsti dalle singole normative.

I rapporti tra le varie normative su specifiche tematiche: interrogativi pendenti

Il tema del rapporto della disciplina generale del whistleblowing con le richiamate discipline di settore potrebbe sollevare, peraltro, ulteriori interrogativi in ordine alla possibilità che le normative speciali, meno organiche e strutturate, possano mutuare, attraverso le norme di attuazione delle Autorità di Vigilanza di settore, principi e indicazioni di dettaglio dalla normativa generale. Alcune quesiti che si potrebbero porre in sede applicativa sono i seguenti:

1. in caso di segnalazioni disciplinate da normative speciali, il sistema di tutele rafforzate presenti nella normativa generale possono applicarsi anche agli altri soggetti previsti all’art. 3, comma 5, lett. a, b, c, d (facilitatori, persone del medesimo contesto lavorativo della persona segnalante, colleghi di lavoro della persona segnalante, enti di proprietà della persona segnalante)?
2. Le tutele accordate al segnalante dovranno essere solo quelle enunciate (in modo molto generico) dalla normativa speciale o potranno essere mutuati i principi e le indicazioni presenti nella normativa generale (ex art. 16 e 17 del d.lgs. 24/2023)?
3. In tema di violazioni segnalabili, per le normative di settore sono mutuabili le definizioni di cosa deve intendersi per “violazioni” ex art. 2, lett. a del d.lgs24/2023?

Queste e altre domande fanno parte, però, di un’altra storia…che magari potremo raccontare in seguito.

Dott. Gaetano Mastropierro
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO.
Dott. Alfredo Sanfelice
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO. 

Note
[1] Tranne nel caso del Regolamento dell’Autorità Garante della concorrenza del 2012 o del Regolamento dei Mercati di Borsa Italiana S.p.A. che ha reso obbligatoria l’adozione del Modello 231 per le Società che richiedano di essere ammesse al segmento STAR della Borsa di Milano
[2] Che rivestono, cioè, funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso ovvero da persone sottoposte alla direzione o alla vigilanza di uno dei predetti soggetti.
[3] In ambito bancario-finanziario l’introduzione del sistema del whistleblowing è conseguente all’adozione della Direttiva 2013/36/UE (“CRD IV” o la “Direttiva”) il cui art. 71 stabilisce che le autorità competenti degli Stati membri hanno il dovere di vigilare affinché i destinatari della disciplina (Banche e Imprese di Investimento) mettano in atto “meccanismi efficaci e affidabili per incoraggiare la segnalazione alle autorità competenti di violazioni potenziali o effettive delle disposizioni nazionali di recepimento della presente direttiva e del regolamento (UE) n. 575/2013”. Con il recepimento della Direttiva in Italia, ad opera del D.lgs. 72/2015, sono state introdotte alcune modifiche, da un lato, al D.Lgs 385/1993 (“Testo Unico Bancario” o “TUB”), con l’introduzione degli artt. 52-bis e 52ter, e, dall’altro, al d.lgs. 58/1998 (“Testo Unico della Finanza” o “TUF”), con l’introduzione dei nuovi artt. 8-bis e 8-ter, abrogati e sostituiti dal d.lgs. 3 agosto 2017, n. 129
[4] Sim, banche, società di gestione di OICVM, Sicav, depositari di OICVM, società di consulenza, gestori di portali di equity crowdfunding, imprese di assicurazione
[5] Gestori di mercati regolamentati, fornitori di servizi di comunicazione dati, depositari centrali, controparti centrali
[6] La legge 179/17 (che introduceva il 54bis del d.lgs. 165/2001 e le integrazioni dell’art. 6 del d.lgs. 231/01) è stata però abrogata con il D.lgs. 24/2023
[7] L’art. 6 dello schema di decreto in consultazione evidenzia che”…Ove ricorrano i presupposti per l’applicazione della disciplina sulla protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, le segnalazioni sono trattate ai sensi del decreto legislativo 10 marzo 2023, n. 24..”.
[8] Art. 2, 1 c. lett. i) ”.. «contesto lavorativo»: le attività lavorative o professionali, presenti o passate, svolte nell’ambito dei rapporti di cui all’articolo 3, commi 3 o 4, attraverso le quali, indipendentemente dalla natura di tali attività, una persona acquisisce informazioni sulle violazioni e nel cui ambito potrebbe rischiare di subire ritorsioni in caso di segnalazione o di divulgazione pubblica o di denuncia all’autorità giudiziaria o contabile…”.