Le disposizioni emanate dal Governo italiano con il Decreto Legislativo 10 marzo 2023, n. 24 in attuazione della Direttiva UE 2019/1937 sul Whistleblowing, hanno determinato nuovi adempimenti organizzativi per le imprese, per garantire la gestione attiva delle segnalazioni che naturalmente si riflettono sull'aggiornamento dei Modelli di Organizzazione, Gestione e Controllo in ottemperanza alle disposizioni del d.lgs. 8 giugno 2001, n. 231 nell'ambito della responsabilità amministrativa degli enti che abbiano tratto vantaggio dalla commissione di un fatto penalmente illecito, commesso da un soggetto apicale o un collaboratore, nell'esercizio del proprio mandato, con sanzioni pecuniarie e misure interdittive, a carico dell'Ente. Sulla base di tali premesse l'eventuale segnalazione di un illecito potrebbe essere funzionale all'emersione di una violazione ai sensi della normativa emanata dal 2001.
L'archetipo normativo del whistleblowing era entrato nel nostro ordinamento il 29 dicembre 2017, con la legge n. 179/2017 sulle “disposizioni a tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”.
Con l'attuale normativa gli Enti sono stati chiamati a predisporre adeguati canali di segnalazione (interni, esterni e di comunicazione), procedure chiare per la gestione tempestiva e idonea gestione delle segnalazioni, un adeguato livello di segregazione dei compiti tra gestore della segnalazione e organi di vigilanza e controllo, per non incorrere nel severo sistema sanzionatorio previsto. Quello che pare opportuno in questa sede analizzare è l'impatto di questo istituto sui concreti presidi che gli Enti pongono in essere, al fine di permeare il sistema di controllo interno di una compliance il più possibile tutelante. Per evitare un utilizzo improprio e funzionale ad altri obiettivi e far convergere la normativa sul whistleblowing verso una cultura della legalità, l'Ente deve assicurare una efficace informazione e formazione aziendale in tema di trasparenza, responsabilità e prevenzione e strumenti idonei quanto equilibrati per applicarla efficacemente. Non meno intuitiva, inoltre, appare la protezione dei dati personali e la tutela del Segnalato, che richiede appropriata analisi dei rischi, segregazione delle responsabilità, modalità di conservazione dei dati anche per le ricadute in termini di privacy e le sanzioni di cui al GDPR. Le segnalazioni whistleblowing in alcune best practice, sono raccolte e processate da uffici di Compliance e Business Integrity, deputati a gestire le stesse dalla presa in carico e valutazione iniziale fino all'indagine e alla migliore risoluzione. Questi uffici assurgono a risorse indipendenti ed imparziali, destinati a sostenere i valori dell'Ente e a promuovere l'attività di gestione delle segnalazioni, da vagliare in modo neutrale, riservato e coerente.
Il tema è ampio e convergente con la disciplina della responsabilità amministrativa degli Enti e con le molteplici fattispecie di reato presupposto previsti dalla normativa 231. Si pensi ad esempio ai presidi tesi a prevenire le violazioni delle norme sul caporalato, le frodi fiscali, i reati di false comunicazioni sociali, di corruzione, di associazione a delinquere attraverso le infiltrazioni della criminalità organizzata, dei reati di riciclaggio etc.
In termini concreti, strumento indispensabile ai fini della mitigazione dei rischi di detto genere è la predisposizione di un'idonea valutazione delle terze parti (fornitori, partner commerciali, finanziari e societari) che potrebbe, ad esempio, prevedere quanto segue.
Nella selezione dei fornitori la scelta potrà essere formulata nei confronti di un solo fornitore, se adeguatamente motivata da particolari esigenze ovvero dalla specificità della prestazione, dalla storicità del rapporto in essere, purché sempre vagliato in termini di bontà/effettività della prestazione e/o dell'opera fornita, puntualità, buon esito del collaudo; diversamente la valutazione comparata con criteri oggettivi e documentabili di più offerte provenienti da diversi potenziali fornitori, con un minimo di almeno due, deve considerarsi preferibile.
Pertanto, prima dell'instaurazione del rapporto commerciale, l'Ente dovrà auspicabilmente acquisire e vagliare quanto di seguito indicato, a titolo esemplificativo:
La visura camerale societaria storica, al fine di verificare, tra l'altro, l'iscrizione nel registro delle imprese, la corrispondenza dell'oggetto della prestazione o del prodotto/ servizio fatturato con l'oggetto sociale dell'attività registrata, nonché le operazioni straordinarie con particolare riguardo ai trasferimenti delle quote societarie.
Eventuali attestazioni SOA, ISO, SA 8000, DURC, rating di legalità e iscrizione a white list, protocolli di integrità sottoscritti, dichiarazioni su esistenza e aggiornamento continuo dei Piani Operativi della Sicurezza/DVR/formazione del Datore di Lavoro, in particolare per gli Enti impegnati nella filiera degli appalti.
I fascicoli di bilancio approvati e depositati negli ultimi tre anni per la verifica dei dati aziendali e finanziari nonché la media dei dipendenti impiegati.
Eventuali informazioni desumibili da fonti open source, la documentazione pubblicata dal fornitore sul proprio sito web ed altra resa disponibile da provider specializzati.
Il valore dei sub-affidamenti e le attestazioni documentate di impiegare nei lavori assegnati personale regolarmente assunto e avente titolo alla presenza nel territorio nazionale, da parte delle imprese affidatarie e sub-affidatarie.
Eventuali audit specifici dei requisiti dichiarati potranno essere effettuati ad esempio dall'Organismo di Vigilanza (O.d.V.) sul Modello 231, nominato dall'Ente, nel corso del processo di qualifica o di accreditamento della controparte, o anche durante le successive fasi di gestione contrattuale.
Nel tempo, oltre alle Linee Guida specifiche emanate da Confindustria per l'implementazione efficace della normativa prevista dal d.lgs. 231/2001, diversi apporti istituzionali hanno contribuito alla visione della logica preventiva nella complessa organizzazione aziendale, funzionale a contesti sempre più abilitanti della cultura della legalità. Tra questi meritano una speciale menzione l'Associazione fra le società italiane per azioni (Assonime) e il Consiglio Nazionale Dottori Commercialisti ed Esperti Contabili (CNDCEC). La prima aveva pubblicato nel 2019 il rapporto “Prevenzione e governo del rischio di reato: la disciplina 231/2001 e le politiche di contrasto dell'illegalità nell'attività d'impresa”, per “promuovere il valore della funzione di prevenzione e dell'auto-organizzazione e recuperare l'efficienza della funzione premiale prevista dalla disciplina 231, attraverso una più specifica individuazione delle cautele organizzative su cui si fonda la ricostruzione della colpa dell'ente”. Il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili ha pubblicato nel febbraio 2019 i “Principi consolidati per la redazione dei modelli organizzativi e l'attività dell'organismo di vigilanza e prospettive di revisione del D.Lgs. 8 giugno 2001, n.231”, documento redatto congiuntamente da un gruppo di lavoro interdisciplinare.
Per raggiungere pienamente gli obiettivi che il d.lgs. 231/2001 e il d.lgs. 24/2023 sulla tutela del whistleblowing propongono, soprattutto in termini di creazione di contesti abilitanti la cultura della legalità è, infine, assolutamente necessario che sia operativo un Organismo di Vigilanza, dotato di effettiva autonomia, indipendenza, professionalità e continuità d'azione, oltreché un'elevata specializzazione (aziendalistica e penalistica) che garantisca, in maniera sempre più scrupolosa, la conoscenza dei processi interni e dei presidi di prevenzione i quali, applicati concretamente, fungano da volano per l'etica d'impresa a tutela dell'interesse pubblico.