Whistleblowing aziendale 2021: legge, software, gestione

Il whistleblowing aziendale e’ uno strumento di compliance che permette a dipendenti, collaboratori e fornitori di segnalare condotte illecite o irregolarita’ all’interno di un’organizzazione, in modo riservato o anonimo, senza timore di ritorsioni. Nel 2021 il tema e’ al centro dell’attenzione di legal counsel, HR manager, OdV e compliance officer italiani per due ragioni convergenti: la legge 179/2017 ha esteso la tutela anche al settore privato (per le societa’ che adottano il modello 231) e la Direttiva UE 2019/1937 dovra’ essere recepita dall’Italia entro il 17 dicembre 2021, imponendo un canale di segnalazione obbligatorio per tutte le imprese con piu’ di 50 dipendenti.

In questa guida analizziamo il quadro normativo aggiornato ad aprile 2021, gli obblighi che le aziende dovranno affrontare nei prossimi mesi, le sei piattaforme software disponibili sul mercato europeo, l’integrazione con il modello 231 e gli errori piu’ frequenti commessi dalle PMI italiane nell’implementare un canale whistleblowing.

Whistleblowing aziendale: cosa e’ e perche’ serve

Il termine “whistleblower” – letteralmente “chi soffia il fischietto” – indica la persona che, nello svolgimento dell’attivita’ lavorativa, viene a conoscenza di un illecito e decide di segnalarlo all’azienda o ad autorita’ competenti. La segnalazione illeciti non e’ una delazione: e’ un atto di responsabilita’ che protegge l’organizzazione da danni reputazionali, sanzioni e perdite economiche.

Le condotte segnalabili includono:

• Reati contro la pubblica amministrazione (corruzione, concussione, peculato)
• Frodi contabili e fiscali
• Violazioni della normativa antitrust
• Riciclaggio e autoriciclaggio
• Reati ambientali
• Mobbing, molestie e discriminazioni sul lavoro
• Violazioni del codice etico aziendale
• Conflitti di interesse non dichiarati
• Trattamenti illeciti di dati personali (GDPR)

Secondo lo studio “ACFE Report to the Nations 2020” pubblicato dall’Association of Certified Fraud Examiners, oltre il 43% delle frodi aziendali viene scoperto grazie a segnalazioni interne. I controlli di management individuano solo il 15% dei casi, gli audit interni il 14%. Avere un canale whistleblowing efficace non e’ solo un obbligo: e’ lo strumento di prevenzione frodi piu’ efficace.

Il quadro normativo italiano nel 2021 (legge 179/2017)

L’Italia ha disciplinato il whistleblowing con un percorso a tappe:

1. Legge 190/2012 (“Legge Severino” anticorruzione) – Ha introdotto l’art. 54-bis del D.Lgs. 165/2001 con la prima tutela per il dipendente pubblico che segnala illeciti.

2. Legge 179/2017 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarita’”) – E’ la legge whistleblowing italia di riferimento. Ha esteso la tutela al settore privato modificando l’art. 6 del D.Lgs. 231/2001: ogni societa’ che adotta un modello di organizzazione, gestione e controllo deve prevedere uno o piu’ canali di segnalazione che garantiscano la riservatezza dell’identita’ del segnalante.

3. Linee guida ANAC 2019 – L’Autorita’ Nazionale Anticorruzione ha pubblicato indicazioni operative per l’attuazione della legge nelle pubbliche amministrazioni e nelle societa’ partecipate. Le linee guida sono rilevanti anche per il settore privato perche’ definiscono lo standard di “canale efficace”.

Nel 2021 il quadro italiano presenta tre limiti che la Direttiva UE risolve:

1. L’obbligo di canale whistleblowing nel privato vale solo per le societa’ con modello 231 (volontario)
2. Non e’ previsto un canale esterno presso un’autorita’ indipendente per le segnalazioni del privato
3. Le sanzioni per ritorsioni sono limitate e poco applicate

Direttiva UE 2019/1937: cosa prevede e tempi recepimento

La Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguarda “la protezione delle persone che segnalano violazioni del diritto dell’Unione”. E’ stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 26 novembre 2019 e impone agli Stati membri il recepimento entro il 17 dicembre 2021.

Le novita’ principali rispetto alla legge 179/2017:

Ambito soggettivo ampliato – L’obbligo di canale whistleblowing si applica a:

• Tutte le aziende del settore privato con piu’ di 50 dipendenti
• Tutti i comuni con piu’ di 10.000 abitanti
• Tutte le entita’ del settore pubblico
• Indipendentemente dall’adozione di un modello 231

Ambito oggettivo – Le materie segnalabili includono appalti pubblici, servizi finanziari, prevenzione del riciclaggio, sicurezza dei prodotti, sicurezza dei trasporti, tutela ambientale, salute pubblica, protezione dei consumatori, privacy e protezione dei dati personali, sicurezza delle reti e dei sistemi informativi.

Tre canali obbligatori:

1. Canale interno – Gestito dall’azienda (o da soggetto terzo)
2. Canale esterno – Presso un’autorita’ competente (in Italia sara’ ANAC)
3. Divulgazione pubblica – Stampa o social, ammessa solo come ultima ratio

Tempi di gestione – L’azienda deve dare un avviso di ricevimento entro 7 giorni e fornire un riscontro al segnalante entro 3 mesi.

Tutela rafforzata – Inversione dell’onere della prova: se il lavoratore subisce un atto pregiudizievole dopo una segnalazione, si presume che sia ritorsione, salvo prova contraria del datore di lavoro.

Per il testo ufficiale, consulta la Direttiva (UE) 2019/1937 su EUR-Lex.

Stato del recepimento italiano (aprile 2021): il governo ha avviato i lavori preparatori ma non e’ stato ancora pubblicato un decreto legislativo di recepimento. La scadenza del 17 dicembre 2021 e’ molto vicina e si attende un intervento nei prossimi mesi.

Chi e’ obbligato a istituire un canale di segnalazione

Combinando legge 179/2017 (in vigore) e Direttiva UE 2019/1937 (in recepimento), nel 2021 e’ opportuno distinguere tre categorie di imprese:

Categoria A – Obbligo gia’ attivo (legge 179/2017):

• Societa’ che hanno adottato un modello di organizzazione 231 (anche di piccole dimensioni)
• Societa’ partecipate dalle pubbliche amministrazioni
• Pubbliche amministrazioni

Categoria B – Obbligo dal 17 dicembre 2021 (Direttiva UE):

• Aziende private con 50-249 dipendenti
• Aziende private con piu’ di 250 dipendenti
• Comuni con piu’ di 10.000 abitanti

Categoria C – Obbligo posticipato:

• Aziende con 50-249 dipendenti possono ottenere proroga al 17 dicembre 2023 (la Direttiva concede flessibilita’ agli Stati membri)

Per le PMI italiane sotto i 50 dipendenti l’adozione di un canale whistleblowing rimane volontaria, ma fortemente consigliata: e’ un elemento qualificante per chi partecipa a gare pubbliche, lavora con grandi aziende come fornitore o opera in settori regolamentati (banche, assicurazioni, sanita’).

Come deve funzionare un canale whistleblowing efficace

Un canale whistleblowing aziendale conforme deve rispondere a sette requisiti minimi:

1. Riservatezza dell’identita’ del segnalante – Solo il responsabile della gestione segnalazioni puo’ conoscere l’identita’, salvo consenso espresso del segnalante o obbligo di rivelarla all’autorita’ giudiziaria.

2. Multicanale – L’azienda deve mettere a disposizione almeno due modalita’ di segnalazione: piattaforma online dedicata, posta cartacea con busta sigillata, incontro in presenza, telefono dedicato.

3. Tracciabilita’ e log – Ogni accesso e modifica deve essere registrato in log immodificabili. Vietato cancellare evidenze.

4. Crittografia – I dati delle segnalazioni devono essere cifrati at-rest e in-transit. La chiave di decifratura deve essere custodita separatamente.

5. Tempi certi – Avviso di ricevimento entro 7 giorni, riscontro entro 3 mesi (Direttiva UE).

6. Indipendenza del gestore – Chi gestisce le segnalazioni non deve avere conflitti di interesse. Le funzioni piu’ indicate: OdV (per societa’ 231), ufficio interno audit, compliance officer, soggetto terzo esterno.

7. Conformita’ GDPR – Il trattamento dei dati personali del segnalante e dell’eventuale segnalato deve rispettare il Regolamento (UE) 2016/679. E’ opportuno richiamare la compliance GDPR nella documentazione della procedura whistleblowing.

Per approfondire la gestione tecnica dei permessi e dei log accessi vedi la nostra guida sulla gestione utenti e permessi nei sistemi informativi aziendali.

Anonimato vs riservatezza vs protezione segnalante

Tre concetti spesso confusi che vanno distinti con precisione:

Riservatezza – L’azienda conosce l’identita’ del segnalante ma la protegge. E’ lo standard minimo richiesto dalla legge 179/2017 e dalla Direttiva UE. Chi segnala fornisce nome e cognome al gestore, che custodisce l’informazione separatamente dal contenuto della segnalazione.

Anonimato – L’azienda non conosce l’identita’ del segnalante. Il canale segnalazioni anonime e’ permesso ma non obbligatorio: la Direttiva UE lascia agli Stati membri la facolta’ di decidere se trattare le segnalazioni anonime. La giurisprudenza italiana ammette le segnalazioni anonime se circostanziate e supportate da elementi probatori.

Protezione del segnalante – E’ il complesso di garanzie giuridiche: divieto di licenziamento ritorsivo, divieto di demansionamento, di trasferimento, di mancato rinnovo contratto, di valutazioni negative immotivate, di azioni disciplinari pretestuose.

L’errore piu’ grave: confondere anonimato con sicurezza. Una piattaforma puo’ essere anonima ma insicura (logga IP, salva metadata, condivide con il cloud provider). La sicurezza tecnica del canale deve essere progettata indipendentemente dalla scelta tra anonimato e riservatezza.

Le 6 piattaforme software 2021 (WhistleB, NavexGlobal, Convercent, OpenLBOX, Whispli, GovernAce)

Il mercato dei software whistleblowing nel 2021 e’ dominato da soluzioni cloud SaaS. Ecco le sei piattaforme piu’ utilizzate in Europa con focus su PMI italiane:

1. WhistleB (Svezia) – Acquisita da NAVEX Global nel 2019, e’ una delle soluzioni piu’ diffuse in Europa. Multilingua (oltre 60 lingue), interfaccia web responsive, app mobile. Comunicazione bidirezionale anonima con il segnalante. Pricing: a partire da circa 1.500 EUR/anno per PMI fino a 250 dipendenti.

2. NAVEX Global EthicsPoint – Soluzione enterprise statunitense. Ricca di funzionalita’ (case management avanzato, dashboard analytics, integrazione SSO con Active Directory). Adatta a multinazionali con oltre 1.000 dipendenti. Pricing su richiesta, fascia premium.

3. Convercent (Stati Uniti) – Acquisita da OneTrust nel 2021. Forte sull’integrazione con i sistemi GRC (Governance, Risk, Compliance). Workflow personalizzabile, scoring del rischio, reportistica board-level. Adatta a societa’ quotate.

4. OpenLBOX (Italia) – Soluzione italiana sviluppata da una software house di Milano. E’ tra le poche piattaforme native in italiano con conformita’ alla legge 179/2017 e linee guida ANAC. Hosting europeo, tariffa annuale a partire da circa 600 EUR/anno per piccole organizzazioni.

5. Whispli (Francia) – Soluzione francese cresciuta rapidamente in Europa. Punto di forza: comunicazione bidirezionale anonima evoluta (whisper messaging) con cifratura end-to-end. Multilingua, supporto a 30+ lingue.

6. GovernAce (Italia) – Piattaforma italiana focalizzata su pubbliche amministrazioni e societa’ partecipate. Conforme alle linee guida ANAC, integrazione con sistemi documentali Halley e Maggioli. Tariffa contenuta per enti locali.

Per le PMI italiane consigliamo di valutare con attenzione i criteri: lingua italiana nativa, hosting in UE (preferibilmente Italia), conformita’ ANAC, integrazione con il proprio gestionale, costo per utente o canone fisso, possibilita’ di custom workflow. Spesso le soluzioni standard non si integrano con i processi aziendali esistenti e richiedono gestionali personalizzati o sviluppi su misura.

Integrazione con modello 231 e codice etico

Il canale whistleblowing non e’ un sistema isolato: deve integrarsi con altri tre strumenti di compliance.

Modello 231 – L’art. 6 del D.Lgs. 231/2001, come modificato dalla legge 179/2017, prevede che il modello di organizzazione contenga obbligatoriamente “uno o piu’ canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrita’ dell’ente, segnalazioni circostanziate di condotte illecite”. L’OdV (Organismo di Vigilanza) e’ di norma il destinatario delle segnalazioni o supervisiona il gestore terzo. Per approfondire vedi anche il nostro articolo sul software per modello 231 nel 2021.

Codice Etico – Deve richiamare esplicitamente il canale whistleblowing, le condotte segnalabili e le tutele del segnalante. Va distribuito a tutti i dipendenti con evidenza di presa visione.

Sistema disciplinare – Deve prevedere sanzioni espresse per chi commette atti ritorsivi e per chi fa segnalazioni temerarie con dolo o colpa grave.

Mappatura dei rischi – L’analisi delle aree a rischio reato 231 deve essere coerente con i temi su cui si invitano segnalazioni. Le procedure di controllo devono prevedere l’attivazione del canale come misura di prevenzione.

L’errore tipico: implementare il canale whistleblowing come adempimento isolato, senza integrarlo nel sistema di controllo interno. In caso di accertamento giudiziale, l’azienda non puo’ invocare l’esimente 231 se il modello e’ solo formale.

Gestione delle segnalazioni: workflow tipico

Un workflow whistleblowing professionale segue 8 fasi:

Fase 1 – Ricezione – La segnalazione arriva tramite il canale (piattaforma, lettera, incontro). Viene assegnato un ID univoco e viene generato l’avviso di ricevimento entro 7 giorni.

Fase 2 – Triage – Il gestore valuta se la segnalazione rientra nell’ambito (manifestamente infondata? fuori scope? gia’ nota?). Le segnalazioni manifestamente infondate vengono archiviate con motivazione.

Fase 3 – Approfondimento – Se la segnalazione e’ fondata, parte un’istruttoria: raccolta documenti, interviste, riscontri oggettivi. La fase puo’ richiedere il supporto di legali esterni o consulenti tecnici.

Fase 4 – Comunicazione al segnalante – Il gestore mantiene il canale aperto: il segnalante puo’ fornire elementi aggiuntivi o ricevere richieste di chiarimenti.

Fase 5 – Decisione – Al termine dell’istruttoria si decidono le azioni: archiviazione, denuncia all’autorita’ giudiziaria, attivazione di procedure disciplinari, segnalazione al CdA per modifiche organizzative.

Fase 6 – Esecuzione – Le azioni decise vengono attuate. Le tempistiche e i responsabili sono tracciati nel sistema.

Fase 7 – Riscontro – Entro 3 mesi dall’avviso di ricevimento, il segnalante riceve un riscontro sull’esito (compatibilmente con il segreto istruttorio).

Fase 8 – Reporting periodico – L’OdV o il compliance officer presenta al CdA un report semestrale anonimizzato sulle segnalazioni ricevute, le azioni intraprese e le criticita’ emerse.

Il workflow va supportato da soluzioni cloud sicure con cifratura end-to-end e log immodificabili.

Sanzioni per ritorsioni e mancata adozione

Il sistema sanzionatorio della legge 179/2017 prevede, in caso di ritorsione, la nullita’ degli atti adottati e il reintegro del lavoratore. ANAC ha competenza sulle sanzioni amministrative nelle societa’ partecipate: da 5.000 a 30.000 euro per chi commette ritorsioni, da 10.000 a 50.000 euro per il responsabile della prevenzione corruzione che non avvia istruttoria.

La Direttiva UE 2019/1937 imporra’ sanzioni “effettive, proporzionate e dissuasive”. Si attendono dal recepimento italiano sanzioni piu’ robuste, allineate alla disciplina antitrust o GDPR.

Le conseguenze indirette sono anche piu’ rilevanti delle sanzioni dirette:

• Esclusione da gare pubbliche per certificazioni mancanti
• Perdita di rating ESG da parte di banche e investitori
• Risarcimento danni da reato 231 (sanzioni interdittive: divieto di contrarre con la PA, sospensione di autorizzazioni e licenze)
• Danno reputazionale in caso di scandalo pubblico

Per il dipendente che effettua segnalazioni con dolo, calunnie o false accuse, la legge 179/2017 prevede invece la decadenza dalle tutele e l’avvio di procedimenti disciplinari e penali.

Le linee guida operative ANAC sono disponibili sul sito ufficiale dell’Autorita’ Nazionale Anticorruzione.

Errori frequenti delle PMI italiane

Dall’analisi di decine di implementazioni whistleblowing in PMI italiane emergono ricorrenti errori da evitare:

1. Email generica come “canale” – Mettere un indirizzo whistleblowing@azienda.it letto dall’HR non e’ un canale conforme. Manca riservatezza, anonimato, tracciabilita’, cifratura.

2. Modulo PDF da inviare al CdA – Il CdA non e’ un soggetto indipendente: in un’azienda familiare il segnalato puo’ essere proprio un membro del CdA.

3. Canale “promosso ma non usato” – Cartelloni in bacheca ma nessuna formazione, niente integrazione nei contratti, niente promemoria periodici. Risultato: canale inattivo, esimente 231 non applicabile.

4. Mancata distinzione tra reclami clienti e whistleblowing – Mescolare il customer care con le segnalazioni illeciti e’ un errore grave: le esigenze di gestione, riservatezza e tempi sono diverse.

5. Assenza di formazione – I dipendenti non sanno cosa segnalare ne’ come. La Direttiva UE imporra’ formazione documentata.

6. Sottovalutazione dei costi – Una piattaforma SaaS costa 600-3.000 EUR/anno. Un caso giudiziale 231 puo’ costare centinaia di migliaia di euro tra avvocati, consulenti, sanzioni e danni reputazionali.

7. Dimenticare il GDPR – I dati del segnalante e del segnalato sono dati personali. Manca quasi sempre l’informativa privacy specifica, la registrazione nel registro dei trattamenti, il DPIA.

8. Nessuna integrazione con il gestionale – Il workflow whistleblowing vive in un silo. Le evidenze non sono accessibili per audit o ispezioni. Una soluzione integrata con l’ERP aziendale, magari con audit log condivisi, riduce significativamente questi rischi.

Domande frequenti

Una PMI con 30 dipendenti e’ obbligata a istituire un canale whistleblowing?
Nel 2021 no, salvo che abbia adottato un modello 231. Anche con il recepimento della Direttiva UE 2019/1937, la soglia rimarra’ a 50 dipendenti. Tuttavia molte gare pubbliche e contratti con grandi aziende richiedono il canale come requisito di qualifica fornitore.

Posso usare WhatsApp aziendale come canale di segnalazione?
No. WhatsApp non garantisce riservatezza dell’identita’ (il numero e’ visibile), non ha log immodificabili, condivide metadata con piattaforme terze. Non e’ uno strumento conforme.

Devo accettare segnalazioni anonime?
La legge italiana ammette le segnalazioni anonime se circostanziate. La Direttiva UE lascia la scelta agli Stati membri. Best practice: accettarle ma valutarle con maggiore prudenza, dando priorita’ alle evidenze documentali rispetto alle dichiarazioni.

Chi gestisce le segnalazioni nell’OdV?
L’OdV puo’ gestire direttamente o delegare a un suo membro o a un soggetto terzo (studio legale, societa’ di compliance). Il gestore deve essere indipendente rispetto agli organi di gestione e privo di conflitti di interesse.

Quanto durano i dati delle segnalazioni?
La data retention deve essere proporzionata. Indicativamente: 5 anni dalla chiusura del caso per segnalazioni fondate, 1 anno per archiviazioni semplici. Va specificata nell’informativa privacy.

Il datore di lavoro puo’ chiedere al segnalante di rivelare le sue fonti?
No. Il segnalante non e’ tenuto a rivelare ne’ fonti ne’ modalita’ di acquisizione delle informazioni, salvo richiesta dell’autorita’ giudiziaria.

Cosa succede se la segnalazione si rivela falsa?
Se la segnalazione e’ fatta in buona fede ma si rivela infondata, il segnalante mantiene la tutela. Se e’ fatta con dolo o colpa grave, decadono le tutele e si avvia procedimento disciplinare. Calunnia e diffamazione restano perseguibili penalmente.

Per altri temi di compliance integrata vedi anche la guida GDPR aziendale per PMI 2021, parte del nostro silo Compliance & Normative.