Società

Whistleblowing e indagini interne, procedure ancora in cerca di definizione

Il Decreto non fornisce indicazione selle modalità concrete per dare “diligente seguito” alla segnalazione, ma lo Standard ISO 37008 può rappresentare un valido supporto

Whistleblower identity concept and whistle blower symbol representing a person in government and society or a company exposing corruption and bribery as a red whistle shaped as a human head in a 3D illustration style.

di Maria Hilda Schettino, Kiara Emma Leone*

Il D. Lgs. 10 marzo 2023 n. 24 (o “ Decreto Whistleblowing ” o “Decreto”), attuativo della Direttiva UE 2019/1937, ha rappresentato un significativo passo in avanti nella disciplina del whistleblowing in Italia e, di conseguenza, nella lotta alla criminalità d’impresa. 

Come noto, il whistleblowing è quel fondamentale strumento volto a far emergere condotte illecite e violazioni organizzative a tutela dell’interesse pubblico e dell’integrità dell’ente al cui interno si sono verificate. L’adozione di efficaci sistemi di segnalazione interna – oltre ad essere oramai un adempimento obbligatorio sia per gli enti pubblici che per la maggior parte degli enti privati italiani –, è un mezzo indispensabile per rafforzare il sistema di controllo interno volto a prevenire e gestire i crescenti rischi derivanti dall’attività di impresa.

Le segnalazioni whistleblowing, infatti, consentono all’ente di assumere immediatamente iniziative volte alla verifica e all’accertamento di situazioni illecite o comunque problematiche verificatesi – o che si stiano per verificare – al suo interno, per poter adottare tempestivamente misure di rimedio, di miglioramento o anche sanzionatorie, riducendo, così, la propria esposizione al rischio.

I sistemi di whistleblowing costituiscono, quindi, una delle principali fonti di innesco delle c.d. indagini interne. Per tali, in particolare, si intendono tutte quelle attività di approfondimento condotte dall’ente nell’ambito della propria organizzazione con lo scopo di verificare notizie riguardanti possibili violazioni di leggi o di regolamenti aziendali e, più in generale, di accertare – e quando possibile, prevenire – fatti che possano compromettere l’ente o i suoi dipendenti, e da cui potrebbero scaturire responsabilità civili, amministrative o penali.

In quest’ottica, le indagini interne sono quindi anche utili a garantire all’ente la possibilità di predisporre una adeguata strategia difensiva (soprattutto in caso di responsabilità ex D. Lgs. 231/2001), e porre tempestivamente in essere eventuali condotte riparatorie che, anche sotto il profilo reputazionale, possono allontanare l’idea che l’ente abbia tratto dei vantaggi dall’illecito commesso.

Ciononostante, il nostro ordinamento non prevede una disciplina organica e generale delle indagini interne, fatta eccezione per il caso specifico delle c.d. investigazioni difensive che vengono svolte da un avvocato difensore, munito di apposito mandato per ricercare ed individuare (anche in via preventiva) elementi di prova a favore del proprio assistito, nell’ambito o in vista di un procedimento penale, regolamentate dagli artt. 327bis e 391bis ss.c.p.p.

In questo senso, si osserva che neppure il Decreto Whistleblowing è riuscito a colmare tale lacuna normativa. L’ art. 5 del Decreto , infatti, dispone solo che “Nell’ambito della gestione del canale di segnalazione interna, la persona o l’ufficio interno ovvero il soggetto esterno, ai quali è affidata la gestione del canale di segnalazione interna svolgono le seguenti attività:

a) rilasciano alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;

b) mantengono le interlocuzioni con la persona segnalante e possono richiedere a quest’ultima, se necessario, integrazioni;

c) danno diligente seguito alle segnalazioni ricevute;

d) forniscono riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza […]”.

Il Decreto, quindi, si limita essenzialmente a fornire delle direttive minime circa le tempistiche di riscontro al segnalante e ad indicare alcune attività di approfondimento da effettuare, senza specificare le modalità concrete attraverso cui possa essere dato quel diligente seguito” alla segnalazione, espressamente richiesto dal Legislatore.

Di conseguenza spetta ai singoli enti definire con chiarezza e trasparenza la procedura da adottare per prendere in carico, analizzare e valutare le segnalazioni.

A tal riguardo, occorre fare riferimento alle best practices che si sono formate nel tempo in relazione alla disciplina delle indagini interne, tenendo tuttavia presenti i vincoli imposti dal diritto italiano soprattutto in materia di diritto del lavoro, protezione dei dati personali e processuale penale.

Più di recente, un utile supporto nella regolamentazione dello svolgimento delle indagini interne è poi stato fornito dallo Standard ISO 37008 – “ Internal Investigations of Organizations – Guidance ”, pubblicato a luglio 2023 e consistente in una guida per la conduzione di indagini interne in qualsiasi organizzazione, indipendentemente dalla sua dimensione o dal settore di riferimento.

La ISO 37008 definisce espressamente le  internal investigations come “ an integral part of organizational management ”, confermando la loro importanza per mantenere efficiente un sistema di compliance.

Secondo questa Guidance, l’indagine interna è un processo professionale di accertamento dei fatti, avviato da o per un’organizzazione, per accertare fatti in relazione a presunti o sospetti illeciti, cattive condotte o non conformità (come corruzione, frodi, molestie, violenze o atti di discriminazione) e consente di:

• prendere decisioni informate nel caso in cui leggi, regolamenti, codici di settore, politiche interne, procedure, processi, policy di compliance aziendale e/o valori e principi etici dell’organizzazione siano stati violati;

• comprendere le cause di tali violazioni;

• determinare se un’accusa o una preoccupazione sia fondata o infondata;

• valutare la perdita finanziaria di un’organizzazione;

• attenuare la responsabilità dell’organizzazione e/o del suo management;

• porre in essere e attuare le misure di mitigazione necessarie per evitare che si verifichino comportamenti simili;

• rafforzare la cultura della compliance e dell’etica dell’organizzazione;

• effettuare segnalazioni esterne alle autorità competenti (forze dell’ordine, organi giudiziari, regolatori o altri organismi prescritti dalla legge o dai regolamenti) o alle parti interessate quando necessario;

• prendere decisioni in merito alle sanzioni nei confronti del management e/o dei dipendenti e al divieto di collaborare con terzi coinvolti in comportamenti non etici.

Senza pretesa di esaustività, la Norma ISO 37008 persegue il meritorio obiettivo di fornire criteri e linee guida per aiutare le organizzazioni a condurre correttamente le indagini interne, riflettendo le migliori pratiche e metodologie utilizzate per condurre le indagini interne in conformità ai principi di indipendenza, riservatezza, competenza e professionalità, obiettività e imparzialità, e legalità.

Vengono, infatti, date indicazioni dettagliate sul processo da seguire e gli accorgimenti da tenere in considerazione nel corso dell’intero processo investigativo, che viene suddiviso in tre macro-fasi : pre-investigativa, investigativa vera e propria, post-investigativa.

Nello specifico:

  • 1. la fase pre-investigativa (c.d. “preliminary assessment”) è quella relativa alle questioni preparatorie necessarie per un’indagine efficace, e si sostanzia in una preliminare valutazione circa la serietà e credibilità delle accuse, la determinazione dell’ambito dell’indagine e del relativo piano di azione;
  • 2. la fase investigativa vera e propria comprende le migliori pratiche che i soggetti deputati allo svolgimento delle investigations possono mettere in atto per raccogliere la documentazione e le informazioni necessarie, anche tramite lo svolgimento di interviste, naturalmente nel pieno rispetto della privacy di tutti i soggetti coinvolti e mantenendo riservata tutta la documentazione acquisita;
  • 3. la fase post-investigativa riguarda il reporting sulle attività svolte e la proposizione di adeguate misure correttive da implementare sulla base dei risultati dell’indagine, per ridurre al minimo l’impatto delle violazioni e migliorare i controlli interni, ponendo rimedio alle violazioni che avevano dato origine all’indagine stessa (c.d. “ remediation plan ”).

In definitiva, pur non fornendo prescrizioni cogenti, il nuovo Standard ISO 37008 può senz’altro essere utilizzato quale valida guida da seguire nella gestione e nell’approfondimento delle segnalazioni interne in conformità al Decreto Whistleblowing.

______

*A cura dell’Avv. Maria Hilda Schettino, Dott.ssa Kiara Emma Leone, Rödl & Partner

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più
Per saperne di piùRiproduzione riservata ©

Gli ultimi contenuti di Società