Il 17 dicembre 2021, una dipendente di un grande gruppo bancario italiano ha segnalato attraverso il canale interno alcune irregolarità nella gestione di certi prodotti finanziari. Quattro mesi dopo, è stata trasferita con mansioni ridotte. La sua segnalazione era rimasta senza risposta. Questo caso — anonimizzato ma reale — rappresenta esattamente il tipo di fallimento che la normativa italiana e la ISO 37002 vogliono prevenire: non solo la mancanza di un canale, ma la mancanza di un sistema che funzioni davvero.
Cos'è ISO 37002 e il contesto normativo europeo (Direttiva 2019/1937)
La ISO 37002:2021 — Whistleblowing management systems — Guidelines — è lo standard internazionale che fornisce linee guida per l'implementazione, il mantenimento e il miglioramento di un sistema di gestione del whistleblowing. Non è (ancora) uno standard certificabile: fornisce linee guida, non requisiti formali. È tuttavia il riferimento internazionale riconosciuto per chi vuole costruire un sistema che vada oltre il minimo legale.
La norma si basa su quattro principi fondamentali:
- Fiducia: le persone devono fidarsi del sistema per utilizzarlo. La fiducia si costruisce attraverso la trasparenza sulle procedure e la protezione effettiva dei segnalanti.
- Imparzialità: le segnalazioni devono essere gestite obiettivamente, senza che interessi personali o gerarchici influenzino il processo.
- Protezione: i segnalanti devono essere protetti da qualsiasi forma di ritorsione, diretta o indiretta.
- Sostenibilità: il sistema deve essere mantenuto e migliorato nel tempo, non solo implementato una volta e dimenticato.
Il contesto normativo europeo è la Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell'Unione, recepita in Italia con il D.Lgs. 24/2023. La ISO 37002 è la risposta dello standard internazionale a questo contesto: fornisce il metodo per costruire un sistema che soddisfi i requisiti legali e li superi.
D.Lgs. 24/2023: l'obbligo di canali di segnalazione in Italia
Il Decreto Legislativo 10 marzo 2023, n. 24 ha recepito la Direttiva UE 2019/1937. Non è soft law: è un obbligo legale con sanzioni concrete, amministrato dall'ANAC (Autorità Nazionale Anticorruzione).
Chi è obbligato? Il decreto distingue in base alla dimensione:
- Settore privato con 250 o più dipendenti: obbligo di attivare il canale interno in vigore dal 17 dicembre 2023.
- Settore privato con 50-249 dipendenti: obbligo decorrente dalla stessa data, dopo proroga concessa dalla Commissione Europea.
- Settore privato con meno di 50 dipendenti: non obbligati al canale interno, salvo che svolgano attività specifiche (servizi finanziari, prevenzione del riciclaggio, sicurezza dei trasporti) in cui l'obbligo si applica indipendentemente dalla dimensione.
- Settore pubblico: tutti obbligati, indipendentemente dalla dimensione.
Le violazioni segnalabili coprono un ambito ampio: violazioni del diritto UE in settori specifici (appalti, servizi finanziari, tutela dell'ambiente, sicurezza alimentare, protezione dei dati, concorrenza, salute pubblica), ma anche violazioni del diritto nazionale e atti pregiudizievoli per gli interessi finanziari dell'UE.
Le sanzioni ANAC vanno da 10.000 a 50.000 euro per mancata attivazione del canale, ostruzione alle segnalazioni o ritorsioni sui segnalanti. Ma il rischio reputazionale può essere molto più costoso.
Requisiti ISO 37002: ricezione, valutazione, gestione, chiusura delle segnalazioni
Un canale senza un processo strutturato di gestione è inutile — e potenzialmente pericoloso, perché crea false aspettative nei segnalanti. Il processo deve essere chiaro, documentato e rispettato con rigore.
Ricezione e accuso di ricevuta. L'organizzazione deve rilasciare avviso di ricevimento entro 7 giorni dalla ricezione. Il mancato rispetto è una violazione del decreto. Il sistema deve garantire che ogni segnalazione generi automaticamente un avviso.
Valutazione iniziale. La valutazione classifica la segnalazione in: ammissibile e rilevante (si apre l'indagine); non di competenza del canale (si reindirizza con comunicazione al segnalante); manifestamente infondata o in malafede (si archivia con motivazione documentata).
Indagine. Deve essere condotta in modo riservato, imparziale e proporzionato alla gravità. La ISO 37002 raccomanda di distinguere tra indagini preliminari e indagini complete. Devono rispettare i diritti delle persone segnalate ed essere documentate in modo verificabile.
Conclusione e feedback. Al termine: la segnalazione è fondata e si adottano misure correttive (azioni disciplinari, modifiche di processo, segnalazioni alle autorità), oppure non lo è e si archivia. Il decreto prevede obbligo di riscontro al segnalante entro 3 mesi dall'avviso di ricevimento.
La progettazione del canale richiede di bilanciare riservatezza, accessibilità e tracciabilità. La riservatezza protegge l'identità del segnalante da accessi non autorizzati. Il decreto prevede che anche le segnalazioni anonime debbano essere gestite se contengono elementi di fatto precisi. Il canale deve essere accessibile a collaboratori, fornitori, agenti e azionisti, con modalità alternative per chi non ha familiarità con le piattaforme digitali.
Per l'indipendenza del canale, il decreto richiede che sia gestito da una persona o ufficio dotato di autonomia: audit interno o compliance con reporting diretto al CDA, provider esterno specializzato, o funzione centralizzata a livello di holding.
Protezione del segnalante e riservatezza
La protezione del segnalante è il cuore della normativa — e il punto su cui molte organizzazioni faticano di più, perché richiede un cambiamento culturale autentico, non solo una modifica procedurale.
Divieto di ritorsione. Sono vietate tutte le forme di ritorsione: licenziamento, sospensione, demansionamento, trasferimento non consensuale, modifica dell'orario, note negative, misure disciplinari, ostracismo. L'elenco normativo è ampio perché le ritorsioni possono essere sottili e indirette.
Inversione dell'onere della prova. Se il segnalante subisce una misura pregiudizievole dopo la segnalazione, si presume che sia una ritorsione. È l'organizzazione a dover dimostrare che la misura era giustificata da ragioni indipendenti dalla segnalazione.
Protezione della riservatezza. L'identità del segnalante non può essere rivelata senza consenso. Nei procedimenti disciplinari a carico del segnalato, serve il consenso esplicito del segnalante prima di rivelare la sua identità.
La condizione per accedere alle protezioni è che il segnalante avesse ragionevole motivo di ritenere che le informazioni fossero vere. Non è necessario che la segnalazione si riveli fon basta la buona fede. Questo deve essere comunicato chiaramente in tutti i materiali di formazione.
Integrazione con ISO 37001 (anticorruzione) e ISO 37301 (compliance)
Il sistema di whistleblowing non dovrebbe essere un silo isolato: per funzionare al meglio deve integrarsi con gli altri sistemi di governance e compliance dell'organizzazione.
La relazione con la ISO 37001 (prevenzione della corruzione) è particolarmente stretta. Molte segnalazioni riguardano potenziali episodi di corruzione o conflitti di interesse. Un sistema anti-bribery conforme alla ISO 37001 comprende già meccanismi di segnalazione interna, coordinabili con il canale di whistleblowing per evitare sovrapposizioni. L'integrazione consente di condividere risorse: il responsabile compliance anticorruzione può gestire anche le segnalazioni, con le opportune cautele di indipendenza.
La relazione con la ISO 37301 (compliance) è fondamentale: la norma richiede esplicitamente meccanismi per la segnalazione di preoccupazioni relative alla compliance, e il sistema di whistleblowing è il principale. L'integrazione consolida il reporting al vertice aziendale.
Un collegamento rilevante riguarda il Modello 231 (D.Lgs. 231/2001): l'OdV deve disporre di un canale per le violazioni del Modello. In molte organizzazioni ha senso integrarlo con il sistema del D.Lgs. 24/2023, senza duplicare infrastrutture e processi.
Sul fronte tecnologico, le piattaforme garantiscono: canale bidirezionale sicuro per segnalazioni anonime, cifratura end-to-end, gestione del workflow con tracciabilità, controllo degli accessi e reportistica conforme al GDPR. Un consiglio pratico: testa regolarmente il canale con segnalazioni di prova — ho visto casi in cui la piattaforma era attivata ma i messaggi non arrivavano al gestore per mesi senza che nessuno se ne accorgesse.
FAQ
Un'azienda con 40 dipendenti deve attivare il canale? In linea generale no, salvo che operi in settori specifici come servizi finanziari o prevenzione del riciclaggio. È sempre opportuno verificare con un consulente legale. Anche se non obbligato, attivare volontariamente un canale può essere una scelta strategica per costruire una cultura dell'integrità.
Cosa succede se la segnalazione si rivela infondata? Se il segnalante ha agito in buona fede, credendo ragionevolmente che le informazioni fossero vere, mantiene tutte le protezioni previste dal decreto anche se la segnalazione si rivela infondata. Solo le segnalazioni in malafede consapevole non godono di protezione.
Il canale esterno ANAC quando si usa? Il segnalante può utilizzare il canale esterno dell'ANAC in alternativa al canale interno, oppure dopo averlo tentato senza esito. Non è obbligatorio passare prima dal canale interno: è una scelta del segnalante.
Come si forma il personale sul whistleblowing? La formazione deve includere: cosa può essere segnalato, come funziona il canale, quali protezioni esistono, cosa fare se si subisce una ritorsione. Deve essere differenziata: una versione base per tutti i dipendenti, una più approfondita per chi gestisce le segnalazioni.
Con quale periodicità aggiornare il sistema? Almeno una volta all'anno, o in occasione di cambiamenti normativi, modifiche organizzative significative o dopo incidenti che abbiano evidenziato criticità nel processo. Il riesame annuale deve analizzare le segnalazioni ricevute in forma aggregata e anonimizzata e identificare miglioramenti.
Le organizzazioni che prendono il whistleblowing sul serio non sono quelle che temono le segnalazioni: sono quelle abbastanza mature da voler sapere quando qualcosa non va, per poterlo correggere prima che diventi uno scandalo pubblico.