Indagini Interne e Governance: la forza della ISO 37008

Indagini Interne e Governance: la forza della ISO 37008

16 maggio 2025

di Alessandro FOTI

La Guida Operativa per le indagini interne nelle organizzazioni: la norma UNI ISO 37008:2023

Nel contesto dell’evoluzione delle pratiche di governance e compliance, la pubblicazione della norma UNI ISO 37008:2023 segna un passo significativo nella strutturazione delle indagini interne alle organizzazioni.

Questa guida tecnica internazionale, frutto del lavoro dell’ISO/TC 309 e dell’organo tecnico UNI “Governance delle organizzazioni”, introduce un quadro metodologico rigoroso per la conduzione professionale delle indagini, volto a tutelare l’etica, l’integrità e la responsabilità all’interno delle organizzazioni pubbliche e private.

La UNI ISO 37008:2023, intitolata “Indagini interne alle organizzazioni – Guida”, rappresenta una delle più recenti evoluzioni normative nell’ambito della compliance aziendale. 

Obiettivi e principi ispiratori

La norma ha l’obiettivo di supportare le organizzazioni nell’accertamento dei fatti in caso di sospetti illeciti, violazioni normative o non conformità, al fine di accertare fatti e responsabilità, supportare decisioni basate su evidenze e prevenire il ripetersi di condotte scorrette, mediante un processo investigativo basato su sei principi chiave:

  • Indipendenza: l’indagine deve essere libera da influenze e condizionamenti.
  • Riservatezza: protezione delle informazioni e tutela delle fonti.
  • Competenza e professionalità: le indagini devono essere svolte da personale qualificato.
  • Obiettività e imparzialità: evitare pregiudizi e conflitti d’interesse.
  • Legalità e legittimità: rispetto delle norme e dei diritti delle persone coinvolte.

L’indagine non è solo uno strumento reattivo, ma si configura come leva preventiva e proattiva per il miglioramento continuo dei sistemi di gestione.

Implicazioni pratiche per le organizzazioni

L’applicazione della ISO 37008 consente di:

  • Strutturare un processo investigativo sistematico e documentato;
  • Assicurare la raccolta e conservazione delle prove;
  • Definire ruoli, responsabilità e flussi informativi;
  • Mantenere l’allineamento con le politiche di whistleblowing;
  • Agire tempestivamente a tutela dell’organizzazione.
  • Individuare tempestivamente violazioni o comportamenti non etici;
  • Migliorare i processi decisionali in ambito disciplinare, gestionale e legale;
  • Ridurre l’esposizione a responsabilità civili, penali e reputazionali;
  • Integrare le indagini in un sistema più ampio di risk management e compliance;
  • Formalizzare un processo uniforme e trasparente di raccolta, analisi e archiviazione delle prove.

Tra gli elementi operativi centrali troviamo: la pianificazione strutturata delle indagini; la nomina del Team investigativo multidisciplinare, in funzione dell’oggetto dell’investigazione; l’adozione di misure di sicurezza per la protezione delle prove e delle persone coinvolte; la documentazione accurata delle interviste e la predisposizione di un rapporto conclusivo.

L’introduzione della norma comporta molteplici vantaggi:

  • Rafforzamento della cultura della legalità e dell’etica;
  • Riduzione del rischio reputazionale e legale;
  • Miglioramento della governance e della trasparenza;
  • Incremento della fiducia da parte di stakeholder interni ed esterni;
  • Integrazione con altri sistemi di gestione (ISO 37301, ISO 37001, ISO 37002).

Rafforzamento della cultura della legalità e dell’accountability delle organizzazioni

L’introduzione della norma consente di diffondere una cultura della legalità, rafforzando la fiducia dei dipendenti, delle autorità e delle altre parti interessate. Il processo investigativo descritto dalla ISO 37008 non è solo uno strumento per la gestione delle crisi, ma diventa parte integrante della governance aziendale e un moltiplicatore di accountability. L’utilizzo della norma, inoltre, valorizza le funzioni di compliance e internal audit, che trovano un riferimento formale per operare in maniera efficace e riconoscibile.

Indagini ex D.Lgs. 231/2001: rafforzamento dei modelli organizzativi

Nel contesto del D.Lgs. 231/2001, che introduce la responsabilità amministrativa degli enti, la norma ISO 37008 rappresenta un supporto fondamentale per garantire l’efficacia dei Modelli di Organizzazione, Gestione e Controllo. Le indagini svolte secondo i criteri ISO possono costituire un elemento di prova della diligenza dell’ente, dimostrando che ha agito in modo adeguato e tempestivo per prevenire o gestire reati presupposto. L’adozione di processi investigativi formalizzati può inoltre rafforzare il ruolo dell’Organismo di Vigilanza, favorendo una gestione più consapevole e trasparente delle segnalazioni e delle attività di auditing.

Dal punto di vista giuridico, l’adozione della norma ISO 37008 può rafforzare concretamente la posizione dell’ente nelle ipotesi di responsabilità ex D.Lgs. 231/2001. La giurisprudenza italiana tende a valutare positivamente l’adozione di protocolli organizzativi e strumenti di controllo che evidenzino un comportamento diligente e proattivo nella prevenzione dei reati. In particolare, la documentazione dell’attività investigativa condotta secondo ISO 37008 consente di dimostrare:

  1. La tempestività dell’azione intrapresa;
  2. La trasparenza e l’imparzialità della gestione delle segnalazioni;
  3. Il rispetto del principio di proporzionalità nelle misure correttive;
  4. Il coinvolgimento attivo dell’OdV e della funzione compliance.

Tali elementi possono essere determinanti nel giudizio di idoneità del modello 231 da parte del giudice, incidendo sull’esito processuale in caso di contestazione di illecito.

Whistleblowing: protezione e valorizzazione delle segnalazioni

La norma si integra perfettamente con i requisiti della UNI ISO 37002:2021 (“Sistemi di gestione per il whistleblowing – Linee guida”) e con le recenti normative sul whistleblowing, offrendo strumenti per gestire in modo strutturato le segnalazioni. La protezione dell’identità del segnalante, la gestione riservata delle informazioni e l’adozione di misure anti-ritorsione rappresentano punti di forza dell’approccio ISO 37008. Le organizzazioni possono così garantire una risposta efficace alle segnalazioni e, al contempo, promuovere un ambiente lavorativo sicuro, in cui i dipendenti si sentano incoraggiati a denunciare comportamenti scorretti.

Privacy e Protezione dei dati nelle indagini

Uno dei temi più delicati affrontati dalla norma riguarda il trattamento delle informazioni sensibili e la tutela della privacy. La norma prevede che l’accesso ai dati sia limitato alla sola “esigenza di conoscere”, e che ogni attività investigativa sia svolta nel rispetto delle normative in materia di protezione dei dati personali. È essenziale, in questo senso, l’integrazione con il GDPR e con le policy aziendali di data protection, al fine di evitare violazioni che possano compromettere la legittimità delle indagini e l’integrità delle prove.

Applicazione pratica: il caso di un’azienda del settore logistico

Un’importante società di logistica internazionale riceve una segnalazione interna tramite canale whistleblowing circa sospetti episodi di corruzione legati a contratti di subappalto in un centro operativo estero. L’organismo di vigilanza, in accordo con la funzione compliance, decide di attivare un’indagine interna secondo le linee guida della ISO 37008.

Le fasi salienti per la conduzione delle indagini sono state:

  1. Nomina della squadra investigativa: sono stati selezionati esperti legali, revisori e personale con competenze forensi digitali.
  2. Pianificazione: è stato elaborato un piano di indagine con obiettivi, ambito e strumenti da utilizzare.
  3. Conservazione delle prove: sono stati bloccati gli accessi IT e messi in sicurezza i dispositivi degli indagati.
  4. Interviste: sono state condotte con metodo e nel rispetto della riservatezza, coinvolgendo testimoni e personale chiave.
  5. Analisi delle evidenze: è stata fatta una verifica documentale e digitale dei flussi di pagamento, contratti e corrispondenze.
  6. Rapporto finale: è stato redatto il report che documenta le violazioni accertate, le criticità di sistema e le raccomandazioni.
  7. Misure correttive: sono stati sospesi i contratti coinvolti, adeguamento delle policy e formazione del personale.

Il rispetto delle linee guida ha consentito all’organizzazione di agire con tempestività, trasparenza e proporzionalità, prevenendo escalation legali e proteggendo la reputazione aziendale.

Applicazione pratica: il caso di una struttura sanitaria

In una grande struttura sanitaria privata, emerge un’anomalia nei processi di fatturazione per prestazioni sanitarie rimborsate dal sistema sanitario nazionale. Il responsabile compliance, avvalendosi del supporto dell’ufficio legale, avvia un’indagine interna secondo la norma ISO 37008.

L’approccio utilizzato per la gestione dell’investigazione è stato il seguente:

  1. Pre-valutazione: identificazione delle anomalie contabili e ipotesi di frode amministrativa.
  2. Piano di indagine: raccolta delle testimonianze e degli accessi ai sistemi informatici.
  3. Collaborazione con il reparto IT per la conservazione delle evidenze elettroniche.
  4. Interviste mirate a personale amministrativo e medico.
  5. Conclusioni: accertata la falsificazione di dati per ottenere rimborsi indebiti.
  6. Azioni: segnalazione all’autorità giudiziaria, revisione dei processi interni, introduzione di un nuovo sistema di tracciabilità delle prestazioni.

Grazie alla norma ISO 37008, l’indagine è stata condotta nel pieno rispetto dei diritti dei soggetti coinvolti, permettendo di individuare le responsabilità con chiarezza e intervenire tempestivamente.

Applicazione pratica: il caso di uno stabilimento produttivo

Un’importante società internazionale riceve una segnalazione interna circa episodi di violazione delle norme antinfortunistiche presso un proprio sito produttivo. L’organismo di vigilanza decide di attivare un’indagine interna secondo le linee guida della ISO 37008.

Le principali fasi seguite per la gestione dell’investigazione 231 sono state:

  1. Nomina della squadra investigativa: selezione di esperti con background tecnico in tema di salute e sicurezza sul lavoro.
  2. Pianificazione: elaborazione di un piano di indagine con obiettivi, ambito e strumenti da utilizzare.
  3. Interviste: conduzione delle interviste, svolgimento dei sopralluoghi in campo e accesso alla documentazione, tutto condotto con metodo e nel rispetto della riservatezza, coinvolgendo la linea organizzativa in tema di salute e sicurezza sul lavoro (datore di lavoro; dirigenti;  preposti; lavoratori) e le figure di supporto (RSPP, Medico competente, etc.).
  4. Analisi delle evidenze: comparazione della documentazione (procedure ed evidenze di registrazione delle attività svolte) con le dichiarazioni raccolte nelle interviste e le evidenze raccolte durante i sopralluoghi nelle aree operative.
  5. Rapporto finale: stesura del report documentando le violazioni accertate, le criticità di sistema e le raccomandazioni.
  6. Misure correttive: attuazione da parte dell’organizzazione di tutte le misure atte a rimuovere le carenze ovvero a prevenirne il ripetersi ovvero l’accadimento dei fatti contestati, secondo un principio di gradualità legato alla gravità delle violazioni riscontrate. 

Il rispetto delle linee guida ha consentito all’organizzazione di agire con tempestività, trasparenza e proporzionalità, interrompendo/prevenendo l’accadimento di violazioni con possibili ripercussioni di tipo penale per l’organizzazione (linea organizzativa, a partire dal datore di lavoro) e finanziarie per gli stakeholder, oltre ad una probabile escalation legale con danni di tipo reputazionale.

Conclusioni

La UNI ISO 37008:2023 costituisce un pilastro della moderna governance aziendale. Fornisce un framework concreto e adattabile per condurre indagini interne efficaci, legittime e tutelate. Adottare la norma significa dotarsi di una guida strategica per la gestione del rischio, l’integrità organizzativa e il rafforzamento della fiducia tra le parti interessate. La sua applicazione è destinata a diventare un benchmark per la conformità e la trasparenza nel contesto nazionale e internazionale.

La UNI ISO 37008 si configura come una guida di valore strategico per le organizzazioni che vogliono affrontare con metodo e responsabilità le indagini interne. Oltre ad offrire un modello operativo, essa rappresenta un’occasione di crescita per l’intera cultura aziendale. L’integrazione con le altre norme ISO della famiglia 37000 e con i sistemi di gestione della compliance amplia il campo d’applicazione e rafforza il posizionamento delle organizzazioni nei confronti degli stakeholder.

Adottare la ISO 37008 significa scegliere la trasparenza, la legalità e la resilienza. In un contesto dove la reputazione e la fiducia sono asset competitivi, disporre di un sistema d’indagine solido e certificabile diventa una necessità, non solo un’opportunità.

Intervento di Alessandro FOTI, Esperto in Compliance e HSE, Chairman dell’Organo Tecnico UNI “Governance delle organizzazioni” e Vicepresidente di AIAS – Associazione Italiana Ambiente e Sicurezza

Related Items

Compliance: Strumenti e approcci di gestione del rischio-caporalatoCompliance: Strumenti e approcci di gestione del rischio-caporalato
Continua a leggere
Compliance negli appalti a tutela del business Compliance negli appalti a tutela del business 
Continua a leggere
Creare valore sostenibile: il giusto equilibrio tra la performance aziendale e un livello di rischio accettabileCreare valore sostenibile: il giusto equilibrio tra la performance aziendale e un livello di rischio accettabile
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *