di Ermelindo LUNGARO
Gli impatti della compliance al D.lgs. 24/23 in materia di whistleblowing nelle società pubbliche, con particolare attenzione ai sistemi di prevenzione della corruzione attiva e passiva
Il D.lgs. 24/23 ha introdotto, ormai da oltre un anno, un’importante novità a livello di sistemi di whistleblowing, ovvero l’obbligatorietà per il settore pubblico di adottare sistemi di comunicazione ad hoc a garanzia delle segnalazioni relative a violazioni del diritto UE, della legge 190/2012 e/o del D.lgs. 231/01.
Questa novità, letta insieme ai precedenti assetti di compliance 231 e 190 probabilmente “obbligherà” le organizzazione che hanno adottato un Piano Triennale di Prevenzione della Corruzione e Trasparenza e/o integrato in tal senso il loro Modello 231 a fare chiarezza al loro interno sui rischi di corruzione, distinguendo quelli da cui può derivare un interesse/vantaggio economico dagli altri, per una migliore efficacia dei Sistemi di Controllo Interno.
Il D.lgs. 24/23 (di seguito anche Decreto), entrato in vigore il 30 marzo 2023, è stato adottato in Italia in attuazione della Direttiva Europea n. 1937/2019 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (di seguito anche Direttiva), con disposizioni normative che hanno avuto impatti organizzativi differenti in base al settore di appartenenza.
Differenze con il settore privato e strumenti concreti
Per quanto riguarda il settore pubblico, a differenza del settore privato:
- vige l’obbligatorietà della norma a prescindere dell’esistenza o meno di specifiche condizioni di applicabilità del D.lgs. 24/23 (come ad esempio la presenza di “almeno 50 lavoratori” e/o del Modello 231). Sono infatti obbligate a dotarsi di un sistema di segnalazione interna:
- i) le Amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165;
- ii) le Autorità amministrative indipendenti di garanzia, vigilanza o regolazione, gli enti pubblici economici;
- iii) gli organismi di diritto pubblico di cui all’articolo 3, lettera d), del decreto legislativo 18 aprile 2016, n. 50;
- iv) i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall’articolo 2, comma 1, lettere m) e o), del decreto legislativo 19 agosto 2016, n. 175, anche se quotate;
- le segnalazioni possono avere a oggetto:
- violazioni della disciplina nazionale non solo con riferimento ai reati previsti dal D. lgs 231/01 e alle violazioni del Modello 231, ma anche per
- illeciti amministrativi, contabili, civili o penali;
- sono sempre utilizzabili tutti i canali (interno, esterno e pubblico) per la trasmissione delle segnalazioni;
- per quanto riguarda l’individuazione del soggetto cui affidare la gestione delle segnalazioni, per gli Enti del settore pubblico, tenuti a nominare un Responsabile della prevenzione della corruzione e della trasparenza (di seguito anche RPCT), l’art. 4 co. 5 del D.Lgs. 24/23 individua in tale figura il soggetto cui affidare la gestione del canale interno mentre per Enti che non ne sono dotati si rimanda alle indicazioni fornite per il settore privato (per maggiori dettagli rimanda all’articolo pubblicato su questa piattaforma “Gli impatti della compliance al D.lgs. 24/23 in materia di whistleblowing nel settore privato e possibili scenari futuri”)(1).
Per quanto attiene agli strumenti concreti attraverso cui attivare il canale di segnalazione interno, l’articolo 4 del D.lgs. 24/23 prevede, sia per il settore pubblico che privato, che le segnalazioni possono essere effettuate secondo diverse modalità:
- i) in forma scritta: analogica o con modalità informatiche(2);
- ii) in forma orale, attraverso linee telefoniche dedicate o sistemi di messaggistica vocale e, su richiesta del segnalante, attraverso un incontro diretto con il gestore della segnalazione, che deve essere fissato entro un tempo ragionevole.
La Compliance Integrata Anticorruzione
Nel presente articolo ci soffermeremo sulle implicazioni del Decreto in termini di compliance integrata anticorruzione prendendo come riferimento le aziende in controllo pubblico e/o in house (di seguito anche aziende pubbliche) che si sono dotate di un Modello 231 e nominato il relativo Organismo di Vigilanza.
Per le società in controllo pubblico/società in house, non esiste nessun obbligo circa l’adozione del Modello 231 mentre sussiste l’obbligo di implementare le misure di prevenzione della corruzione ai sensi della legge 190/12 e/o indicazioni derivanti dalle varie versioni del Piano Nazione Anticorruzione dell’ANAC, per cui:
- qualora la Società in controllo pubblico scelga di adottare il Modello 231, l’adeguamento agli obblighi anticorruzione ai sensi della legge 190/12 deve avvenire – in conformità al co. 2-bis dell’art. 1 della legge 190/12 – mediante l’adozione di misure integrative al modello di compliance privatistico, idonee a prevenire anche i reati/ fatti di corruzione rientranti nell’ambito di intervento della legge 190/12;
- laddove l’azienda non ritenga necessario dotarsi del Modello 231 deve, viceversa, predisporre il singolo Piano Triennale di Prevenzione della Corruzione e Trasparenza (PTPCT) motivando adeguatamente la propria decisione, che sarà oggetto di vigilanza da parte di ANAC; rimane fermo, in ogni caso, l’obbligo di nominare il Responsabile per la prevenzione della corruzione e della trasparenza (RPCT).
Da tale quadro normativo emerge, per il settore pubblico, che riconoscere il contesto normativo di riferimento è estremamente importante con specifico riferimento al diritto interno, rispetto al quale sono tutelate non solo le segnalazioni relative a violazioni al D.lgs. 231/01 e/o ai Modelli 231 ma anche tutti gli illeciti civili, penali ed amministrativi, per cui anche le violazioni alla legge 190/12 in materia di prevenzione della corruzione.
All’interno di tale quadro normativo è intervenuta anche ANAC con la Determinazione dell’8 novembre 2017, n. 1134, con la quale ha affrontato le modalità con cui deve avvenire l’integrazione e il coordinamento del sistema dei controlli interni per la prevenzione della corruzione previsto dal Modello 231 e dalla legge 190/12.
Tale sforzo di coordinamento/adeguamento purtroppo, non sempre nella prassi applicativi da parte delle aziende pubbliche, ha sortito i vantaggi auspicati in termini di semplificazioni, a causa della “strutturale” differenza tra i due modelli di compliance (D.lgs. 231/01 e Legge 190/12) ed in particolare il differente ambito oggettivo di applicazione di tali normative, nonché i diversi soggetti a cui le normative di riferimento assegnano il compito di assicurare il funzionamento dei rispettivi strumenti di prevenzione (Organismo di Vigilanza ed RPCT).
Due modelli di Compliance: la legge 190/2012 ed il D. Lgs. 231/01
La Legge 190/2012 abbraccia infatti una nozione ampia di corruzione ed ha lo scopo di prevenire tutti i reati contro la Pubblica Amministrazione previsti dal Titolo II, Capo I del codice penale e finanche il malfunzionamento amministrativo, in cui rientrano condotte anche prive di rilevanza penale, illeciti di natura disciplinare ed erariale (cd. corruzione passiva). Il D.lgs. n. 231/2001, indica un elenco ampio ma tassativo di reati presupposto della responsabilità amministrativa dell’ente, in cui rientrano anche, tra gli altri, i delitti di corruzione e istigazione alla corruzione, di induzione indebita a dare o promettere utilità e di concussione compiuti nell’interesse e/o vantaggio economico dell’Ente (cd. corruzione attiva).
In sintesi, se da un lato il D.lgs. 231/01 mira a prevenire i reati commessi nell’interesse o a vantaggio della società, dall’altro, la Legge n. 190/12 è volta a prevenire anche reati commessi in danno della società.
I rapporti tra il RPCT e l’Organismo di Vigilanza
Quanto ai rapporti tra il RPCT e l’Organismo di Vigilanza, l’ANAC con la determinazione n.1134/2017, ha ritenuto di dover rivedere le conclusioni cui era pervenuta in sede di adozione della determinazione n. 8/2015. In ragione delle diverse funzioni attribuite al RPCT e all’OdV dalle rispettive normative di riferimento nonché in relazione alle diverse finalità, ha ritenuto necessario escludere che il RPCT possa far parte dell’OdV, anche nel caso in cui questo sia collegiale.
Pertanto, il RPCT e l’OdV dovrebbero valutare le possibili logiche di coordinamento nelle rispettive attività di controllo pur mantenendo ciascuno la propria autonomia operativa. Ad esempio ai sensi del D. Lgs.231/01 l’OdV, potrebbe convocare in qualsiasi momento anche il RPCT al fine di essere aggiornato in merito alle attività di monitoraggio e osservanza del PTPCT piuttosto che decidere di invitare il RPCT, anche in forma permanente, alle adunanze dell’OdV in cui viene posta all’ordine del giorno la programmazione degli interventi di verifica su aree di rischio rilevanti in merito ai reati contro la Pubblica Amministrazione.
Sarebbe, dunque, auspicabile, qualora non sia stato già fatto, che il RPCT in qualità di “gestore del canale interno”, nelle aziende che hanno adottato un Modello 231, si faccia promotore di un approccio integrato che eviti duplicazioni e garantisca la compliance al D.lgs. 231/01, alla legge 190/12 e al D.lgs. 24/23, ad esempio intervenendo nelle seguenti attività:
- analisi di contesto e della realtà organizzativa di riferimento al fine di individuare in quali aree o settori di attività si potrebbero astrattamente verificare fatti corruttivi attivi e/o passivi;
- individuazione/ponderazione e gestione dei rischi corruttivi mediante la definizione di protocolli e/o misure di prevenzione, distinguendo i controlli di primo e/o secondo livello per la prevenzione della corruzione attiva e passiva;
- sessioni di formazione, definendo contenuti, destinatari e modalità di erogazione della formazione in materia di prevenzione della corruzione ai sensi della legge 190/12 integrandola con la compliance 231, di concerto con l’OdV;
- in fase di monitoraggio, individuando modalità e tecniche di controllo di secondo e/o terzo livello sull’attuazione delle misure di prevenzione della corruzione e/o introducendo regole per l’aggiornamento del PTPCT; piuttosto che definendo ruoli/responsabilità e obblighi di informazione periodica nei suoi confronti come RPCT, prevedendo anche delle modalità di raccordo e coordinamento con l’OdV.
RCPT, CdA e Governance Aziendale
Tale sforzo, potrebbe essere fatto dal RPCT, di concerto con la governance aziendale, auspicabilmente in fase di definizione della politica/strategia anticorruzione e sicuramente gioverebbe all’efficacia/adeguatezza del sistema di whistleblowing in termini di ownership: in quanto fin dall’inizio,
- il gestore del canale interno, sarebbe in grado di comprendere gli impatti delle segnalazioni ricevute sui due modelli di compliance ed eventualmente inoltrare tempestivamente la segnalazione all’OdV qualora sia di sua competenza (ovvero in caso di segnalazione di un potenziale evento corruttivo nell’interesse e/o vantaggio economico dell’Ente).
Non dimentichiamo infatti che fra i vantaggi del sistema di segnalazioni, vi è anche quello di rivelare inefficienze o problemi nell’adeguatezza delle misure aziendali di prevenzione dei rischi corruttivi: utilizzando queste informazioni, il CdA potrebbe apportare, su indicazione del RPCT e/o OdV, miglioramenti continui al PTPCT e/o alla Parte Speciale del Modello 231 dedicato alla prevenzione della corruzione con la Pubblica Amministrazione o con soggetti privati.
Sempre in tale ottica il CdA, oltre ad approvare una procedura che regolamenta il processo di gestione delle segnalazioni, potrebbe decidere, coordinandosi con il RPCT, di aggiornare la Parte Generale del Modello 231 precisando al suo interno gli ambiti di verifica dell’OdV in riferimento al sistema di whistleblowing come ad esempio:
- i) Il ruolo e i compiti dei soggetti che hanno accesso alle segnalazioni, limitando il trasferimento di dati e informazioni in casi strettamente necessari;
- ii) le modalità e i termini di conservazione dei dati e delle documentazioni, nel rispetto della normativa;
- iii) l’adeguatezza della procedura, che deve includere: i destinatari, l’oggetto e il contenuto della segnalazione, le caratteristiche del canale interno e le ipotesi di utilizzo del canale esterno, e infine, la descrizione delle forme di tutela della riservatezza, della protezione dalle ritorsioni, e delle responsabilità del segnalante;
- iv) il corretto aggiornamento del Modello 231– se adottato – e in particolare l’aggiornamento del sistema disciplinare con l’introduzione di sanzioni nei confronti dei responsabili delle violazioni;
- v) l’erogazione di attività formative in merito all’eventuale adeguamento del Modello 231 e alla procedura Whistleblowing;
- vi) la comunicazione formale della procedura/regolamento di Whistleblowing ai dipendenti;
- vii) l’accessibilità alle informazioni sull’utilizzo del canale interno ed esterno.
Intervento di Ermelindo LUNGARO, Founder di My Compliance, membro Organismi di Vigilanza ex D.lgs. 231/01 ed esperto compliance e risk management nel settore pubblico e privato
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) LUNGARO E. (2024), “Gli impatti della compliance al D.lgs. 24/23 in materia di whistleblowing nel settore privato e possibili scenari futuri” in Risk & Compliance Platform Europe (www.riskcompliance.it)
(2) L’azienda potrà decidere se utilizzare lo strumento della piattaforma on-line oppure optare per la posta cartacea (in via esemplificativa, prevedendo il ricorso a lettere raccomandate).