Whistleblowing: il ruolo della PEC nella presentazione e gestione di segnalazioni esterne

Chi dà informazioni in forma anonima (whistleblower) su illeciti amministrativi, contabili, civili, penali o su illeciti che rientrino nell’ambito di applicazione degli atti dell’UE o nazionali, relativi a particolari settori (appalti, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente, ecc.) o su violazioni che ledano l’interesse pubblico o l’integrità dell’Amministrazione Pubblica o dell’ente privato trova tutte le tutele riconosciute dalla legge in un unico testo, il D.Lgs. n. 24/2023, in materia di whistleblowing, entrato in vigore il 30 marzo 2023, che ha recepito la Dir. (UE) n. 2019/1937. Il provvedimento raccoglie l’intera disciplina dei canali di segnalazione (interna ed esterna) e delle tutele riconosciute ai “segnalanti”, dei settori sia pubblico, che privato, e si applica dal 15 luglio 2023, con una deroga di cinque mesi per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati non superiore a 249: per questi ultimi, l’obbligo di istituire il canale di segnalazione interna conforme alla nuova disciplina, infatti, avrà effetto dal 17 dicembre 2023. Al verificarsi di determinate condizioni, sarà possibile effettuare una segnalazione utilizzando un modulo digitale da compilare (canale esterno) sul sito dell’ANAC, nel rispetto del principio di riservatezza: il decreto descrive la procedura che gli enti che ricevano direttamente una segnalazione e/o comunicazione di misure ritorsive devono seguire per trasferirla all’ANAC, validando il loro indirizzo email PEC istituzionale tramite apposito Token e scambio di PEC con la stessa ANAC.

Letteralmente, il whistleblower è colui che “suona il fischietto”, come fa l’arbitro di una partita quando deve segnalare un fallo, una violazione delle regole del gioco: nel mondo del lavoro, il whistleblower è il lavoratore che, spontaneamente, segnala all’organizzazione di appartenenza (azienda privata o Amministrazione Pubblica) che vi è un’anomalia, un presunto illecito, una possibile frode o un’irregolarità commessa da qualcuno, di cui sia venuto a conoscenza o a cui abbia assistito nell’esercizio delle proprie funzioni (quindi, da “interno”). La traduzione in italiano (“informatore”) non rende bene il concetto, che forse richiama più l’immagine di colui che sussurra in un orecchio il nome di chi si presume abbia commesso un illecito a danno dell’azienda o della collettività.

Il pericolo o il serio rischio che il fatto o il comportamento scoperti possano recare un concreto pregiudizio a terzi (ad esempio, consumatori, clienti, cittadini) o all’azienda/impresa stessa/PA (ad esempio, danno all’immagine) porta il lavoratore alla decisione di segnalarlo: per evitare ritorsioni, vessazioni o eventuali molestie, è opportuno che tali segnalanti siano protetti dall’anonimato e che ci siano delle regole chiare e dei soggetti appositamente preposti a ricevere le segnalazioni. 
A fare ordine, a livello normativo italiano, ci ha pensato il D.Lgs. n. 24/2023, che ha raccolto in un unico testo le norme in materia di whistleblowing, disciplinando le procedure da seguire per attivare i canali di segnalazione (interna ed esterna) e le tutele riconosciute ai “segnalanti”, sia del settore pubblico, sia del settore privato.

Whistleblower
Secondo quanto osservato dall’ANAC, dal combinato disposto degli artt. 1 e 2 del D.Lgs. n. 24/2023, si ricava che:

• il whistleblower è la persona che segnala, divulga ovvero denuncia all’Autorità giudiziaria o contabile violazioni di disposizioni normative nazionali o dell’Unione Europea, che ledono l’interesse pubblico o l’integrità dell’Amministrazione Pubblica o dell’ente privato, di cui è venuta a conoscenza in un contesto lavorativo pubblico o privato.

Il D.Lgs. n. 24/2023

In attuazione della Dir. (UE) n. 2019/1937 - che, traducendo il termine “whistleblower” con la parola “informatore”, ha introdotto, per tutti gli stati membri, un vero e proprio “diritto alla segnalazione” - è stato emanato il D.Lgs. n. 24/2023, riguardante “la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”.
Il decreto:

• disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell'UE, che ledono l'interesse pubblico o l’integrità dell’Amministrazione Pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato;
• è entrato in vigore il 30 marzo 2023, mentre le sue disposizioni sono efficaci dal 15 luglio 2023;
• si applica ai soggetti del settore pubblico e del settore privato (con riferimento a quest’ultimo settore, la normativa estende le protezioni ai segnalanti che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati o, anche sotto tale limite, agli enti che si occupano dei cd. “settori sensibili”, quali servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, e a quelli che adottano modelli di organizzazione e gestione ai sensi del D.Lgs. n. 231/2001);
• stabilisce, solo per i soggetti del settore privato che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249, l’obbligo di istituire un canale interno di segnalazione a decorrere dal 17 dicembre 2023 (fino a tale data, i suddetti soggetti privati che hanno adottato il “modello 231” o intendono adottarlo continuano a gestire i canali interni di segnalazione, secondo quanto previsto dal D.Lgs. n. 231/2001).

Per proteggere l’anonimato e garantire la riservatezza:

• le segnalazioni sono sottratte al diritto di accesso previsto dalla legge 7 agosto 1990, n. 241, e dall’accesso civico generalizzato, regolato dal D.Lgs. n. 33/2013;
• vige il divieto di rivelare l’identità del segnalante (la tutela si estende a tutti gli elementi della segnalazione dai quali si possa ricavare, anche indirettamente, l’identificazione del segnalante, così come al “facilitatore”, che potrebbe essere un collega che assiste il segnalante, e alle persone menzionate nella segnalazione).

La nuova normativa fa un po’ di pulizia, abrogando talune delle norme previgenti.
In ottemperanza a un obbligo previsto dal D.Lgs. n. 24/2023, l’ANAC (Autorità Nazionale Anticorruzione) ha adottato apposite Linee Guida, relative alle procedure per la presentazione e la gestione delle segnalazioni esterne (approvate dal Consiglio nell’adunanza del 12 luglio 2023, con la delibera n. 311).

Enti tenuti al rispetto della disciplina del whistleblowing

I soggetti di diritto pubblico
I soggetti del diritto pubblico sono:

• le Amministrazioni Pubbliche (art. 1, comma 2, del D.Lgs. 30 marzo 2001, n. 165);
• le autorità amministrative indipendenti di garanzia, vigilanza o regolazione;
• gli enti pubblici economici;
• le società a controllo pubblico ai sensi dell’art. 2359 c.c., anche se quotate;
• le società in house, anche se quotate;
• gli organismi di diritto pubblico (art. 3, comma 1, lett. d, del D.Lgs. 18 aprile 2016, n. 50);
• i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall’art. 2, comma 1, lett. m) e o), del D.Lgs. 19 agosto 2016, n. 175, anche se quotate.

Tali soggetti del settore pubblico hanno l’obbligo di predisporre i canali di segnalazione interna.

I soggetti di diritto privato
Sono i soggetti, diversi da quelli rientranti nella definizione di soggetti del settore pubblico, i quali:

• hanno impiegato, nell'ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
• si occupano di alcuni specifici “settori sensibili”, di cui alle parti I.B e II dell'Allegato (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno NON hanno raggiunto la media di almeno 50 lavoratori subordinati;
• rientrano nell'ambito di applicazione del D.Lgs. n. 231/2001, e adottano modelli di organizzazione e gestione ivi previsti, ANCHE se nell'ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

Gli enti che soddisfano almeno una delle suddette condizioni hanno l’obbligo di predisporre canali di segnalazione in virtù della protezione dei segnalanti che operano nel settore privato, prevista dal D.Lgs. n. 24/2023.

Cosa si può segnalare?

Possono essere segnalate le “violazioni”, intese quali comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’Amministrazione Pubblica o dell’ente privato e che consistono in:

• illeciti amministrativi, contabili, civili o penali;
• condotte illecite rilevanti ai sensi del D.Lgs. n. 231/2001 o violazioni dei modelli di organizzazione e gestione ivi previsti;
• illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione Europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
• atti od omissioni che ledono gli interessi finanziari dell’Unione;
• atti od omissioni riguardanti il mercato interno (ex art. 26, par. 2, del TFUE, comprese le violazioni delle norme dell'UE in materia di concorrenza e di aiuti di Stato, nonché le violazioni riguardanti il mercato interno, connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l'oggetto o la finalità della normativa applicabile in materia di imposta sulle società);
• atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.

Canali di segnalazione

• Interno (nell’ambito del contesto lavorativo);
• esterno (ANAC);
• divulgazione pubblica (tramite la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone);
• denuncia all’Autorità giudiziaria o contabile.

Il canale esterno tramite l’ANAC

Ferma restando la preferenza per il canale interno, il D.Lgs. n. 24/2023 prevede per i soggetti dei settori sia pubblico, sia privato la possibilità di effettuare una segnalazione attraverso un “canale esterno”, attivato e gestito dall’ANAC, quale soggetto competente a ciò preposto. 
Vi sono delle precise condizioni per ricorrere al canale esterno presso ANAC:

1. se il canale interno obbligatorio:
   • non è attivo;
   • è attivo, ma non è conforme a quanto previsto dal legislatore in merito ai soggetti e alle modalità di presentazione delle segnalazioni;
2. la persona ha già fatto la segnalazione interna, ma questa non ha avuto seguito;
3. la persona segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna: 
   • alla stessa non sarebbe dato efficace seguito;
   • questa potrebbe determinare rischio di ritorsione;
4. la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

L’ANAC deve garantire, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.
Lo strumento informatico che, in base a quanto disposto dal D.Lgs. n. 24/2023, viene utilizzato per l’acquisizione e lo scambio di segnalazioni del canale esterno, unitamente all’apposita piattaforma dell’ANAC, è la Posta Elettronica Certificata (PEC): le procedure da seguire sono riportate negli Allegati alle Linee Guida ANAC.

Trasmissione di una segnalazione da parte di ANAC

ANAC trasmette una segnalazione a una competente autorità (art. 8, comma 2), detta Organizzazione esterna, esponendogliela in visione nell’apposita sezione della propria piattaforma ANAC.
Il procedimento di trasferimento prevede i seguenti passi:

1. la piattaforma ANAC invia un’email PEC alla PEC istituzionale dell’Organizzazione esterna alla quale deve trasmettere la segnalazione. L’email PEC comunica la disponibilità - presso la piattaforma ANAC - di una nuova segnalazione trasmessa all’Organizzazione. Nell’email sono inclusi i dettagli identificativi (ma nessun dato) della segnalazione ed eventuali istruzioni per l’accesso. L’email include anche le istruzioni per eseguire la procedura di accreditamento presso la piattaforma ANAC;
2. l’utente dell’Organizzazione - opportunamente individuato e autorizzato dall’Organizzazione, nonché preventivamente accreditatosi presso la piattaforma ANAC come descritto di seguito - accede alla piattaforma ANAC per:

• acquisire la segnalazione;
• inviare un messaggio al segnalante, per fornirgli istruzioni sulle modalità con cui può mantenersi in contatto (ex art. 8, comma 2, del D.Lgs. n. 24/2023) con l’Organizzazione mediante canali diversi dalla piattaforma ANAC. Il segnalante non può rispondere a questi messaggi, ma solo leggerli;
• comunicare l’esito dell’istruttoria da parte dell’Organizzazione esterna.

Accreditamento di un utente di un’Organizzazione esterna

La modalità di trasferimento di una segnalazione sopra descritta prevede l’accreditamento sulla piattaforma ANAC di utenti dell’Organizzazione esterna. 
Infatti, un’Organizzazione esterna, per accedere alla piattaforma ANAC e acquisire le segnalazioni che ANAC le “trasmette”, deve effettuare un processo di accreditamento, che ha lo scopo di richiedere l’abilitazione, sulla piattaforma ANAC, di un suo utente. Una volta effettuato l’accreditamento, l’utente può avere accesso alla piattaforma ANAC per gestire o accedere alle segnalazioni messe a disposizione.

Ricezione e trasferimento di una segnalazione

L’ente che riceve una segnalazione e/o comunicazione di misure ritorsive (cd. “Organizzazione esterna”) è tenuto a trasferirla ad ANAC, nei casi e nei modi descritti dalle Linee Guida:

• per le Pubbliche Amministrazioni, possono farlo i Responsabili della Prevenzione della Corruzione e della Trasparenza (RPCT), accedendo alla piattaforma ANAC con l’account già accreditato presso ANAC;
• in tutti gli altri casi, o per le PA che delegano una figura diversa dal RPCT, possono farlo inserendola nella piattaforma informatica di ANAC attraverso le seguenti operazioni:
  • valida l’indirizzo email PEC istituzionale dell’Organizzazione esterna di appartenenza e la legittimità dell’utente richiedente a effettuare l’operazione di inserimento segnalazione;
  • inserisce la segnalazione, previo inserimento del Token di validazione ricevuto al passo precedente.

Validazione PEC e utente

L’utente che, per conto dell’Organizzazione esterna di appartenenza, deve inserire la segnalazione nella piattaforma ANAC, deve validare l’indirizzo email PEC istituzionale della propria Organizzazione esterna e la propria utenza, eseguendo le seguenti operazioni:

1. accede alla URL https://www.anticorruzione.it/-/whistleblowing e seleziona il link “Ottieni un Token per validare il tuo indirizzo email PEC istituzionale”;
2. effettua un’autenticazione a più fattori, con uno dei sistemi di autenticazione supportati dalla piattaforma (ad esempio, SPID, CIE e EIDAS);
3. inserisce le informazioni di identificazione dell’Organizzazione esterna di appartenenza richieste (ad esempio, codice fiscale, ragione sociale);
4. inserisce l’indirizzo email PEC istituzionale dell’Organizzazione esterna di appartenenza;
5. legge l’informativa sul trattamento dei dati e accetta, premendo su “Conferma”.

A sua volta, la piattaforma ANAC invia un’email PEC all'indirizzo PEC inserito al punto 4, contenente:

• indicazioni circa le operazioni da seguire per completare la procedura di inserimento della segnalazione;
• le informazioni di identificazione dell’utente autenticatosi al passo 2;
• il Token di validazione di questa procedura;
• i limiti di validità temporale del Token di validazione.

L’operatore dell’Organizzazione esterna deve verificare la titolarità dell’utente indicato nell’email PEC a trattare tali tipologie di procedure e, in caso affermativo, deve comunicargli il Token di validazione, specificandone i limiti di validità temporale.

Inserimento della segnalazione

L’utente dell’Organizzazione esterna, ricevuto il Token di validazione, può inserire la segnalazione sulla piattaforma, effettuando, entro i limiti temporali di validità del Token di validazione, le seguenti operazioni:

1. accede alla URL https://www.anticorruzione.it/-/whistleblowing e seleziona il link “Inserisci una segnalazione ai sensi dlgs 24 del 10 Marzo 2023, art. 7 comma 3”;
2. si autentica con lo stesso sistema di autenticazione utilizzato al passo 2 di “Validazione PEC e utente”;
3. inserisce il Token di validazione;
4. legge l’informativa e accetta, premendo su “Conferma”;
5. inserisce la segnalazione, compilandone il form e allegandovi eventualmente dei file;
6. ottiene il OTKC (One Time Key Code) da trasmettere al segnalante.

Al termine di tale procedura, l’Organizzazione esterna riceve un’email PEC al proprio indirizzo PEC istituzionale, avente come contenuto la conferma di inserimento della segnalazione, con un riferimento alla specifica istanza di segnalazione inviata e all’utente che l’ha inserita.

A cura di Wolters Kluwer