2 l. n. 179/2017
L'impatto della l. n. 179/2017 sul sistema dei controlli interni
Nell'ultima edizione del Codice di Autodisciplina354 il Comitato per la Corporate Governance di Borsa Italiana ha introdotto un’ulteriore raccomandazione in materia di sistemi di controllo interno e di gestione del rischio. In linea con best practices già esistenti a livello internazionale, il Comitato ha ritenuto che, “almeno nelle società emittenti appartenenti all’indice FTSE-MIB355, un adeguato sistema di controllo interno e gestione dei rischi debba essere dotato di un sistema interno di segnalazione, da parte dei dipendenti, di eventuali irregolarità o violazioni della normativa applicabile e delle
354 Le ultime modifiche al Codice di Autodisciplina risalgono al luglio 2018.
355 Il Comitato non ha dunque escluso a priori la realizzazione di sistemi interni di segnalazione di
120
procedure interne (c.d. sistemi di whistleblowing)”356: tale sistema interno di segnalazione delle violazioni deve essere congegnato in modo da garantire “un canale informativo specifico e riservato nonché l’anonimato del segnalante”357358.
La best practice suggerita dall’autodisciplina è stata tempestivamente integrata dal legislatore, che ha approvato la l. 30 novembre 2017, n. 179 Disposizioni per la tutela
degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato.
Con tale intervento il legislatore ha inteso rafforzare in modo significativo la tutela del soggetto che effettua la segnalazione di un illecito (il c.d. whistleblower) rispetto a condotte ritorsive e discriminatore del datore di lavoro, di per sé suscettibili di scoraggiare ogni denuncia. La protezione offerta al whistleblower persegue anche un interesse generale dell'ordinamento, dato che l'approntamento di canali informativi che garantiscano l'anonimato del segnalante e la tutela della sua posizione lavorativa rappresenta un incentivo all'emersione di fenomeni corruttivi e di mala gestio359.
356BORSA ITALIANA-COMITATO PER LA CORPORATE GOVERNANCE (a cura di), Codice
di Autodisciplina delle società quotate, luglio 2018. Commento all’art.7, 37.
357BORSA ITALIANA-COMITATO PER LA CORPORATE GOVERNANCE (a cura di), op. cit.,
37.
358 Il mancato recepimento della best practice suggerita dall'autodisciplina, ovvero il mancato
approntamento di sistemi di whistleblowing da parte di una società quotata, non costituirebbe di per sé una violazione del dovere di adeguatezza organizzativa in quanto, come rileva BARACHINI,
Tutela delle minoranze e funzione gestoria, in (a cura di Barachini), La tutela del socio e delle minoranze. Studi in onore di Alberto Mazzoni, Torino, Giappichelli, 2018, 130, le raccomandazioni
del Codice di Autodisciplina non hanno valore vincolante. Infatti, anche qualora queste “fossero ritenute idonee a delineare eventuali modelli organizzativi, non consentirebbero affatto di qualificare gli stessi in termini di adeguatezza”.
359 Come autorevolmente sostenuto da CANTONE, La prevenzione della corruzione nelle società a
partecipazione pubblica: le novità introdotte dalla “riforma Madia” della pubblica amministrazione,
in Soc., 2018, 1, 233ss. Con questo intervento il legislatore ha sopperito ad uno scenario di lotta alla corruzione definito, dalla Relazione dell’Unione sulla lotta alla corruzione, Allegato relativo
121
La l. n. 179/2017 ha confermato un "doppio binario di azione, prevedendo, in un unico contesto normativo, una diversa disciplina per il lavoro pubblico e per il lavoro privato”360. Nell'ambito del lavoro pubblico, salvi i casi di calunnia e diffamazione, la segnalazione all’autorità giudiziaria di condotte illecite apprese dal pubblico dipendente per ragioni di servizio, è tutelata per mezzo di un divieto di misure ritorsive361 in capo al datore di lavoro, dalla previsione di forme di protezione dell'anonimato del denunciante nei vari tipi di procedimento362 nonchè dall'esclusione della segnalazione dal diritto di accesso agli atti previsto agli artt.22ss. della l. n. 241/1990 sul procedimento amministrativo363.
Nella stesura della legge, il legislatore ha recepito le indicazioni dell'Autorità Nazionale Anti-Corruzione364, estendendo l'ambito di applicazione della disciplina di cui all'art.1
all’Italia, 3 febbraio 2014 della Commissione Europea, dal "carattere piuttosto generico e non
esaustivo". L'efficacia delle modifiche introdotte con la l. n. 179/2017 quale incentivo all'emersione di fenomeni corruttivi è confermata anche dai dati riportati in ANAC, 3° Rapporto annuale sul
whistleblowing.
360 TOSI, Le novelle legislative sul lavoro privato e pubblico privatizzato tra armonizzazione e
diversificazione, in Riv. it. dir. lav., 2018, 1, 24.
361 L'art.1, 1co, l. n. 179/2017, rubricato Modifica dell'art. 54-bis del decreto legislativo 30 marzo
2001, n. 165, in materia di tutela del dipendente o collaboratore che segnala illeciti, riporta a titolo
esemplificativo alcune misure ritorsive, quali il demansionamento, il licenziamento individuale e il trasferimento. L'elenco di cui al primo periodo deve intendersi come aperto e non tassativo, dato che lo stesso legislatore considera ritorsiva ogni "altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro" che sia diretta conseguenza della segnalazione effettuata.
362 Ai sensi dell'art. 1, 3co, l. n. 179/2017 "Nell'ambito del procedimento penale l'identità del
segnalante è coperta dall'obbligo del segreto nei modi e nei limiti previsti dall'art. 329 cpp. Nell'ambito del procedimento dinanzi alla Corte dei Conti, l'identità del segnalante non può essere rivelata fino alla chiusura della fase istruttoria. Nell'ambito del procedimento disciplinare, l'identità del segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti diretti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa".
363 Come previsto dall'art. 1, 4co, l. n. 179/2017. 364 Contenute nella Det. ANAC 28 aprile 2015, n.6.
122
anche ai dipendenti delle società private soggette a controllo pubblico365, "confermando così l'attrazione nell'orbita pubblicistica delle società controllate per le tematiche afferenti interessi pubblici (nel caso de quo correlati alla prevenzione di fenomeni corruttivi)”366. La tutela del dipendente o collaboratore che segnala illeciti nel settore privato è stata garantita mediante l'inserimento dei commi 2-bis, 2-ter e 2-quater all'art.6 del d. lgs. n. 231/2001. Il legislatore ha richiesto l’integrazione nei modelli di organizzazione dell'ente e di prevenzione del rischio di uno o più canali informativi che consentano ai soggetti di cui all'art. 5, 1co, lett. a-b367 di presentare, a tutela dell'integrità dell'ente, segnalazioni circostanziate di condotte illecite, rilevanti e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell'ente, di cui siano venute a conoscenza nell'ambito delle funzioni svolte, nonché di un canale alternativo di segnalazione con modalità informatiche, idoneo a rafforzare la garanzia di riservatezza del denunciante.
La protezione del soggetto che segnala illeciti nel settore privato è assicurata anche mediante:
- a) la previsione della nullità per ogni misura ritorsiva o discriminatoria a danno del segnalante;
- b) l'inversione dell'onere della prova, per cui spetterà al datore di lavoro che le misure irrogate nei confronti del dipendente sono dovute a ragioni diverse dall'avvenuta segnalazione368;
365 L'art. 1, 2co, l. n. 179/2017 considera dipendente pubblico anche "il dipendente di un ente di diritto
privato a controllo pubblico ai sensi dell'articolo 2359 del codice civile".
366TOSI, op. cit., 24.
367 Ovvero rispettivamente alle "persone che rivestono funzioni di rappresentanza, di amministrazione
o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale ovvero persone che esercitano, anche di fatto, la gestione e il controllo dell'ente" (lett. a), e alle "persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a" (lett. b).
123
- c) la previsione di una forma di responsabilità disciplinare, da inserire nei modelli di organizzazione di cui all'art. 6, 2co, lett. e del d. lgs. n. 231/2001, nei confronti "di chi viola le misure di tutela del segnalante", ma anche del dipendente che effettui "con dolo o colpa grave segnalazioni che si rilevano infondate”369.
Si impone agli amministratori incaricati del sistema di controllo interno e di gestione del rischio di "adattare il sistema al mutato panorama legislativo"370, ovvero di operare una revisione delle funzioni dell'Organismo di Vigilanza ai sensi del d. lgs. n. 231/2001 che consenta di integrare nei suoi compiti di controllo anche le previsioni introdotte con l. n. 179/2017. Alla luce del mutato quadro legislativo, l'OdV è tenuto:
- a) a sovrintendere l'integrazione del Modello di Organizzazione, Gestione e Controllo (detto anche "Modello 231"), verificando l'effettiva adozione371 di una specifica disciplina riguardante le sanzioni connesse alla violazione del divieto di atti di ritorsione nei confronti dei segnalanti e all’utilizzo abusivo dei canali di segnalazione;
- b) a formulare all'organo amministrativo una proposta in ordine alle procedure interne da adottare in materia di segnalazione delle violazioni;
- c) a verificare l'adeguatezza di canali informativi chiamati al tempo stesso a garantire la corretta segnalazione dei reati o delle irregolarità da parte dei dipendenti della società e ad assicurare la riservatezza dei whistleblower nell'intero processo di gestione della denuncia;
- d) a gestire il processo di analisi e valutazione della segnalazione;
369 Ai sensi dell'attuale art. 6, comma 2-bis, lett. d, d. lgs. n. 231/2001.
370 Ai sensi di BORSA ITALIANA-COMITATO PER LA CORPORATE GOVERNANCE (a cura
di), op. cit., art.7C4. lett. c, 32.
371 L'aggiornamento del Modello 231 richiede ovviamente una delibera dell'organo amministrativo
sulla base della proposta formulata dagli amministratori incaricati dell'istituzione e del mantenimento del sistema di controllo interno e di gestione dei rischi. L'OdV svolge un controllo di compliance.
124
- e) a vigilare sul rispetto del divieto di atti ritorsivi o discriminatori372;
In altre parole, le società che adottano Modelli 231 e intendono assicurare la propria
compliance alle nuove previsioni in materia di whistleblowing sono tenute ad
implementare i canali comunicativi a cui fa riferimento la normativa o ad integrare il "nuovo" sistema di whistleblowing nelle procedure interne già adottate.
Il mutato panorama legislativo di riferimento, dovuto all'inserimento, per effetto dell'art. 2 l. n. 179/2017, dei commi 2-bis, 2-ter e 2-quater all'art. 6 del d. lgs. n. 231/2001, ha prodotto riflessi significativi sul piano delle responsabilità.
Ad oggi la mancata adozione di un sistema interno di segnalazione delle violazioni esclude la possibilità per la società di esonerarsi dalla responsabilità amministrativa: tra gli elementi che l'ente è chiamato a dimostrare figura infatti la prova che "l'organo dirigente abbia adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e gestione idonei a prevenire reati della specie di quello verificatosi"373.
Allo stesso tempo la mancata integrazione del sistema whistleblowing all'interno del Modello 231 espone gli amministratori ad una responsabilità ex art. 2392 c.c. per inadempimento del dovere di predisporre assetti organizzativi adeguati: si delinea in questo modo una responsabilità derivante "dalla mancata adozione di regole (o modelli)
di tipo organizzativo"374 fondata su un paradigma di "colpa in organizzazione"375.
372 In particolare l'OdV è chiamato a verificare che gli eventuali licenziamenti, demansionamenti,
trasferimenti, non abbiano natura ritorsiva o discriminatoria nei confronti del denunciante, anche qualora questi abbia effettuato "con dolo o colpa grave segnalazioni infondate" (il divieto opera infatti anche in tali circostanze).
373 Così l'art.6, 1co, lett. a, d. lgs. n. 231/2001. 374 BARACHINI, op. cit., 129.
375 In questi termini DEMURO, Il coordinamento delle procedure in materia di operazioni con parti
correlate con il modello organizzativo predisposto ai sensi del d. lgs. n. 231/2001, in CARIELLO, Le operazioni con parti correlate, Milano, Giuffrè, 2011, 159ss.
125
La realizzazione di un sistema interno di segnalazione delle violazioni:
il Sistema "Whistleblowing" di Poste Italiane S.p.A.
Nel panorama italiano una delle prime società a comprendere la rilevanza del whistleblowing è stata Poste Italiane S.p.A.: già in data 3 marzo 2015, e dunque prima ancora della presentazione della proposta di legge C. 3365-B376, Poste Italiane S.p.A. aveva approvato una Linea Guida in materia di Sistema di Segnalazione delle Violazioni. Tale Linea Guida è stata più volte modificata377 fino ad una sua sostanziale riscrittura con delibera del Consiglio di Amministrazione del 19 aprile 2018378, secondo un aggiornamento reso necessario dall'approvazione della l. n. 179/2017.
Mediante l'approvazione della Linea Guida, Poste Italiane S.p.A. ha inteso "definire un sistema volto a permettere la segnalazione da parte del personale e di soggetti terzi379 di
376 L'iter parlamentare che ha condotto all'approvazione della l. n. 179/2017 ha preso le mosse dalla
proposta di legge C-3365-B, presentata alla Camera dei Deputati il 15 ottobre 2015.
377 Una prima modifica (Versione n. 2, approvata il 22 dicembre 2015) ha interessato solo alcuni
paragrafi, con l'individuazione di una differente figura (il Responsabile del Controllo Interno e non più il Responsabile Risorse Umane e Organizzazione) quale coordinatore del sistema. Una seconda modifica (Versione n. 3, approvata l'11 ottobre 2016) si è invece risolta in una riscrittura di tutti i paragrafi del documento, in seguito alla formulazione della best practice in tema di whistleblowing all'interno del Codice di Autodisciplina.
378 L'attuale versione della Linea Guida (Versione n. 4) è stata approvata dal Consiglio di
Amministrazione di Poste Italiane S.p.A. in data 19 aprile 2018, su proposta dell'Amministratore delegato (incaricato del sistema di controllo interno e di gestione del rischio), e previo parere del Comitato Controllo, Rischi e Sostenibilità.
379 POSTE ITALIANE S.P.A., Linea guida Sistema di Segnalazione delle Violazioni
126
fenomeni illeciti e comportamenti sospetti, di irregolarità nella conduzione aziendale, di atti o fatti che possano costituire una violazione delle norme interne ed esterne che disciplinano l'attività della società e delle controllate, dei principi e delle regole di comportamento contenute nel Codice Etico del Gruppo nonché delle previsioni contenute nel Modello 231"380. Per perseguire gli obiettivi a cui mira il documento381 la Linea Guida offre una descrizione dettagliata:
segnalazione non solo i lavoratori dipendenti e i membri di organi sociali ma anche "soggetti terzi aventi rapporti e relazioni d'affari con Poste Italiane", ovvero clienti, fornitori o consulenti.
380POSTE ITALIANE S.P.A., op. cit., 1.1. Obiettivo del documento, 4.
381 Gli obiettivi, in conformità con quanto previsto all'art. 2 l. n. 179/2017, sono riportati in POSTE
ITALIANE S.P.A., op. cit., 1.1. Obiettivo del documento, 4, laddove si specifica che "la presente Linea Guida è tesa a: a) garantire la riservatezza dei dati personali del segnalante e del presunto
responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti
avviati dall'autorità giudiziaria in relazione ai fatti oggetto della segnalazione; b) tutelare
adeguatamente il soggetto segnalante contro condotte ritorsive e/o discriminatorie dirette o indirette
per motivi collegati alla segnalazione; c) assicurare per la segnalazione un canale specifico, indipendente e autonomo".
127
- a) dei ruoli e delle responsabilità degli organi e delle funzioni coinvolte nella gestione delle segnalazioni382, che devono essere affidati a soggetti differenti per evitare che attività tra loro incompatibili risultino concentrate sotto responsabilità comuni383;
- b) dei canali messi a disposizione del segnalante per la denuncia di presunte anomalie o violazioni effettuate da dipendenti, membri degli organi sociali o terzi;
- c) del perimetro oggettivo e del contenuto della segnalazione;
- d) dei soggetti segnalanti e delle forme di tutela nei confronti degli stessi;
- e) delle modalità di gestione della segnalazione e del procedimento che si instaura nel momento in cui questa viene effettuata;
- f) delle modalità di informazione del segnalante e del segnalato circa gli sviluppi del procedimento.
Nel disegnare il sistema di segnalazione delle violazioni, la Linea Guida si sofferma su aspetti di natura organizzativa e procedurale. Il documento è strutturato in modo disomogeneo: vengono individuati in prima battuta i soggetti coinvolti (ovvero i soggetti
382 Occorre segnalare come Poste Italiane S.p.A. abbia previsto l'istituzione di un apposito comitato
interfunzionale, il Comitato Whistleblowing (che assolve anche le funzioni di Comitato Etico), dalla composizione variabile. Oltre a quattro membri permanenti (il Responsabile della funzione Controllo
Interno, Il Responsabile della funzione Corporate Affairs/Affari Legali, il Responsabile della funzione Corporate Affairs/Gestione dei Rischi del Gruppo e il Responsabile della funzione Risorse Umane e Organizzazione), alle riunioni del Comitato Whistleblowing partecipano anche membri "a chiamata",
solo in presenza di segnalazioni di propria competenza. Un modello alternativo di gestione delle segnalazioni è quello delineato nella Relazione sul Governo Societario e sugli Assetti Proprietari di
ENI S.p.A., 2017, 106, che, in punto di "gestione delle segnalazioni anche anonime ricevute da Eni
S.p.A. e da società controllate in Italia e all’estero", prevede un'attività preventiva di accertamento in ordine alla fondatezza della denuncia, realizzata dagli attori del sistema dei controlli interni, a cui segue l'esame della denuncia da parte del Team Segnalazioni e del Comitato Segnalazioni.
383 Le funzioni coinvolte nel Sistema Whistleblowing operano nel rispetto di un principio di
128
"attivi" e "passivi" della segnalazione)384 e le fattispecie oggetto di denuncia; in un secondo momento si descrive il procedimento di gestione della segnalazione e, in ultima analisi, sono identificate le funzioni coinvolte e l'organizzazione dell'intero sistema. Pare tuttavia più opportuna una descrizione del sistema whistleblowing secondo un ordine
logico, che si muova da un'analisi degli elementi statici (organizzazione del sistema, soggetti e oggetto della segnalazione) per arrivare solo in un secondo momento alla
descrizione dell'elemento dinamico (ovvero il procedimento di gestione della segnalazione e i flussi informativi connessi e le tutele a garanzia dei soggetti coinvolti).
Gli attori del Sistema “Whistleblowing”
A livello organizzativo la Linea Guida propone una segregazione di ruoli e responsabilità del tutto analoga a quella suggerita dall'autodisciplina tra i diversi attori del sistema dei controlli385, dando luogo a un sistema integrato, funzionale a trattare in modo adeguato le denunce pervenute e a filtrare le segnalazioni rilevanti, che non si limita a ricalcare i tratti del più generale sistema di controllo interno, ma che addirittura si innesta al suo interno. E infatti:
384 Rispettivamente il "segnalante" e il "segnalato".
385FERRO-LUZZI, L'articolo 136, comma 2-bis del Testo unico bancario, in (a cura di Abbadessa-
Cesarini), La legge per la tutela del risparmio. Un confronto tra giuristi ed economisti, Bologna, Il Mulino, 2007, 113ss, con riguardo alla segregazione di funzioni tra i diversi attori del sistema dei controlli interni (secondo una considerazione valida anche rispetto al sistema whistleblowing) sottolinea come in tale modo "vengono inseriti nell'organizzazione societaria uffici, funzioni, principi di comportamento e regole di controllo: tutti procedimenti per garantire un corretto esercizio dell'impresa societaria”. Nel caso del sistema whistleblowing la segregazione di funzioni mira ad assicurare il funzionamento del procedimento di gestione delle segnalazioni.
129
- a) il Consiglio di Amministrazione svolge un ruolo di monitoraggio386 sul corretto funzionamento del sistema whistleblowing, adottando le modifiche necessarie per eventuali adeguamenti normativi e regolamentari387;
- b) il Responsabile del sistema di Segnalazione delle Violazioni è chiamato ad assicurare il corretto svolgimento del procedimento e a riferire le informazioni oggetto di segnalazione qualificate come "rilevanti" al collegio sindacale e al consiglio di amministrazione, riportandole nella relazione annuale sul corretto funzionamento del Sistema388. Si attribuisce al Responsabile un'ulteriore funzione, essenziale per conformare un modello adeguato di organizzazione e gestione della segnalazione: è infatti obbligo del Responsabile "garantire la confidenzialità delle informazioni ricevute, anche in merito all'identità del Segnalante e del Segnalato"389;
- c) il Comitato Whistleblowing390 esegue l’attività istruttoria riguardante le segnalazioni e ne valuta l'attendibilità, predisponendo una reportistica periodica sulle segnalazioni ricevute nei confronti degli altri attori del Sistema “Whistleblowing”391;
386 Si viene così a realizzare, come ricorda REBOA, Il monitoring board e gli amministratori
indipendenti, in Giur. comm., 2010, 4, 660, un ulteriore arricchimento di quegli "aspetti di
monitoraggio e controllo tradizionalmente demandati agli amministratori non esecutivi per le previsioni di un corpo normativo sempre più pressante in tal senso".
387 Su proposta dell'Amministratore Delegato e previo parere del Comitato Controllo, Rischi e
Sostenibilità
388 Alla luce delle funzioni ad esso attribuite, il Responsabile del sistema di Segnalazione delle
Violazioni presenta significativi tratti di analogia con l'amministratore incaricato del sistema di controllo interno e gestione del rischio ex art.7C4. del Codice di Autodisciplina.
389POSTE ITALIANE S.P.A., op. cit, 6.2. Responsabile del sistema di Segnalazione delle violazioni,
16.
390 Nella composizione già indicata in nt. 29.
391 Il Comitato Whistleblowing realizza dunque un'attività di natura istruttoria, consultiva e propositiva
non dissimile da quella svolta dal comitato per il controllo interno e la gestione del rischio nel "sistema dei controlli interni".
130
- d) il Collegio Sindacale vigila sull'osservanza delle norme di legge, regolamentari e statutarie, sulla corretta amministrazione, sull'adeguatezza degli assetti organizzativi e contabili e sul sistema di controllo interno392, ed in particolare è informato direttamente e tempestivamente dal Responsabile del sistema di Segnalazione delle Violazioni delle segnalazioni ritenute rilevanti;
- e) l'Organismo di Vigilanza ex d. lgs. n. 231/2001 viene informato dal Responsabile della funzione Corporate Affairs/Governo dei Rischi del Gruppo (membro permanente del Comitato Whistleblowing) dell'esistenza di segnalazioni relative a fatti potenzialmente in grado di integrare un profilo di responsabilità amministrativa in capo alla società e delle decisioni assunte in proposito dal Comitato Whistleblowing.
I soggetti e le fattispecie oggetto di segnalazione
Alla luce del quadro normativo prospettato dall'art. 2 l. n. 179/2018 e in linea con le best
practices suggerite dall'autodisciplina, la segnalazione può essere effettuata:
- a) da un lavoratore dipendente, a prescindere dalla tipologia del suo rapporto contrattuale, o da un soggetto che presta a qualsiasi titolo (diverso dal rapporto di lavoro subordinato) la propria opera in una società del Gruppo ed è inserito nell'organizzazione