Whistleblowing e 231: come integrare i canali di segnalazione nel MOG

Il D.Lgs. 24/2023 ha riscritto le regole del whistleblowing in Italia, recependo la Direttiva UE 2019/1937. Per le aziende già dotate di Modello 231, la sfida non è creare un canale ex novo ma integrare il nuovo flusso di segnalazione nel MOG senza duplicare presidi, ruoli e responsabilità.

La compliance moderna non tollera silos: un canale 231 e un canale whistleblowing scollegati producono incoerenze documentali, ritardi nella gestione e — nei casi peggiori — responsabilità amministrativa dell'ente per omessa vigilanza. Il punto è progettare un'unica piattaforma di reporting che soddisfi entrambe le normative.

Cosa cambia con il D.Lgs. 24/2023

Il decreto unifica e amplia gli obblighi di whistleblowing per il settore pubblico e privato. Le novità chiave per le imprese:

• Soglia dimensionale ampliata: l'obbligo del canale interno scatta a partire da 50 dipendenti (era 250 nella vecchia disciplina), oppure indipendentemente dal numero per i soggetti destinatari della normativa antiriciclaggio o dotati di MOG ex 231.
• Riservatezza rafforzata: identità del segnalante protetta da segreto, divulgabile solo con consenso o nei casi tassativi previsti dalla legge.
• Tutele anti-ritorsione estese a chi segnala, facilita la segnalazione, è collegato al segnalante o opera nella stessa organizzazione.
• Canali esterni: ANAC riceve segnalazioni quando il canale interno è assente, inefficace o quando il segnalante teme ritorsioni.
• Sanzioni amministrative da 10.000 a 50.000 euro per violazioni di obblighi procedurali; fino a 50.000 euro per ritorsioni accertate.

Le caratteristiche obbligatorie del canale

L'articolo 4 del decreto definisce requisiti tecnici e organizzativi minimi. Il canale deve essere progettato per garantire la riservatezza del segnalante, del segnalato e del contenuto, anche con strumenti di crittografia.

Requisiti tecnici

1. Multimodale: scritto (piattaforma online) e orale (linea telefonica o, su richiesta, incontro diretto).
2. Cifratura end-to-end dei dati in transito e a riposo.
3. Anonimato opzionale: il segnalante può scegliere di non rivelare l'identità, mantenendo comunicazione bidirezionale tramite codice.
4. Tracciabilità di ogni accesso e ogni operazione, con log immutabile per fini ispettivi.
5. Conservazione limitata: massimo 5 anni dalla comunicazione di esito al segnalante, salvo procedimenti pendenti.

Requisiti organizzativi

• Persona o ufficio gestore individuato e formato (può essere interno o esterno, ma deve essere autonomo).
• Procedura formalizzata di gestione: ricevuta entro 7 giorni, esito entro 3 mesi.
• Formazione documentata del personale e informativa accessibile a tutti i lavoratori e collaboratori.

Integrazione con il MOG 231: tre nodi pratici

Mettere a sistema whistleblowing e 231 richiede di sciogliere tre nodi tipici che emergono in fase di gap analysis.

"Il canale di segnalazione non è una casella mail in più: è una porta sul presidio dei reati presupposto. Se il flusso non parla con l'OdV in modo strutturato, il MOG perde efficacia ai sensi dell'art. 6 del D.Lgs. 231." — Coordinatore OdV, gruppo industriale, settore energia

1. Ruolo del gestore vs. ruolo dell'OdV

Il gestore delle segnalazioni e l'OdV possono coincidere ma non è obbligatorio. Quando i ruoli sono separati, serve un protocollo di passaggio informazioni che preservi la riservatezza del segnalante e attivi l'OdV solo sui contenuti pertinenti ai reati 231.

2. Mappatura dei reati presupposto

Le segnalazioni rilevanti ex D.Lgs. 24/2023 includono violazioni del diritto UE che si sovrappongono solo parzialmente al catalogo 231. Una matrice di mappatura tra oggetto della segnalazione, reato presupposto e procedura attivata evita di trattare casi 231 fuori dal MOG (e viceversa).

3. Sistema disciplinare integrato

Il MOG deve sanzionare sia chi viola il codice etico/231, sia chi attua ritorsioni contro un segnalante o ne viola la riservatezza. La duplicazione di sistemi disciplinari è un classico segnale di MOG inefficace.

Cosa serve per partire

Per chi non ha ancora un canale conforme, queste sono le mosse minime nei primi 60 giorni:

1. Verificare la qualifica del soggetto e la soglia dimensionale.
2. Designare il gestore (interno o esterno) e formalizzare l'incarico.
3. Adottare una procedura di gestione segnalazioni e integrarla nel MOG con delibera del CdA.
4. Implementare un canale tecnologico conforme (cifratura, anonimato, multimodalità).
5. Comunicare il canale a dipendenti, collaboratori e soggetti rilevanti — la mancata informativa è essa stessa una violazione.

Il whistleblowing non è un onere burocratico ma un sensore precoce di rischio. Chi lo progetta integrato al MOG riduce il costo della compliance, rafforza l'efficacia del 231 e — soprattutto — riceve segnalazioni che permettono di intervenire prima che il fatto diventi reato. È il presidio più efficiente in termini di rischio/costo.