WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10


WEBINAR / 25 Ottobre
Gli incidenti ICT nel contesto DORA
www.dirittobancario.it
Approfondimenti

Whistleblowing: disciplina e concrete applicazioni nella prassi operativa della banche

23 Novembre 2015

Dott. Marcello Fumagalli, Direttore Area consulenza banche ed intermediari finanziari, Avv. Damiano Di Maio, Divisione Area consulenza banche ed intermediari finanziari, Unione Fiduciaria

Di cosa si parla in questo articolo

Sommario: Introduzione – 1. Whistleblowing: la disciplina europea. – 2. Il recepimento in Italia. – 3- Le disposizioni attuative di banca d’Italia e le implicazioni operative per le banche. – 3.1 Il Responsabile del sistema di segnalazione. -3.1.2. L’esternalizzazione. – 3.2 Il sistema interno di segnalazione: la scelta del software informatico. 3.3. L’ambito della segnalazione. 3.3.1. Ambito oggettivo. – 3.3.2. Ambito soggettivo. – 3.4 La predisposizione della policy e gli adempimenti connessi. – Riflessioni conclusive.

 

Introduzione

I recenti interventi del legislatore italiano in recepimento ai vincoli sovraordinati – aventi fonte nella produzione normativa del legislatore europeo – introducono nel nostro ordinamento rilevanti novità che determineranno notevoli impatti sul quotidiano agire delle banche e degli intermediari del mercato dei valori mobiliari.

Ci si riferisce, in particolare, alla disciplina del whistleblowing, sistema che consente a taluni soggetti che prestano la propria attività lavorativa presso banche ed intermediari del mercato dei valori mobiliari di segnalare violazioni di disposizioni latu sensu afferenti la normativa di riferimento, al fine di consentire la diffusione di condotte conformi ad un’etica comune in ambito lavorativo, rafforzare il rispetto delle norme e il governo societario, sostenere la funzionalità del sistema finanziario, tutelare gli investitori e le categorie di soggetti fruitori dei servizi finanziari offerti dal mercato (consumatori e non).

1. Whistleblowing: la disciplina europea

Alla luce di quanto rappresentato nella sintetica premessa, il contributo che si intende fornire con il presente scritto, preceduto da una rapida disamina dei predetti interventi normativi, è finalizzato a fornire un quadro tangibile su quanto intercettato nella prassi del mercato e sulle best practices ipotizzate per implementare l’ottemperanza agli intervenuti cambiamenti.

In primo luogo, occorre dunque inquadrare gli ambiti, soggettivi ed oggettivi, della normativa introdotta, declinando al contempo le diverse fonti da cui essa trae origine, per poi, come detto, rappresentare le conseguenze pratiche da essa derivanti.

L’origine fenomeno, come affermato, è da rinvenirsi nella (oramai sempre più frequente) produzione normativa del legislatore europeo, il quale, con la Direttiva 2013/36/UE del Parlamento europeo e del Consiglio del 26 giugno 2013 sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (di seguito, per brevità, la Direttiva), ha disciplinato, all’art. 71 della Sezione IV (Poteri di vigilanza, poteri di irrogare sanzioni e diritto di ricorso) la fattispecie (così peraltro rubricata) della “Segnalazioni delle violazioni”.

Detto richiamato articolo, già in sede di disciplina di (futura) attuazione, enucleava i requisiti che avrebbero dovuto essere tenuti in considerazione dagli Stati membri – destinatari del dictum sovraordinato – in sede di recepimento.

A tale riguardo, le principali declinazioni del principio di “incoraggiamento”[1] nella predisposizione di un meccanismo di segnalazione alle autorità competenti di violazioni potenziali o effettive delle disposizioni nazionali di recepimento della Direttiva e del Regolamento (UE) n. 575/2013, possono così essere riassunte:

a) implementazione di procedure specifiche per il ricevimento di segnalazioni di violazioni e per il relativo seguito (principio della struttura organizzativa);

b) assicurazione di protezione adeguata dei dipendenti degli enti che segnalano violazioni commesse all'interno dell'ente almeno riguardo a ritorsioni, discriminazioni o altri tipi di trattamento iniquo (principio della tutela del segnalante);

c) protezione dei dati personali concernenti sia la persona che segnala le violazioni sia la persona fisica sospettata di essere responsabile della violazione, conformemente alla direttiva 95/46/CE; (principio della eterotutela della riservatezza);

d) predisposizione di chiare norme finalizzate ad assicurare che la riservatezza sia garantita in tutti i casi con riguardo alla persona che segnala le violazioni commesse all'interno dell'ente, salvo che la comunicazione di tali informazioni non sia richiesta dalla normativa nazionale nel contesto di ulteriori indagini o successivi procedimenti giudiziari (principio della comprensibilità nella redazione della normativa nei limiti del rispetto dei sistemi vigenti nei singoli Stati);

e) vincolatività per gli enti nella disposizione di procedure adeguate affinché i propri dipendenti possano segnalare violazioni a livello interno avvalendosi di un canale specifico, indipendente e autonomo.

2. Il recepimento in Italia

Il primo passo verso recepimento nell’ordinamento italiano della Direttiva è avvenuto per mezzo della Legge 7 ottobre 2014, n. 154 recante la Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea – Legge di delegazione europea 2013 – secondo semestre, pubblicata in Gazzetta Ufficiale n.251 del 28-10-2014; in particolare, l’art. 3 comma 1 lett. h) ha indicato i principi entro i quali il Governo avrebbe esercitato la delega nella redazione della normativa sul whistleblowing dovendo esso tenere conto “dei profili di riservatezza e di protezione dei soggetti coinvolti, eventualmente prevedendo misure per incoraggiare le segnalazioni utili ai fini dell'esercizio dell'attività di vigilanza ed eventualmente estendendo le modalità di segnalazione anche ad altre violazioni”.

Il Governo ha dunque, quale naturale esito sistematico del recepimento delle suindicate previsioni, emanato il Decreto legislativo 12 maggio 2015, n. 72 (di seguito, per brevità, il D.lgs. 72/2015), pubblicato sulla Gazzetta Ufficiale n. 134 del 12 giugno 2015, recante modifiche al decreto legislativo 1° settembre 1993, n. 385 (TUB) e al decreto legislativo 24 febbraio 1998, n. 58 (TUF) ed entrato in vigore a partire dal 27 giugno 2015.

Con il predetto intervento il legislatore italiano ha, come sopra rappresentato, apportato le necessarie variazioni dei due testi (TUB e TUF) recanti la fondamentale disciplina di riferimento per i soggetti destinatari dell’ambito di applicazione soggettiva dell’intervenuta novità: banche ed intermediari del mercato dei valori mobiliari.

Precisamente, per quanto riguarda la disciplina del Testo Unico Bancario la normativa sul whistleblowing è contenuta negli artt. 52-bis[2] e 52-ter[3], mentre nel Testo Unico della Finanza dovrà farsi riferimento agli artt. 8-bis[4] e 8-ter[5].

In estrema sintesi, per i profili operativi di interesse, il Legislatore ha richiesto sia alle banche che agli intermediari del mercato dei valori mobiliari, di strutturare procedure specifiche per la segnalazione al proprio interno da parte del personale di atti o fatti che possano costituire la violazione delle norme disciplinanti l’attività bancaria (co. 1 art. 52-bis TUB) o l’attività svolta (co. 1 art. 8-bis TUF) che siano idonee, nel rispetto della protezione del segnalante[6]:

a) a garantire la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti avviati dall’autorità giudiziaria in relazione ai fatti oggetto della segnalazione;

b) tutelare adeguatamente il soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione;

c) assicurare per la segnalazione un canale specifico, indipendente e autonomo.

3. Le disposizioni attuative di Banca d’Italia e le implicazioni operative per le banche

Il completamento della disciplina primaria è stato affidato, lato bancario, ai sensi dell’art. 52-bis co. 5 alla Banca d’Italia, la quale ha provveduto all’emanazione delle disposizioni attuative in data 21 luglio, mediante l’introduzione del Capitolo 3 Sez. VIII del Titolo IV parte I nella Circolare 285/2013 “Disposizioni di Vigilanza per le Banche[7]“.

Diversamente, per quanto riguarda la prospettiva degli intermediari del mercato dei valori mobiliari, ad oggi la Banca d’Italia e la Consob non hanno ancora emanato il provvedimento congiunto recante la disciplina attuativa per come previsto dal co. 5 dell’art. 8-bis del TUF.

Alla luce di quanto precede, si procederà dunque con un’illustrazione delle principali prassi emerse nell’operatività delle banche in relazione ai contenuti delle citate disposizioni attuative dell’Autorità di Vigilanza.

3.1 Il Responsabile del sistema di segnalazione

Al fine di strutturare il proprio sistema di segnalazione, la normativa di Banca d’Italia richiede che le banche nominino un responsabile dei sistemi interni di segnalazione il quale assicura il corretto svolgimento del procedimento e riferisce direttamente e senza indugio agli organi aziendali le informazioni oggetto di segnalazione, ove rilevanti. Tale soggetto può direttamente gestire le fasi di ricezione, esame e valutazione del procedimento di segnalazione.

La prima delle questioni che si è posta nell’operatività delle banche attiene all’individuazione di tale soggetto, posto che la normativa secondaria sul punto non fornisce indicazioni, nemmeno in sede di resoconto alle consultazioni[8].

A tale riguardo sono stati individuati principalmente due soggetti cui attribuire la responsabilità del sistema: la funzione di revisione interna (internal audit) e la funzione di conformità (compliance).

In particolare, è emerso come la maggioranza delle banche abbia optato per la prima delle due figure (nella persona del responsabile della funzione di revisione interna), in ragione della gerarchia primaria che detta funzione occupa, tra le funzioni aziendali di controllo, nel sistema dei controlli interni disciplinato dalla Circolare 285/2013 che ne determinano autorevolezza ed indipendenza rispetto a funzioni di business (operative)[9] dell’intermediario.

Peraltro, tale scelta determinerebbe un problema in ordine al soggetto tenuto al controllo della corretta operatività e strutturazione del processo di ricezione, esame e valutazione del procedimento di segnalazione da parte del responsabile della funzione di revisione interna; soggetto che forse potrebbe essere individuato, avuto riguardo all’adozione del (diffuso) sistema tradizionale di amministrazione e controllo disciplinato dagli artt. 2380 – 2409 c.c., nella figura del collegio sindacale, in ragione dei compiti di vigilanza e rispetto dei principi di corretta amministrazione e adeguatezza dell’assetto organizzativo della società ad esso attribuiti dalla disciplina codicistica.

3.1.2. L’esternalizzazione

Le disposizioni di attuazione della Circolare 285/2013 prevedono altresì la possibilità di esternalizzare l’attività di ricezione, esame e valutazione delle segnalazioni, fermo restando il rispetto delle disposizioni di cui alla Sezione VII ed alle Sezioni IV e V della predetta Circolare. Siffatta scelta potrebbe consentire una migliore operatività per banca in quanto agevolerebbe la suddivisione delle attività di ricezione, esame e valutazione del procedimento di segnalazione, consentendo al responsabile interno (che comunque deve essere individuato dalla banca) di filtrare il procedimento antecedente all’esame di idoneità della segnalazione a determinare le azioni susseguenti o di inidoneità da cui far conseguire una sorta di archiviazione della segnalazione medesima.

Tale scelta, se accompagnata dall’adozione di una procedura informatica fornita dal soggetto che esternalizza, potrebbe consentire una maggiore riservatezza sulla tracciabilità dei log del segnalante rispetto ad un sistema di segnalazione interno alla banca.

3.2 Il sistema interno di segnalazione: la scelta del software informatico

Altro profilo di analisi interessante per i suoi risvolti pratici riguarda i requisiti del sistema interno di segnalazione; a tale proposito, le citate disposizioni attuative richiedono che esso sia strutturato secondo canali specifici, autonomi e indipendenti che differiscono dalle ordinarie linee di reporting. In questo caso, possono ipotizzarsi quattro soluzioni: l’adozione di una procedura informatica, una casella mail dedicata, la lettera cartacea o una linea telefonica, posto che, con riguardo a tale ultima opzione, la Banca d’Italia ha rilevato che “con riguardo alle forme di inoltro delle segnalazioni (…) le best practices internazionali non impongono necessariamente la forma scritta”.

La soluzione forse ritenuta preferibile nella prassi potrebbe essere la dotazione di una procedura informatica strutturata in modo tale da garantire una completa proceduralizzazione degli adempimenti, in quanto, con riguardo alla casella mail dedicata risulterebbe problematico assicurare la riservatezza del segnalante potendo accedervi l’amministratore di sistema, con riferimento all’utilizzo della linea telefonica si potrebbero configurare rischi di una gestione poco ordinata[10].

In particolare, un sistema informatico ben strutturato, per come emerge nella prassi, potrebbe consentire una migliore tracciabilità dell’informazione, un’archiviazione dei documenti nel rispetto dei canoni di sicurezza mediante una cifratura dei dati, indirizzando sia il segnalante nei vari passi della procedura, mediante una semplice e rapida composizione del processo di segnalazione, sia il/i soggetti preposti alla gestione delle segnalazioni ed agli adempimenti successivi.

3.3. L’ambito della segnalazione

3.3.1 Ambito oggettivo

Un altro rilevante profilo di interesse nell’analisi pratica dell’istituto concerne l’ambito oggettivo della segnalazione; le disposizioni attuative della Banca d’Italia prevedono che “in linea con il principio di proporzionalità, le banche definiscono i sistemi interni volti a permettere la segnalazione da parte del personale di atti o fatti che possano costituire una violazione delle norme disciplinanti l’attività bancaria[11] per tale intendendosi l’attività “disciplinata dall’art. 10, commi 1, 2 e 3, TUB[12]”.

La normativa di vigilanza sembrerebbe escludere tutta una serie di norme applicabili alla banca ma non rientranti nel perimetro della citata attività bancaria, quali, a titolo esemplificativo quelle in merito al rapporto di lavoro (per esempio episodi di mobbing) o riguardanti la tutela della privacy.

Peraltro, dalla lettura combinata delle fonti primarie e secondarie citate non parrebbe emergere un divieto tout court alla possibilità di ampliare il perimetro oggettivo delle segnalazioni ricomprendendovi quindi anche fattispecie di segnalazioni differenti da quelle previste dall’art. 10 TUB.

Sul punto un ruolo fondamentale verranno ad assumere le policy adottate dalle banche (vedi infra); tuttavia, dal sentiment rilevato nel mercato, si riterrebbe preferibile escludere ambiti non espressamente richiamati dalla norma, in ragione del fatto che già l’articolo 10 del TUB coinvolge un ampio spettro di fattispecie (raccolta del risparmio, esercizio del credito, altre attività finanziarie e attività strumentali, ecc.) per le quali difficilmente se ne potrebbe fornire un’elencazione esaustiva[13].

3.3.2. Ambito soggettivo

L’art. 52-bis primo comma del TUB prevede che le banche e le relative capogruppo adottino procedure specifiche per la segnalazione al proprio interno da parte del personale; tale previsione fa sorgere la questione in ordine a quali soggetti possano ricomprendersi nella nozione di personale della banca.

A tale proposito, è stato chiesto alla Banca d’Italia in sede di consultazioni se fosse possibile l’attivazione delle procedure di allerta interna anche da parte di soggetti estranei alla struttura aziendale[14]; l’Autorità di Vigilanza ha riscontrato rappresentando che, per personale della banca possono intendersidipendenti e coloro che comunque operano sulla base di rapporti che ne determinano l’inserimento nell’organizzazione aziendale, anche in forma diversa dal rapporto di lavoro subordinato[15]Non solo quindi soggetti legati alla struttura da un tipico rapporto di lavoro subordinato ma anche soggetti inseriti nell’organizzazione aziendale secondo un diverso rapporto contrattuale.

Cercando di concretizzare l’assunto sopra riportato, si pensi alla figura del consulente esterno: potrà essere ricompreso nell’ambito di applicazione soggettiva del sistema? Potrebbe ipotizzarsi l’estensione del perimetro applicativo anche a tale soggetto, eventualmente parametrato (e qui restano profili di incertezza) in base alla durata di tempo in cui presta l’attività consulenziale e dovendo, laddove si optasse per un sistema informatico di gestione delle segnalazioni, trovare adeguate soluzioni in merito alla profilatura dello stesso.

3.4. La predisposizione della policy e gli adempimenti connessi

Un ruolo fondamentale nella strutturazione del processo di gestione delle segnalazioni assumerà la predisposizione e l’adozione di un regolamento interno (policy) che vada ad illustrare e definire le scelte compiute dalla banca. In particolare, e riassumendo quanto sopra, il documento potrà ipotizzarsi essere strutturato nel senso di indicare:

  • le finalità;
  • i destinatari;
  • il perimetro oggettivo ed il contenuto della segnalazione;
  • i soggetti segnalanti e le forme di tutela nei confronti dei medesimi;
  • le modalità di gestione della segnalazione;
  • l’indicazione dei tempi e delle fasi di svolgimento del procedimento e dei soggetti coinvolti;
  • le modalità di comunicazione al segnalante sullo stato avanzamento della segnalazione;
  • le modalità di comunicazione al segnalato;
  • le modalità di conservazione dei documenti;
  • le verifiche di conformità della policy e gli aggiornamenti previsti.

Non solo: le banchedovranno illustrare al proprio personale i procedimenti di segnalazione adottati e redigere annualmente una relazione di sintesi sulle risultanze dell’attività svolta a seguito delle segnalazione.

Sarà dunque necessario adottare le opportune attività formative nei riguardi dei dipendenti, nonché individuare un sistema di reportistica finalizzato alla rappresentazione del corretto funzionamento dei sistemi interni di segnalazione, contenente le informazioni aggregate sulle risultanze dell’attività svolta a seguito delle segnalazioni ricevute, che viene approvata dagli organi aziendali e messa a disposizione al personale della banca[16].

Riflessioni conclusive

Sebbene sia assolutamente apprezzabile l’orientamento ormai assunto dal legislatore nazionale, sull’imprescindibile impulso europeo, finalizzato alla diffusione di una cultura giuridico-finanziaria sempre più orientata alla comprensione e al rispetto nel continuo delle regole, i profili di incertezza sopra illustrati richiederebbero un maggior coinvolgimento dei soggetti destinatari degli obblighi introdotti in una fase antecedente all’introduzione dei medesimi.

La considerazione trova giustificazione tanto più alla luce della previsione, contenuta nell’Atto di emanazione dell’undicesimo aggiornamento della Circolare 285/2013 del 21 luglio u.s., che richiede alle banche di adeguarsi alle previsioni in materia di sistema di segnalazione delle violazioni entro il 31 dicembre 2015, a pochi mesi dell’emanazione della disciplina secondaria di attuazione (21 luglio 2015).

Detto breve termine non parrebbe tenere in considerazione le legittime richieste provenienti mondo degli operatori bancari e del mercato dei valori mobiliari, ai quali viene richiesto di implementare sistemi e procedure i cui impatti operativi – invero – spesso determinano la necessità di più approfondite analisi circa la strutturazione dei processi, al fine di concretizzare nel miglior modo possibile le richiamate ed apprezzabili esigenze di progresso del sistema.



[1] Principio che può agevolmente desumersi dal dato letterale del comma 1 dell’art. 71 della Direttiva 36/2013 anche qui si riporta per comodità di lettura: “Gli Stati membri assicurano che le autorità competenti mettano in atto meccanismi efficaci e affidabili per incoraggiare la segnalazione alle autorità competenti di violazioni potenziali o effettive delle disposizioni nazionali di recepimento della presente direttiva e del regolamento (UE) n. 575/2013”.

[2] Articolo 52-bis (Sistemi interni di segnalazione delle violazioni)

1. Le banche e le relative capogruppo adottano procedure specifiche per la segnalazione al proprio interno da parte del personale di atti o fatti che possano costituire una violazione delle norme disciplinanti l’attività bancaria.

2. Le procedure di cui al comma 1 sono idonee a:

a) garantire la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti avviati dall’autorità giudiziaria in relazione ai fatti oggetto della segnalazione;

b) tutelare adeguatamente il soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione;

c) assicurare per la segnalazione un canale specifico, indipendente e autonomo.             

3. La presentazione di una segnalazione non costituisce di per sé violazione degli obblighi derivanti dal rapporto di lavoro.

4. La disposizione di cui all’articolo 7, comma 2, del decreto legislativo 30 giugno 2003, n. 196, non trova applicazione con riguardo all’identità del segnalante, che può essere rivelata solo con il suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato.

5. La Banca d’Italia emana disposizioni attuative del presente articolo.

[3] Articolo 52-ter (Segnalazione di violazioni alla Banca d'Italia)

1. La Banca d’Italia riceve, da parte del personale delle banche e delle relative capogruppo, segnalazioni che si riferiscono a violazioni riguardanti norme del titolo II e III, nonché atti dell’Unione europea direttamente applicabili nelle stesse materie.

2. La Banca d’Italia tiene conto dei criteri di cui all’articolo 52-bis, comma 2, lettere a) e b), e può stabilire condizioni, limiti e procedure per la ricezione delle segnalazioni.

3. La Banca d’Italia si avvale delle informazioni contenute nelle segnalazioni, ove rilevanti, esclusivamente nell’esercizio delle funzioni di vigilanza e per il perseguimento delle finalità previste dall’articolo 5.

4. Nel caso di accesso ai sensi degli articoli 22, e seguenti, della legge 7 agosto 1990, n. 241, l’ostensione del documento è effettuata con modalità che salvaguardino comunque la riservatezza del segnalante. Si applica l’articolo 52-bis, commi 3 e 4.

[4] Art. 8-bis (Sistemi interni di segnalazione delle violazioni)

1. I soggetti abilitati e le relative capogruppo adottano procedure specifiche per la segnalazione al proprio interno da parte del personale, di atti o fatti che possano costituire una violazione delle norme disciplinanti l'attività svolta.

2. Le procedure previste al comma 1 sono idonee a: a) garantire la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione, ferme restando le regole che disciplinano le indagini o i procedimenti avviati dall'autorità giudiziaria in relazione ai fatti oggetto della segnalazione;

b) tutelare adeguatamente il soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione;

c) assicurare per la segnalazione un canale specifico, indipendente e autonomo.

3. La presentazione di una segnalazione non costituisce di per sé violazione degli obblighi derivanti dal rapporto di lavoro.

4. L'articolo 7, comma 2, del decreto legislativo 30 giugno 2003, n. 196, non si applica con riguardo all'identità del segnalante, che può essere rivelata solo con il suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato.

5. La Banca d'Italia e la Consob emanano, con regolamento congiunto, le disposizioni attuative del presente articolo.

[5] Art. 8-ter

(Segnalazione di violazioni alla Banca d'Italia e alla Consob)

1. La Banca d'Italia e la Consob ricevono, ciascuna per le materie di propria competenza, da parte del personale dei soggetti abilitati e delle relative capogruppo, segnalazioni che si riferiscono a violazioni riguardanti le norme della parte II, titolo I, II e III del presente decreto legislativo, nonché atti dell'Unione europea direttamente applicabili nelle stesse materie.

2. La Banca d'Italia e la Consob tengono conto dei criteri previsti all'articolo 8-bis, comma 2, lettere a) e b) , e possono stabilire condizioni, limiti e procedure per la ricezione delle segnalazioni.

3. La Banca d'Italia e la Consob si avvalgono delle informazioni contenute nelle segnalazioni, ove rilevanti, esclusivamente nell'esercizio delle funzioni di vigilanza e per il perseguimento delle finalità previste dall'articolo 5.

4. Nel caso di accesso ai sensi degli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, l'ostensione del documento è effettuata con modalità che salvaguardino comunque la riservatezza del segnalante. Si applica l'articolo 8-bis, commi 3 e 4.

[6] Protezione individuabile nelle previsioni dei commi 3 e 4 degli articoli 52-bis e 8-bis, secondo cui, rispettivamente: la presentazione della segnalazione non costituisce di per sé violazione degli obblighi derivanti dal rapporto di lavoro; l’articolo 7 co. 2 del D.lgs. 196/2003 non trova applicazione con riguardo all’identità del segnalante, che può essere rilevata solo con il suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato.

[7] Consultabile al sito: https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio norme/circolari/c285/CICR_285-11_Aggiornamento.pdf.pdf con l’annesso atto di emanazione: https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c285/Atto_di_emanazione.pdf

[8] Cfr: il documento “Disposizioni di vigilanza per le banche sistema dei controlli interni – sistemi interni di segnalazione delle violazioni resoconto della consultazione” del 21 luglio 2015 https://www.bancaditalia.it/compiti/vigilanza/normativa/consultazioni/2012/cons-031112/Consultazione.pdf

[9] Cfr.: Circolare 285/2013 11 aggiornamento, Parte I – Recepimento in Italia della CRD IV Titolo IV – Governo societario, controlli interni, gestione dei rischi Capitolo 3 – Il sistema dei controlli interni Sezione III – Funzioni aziendali di controllo Parte Prima. IV.3.23, che individua il posizionamento della funzione “alle dirette dipendenze dell’organo con funzione di supervisione strategica (…)”.

[10] Soprattutto se si pensa a banche di una certa rilevanza.

[11] Circolare 285/2013 11 aggiornamento, Parte I – Recepimento in Italia della CRD IV Titolo IV – Governo societario, controlli interni, gestione dei rischi Capitolo 3 – Il sistema dei controlli interni Sezione III – Funzioni aziendali di controllo Parte Prima. IV.3.37

[12] Circolare 285/2013 11 aggiornamento, Parte I – Recepimento in Italia della CRD IV Titolo IV – Governo societario, controlli interni, gestione dei rischi Capitolo 3 – Il sistema dei controlli interni Sezione III – Funzioni aziendali di controllo Nota 2 Parte Prima. IV.3.37

[13] Soprattutto con riguardo alle attività connesse o strumentali di cui al comma 3 dell’art. 10 TUB.

[14] Documento “Disposizioni di vigilanza per le banche sistema dei controlli interni – sistemi interni di segnalazione delle violazioni resoconto della consultazione” del 21 luglio 2015, pag. 4

[15] Invero il chiarimento non fa altro che richiamare la definizione di personale contenuta nell’art. 1 comma 1 lett. h-novies del TUB

[16] Cfr. Circolare 285/2013 11 aggiornamento, Parte I – Recepimento in Italia della CRD IV Titolo IV – Governo societario, controlli interni, gestione dei rischi Capitolo 3 – Il sistema dei controlli interni Sezione III – Funzioni aziendali di controllo, Parte Prima. IV.3.38.

Di cosa si parla in questo articolo

WEBINAR / 25 Ottobre
La gestione degli incidenti ICT nel contesto DORA


Gli obblighi di classificazione e segnalazione degli incidenti ICT e di programmazione dei test di resilienza operativa digitale

ZOOM MEETING
Offerte per iscrizioni entro il 04/10


WEBINAR / 11 Ottobre
Il nuovo Regolamento Antiriciclaggio


Le novità al processo di Adeguata Verifica

ZOOM MEETING
Offerte per iscrizioni entro il 18/09

Iscriviti alla nostra Newsletter