WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia


Principali criticità e buone prassi per l'attuazione 2025

ZOOM MEETING
Offerte per iscrizioni entro il 28/08


WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia
www.dirittobancario.it
Attualità

Whistleblowing: l’affidamento a terzi del canale di segnalazione

Impatti per le banche e aspetti operativi

1 Agosto 2025

Alvise Smerghetto, Direzione Compliance, Cassa Centrale Banca – Credito Cooperativo Italiano

Di cosa si parla in questo articolo

[*] Il presente contributo analizza gli adempimenti per le banche connessi all’affidamento ad un soggetto terzo dell’attività di gestione del canale per la segnalazione delle violazioni rilevanti ai fini della normativa whistleblowing, anche alla luce delle specificità della normativa di settore delle Disposizioni di Vigilanza di Banca d’Italia.


1. Introduzione

L’ordinamento italiano, con il d. lgs. 24/2023 (il “Decreto whistleblowing”), ha recepito la nota direttiva europea n. 1937/2019 (la “Direttiva”), normativa che, per tutti i soggetti del settore privato che occupino almeno 50 dipendenti, ha introdotto l’obbligo di istituire un canale per la segnalazione delle violazioni di tutta una serie molto estesa di normative, dalle violazioni dei modelli di organizzazione, gestione e controllo adottati dalle singole Società alla violazione degli interessi finanziari europei, prevedendo alcuni importanti oneri in termini sia procedurali che di gestione delle segnalazioni che vengono ricevute. Conscio della difficoltà che gli enti più piccoli avrebbero potuto incontrare nella gestione di questi adempimenti, il legislatore europeo ha riconosciuto la possibilità agli enti di avvalersi di soggetti terzi, in linea con quanto previsto dal considerando 54 secondo cui viene riconosciuta la possibilità che terzi soggetti siano “autorizzati a ricevere le segnalazioni di violazioni”, specificando altresì che tale facoltà è riconosciuta purché questi stessi fornitori “offrano adeguate garanzie di rispetto dell’indipendenza, riservatezza, protezione dei dati e segretezza”.

In questo articolo vedremo quindi quali possano essere gli adempimenti che, per gli intermediari bancari, si rendano necessari nel caso in cui intenda affidare a un soggetto terzo l’attività di ricezione e gestione delle segnalazioni, intrecciando tutte le normative applicabili alle Banche e in particolare le Disposizioni di Vigilanza per le Banche di Banca d’Italia, Circolare del 17 dicembre 2013 n. 285 (la “Circolare 285”).

2. Condivisione del canale di segnalazione. Inquadramento normativo

Prima di partire in qualsiasi disamina, pare utile inquadrare correttamente la previsione prevista dalla recente normativa nazionale in tema di whistleblowing che riconosce la facoltà di affidare a terzi la gestione delle segnalazioni secondo quelle che appaiono essere due distinte modalità, condivisione ed esternalizzazione. È bene innanzitutto osservare come il quadro normativo (che risulta, oramai, anche già articolato sino alle disposizioni di attuazione) non dia particolare supporto, lasciando l’ingrato compito all’interprete.

Già abbiamo richiamato le disposizioni europee, il cui contenuto precettivo risulta molto scarno.  Non di maggior conforto risultano neppure le disposizioni nazionali con cui la normativa europea risulta essere stata recepita in Italia, in cui alcun ulteriore dettaglio viene offerto agli operatori rispetto alle modalità attraverso cui poter affidare a terzi la gestione del canale di segnalazione, vuoi tramite una sua condivisione piuttosto che una sua diretta esternalizzazione, come può vedersi dal disposto di cui agli articoli 4 e 5 del Decreto whistleblowing.

Al fine di fornire qualche maggiore dettaglio rispetto alla normativa in parola sono intervenute le norme di attuazione adottate dall’ANAC con Delibera n. 311 del 12 luglio 2023 (le “Linee guida ANAC”)[1], documento che offre alcuni (limitati) spunti per un corretto inquadramento della fattispecie e in particolare della condivisione del canale di segnalazione e delle risorse per la loro gestione. Nello specifico, infatti, l’Autorità parla di “accordi/convenzioni per la gestione in forma associata delle segnalazioni whistleblowing”, specificando sotto un profilo privacy, come gli enti coinvolti in questa condivisione debbano essere definiti quali “contitolari del trattamento dei dati”. Nessuna indicazione viene invece fornita con riguardo al discrimine tra queste due fattispecie, condivisione da un lato ed esternalizzazione dall’altro.

A fronte di questi scarni riferimenti normativi, l’individuazione esatta delle caratteristiche della fattispecie giuridica non può che trovarsi in via ermeneutica.

3. Condivisione ed esternalizzazione. Quale rapporto?

Al fine di delineare correttamente il perimetro della condivisione del canale di segnalazione e delle relative risorse atte alla loro gestione, pare opportuno mettere a confronto questa fattispecie con quella, già peraltro prevista dalla normativa bancaria, di esternalizzazione dell’attività di ricezione e gestione delle segnalazioni.

Che le due fattispecie giuridiche di cui si parla, esternalizzazione e condivisione, siano diverse, del resto, pare indicarlo la stessa Direttiva, che infatti dedica alle relative previsioni due distinti commi. Con il primo, infatti, specifica che “i canali di segnalazione possono essere […] messi a disposizione esternamente da terzi[2] e, nel comma successivo, prevede la diversa possibilità di “condividere le risorse per il ricevimento delle segnalazioni e delle eventuali indagini da svolgere”, fermo restando ovviamente “l’obbligo imposto a tali soggetti dalla presente direttiva di mantenere la riservatezza, di fornire un riscontro e di affrontare la violazione segnalata[3]. Esclusivamente nel caso della condivisione, la Direttiva e successivamente la normativa italiana di recepimento abbia limitato espressamente tale facoltà alle sole società che, nell’ultimo anno solare, abbiano impiegato una media di dipendenti tra 50 e 249, limite che invece non viene replicato nel caso dell’esternalizzazione, rendendo così necessario all’operatore distinguere correttamente queste due fattispecie onde non incorrere in un breach normativo.

Rimanendo sempre agganciati strettamente al dato normativo che è stato sin qui ricostruito, non può non evidenziarsi come solamente discorrendo della condivisione il legislatore menzioni sia l’ambiente fisico e/o informatico in cui le segnalazioni confluiscono e vengono concretamente gestite (che verrebbe unificato con quello della società condividente) che le risorse chiamate a gestire tali segnalazioni, utilizzando una congiunzione tra questi due elementi tale da richiedere quindi la loro necessaria compresenza. Dando valore lessicale al termine “condividere” utilizzato dal legislatore, pare che tale previsione possa così ritenersi concretizzata solamente nel caso in cui le due società utilizzino insieme lo stesso canale (sia anche solo la stessa buca delle lettere) e le stesse risorse per gestire le segnalazioni che vengano indirizzate all’una piuttosto che all’altra.

Diversamente l’esternalizzazione, facoltà esercitabile da tutte le società senza alcun limite dimensionale, l’oggetto dell’incarico avrà ad oggetto alternativamente il canale su cui verranno ricevute le segnalazioni o l’attività di ricezione e gestione delle segnalazioni stesse. Qualora l’oggetto dell’incarico al terzo riguardasse entrambe, infatti, l’incarico rientrerebbe nella fattispecie della condivisione, salvo che il terzo non dichiari, anche a livello contrattuale, che le segnalazioni che lo riguardano vengono gestite attraverso canali e risorse diverse rispetto a quelle messe a disposizione.

4. Il limite dei 249 dipendenti

La norma dettata in materia di condivisione del canale e delle risorse pone un criterio anche abbastanza stringente per quanto riguarda gli enti che intendono esercitarla, limitandola alle società che “hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, non superiore a duecentoquarantanove[4]. Ciò che la norma non dice (inter alia), riguarda però la società su cui deve essere calcolato questo limite, elemento rispetto a cui paiono sussistere principalmente due soluzioni interpretative e nello specifico (i) entrambe le legal entity coinvolte nella condivisione oppure (ii) la sola società, tra quelle coinvolte, che affida la condivisione a una società terza.

Rispetto a tale quesito, pare necessario considerare quale sia la finalità della norma che consente la condivisione, evidenziata dalle stesse Linee Guida ANAC secondo cui questa è da rinvenirsi nella possibilità di “ottimizzare e specializzare il lavoro sulle segnalazioni in esame, e anche in una logica di semplificazione degli adempimenti e di contenimento dei costi”. In tal senso, la ratio legis pare individuarsi nel consentire agli enti di minori dimensioni di affidare all’esterno la complessa attività di gestione delle segnalazioni e implementazione del relativo canale, senza dover sopportare o quanto meno abbattendo in parte i relativi costi, disponendo altresì di strutture maggiormente esperte in detto ambito. In virtù di questa indicazione fornita dall’Autorità, la soluzione ermeneutica più coerente con la ratio legis risulta essere quella per cui il calcolo del limite debba riguardare esclusivamente le società che affidano all’esterno tale canale, senza considerare invece la dimensione dell’organico della società che andrà a gestire (per conto della “condividente”) le segnalazioni. A suffragio di questa conclusione si riporta la comunicazione della Commissione Europea del giugno 2021, numero 4667786, con particolare riferimento al quesito con cui veniva chiesto se, in caso di una compliance accentrata a livello di gruppo, fosse possibile (e in caso a quali condizioni) accentrare la gestione delle segnalazioni. A tale quesito la Commissione risponde specificando, tra gli altri requisiti, che tale facoltà potesse essere prevista esclusivamente laddove “the subsidiary company is medium-sized (has 50 to 249 workers)”, senza alcun riferimento alla controllante e al suo organico, con ciò così intendendo che tale verifica dovesse effettuarsi esclusivamente sulla controllata. La soluzione pare convincente, consentendo di garantire, anche per gli enti di minori dimensioni, un elevato standard nella gestione delle segnalazioni stesse e delle relative indagini, a tutto vantaggio dei segnalanti e della stabilità e legalità delle società interessate, senza che possa in alcun modo rilevare l’organico della società che sarà chiamata a gestire, in condivisione, il canale di segnalazione, elemento che effettivamente appare del tutto irrilevante.

5. Adempimenti

5.1 Adempimenti preliminari

Una volta che la scelta strategica della Banca miri ad affidare a un soggetto terzo alcuna o tutte le attività in ambito whistleblowing, dovranno quindi essere seguiti alcuni precisi adempimenti.

Innanzitutto, come visto sopra, sarà necessario determinare il perimetro dell’incarico, se questo porti alla condivisione del canale di segnalazione o meno, con relativa necessità di rispettare il limite dimensionale delle 249 risorse previsto dal Decreto whistleblowing.

Uno degli aspetti da prendere in considerazione dovrà essere evidentemente l’eventuale applicazione della normativa DORA all’incarico che si intende affidare al fornitore esterno (trattasi o meno della condivisione di cui parla il Decreto whistleblowing). Rispetto a tale tema, pare potersi escludere l’applicazione di tale normativa laddove l’oggetto dell’incarico sia afferente alla sola ricezione e gestione delle segnalazioni, essendo l’eventuale strumento informatico utilizzato dal fornitore esterno esclusivamente a supporto dell’incarico.

Sarà poi necessario determinare se l’incarico possa essere identificabile come una mera fornitura o come una Funzione Esternalizzata (se non addirittura come esternalizzazione di una Funzione Essenziale o Importante), in linea con le previsioni degli Orientamenti dell’EBA in materia di esternalizzazione[5]. Ad avviso di chi scrive, pochi dubbi circa l’inquadramento come esternalizzazione potrebbero esservi nel caso in cui l’incarico riguardasse l’attività di ricezione e gestione delle segnalazioni pervenute, in considerazione degli impatti che tale attività potrebbe avere rispetto al rispetto delle (molteplici) previsioni normative che impattano sull’attività e le relative sanzioni (nonché i relativi rischi reputazionali) che potrebbe subire la Banca in caso di inadempimento del fornitore. Di converso, l’esclusione dal perimetro di applicazione di tale normativa pare potersi sostenere tutte quelle volte in cui il fornitore eroghi esclusivamente il servizio di messa a disposizione del canale su cui ricevere le segnalazioni, restando interno alla Banca la gestione delle segnalazioni pervenute.

5.2 Il contratto

Correttamente inquadrata la fattispecie, sarà necessario svolgere un’accurata due diligence sul fornitore e stilare un contratto, contratto che dovrà essere conforme alle norme applicabili all’attività che si intende affidare al terzo e in particolare a DORA e agli Orientamenti in materia di esternalizzazione dell’EBA. Rispetto a tale ultimo aspetto, preme segnalare alcuni aspetti che dovranno essere particolarmente curati nell’interesse della Banca, in particolare laddove il fornitore eroghi il servizio di ricezione e gestione delle segnalazioni:

  • Oggetto dell’attività: il contratto dovrà prevedere che il fornitore svolga tutti gli adempimenti previsti dalla normativa nell’arco di tempo previsto dal Decreto whistleblowing, e in particolare trasmetta al segnalante la conferma della presa in carico della segnalazione nei 7 giorni dal ricevimento e dia riscontro al medesimo entro i successivi 90 giorni;
  • Esito delle indagini/richiesta di archiviazione: pare opportuno che, pur nella necessaria riservatezza del segnalante, l’esito delle indagini venga condiviso con la società, e in particolare con i suoi organi di vertice, che potranno valutare eventuali integrazioni delle indagini compiute o nuovi approfondimenti, in particolare laddove il fornitore intenda proporre l’archiviazione della stessa;
  • Flussi informativi: il fornitore dovrà garantire dei flussi informativi idonei a (i) consentire alla società di valutarne l’operato ma soprattutto a (ii) capire se le segnalazioni sottendano delle rilevanti anomalie in essere presso la società stessa. In tal senso, si ricorda che la stessa Circolare 285 prevede che il responsabile (nel caso in parola, quindi, il fornitore esterno) “riferisce direttamente e senza indugio agli organi aziendali le informazioni oggetto di segnalazione, ove rilevanti”. Sempre seguendo la normativa bancaria appena menzionata, pur non prevista dal Decreto whistleblowing, dovrà essere prevista una rendicontazione periodica agli organi aziendali della società; tra questi, si ricorda la necessità di un costante raccordo, da garantirsi anche in caso di esternalizzazione, tra responsabile del sistema interno delle segnalazioni, chiamato come tale a gestire anche le segnalazioni afferenti a violazioni del Modello di Organizzazione Gestione e Controllo o comunque, più in generale, del D. Lgs. 231/2001, e l’eventuale Organismo di Vigilanza nominato dalla società stessa[6].

In occasione della redazione del contratto, dovranno ovviamente essere curati anche i necessari adempimenti privacy, che dovranno essere parametrati in considerazione dell’impianto che si intende porre in essere. Tali adempimenti consisteranno, infatti, in caso di (i) condivisione del canale gli enti, quali contitolari del trattamento, la stesura di un accordo interno ai sensi dell’articolo 26 del GDPR mentre in caso di (ii) esternalizzazione, sarà necessario predisporre una nomina a responsabile del trattamento.

 5.3 Revisione dell’informativa/Aggiornamento del Modello di Organizzazione, Gestione e Controllo

Tra le diverse attività da prendere in considerazione laddove la società intenda esternalizzare/condividere il canale di segnalazione rientrano anche quelle relative ai rapporti con tutti gli stakeholder impattati a vario titolo.

Nello specifico, questi riguarderanno:

  • L’aggiornamento dell’informativa prevista dall’articolo 5 del Decreto whistleblowing secondo cui le società “mettono a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazione esterne”. Pur se non specificatamente menzionato, infatti, pare necessario che la società dia disclosure della circostanza che le segnalazioni pervenute vengono gestite da un soggetto esterno alla società stessa, sia nel caso quindi di mera condivisione del canale che di esternalizzazione dello stesso. Questo non pare, invece, necessario nel caso in cui il fornitore terzo si limiti a fornire alla società la mera struttura informatica su cui verranno gestite le segnalazioni;
  • La revisione del Modello di Organizzazione, gestione e controllo adottato dalla società. Si veda, infatti, come il Decreto whistleblowing sia intervenuto sul D. Lgs. 231/2001, integrandone l’articolo 6 con il nuovo comma 2-bis secondo cui “i modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e)”. Anche in questo caso, pertanto, il Modello dovrà specificare nella propria Parte Generale[7] che le segnalazioni pervenute vengono gestite da un soggetto esterno;
  • L’informativa a rappresentanze o organizzazioni sindacali. Rispetto a tale ambito, queste dovranno essere sentite in una fase prodromica rispetto alla definizione dell’accordo con il terzo, onde poter raccogliere eventuali loro osservazioni e poterle concretamente mettere a frutto.

6. Linee Guida ANAC sui canali interni. Nuova consultazione

Il 7 novembre 2024 l’ANAC ha posto in pubblica consultazione lo schema di “Linee guida in materia di whistleblowing sui canali interni di segnalazione”, documento che intende “fornire indicazioni sulle modalità di gestione dei canali interni di segnalazione, al fine di garantire un’applicazione uniforme ed efficace della normativa sul whistleblowing e ad indirizzare i soggetti tenuti a dare attuazione alla stessa[8]. Nello specifico, il documento, che alla data in cui viene redatto questo scritto non risulta ancora pubblicato nella sua versione definitiva, integra la già menzionata delibera n. 311 del 12 luglio 2023 destinata prevalentemente agli enti pubblici, con una serie di indicazioni strettamente destinate agli enti del settore privato.

Pur intervenendo su molti punti della normativa in tema di segnalazione delle violazioni, con riferimento specifico alla distinzione condivisione / esternalizzazione, le indicazioni fornite dall’Autorità non dipanano i dubbi già segnalati e a cui si è provato a fornire una soluzione. Nello specifico, l’Autorità specifica che:

  • in caso di esternalizzazione, si avrebbe una struttura informatica “ramificata in tanti sotto-canali quante sono le società del gruppo”;
  • in sede di condivisione, la struttura informatica sarebbe “un’unica infrastruttura che si ramifica in tanti sotto canali autonomi quante sono le società del gruppo”;

andando così a sovrapporre, almeno da un punto di vista di struttura informatica, le due fattispecie.

Da un punto di vista operativo, quindi, continua a non risultare evidente quale possa essere per l’Autorità la concreta distinzione tra condivisione ed esternalizzazione del canale/risorse, elemento che non risulta secondario considerato come la condivisione sia sottoposta, per quanto riguarda le società che possono esercitare tale facoltà, a un rigido divieto dimensionale.

Pare inoltre opportuno segnalare la previsione, contenuta nel documento in consultazione, secondo cui, in caso di condivisione del canale o di esternalizzazione, il segnalante potrebbe chiedere che la segnalazione sia gestita da parte della società che ha inteso condividere le risorse e gli strumenti informatici o comunque affidare a terzi la ricezione e gestione della segnalazione, salva la possibilità di avvalersi dell’outsourcer per lo svolgimento delle attività investigative. Tale indicazione dell’Autorità (di cui peraltro non risulta evidente l’addentellato con la normativa primaria) pare condurre a effetti del tutto deleteri, ed anzi pare scontrarsi con alcuni aspetti previsti dalla normativa stessa, e nello specifico:

  • la facoltà di condividere / esternalizzare viene riconosciuta alla società, questo in un’ottica non solo di contenimento dei costi ma anche di ottenere un maggiore know how relativo alla gestione stessa della segnalazione. Non si comprende quindi quale beneficio potrebbe trarre il segnalante laddove gli si arrogasse il diritto di individuare la società chiamata a gestire la propria segnalazione, ed anzi, verosimilmente il soggetto interno avrà meno competenze nel gestire la tematica sottopostagli con conseguenti effetti sub-ottimali anche nell’emersione di potenziali criticità;
  • il Decreto whistleblowing già riconosce una importante facoltà al segnalante, che è quella di potersi avvalere, in vece del canale interno, di quello esterno, adendo così immediatamente l’Autorità laddove ritenga che alla sua segnalazione non verrebbe “dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione[9].

Alla luce delle considerazioni sopra espresse, pare quindi che questa facoltà che verrebbe ex novo riconosciuta al segnalante andrebbe a minare una scelta organizzativa rimessa alla singola società senza che questo possa portare a concreti benefici al segnalante stesso.

In conclusione, si confida che il testo definitivo che si auspica pubblicato a breve possa dipanare i dubbi emersi in relazione alla normativa in tema di segnalazione delle violazioni che, oltre a essere molto articolata anche in diversi documenti, è sottoposta a sanzioni economiche e foriera, per le società, di importanti rischi reputazionali.

 

[*] Le opinioni qui espresse sono a puro titolo personale e non impegnano l’Istituto di appartenenza.

[1] Le “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” disponibili presso il sito ANAC al link https://www.anticorruzione.it/-/del.311.2023.linee.guida.whistleblowing.

[2] Articolo 8, comma 5, Direttiva 1937/2019 (UE).

[3] Articolo 8, comma 6, Direttiva 1937/2019 (UE).

[4] D. Lgs. 24/2023, articolo 4, comma 4.

[5] Si segnala, con l’occasione, la recentissima pubblicazione da parte dell’EBA del “Consultation Paper on EBA Draft Guidelines on the sound management of third-party risk” che comunque, per gli intermediari bancari, non sembra avere rilevanti impatti rispetto al quadro normativo vigente.

[6] A tal proposito pare effettivamente condivisibile l’impostazione per cui tutte le segnalazioni pervenute vengano in ogni caso trasmesse all’Organismo di Vigilanza, spettando a questo valutare eventuali profili di competenza e l’immediata attivazione in caso emergano anomalie rilevanti in ambito 231.

[7] Si segnala che è prassi oramai ampiamente diffusa che il Modello, nella propria Parte Generale, sia pubblicato nel sito internet della società. In tal caso, quindi, è necessario garantire opportuno allineamento tra i due documenti onde evitare di fornire informazioni discordanti ai potenziali segnalanti.

[8] Il testo è disponibile sul sito dell’Autorità al link: https://www.anticorruzione.it/-/consultazione.07.11.24.whistleblowing#p2

[9] Si veda articolo 6, comma 1, lettera c), D. Lgs. 24/2023.

Di cosa si parla in questo articolo
Vuoi leggere la versione PDF?

WEBINAR / 30 Settembre
DORA e subappalto di servizi ICT


Gestione del rischio ICT e dei contratti nei nuovi RTS DORA

ZOOM MEETING
Offerte per iscrizioni entro il 09/09


WEBINAR / 16 Settembre
Rischi climatici e ambientali: aspettative Banca d’Italia


Principali criticità e buone prassi per l'attuazione 2025

ZOOM MEETING
Offerte per iscrizioni entro il 28/08

Iscriviti alla nostra Newsletter