Whistleblower, case study e criticità

Il Whistleblower è il denunciante. Le segnalazioni devono essere effettuate nell’interesse pubblico o nell’interesse alla integrità dell’amministrazione pubblica o dell’ente privato. Il segnalante può essere chiunque abbia un rapporto con un ente pubblico o una azienda privata, che con rivelazione spontanea informa su condotte discutibili, riprovevoli, scorrette o illecite, mettendo l’Ente nelle condizioni di intervenire in autotutela. Tutto questo implica la necessità di mettere in sicurezza chi denuncia, creando adeguati canali di segnalazione e proteggendo dalle ritorsioni. 

1. Whistleblower: spie o eroi?

Nel corso del 2022, ANAC ha ricevuto 347 segnalazioni di whistleblowing, di cui 272 relative a presunti illeciti. Le irregolarità segnalate hanno riguardato soprattutto l’ambito degli appalti pubblici, quello delle procedure concorsuali, la gestione delle risorse pubbliche, la mancata attuazione della disciplina anticorruzione, nonché numerosi casi di maladministration, talvolta anche con ricadute penali [1]. In attuazione della Direttiva (UE) 2019/1937, è stato emanato il d.lgs. n. 24 del 10 marzo 2023 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” [2]. Nonostante la recente normativa volta a rafforzare il sistema di denuncia, il tema è ancora timidamente affrontato; i segnalanti sono spesso considerati come un traditori, spie, infami, diventando vittime di un sistema ritorsivo [3]. Emblematico il caso di Francesco Zambon, ricercatore dell’Organizzazione Mondiale della Sanità che ha denunciato il ritiro da parte dell’OMS di un rapporto sulle carenze della risposta italiana al coronavirus. C’è poi il caso di un trader di una importante banca europea che aveva scoperto pagamenti sospetti effettuati tramite una delle sue filiali nei paesi baltici. L’indagine ha disvelato il riciclaggio di circa 200 miliardi di euro nell’arco di otto anni e oltre 15.000 conti coinvolti nelle transazioni criminali, ma il denunciante ha dovuto dimettersi.
Non è così per tutti. In USA, per esempio, i whistleblowers vengono pagati. Un ex dirigente di una banca presente sia in America che in UK ha denunciato tramite canale esterno gli illeciti, più di 4 miliardi di dollari di contratti finanziari influenzati dal tasso d’interesse. Dopo aver trovato prove di attività criminale in alcuni dipartimenti, le autorità su entrambi i lati dell’Atlantico hanno sanzionato l’istituto per 2,5 miliardi di dollari. Nel 2022, l’informatore è stato premiato negli Stati Uniti con 200 milioni di dollari  per aver fornito le informazioni che avevano portato alla sentenza. Nel 2023 la Securities and Exchange Commission (SEC), l’ente federale statunitense preposto alla vigilanza delle borse valori, ha annunciato di aver riconosciuto il più elevato premio in danaro mai assegnato, quasi 279 milioni di dollari, ad un whistleblower le cui informazioni ed assistenza hanno portato al successo dell’applicazione della SEC e di azioni correlate. Nel comunicato ufficiale [4] si legge che “l’entità del premio, il più alto nella storia del programma, non solo incentiva gli informatori a farsi avanti con informazioni accurate su potenziali violazioni della legge sui titoli, ma riflette anche l’enorme successo del programma per gli informatori. Questo successo va a diretto vantaggio degli investitori, poiché le segnalazioni degli informatori hanno contribuito ad azioni esecutive che hanno portato a ordini che impongono ai cattivi attori di restituire più di 4 miliardi di dollari in guadagni illeciti e interessi. Come dimostra questo premio, c’è un incentivo significativo per gli informatori a farsi avanti con informazioni accurate su potenziali violazioni della legge sui titoli”. Trattasi del premio più alto nella storia degli Stati Uniti e del “programma Whistleblower” della SEC, che raddoppia il premio di 114 milioni di dollari assegnato dalla SEC stessa nell’ottobre 2020 e che supera il totale di 229 milioni di dollari distribuiti tra 103 premi per informatori della SEC in tutto l’anno fiscale 2022. La legislazione statunitense tutela fortemente la figura del whistleblower, con uno stringente obbligo di riservatezza e divieti di ritorsione, in aggiunta un robusto sistema di incentivazione alla denuncia, ritenuto altrettanto fondamentale e determinante per il buon funzionamento dei meccanismi di emersione delle violazioni. I pagamenti agli informatori provengono da un fondo per la protezione degli investitori, istituito dal Congresso, che è interamente finanziato dalle sanzioni pecuniarie pagate alla SEC dai trasgressori. Le informazioni devono essere “originali, tempestive e credibili”, portano ad un’azione esecutiva di successo e rispettano le procedure di segnalazione. I premi per i whistleblower sono parametrati a quanto recuperato dallo Stato al termine del giudizio e possono variare dal 10 al 30% del denaro raccolto quando le sanzioni monetarie superano il milione di dollari.

2. Il caso funzionario vs Banca d’Italia

In Italia, un caso singolare di whistleblower si rintraccia nella vicenda del funzionario destituito dalla Banca d’Italia. L’impiegato rivestiva l’incarico di coordinatore locale del Gruppo di Vigilanza, congiunto con la BCE, per l’esercizio dei poteri di vigilanza sulla banca Monte dei Paschi di Siena (MPS). In tale veste, partecipava alle attività di vigilanza relative alla vicenda della cd. “truffa dei diamanti”, che aveva investito la banca senese nel 2016 a seguito di un esposto anonimo segnalante la promozione dell’acquisto di diamanti presso la propria clientela, commercializzati da DPI (Diamand Private Investment) sulla base, non delle quotazioni ufficiali, ma di un listino prezzi della stessa DPI. In ragione di ciò, Banca d’Italia comminava a MPS una sanzione di circa 1.300.000 euro, per violazione delle disposizioni in materia di obblighi di verifica della clientela ai sensi del d.lgs. 231 del 2007, senza avviare alcuna procedura nei confronti del management di MPS, e trasmettendo poi gli atti, per competenza, alla BCE. Il funzionario, però, manifestava la propria contrarietà rispetto alla condotta dell’Istituto di appartenenza, sostenendo che le responsabilità relative alla vicenda coinvolgessero anche i vertici di MPS. Successivamente, veniva allontanato dal team di vigilanza e sottoposto ad una visita medica psichiatrica per accertarne l’idoneità al servizio. L’impiegato effettuava una prima segnalazione interna whistleblowing (19/11/2019) che veniva archiviata, a cui seguì una seconda (22/10/2021) ugualmente archiviata. Nel frattempo le tensioni si acuiscono, vengono emanati due procedimenti disciplinari a carico del segnalante, rispettivamente a ottobre e novembre 2021. A seguito del primo procedimento disciplinare, a dicembre 2021, Banca d’Italia decideva per la sospensione cautelare dal servizio e dalla retribuzione per 12 mesi; sanzione impugnata dall’interessato innanzi al Tar Lazio e sospesa in appello dal Consiglio di Stato per la parte eccedente i sei mesi. La Banca quindi riammetteva il funzionario, assegnandolo a diverso servizio. Nel frattempo, l’impiegato riferisce su quanto accaduto ad un pm e alla trasmissione televisiva Report [5]. Successivamente, la Banca disponeva nuovi accertamenti medico legali per il segnalante. Il secondo procedimento disciplinare, avviato a novembre 2021 ed integrato con una nota di febbraio 2022, si concludeva con il provvedimento di destituzione del 18 luglio 2022. Il provvedimento è stato impugnato innanzi al Tar Lazio, che lo annullava [6], ritenendo illegittima la procedura della Banca per la mancata assistenza del legale durante l’udienza della Commissione di disciplina. La Banca quindi provvedeva alla sospensione cautelare dal servizio per gravi motivi, in particolare violazione dell’obbligo di riservatezza [7]. In seguito, l’ente confermava la sanzione disciplinare della destituzione dal servizio [8]. Il whistleblower procede con ricorso al TAR [9], che si pronuncia in senso negativo [10], rigettando la richiesta di reintegro. L’impiegato denunciante è quindi destituito definitivamente.
La vicenda diamanti ha visto coinvolte diverse banche italiane e sono in corso più indagini. La compravendita dei diamanti nei circuiti bancari italiani è avvenuta ad un prezzo maggiorato rispetto al valore reale, in frode ai clienti. Oltre un centinaio gli imputati chiamati a rispondere, a vario titolo, di truffa aggravata, autoriciclaggio e corruzione fra privati, per un presunto ingiusto profitto ai danni degli investitori quantificato in circa 500 milioni di euro. Gli istituti bancari si sono rivelati il canale privilegiato attraverso il quale le società  IDB S.p.A. e DPI S.p.A riuscivano a vendere la quasi totalità dei loro diamanti. Il risparmiatore veniva indirizzato dal proprio istituto bancario di fiducia all’acquisto dei preziosi, ingenerando così nel medesimo la convinzione di investire i propri risparmi in un prodotto venduto dalla banca stessa. Già nel 2017 l’AGCM (l’Autorità Garante della Concorrenza e del Mercato), con due decisioni, aveva sanzionato le società IDB S.p.A. e DPI S.p.A. e le relative banche di appoggio, per modalità omissive ed ingannevoli di vendita e violazione dei diritti dei consumatori, sanzioni confermate dal TAR Lazio. I provvedimenti all’AGCM avevano spinto anche la Procura di Milano ad indagare sulla vicenda, contestando a 87 persone fisiche e 6 società con l’avviso di conclusione delle indagini preliminari i reati di truffa aggravata, autoriciclaggio e ostacolo alle funzioni di vigilanza (2020). Nel 2021 anche il Consiglio di Stato ha confermato la responsabilità delle Banche e delle società broker nella vendita dei diamanti da investimento. Ad oggi a livello nazionale vi sono state diverse pronunce che hanno riconosciuto un ristoro economico ai risparmiatori. In alcune di esse è stato condannato l’istituto bancario a risarcire il risparmiatore con la somma individuata nella differenza tra il prezzo di acquisto ed il reale valore del bene, individuando la fonte della responsabilità della banca nel rapporto che è intercorso tra il cliente e l’istituto di credito in relazione all’acquisto dei diamanti e nell’ambito del quale il risparmiatore ha posto affidamento in un dovere di diligenza gravante in capo alla banca stessa, in virtù delle sue specifiche competenze professionali. Il rapporto intercorso tra le parti avrebbe infatti dovuto generare a carico della banca un obbligo di informazione e di protezione nei confronti del cliente a salvaguardia dell’affidamento in lui generato. Al 31 marzo 2023 MPS scriveva che le erano pervenute più di 12 mila richieste per un controvalore di circa 317 milioni. Le pratiche ad oggi concluse sono state complessivamente pari a 316 milioni, e rappresentano ben il 99,7% del volume complessivo delle segnalazioni di offerta dei diamanti della capogruppo. Tuttavia, le pietre ritirate sono iscritte per un valore pari a 68.6 milioni, con una differenza di quasi 250 milioni, il quadruplo rispetto al valore di mercato reale. Le irregolarità sarebbero state note almeno già dal 2016, quando erano giunte le prime segnalazioni e un esposto anonimo che informava il Servizio Tutela Clienti della Vigilanza, la filiale di Firenze di Banca di Italia, la Procura della Repubblica, nonchè l’ufficio reclami di MPS. I dati furono confermati, prima dalle sanzioni comminate dall’Antitrust e dalle indagini successive. Nel frattempo si sono aperti anche i procedimenti penali, che tuttavia risentono della frammentazione in procure differenti.

3. Il canale interno di segnalazione

Oltre alla differenza macroscopica tra l’impostazione del legislatore statunitense e quello europeo, emerge una criticità irrisolta nelle procedure comunitarie ed italiane, con la segnalazione interna. L’informazione viene condivisa con gli organi apicali dell’ente, spesso coinvolti nelle attività oggetto di denuncia, facendo venir meno la segretezza e quindi la tutela del whistleblower. Questo porta quasi sempre a ritorsioni, rappresaglie, atti intimidatori più o meno espliciti, fino al licenziamento.
Nelle intenzioni del nuovo Decreto whistleblowing, il canale interno di segnalazione dovrebbe assicurare la riservatezza dell’identità del segnalante, del segnalato, degli altri soggetti coinvolti o menzionati nella segnalazione e del contenuto della segnalazione e della relativa documentazione e al contempo vieta “qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione (…) che provoca o può provocare alla persona segnalante (…), in via diretta o indiretta un danno ingiusto [11]”. Sul punto, occorre precisare che il divieto di ritorsione è assicurato anche nei confronti di tutti coloro che hanno un legame qualificato con il segnalante, ovvero facilitatori (persone che assistono il whistleblower nel processo di segnalazione), persone del medesimo contesto lavorativo, colleghi di lavoro ed enti di proprietà del segnalante o in cui lavora oppure che operano nel medesimo contesto lavorativo [12].
Il canale deve essere definito in modo da dare al whistleblower la possibilità di scegliere se segnalare in forma scritta, tramite strumento informatico (piattaforma online) o posta cartacea, oppure in forma orale, mediante linee telefoniche dedicate, sistemi di messaggistica vocale e, se richiesto dal segnalante, attraverso un incontro diretto con il gestore del canale [13]. Gli enti che hanno adottato un Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/2001 sono chiamati a prevedere all’interno del Modello stesso canali di segnalazione conformi al Decreto, il divieto di ritorsione e le sanzioni applicabili in caso di violazione del sistema di whistleblowing.
La normativa lascia ampia discrezionalità nell’individuazione del gestore del canale, in base alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta. Spazi di manovra troppo ampi possono, però, diventare controproducenti e obliterare le necessarie tutele. Il Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili (CNDCEC) [14], invita ad escludere dalla gestione della segnalazione i componenti del Consiglio di Amministrazione, il Direttore generale, i dirigenti e tutto il personale apicale, nonché un soggetto con mansioni organizzative, gestionali o di responsabilità all’interno dell’ente, che “potrebbe avere interesse a non agire con adeguata determinatezza rispetto alla violazione o al reato segnalato per salvaguardare l’immagine dell’ente stesso o del proprio operato”. Il Decreto si limita a indicare che “la gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch’esso autonomo e con personale specificamente formato” [15]. Al whistleblower viene rilasciato un avviso di ricevimento della segnalazione entro 7 giorni dalla data di ricezione; il gestore mantiene le interlocuzioni con il segnalante e può richiedere a quest’ultimo, se necessario, integrazioni; fornisce riscontro alla segnalazione entro 3 mesi dalla data di avviso di ricevimento o, in mancanza, entro 3 mesi e 7 giorni dalla presentazione della segnalazione. Il gestore provvede a dare diligente seguito alle segnalazioni ricevute, intendendosi per “seguito” “l’azione intrapresa dal soggetto cui è affidata la gestione del canale di segnalazione per valutare la sussistenza dei fatti segnalati, l’esito delle indagini e le eventuali misure adottate”. Diversamente, la Direttiva (UE) 2019/1937 sembra attribuire al gestore, oltre alla valutazione circa la sussistenza dei fatti segnalati, anche la possibilità di “porre rimedio alla violazione segnalata, anche attraverso azioni come un’inchiesta interna, indagini, l’azione penale, un’azione per il recupero dei fondi o l’archiviazione della procedura” [16].
Le funzioni devono essere ripartite per garantire comunque all’Organismo di Vigilanza l’autonomia e l’indipendenza richieste dal D. Lgs. 231/2001. AODV²³¹ sconsiglia la coincidenza tra gestore e OdV, in quanto la partecipazione ad attività gestorie potrebbero minarne l’indipendenza e l’autonomia [17]. Confindustria ritiene invece l’OdV un soggetto adeguato a ricoprire il ruolo di gestore in quanto dotato per legge dei requisiti di autonomia, indipendenza e professionalità tecnica necessari per svolgere le attività di verifica e istruttoria, lasciando poi alle funzioni aziendali competenti l’applicazione di eventuali misure sanzionatorie [18].
Nel concreto, le realtà più strutturate spesso istituiscono un Comitato che reindirizza all’OdV le segnalazioni rilevanti ai sensi del D.Lgs. 231/2001, o viene nominato uno dei componenti dell’OdV quale membro del Comitato, con il ruolo di raccordo tra Comitato e Organismo. Nei contesti più piccoli, la scelta di affidare la gestione del canale all’OdV (o ad altro soggetto esterno) sembra necessaria, in assenza di figure interne sufficientemente autonome.
In caso di gruppi societari, ANAC valuta più conforme alla direttiva l’opzione del doppio canale: uno a livello di controllata e uno a livello di capogruppo, lasciando al whistleblower la scelta [19]. La Commissione Europea si era espressa [20] in merito alle questioni sollevate da alcune multinazionali danesi, affermando che la facoltà di condividere il canale di segnalazione è concessa alle sole piccole e medie imprese in quanto, nelle stesse, viene assicurato l’agevole accesso all’unico canale di segnalazione istituito e garantita una completa informazione sul medesimo; le grandi imprese e i gruppi multinazionali, non soddisfacendo le ragioni di efficienza e prossimità dei canali di segnalazione, potrebbero invece istituire un canale di segnalazioni centralizzato, purché coesista con quelli locali. Confindustria ha proposto di centralizzare la gestione del canale di segnalazione e di individuare, da parte di un ente del gruppo, la casa madre come gestore esterno in forza di specifico contratto di service [21]. La gestione del canale interno può essere decentralizzata, ossia ogni singolo ente del gruppo gestisce internamente le segnalazioni di propria competenza pervenute attraverso il canale di gruppo (selezionando la società di appartenenza). In alternativa, la gestione del canale interno è centralizzata, affidando alla casa madre la gestione del canale.
Restano sfumate le indicazioni sulla gestione delle segnalazioni, con un cortocircuito evidente nel caso in cui i gestori siano coinvolti nelle attività oggetto di denuncia. Ad oggi non esiste una procedura operativa condivisa, lasciando irrisolto anche il nodo fondamentale della protezione e conservazione dei dati, la tutela della privacy e della sicurezza del denunciante.

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!

Note