Di seguito i riferimenti dei provvedimenti normativi in vigore, richiamati nel testo della procedura:

Si riportano di seguito le principali definizioni previste dal Decreto:

Facilitatore: una persona fisica che assiste una persona segnalante nel processo di segnalazione, operante all’interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata.

Persona coinvolta (segnalato): la persona fisica o giuridica menzionata nella segnalazione come persona alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata.

Persona segnalante (whistleblower): la persona fisica che effettua la segnalazione o la divulgazione pubblica di informazioni acquisite sulle violazioni nell’ambito del proprio contesto lavorativo.

Riscontro: comunicazione alla persona segnalante di informazioni relative al seguito che viene dato o che si intende dare alla segnalazione.

Ritorsione: qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile o della divulgazione pubblica e che provoca o può provocare alla persona segnalante e/o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto.

Segnalazione: comunicazione, scritta od orale, di informazioni, compresi i fondati sospetti, su violazioni commesse o che, sulla base di elementi concreti, potrebbero essere commesse nell’organizzazione, presentata tramite i canali di segnalazione previsti dal Decreto.

Seguito: l’azione intrapresa dal soggetto cui è affidata la gestione del canale di segnalazione per valutare la sussistenza dei fatti segnalati, l’esito delle indagini e le eventuali misure adottate.

Soggetti tutelati in caso di ritorsione: i segnalanti e coloro di cui all’art. 3 comma 5 del Decreto: il facilitatore e/o le persone del medesimo contesto lavorativo della persona segnalante, di colui che ha sporto una denuncia all'autorità giudiziaria o contabile o di colui che ha effettuato una divulgazione pubblica e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado e/o i colleghi di lavoro della persona segnalante o della persona che ha sporto una denuncia all'autorità giudiziaria o contabile o effettuato una divulgazione pubblica, che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente e/o gli enti di proprietà della persona segnalante o della persona che ha sporto una denuncia all'autorità giudiziaria o contabile o che ha effettuato una divulgazione pubblica o per i quali le stesse persone lavorano, nonché agli enti che operano nel medesimo contesto lavorativo delle predette persone.

Violazione: comportamento, atto od omissione che, non rispettando disposizioni normative nazionali o europee, lede l’interesse o l’integrità della Società.

La procedura è oggetto di approvazione da parte del Consiglio di Amministrazione della Società ed è aggiornata in conseguenza di variazioni normative e organizzative, nonché di eventuali modifiche nelle modalità gestionali come proposte dalle funzioni interessate sulla tematica.

Le eventuali modifiche alla procedura saranno apportate, su indicazione della funzione Internal Audit di Gruppo, previa approvazione/informazione del/al Consiglio di Amministrazione della Società.

Il Consiglio, con specifica delibera, ha affidato il ruolo di Gestore del Canale di Segnalazione Interna (di seguito: GCSI), come previsto dal D.lgs. 24/2023, a un organo costituito in forma collegiale, composto da:

• i soggetti che ricoprono il ruolo di Titolari, pro tempore, della funzione Internal Audit di Gruppo;

Al GCSI, nella sua collegialità, il Consiglio ha attribuito la responsabilità delle attività che il Decreto prevede in capo allo stesso, da svolgersi con diligenza e tempestività.  

Tale organo è dotato dell’autonomia, intesa come imparzialità e indipendenza, richiesta dalla norma, nonché di adeguate conoscenze tecniche, organizzative e della struttura aziendale che permettono una gestione appropriata delle segnalazioni e delle attività connesse.

Nello svolgimento dei propri compiti, il GCSI può avvalersi del personale dell’Ufficio Legale specificamente formato.

Per gli approfondimenti e il supporto necessari nella fase di indagine, il GCSI può richiedere la collaborazione delle funzioni aziendali/di Gruppo competenti sui temi oggetto della segnalazione, come specificato più oltre al capitolo 12.

Tutti coloro che operano nell’ambito della Gestione del Canale di Segnalazione Interna, in qualità sia di gestori dello stesso sia di funzioni di ausilio e supporto al canale nella fase di indagine, sono soggetti alle regole di cui al D. lgs. 24/2023, la cui violazione è passibile di sanzione.

Il GCSI riporta al Consiglio di Amministrazione e/o all’Organismo di Vigilanza, laddove presente, quelle segnalazioni, nonché i relativi seguiti, sulle quali esso ritiene necessario informare tali Organi.

Il GCSI fornisce annualmente al Consiglio di Amministrazione un rendiconto sulla gestione delle segnalazioni; analogo rendiconto è fornito all’Organismo di Vigilanza della Società, se presente, per i casi di competenza (condotte illecite rilevanti ai sensi del D.lgs. n. 231/2001 sulla responsabilità amministrativa degli enti).

Coerentemente con le disposizioni del Decreto, nonché al fine di concretizzare l’obiettivo di legalità e trasparenza del Gruppo e della Società, possono essere gestite tramite il canale interno, oltre alle segnalazioni che hanno come oggetto violazioni, di cui un soggetto sia venuto a conoscenza in un contesto lavorativo, di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse o l’integrità della Società, anche le violazioni relative a comportamenti, atti od omissioni che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato e che consistono in:

1) illeciti amministrativi, contabili, civili o penali che non rientrano nei numeri 3), 4), 5) e 6);

2) condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione ivi previsti, che non rientrano nei numeri 3), 4), 5) e 6);

3) illeciti che rientrano nell'ambito di applicazione degli atti dell'Unione europea o nazionali indicati nell'allegato al presente decreto ovvero degli atti nazionali che costituiscono attuazione degli atti dell'Unione europea indicati nell'allegato alla direttiva (UE) 2019/1937, seppur non indicati nell'allegato al presente decreto, relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell'ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;

4) atti od omissioni che ledono gli interessi finanziari dell'Unione di cui all'articolo 325 del Trattato sul funzionamento dell'Unione europea specificati nel diritto derivato pertinente dell'Unione europea;

5) atti od omissioni riguardanti il mercato interno, di cui all'articolo 26, paragrafo 2, del Trattato sul funzionamento dell'Unione europea, comprese le violazioni delle norme dell'Unione europea in materia di

concorrenza e di aiuti di Stato, nonché le violazioni riguardanti il mercato interno connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che

vanifica l'oggetto o la finalità della normativa applicabile in materia di imposta sulle società;

6) atti o comportamenti che vanificano l'oggetto o la finalità delle disposizioni di cui agli atti dell'Unione nei settori indicati nei numeri 3), 4) e 5);

7) violazioni delle disposizioni interne e/o di procedure interne in vigore nella Società;

8) violazioni suscettibili di arrecare un pregiudizio patrimoniale alla Società, nonché di causare un danno alla salute e alla sicurezza dei soggetti che operano all’interno della stessa;

9) violazioni o presunte violazioni dei valori, principi di comportamenti contenuti nel Codice Etico.

Le segnalazioni devono esser fondate ed effettuate secondo il principio generale di buona fede, nonché essere il più possibile circostanziate al fine di consentire l’accertamento dei fatti.

Esse devono contenere una descrizione chiara e completa dei fatti segnalati, nonché, se conosciute o conoscibili, delle circostanze di tempo e di luogo in cui sono stati commessi, delle generalità dei soggetti direttamente coinvolti e degli eventuali altri soggetti che possano riferire su tali circostanze.

Il segnalante è tenuto, se possibile, a fornire eventuale documentazione e ogni informazione utile a riscontrare la fondatezza della segnalazione.

Il Sistema di segnalazione, coerentemente con le disposizioni del Decreto, prevede che il canale sia aperto sia al personale interno della Società sia a chiunque abbia contatti con la Società in un contesto lavorativo, nonché a chiunque sia portatore di interesse (cd. Stakeholder).

Sono pertanto legittimate ad effettuare una segnalazione le persone che operano nel contesto lavorativo della Società in qualità di:

• lavoratori subordinati, sia che abbiano un rapporto di lavoro in corso (ivi compreso il rapporto di lavoro in prova) sia che siano in fase di selezione e/o precontrattuale (se le informazioni sulle violazioni sono state acquisite in tale fase) sia che abbiano terminato il rapporto (se le informazioni sulle violazioni sono state acquisite nel corso del rapporto stesso);
• lavoratori autonomi che svolgono la propria attività lavorativa presso la Società;
• collaboratori, liberi professionisti e consulenti che prestano la propria attività nella Società (ad esempio, intermediari, fiduciari, fornitori, partner e collaboratori commerciali);
• volontari e tirocinanti, retribuiti e non retribuiti;
• azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto.

Per la presentazione di una segnalazione, il segnalante può farsi assistere da un facilitatore, come sopra definito, persona fisica a cui si applicano tutte le tutele previste dalla procedura.

L’intento del legislatore è quello di incoraggiare le persone segnalanti all’utilizzo del canale interno per una segnalazione, in quanto una più efficace prevenzione e accertamento delle violazioni passa attraverso l’acquisizione di informazioni pertinenti da parte dei soggetti più vicini all’origine delle violazioni stesse.

Si precisa che il canale di segnalazione interno deve essere quello preferito, potendo il segnalante ricorrere alla segnalazione esterna o alla divulgazione pubblica solo al ricorrere di particolari situazioni, come di seguito meglio specificato.

Tale principio, inoltre, è volto, da un lato, a favorire una cultura della buona comunicazione e della responsabilità sociale d’impresa all’interno dell’organizzazione, dall’altro, a fare in modo che i segnalanti, facendo emergere atti, omissioni o condotte illecite, contribuiscano significativamente al miglioramento della propria organizzazione.

In linea con le indicazioni del Decreto, la Società ha pertanto strutturato il proprio canale di segnalazione interna in modo da garantire la riservatezza dell’identità del segnalante, dei soggetti coinvolti e l’applicazione di tutte le tutele previste dal Decreto. 

Il canale interno consente l’invio delle segnalazioni in forma scritta o orale, con le modalità di seguito indicate.

9.1.  Piattaforma informatica (cd. “piattaforma whistleblowing”)

9.1.1. Modalità di accesso alla piattaforma whistleblowing

L’accesso alla piattaforma avviene “con registrazione”. Attraverso tale modalità, la piattaforma propone la creazione di una “utenza” e di una “password” personalizzata, a cura del segnalante, e presenta un form in cui indicare i propri dati di contatto (nome, cognome, e-mail); in questo caso:

• per i successivi accessi alla piattaforma, il segnalante potrà scegliere se utilizzare i codici di accesso generati automaticamente dal sistema (come in modalità A), o se effettuare il “login” con le credenziali di cui sopra;
• ad ogni inserimento di riscontro/messaggio sulla segnalazione da parte del GCSI la piattaforma invierà al segnalante una mail di notifica, che faciliterà la presa visione della comunicazione.

I dati di contatto indicati dal segnalante, così come le “credenziali di accesso alla piattaforma” (utenza/ password generati in fase di registrazione), sono archiviati separatamente dal contenuto della segnalazione, con tecniche di crittografia evolute, e non possono essere collegati a quest’ultima da parte del GCSI. Il segnalante può decidere di indicare i propri dati di contatto anche in un momento successivo al primo ingresso o all’invio della segnalazione, abilitando in questo modo la possibilità di ricevere le notifiche. 

9.1.2. Modalità di presentazione delle segnalazioni

La piattaforma consente di effettuare le segnalazioni, a scelta del segnalante: 

• in forma scritta: dopo l’inserimento delle informazioni principali tramite menù a tendina (oggetto, tipologia di illecito, autori dell’illecito, luogo e data accadimento, soggetti coinvolti), il segnalante ha a disposizione un ampio campo a testo libero per descrivere i fatti.

Si raccomanda di non inserire i propri dati personali o di contatto nel testo della segnalazione, in quanto ciò fa venir meno l’archiviazione separata di cui al punto precedente;

• in forma orale: tramite una funzione che consente la registrazione di un messaggio vocale della durata massima di 20 minuti, il successivo riascolto, la conferma della registrazione o l’eventuale cancellazione, a cui può seguire una nuova registrazione.

Mancando la raccolta di informazioni dal menù a tendina, il segnalante deve aver cura di comunicare tutte le informazioni utili alla comprensione e alla valutazione dei fatti.

Il testo registrato è archiviato dalla piattaforma con una voce alterata e solo in questo modo è possibile l’ascolto da parte del GCSI, al fine di evitare il riconoscimento del segnalante.

Anche in questo caso, si raccomanda di non comunicare i propri dati personali o di contatto nel testo registrato, per i motivi già citati.

Eventuali segnalazioni di violazioni pervenute a qualsiasi ufficio / funzione aziendale con modalità diverse da quelle sopra indicate (es: posta ordinaria, posta elettronica, ecc.) dovranno essere consegnate a cura della funzione ricevente al GCSI entro 7 giorni dal ricevimento, come previsto dal Decreto, per la successiva gestione e riscontro al segnalante (in caso di segnalazione cartacea anonima, il riscontro ovviamente non potrà essere fornito).

Esse saranno caricate, in formato digitale, sulla piattaforma informatica a cura del GCSI per la gestione delle fasi successive.

Si precisa tuttavia che tali modalità non garantiscono al segnalante il grado di tutela e riservatezza previsto nei suoi confronti dal Decreto, per quanto riguarda, in particolare, la fase preliminare al ricevimento da parte del GCSI.

L’utilizzo di tali modalità è pertanto sconsigliato.

La gestione della segnalazione ricevuta sul canale interno si articola nelle seguenti fasi:

1. ricevimento della segnalazione. Per tale fase, il GCSI:

• rilascia alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
• mantiene le interlocuzioni con la persona segnalante e richiede a quest’ultima, se necessario, eventuali integrazioni.

Qualora la specifica segnalazione riguardi direttamente uno dei membri del GCSI, per le fasi successive essa è gestita esclusivamente dagli altri membri non coinvolti.

2. analisi ammissibilità. Per tale fase il GCSI:

• effettua il discernimento tra segnalazioni ammissibili/non ammissibili, in base ai criteri indicati al capitolo 7.2;
• nel caso di segnalazioni non ammissibili, informa il segnalante della non ammissibilità e dei motivi della stessa, nonché provvede ad archiviare la segnalazione;
• nel caso di segnalazioni il cui contenuto sia classificabile come “reclamo del cliente”, inoltra le stesse alle funzioni aziendali preposte per la gestione, dandone comunicazione al segnalante e, conseguentemente, provvede ad archiviare la segnalazione;

3. fase istruttoria: per le segnalazioni che rientrano in quelle ammissibili, il GCSI, attraverso le funzioni aziendali/di Gruppo/professionisti esterni di cui può avvalersi, procede alla verifica della fondatezza dei fatti segnalati, con un’indagine tempestiva e accurata, nel rispetto dei principi di imparzialità, equità, proporzionalità e riservatezza nei confronti di tutti i soggetti coinvolti. Laddove ritenuto necessario, il GCSI può interpellare la/le persona/e coinvolta/e nella segnalazione.

Resta inteso che l’identità del segnalante, qualora nota, non può essere rivelata senza il suo consenso e comunque, in caso di procedimento disciplinare, solo laddove la conoscenza dell’identità della persona sia indispensabile per la difesa dell’incolpato, essendo la contestazione fondata in tutto o in parte sulla segnalazione.

In assenza di riscontri di fondatezza sui fatti segnalati, il GCSI provvede ad archiviare la segnalazione sulla piattaforma.

4. trasmissione degli esiti: al completamento della fase istruttoria, il GCSI provvede a fornire al segnalante riscontro delle informazioni relative al seguito della segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione.

Tale riscontro può consistere nella comunicazione dell’archiviazione, dell’avvio di un’inchiesta interna ed eventualmente delle relative risultanze. Laddove la fase istruttoria non sia conclusa entro tale termine, il riscontro può anche essere meramente interlocutorio con la comunicazione delle informazioni al momento disponibili e/o delle attività ancora da intraprendere.

Qualora, le indagini svolte confermino l’effettiva realizzazione dell’illecito/della violazione segnalata, il GCSI informa le funzioni aziendali competenti a seconda della tipologia della segnalazione per la messa in atto delle azioni di rimedio e/o dei provvedimenti necessari nei confronti dei soggetti di cui si sia accertata la responsabilità nella realizzazione dei fatti.

Nei casi di particolare rilevanza/ gravità (es. violazioni significative o commesse da soggetti apicali), il GCSI porta tempestivamente il caso a conoscenza del Consiglio di Amministrazione, nonché degli altri Organi di controllo interessati;

5. provvedimenti: sulla base degli esiti trasmessi dal GCSI e di eventuali ulteriori approfondimenti qualora ritenuti necessari, le funzioni deputate adottano i provvedimenti opportuni, nonché mettono in atto le relative azioni correttive, dandone opportuna informazione al GCSI. Non compete al GCSI accertare le responsabilità individuali qualunque natura esse abbiano, né svolgere controlli di legittimità o di merito su atti e provvedimenti adottati dalla Società;

Ai sensi dell’art.17 del Decreto, i segnalanti e i soggetti di cui all’art. 3, comma 5, del Decreto non possono subire alcuna ritorsione, atto che in via esemplificativa si concretizza nelle fattispecie del licenziamento, demansionamento, modifica unilaterale senza giustificazione del contratto in materia di orario e/o luogo di lavoro, irrogazione di sanzioni disciplinari priva di fondamento.

L’eventuale accertamento delle situazioni sopra descritte sarà sanzionato dalla Società a norma del Sistema sanzionatorio a presidio del Modello organizzativo ex D.lgs. 231/2001 e del Sistema di Segnalazione ex D.lgs. 24/2023, nonché potrà comportare la proposizione delle azioni civili e penali previste dalla legge.

Le misure indicate sono applicate anche al soggetto segnalato e a tutti coloro che sono chiamati in causa nella segnalazione; la Società vieta altresì ogni forma di ritorsione o discriminazione avente effetti sulle condizioni di lavoro di chi collabora alle attività di riscontro della fondatezza della segnalazione.

I soggetti tutelati da Decreto che ritengano di aver subito una ritorsione, informano ANAC, tramite il sito istituzionale dell’Autorità, per gli accertamenti che la legge le attribuisce.

Il trattamento dei dati personali ricavati o ricavabili dalle segnalazioni è effettuato in conformità al GDPR e al Codice in materia di protezione dei dati personali e i dati personali non utili alla gestione della segnalazione non devono essere raccolti, oppure devono essere cancellati immediatamente.

In osservanza degli artt. 15-22 del GDPR, il diritto di accesso ai dati può essere esercitato nei limiti e alle condizioni stabilite dall’art. 2-undecies del Codice in materia di protezione dei dati personali.

La Società, in qualità di titolare del trattamento, si occupa di fornire l’informativa al segnalante e alle persone coinvolte (artt. 13 e 14 GDPR) e adotta misure appropriate a tutela dei diritti e della libertà degli interessati; inoltre, individua misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato, sulla base di una valutazione d’impatto sulla protezione dei dati personali, e disciplina il rapporto con eventuali fornitori esterni ai sensi dell’art. 28 del GDPR.

I dati personali contenuti nelle segnalazioni potranno essere comunicati dal responsabile della gestione della segnalazione agli organi sociali e alle funzioni/unità organizzative aziendali e del Gruppo interne eventualmente di volta in volta competenti, così come all’Autorità Giudiziaria, ai fini dell’attivazione delle procedure necessarie a garantire, in conseguenza della segnalazione, idonea tutela giudiziaria e/o disciplinare nei confronti del/i soggetto/i segnalato/i, laddove dagli elementi raccolti e dagli accertamenti effettuati emerga la fondatezza delle circostanze inizialmente segnalate.

I dati personali e i documenti contenenti tali dati saranno trattati per un periodo di tempo non superiore a quello necessario agli scopi per i quali i dati sono stati raccolti. Tale trattamento non prevede il consenso dell’interessato in quanto necessario per adempiere ad un obbligo di legge.

Nel corso delle attività volte a verificare la fondatezza della segnalazione saranno adottate tutte le misure necessarie a proteggere i dati dalla distruzione accidentale o illecita, dalla perdita e dalla divulgazione non autorizzata.

La documentazione relativa alle segnalazioni, effettuate con tutte le modalità previste (per iscritto/oralmente raccolte nel corso di un incontro con il personale addetto e documentate per iscritto) è conservata per il tempo necessario al loro trattamento e comunque non oltre cinque anni dalla data di comunicazione dell’esito della segnalazione, nel rispetto degli obblighi di riservatezza stabiliti dal Decreto e dei principi dettati dal GDPR (art. 14, comma 1) all’interno della piattaforma informatica preposta. Le funzioni coinvolte di volta in volta nelle attività di riscontro della fondatezza della segnalazione assicurano, ciascuna per quanto di competenza, la tracciabilità dei dati e delle informazioni e provvedono alla conservazione e archiviazione della documentazione prodotta, in modo da consentire la ricostruzione delle diverse fasi del processo stesso.

Il GCSI è tenuto a mettere a disposizione dei potenziali interessati informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne ed eventualmente la divulgazione pubblica. Le suddette informazioni sono disponibili per i dipendenti sui canali intranet e sulle bacheche aziendali, nonché accessibili alle persone che intrattengono un rapporto giuridico in una delle forme di cui all’art. 3, commi 3 o 4, del Decreto in una sezione dedicata del sito web della Società.

Inoltre, per favorire la più alta diffusione della trasparenza e della legalità a tutti i livelli, il Sistema di gestione delle segnalazioni:

• è oggetto di rendicontazione periodica al Consiglio di Amministrazione e all’Organismo di Vigilanza, come sopra già riportato;
• è oggetto di formazione specifica per tutti coloro che gestiscono le segnalazioni;
• è incluso nelle iniziative di formazione/informazione per i dipendenti.