Il fenomeno del whistleblowing nel contesto assicurativo

Coloro che lavorano per un’organizzazione, sia pubblica privata, svolgono un ruolo decisivo nella denuncia e nella prevenzione di quelle attività che potrebbero ledere il pubblico interesse o l’integrità delle imprese per cui operano, ma è naturale che si sentano poco inclini ad agire, per il timore di ritorsioni da parte dei loro responsabili e datori di lavoro.

Si è dunque posto il problema di assicurare una protezione giuridica a chi, avendo acquisito informazioni nell’ambito del proprio contesto lavorativo, si trovi nelle condizioni di portare all’attenzione delle autorità le circostanze e i fatti che riguardano le irregolarità di cui è venuto a conoscenza.

Questo, in pratica, è il motivo che ha spinto l’Unione Europea a rimarcare, presso tutti gli Stati membri, la necessità di consolidare le normative locali esistenti in tale contesto (e, in mancanza di queste, di vararne delle nuove e specifiche), nel tentativo di prevenire e reprimere i fenomeni di corruzione e di illegalità che potrebbero verificarsi nell’amministrazione delle imprese.

Per quel che concerne il nostro paese, il decreto legislativo 24/2023 ha disciplinato in modo organico l’intera materia del whistleblowing, estendendo le sue prescrizioni, non solo verso i soggetti del settore pubblico, ma anche verso quelli del settore privato, indipendentemente dall’ambito di appartenenza.

Chi ha modo di fornire informazioni che possano portare all’indagine e all’accertamento dei casi di violazione delle leggi esistenti contribuisce a rafforzare i principi di trasparenza e responsabilità: l’obbiettivo è dunque quello di garantire la protezione di questi soggetti, da un lato, e di contribuire all’emersione e alla prevenzione di rischi e situazioni pregiudizievoli per le organizzazioni, dall’altro.

Com’è intuibile, il sistema di tutele offerte dalla nuova normativa è principalmente incentrato sulla riservatezza delle informazioni del whistleblower. Tali tutele si estendono anche a soggetti diversi dal segnalante, poiché, proprio a causa del ruolo che assumono all’interno del processo di segnalazione (o del rapporto che li lega al segnalante), potrebbero anch’essi risultare oggetto di ritorsione, anche in via indiretta, da parte delle organizzazioni denunciate.

In pratica, dunque, parliamo di una specifica branca che concerne il trattamento dei dati personali, ovvero di una particolare e più approfondita applicazione della normativa generale nota come Gdpr. Prova ne sia che proprio il Garante della protezione dei dati abbia fornito importanti indicazioni sulle modalità di applicazione della normativa stessa.

Nell’ambito del settore privato, le aziende soggette agli obblighi e alle prescrizioni del nuovo regolamento sono:

In poche parole, le aziende private che hanno in media fino a 49 dipendenti subordinati sono soggette alla disciplina prevista dal decreto, se rientrano nel campo di applicazione specificatamente indicato nell’allegato al decreto stesso, alle parti I.B e II, e qualora abbiano adottato i modelli di gestione previsti dal dlgs 231/2001.

Quanto sopra implica essenzialmente che le imprese che si occupano di assicurazioni e servizi finanziari in genere si trovano a essere sempre coinvolte nell’applicazione della nuova normativa, da un lato, per quanto attiene alla gestione degli eventuali fenomeni interni di whistleblowing; dall’altro, perché potrebbero essere chiamate in causa, quali assicuratori, dalle aziende soggette alle prescrizioni del decreto e che non avessero potuto allinearsi a esse, ricevendo come conseguenza possibili richieste di risarcimento dai terzi interessati.

Per quanto attiene alla prima fattispecie di rischi, l’Ania ha provveduto a fornire una serie di informazioni agli aderenti, che possono essere facilmente reperite sul sito dell’associazione.

La stessa, in conformità al disposto del decreto e delle indicazioni fornite dal Garante della privacy, si è dotata di una procedura di gestione e ricezione delle segnalazioni, nonché di appositi canali che garantiscano la riservatezza del segnalante e delle persone coinvolte e consentano di effettuare le segnalazioni esterne all’Anac (Autorità nazionale anticorruzione), che svolgerà l’attività istruttoria necessaria a dar seguito alle medesime.

Ricorderemo che, nel contesto assicurativo, le violazioni che possono essere oggetto di segnalazione sono, ad esempio, quelle che riguardano l’indebita percezione di erogazioni pubbliche, la truffa ai danni dello Stato, i casi di peculato, concussione e corruzione e quelli di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita.

Ma riguardo alla specifica attività assicurativa, oltre alle violazioni precedenti, sono incluse le segnalazioni per pratiche commerciali ingannevoli o aggressive (individuate nel dlgs n.206/2005 o Codice del Consumo), quelle relative alle norme poste a tutela dei consumatori nel mercato assicurativo e riassicurativo e quelle relative al trattamento illecito di dati personali, ai sensi del Regolamento UE 2016/679 (il Gdpr e dlgs 196/2003 Codice Privacy).

Le segnalazioni possono riguardare anche fondati sospetti riguardanti violazioni commesse o che, sulla base di elementi concreti, potrebbero essere commesse, nonché gli elementi riguardanti condotte volte a occultare tali violazioni. Possono effettuarle i dipendenti di Ania ed enti collegati, lavoratori autonomi, consulenti, fornitori e liberi professionisti che collaborino con gli stessi, nonché eventuali volontari e tirocinanti, gli associati e le persone con funzioni di amministrazione, direzione, controllo e vigilanza al loro interno.

La ricezione e la gestione delle segnalazioni sono state affidate a un Case Manager, il responsabile del Servizio audit, che garantirà la riservatezza del segnalante e degli altri soggetti coinvolti e provvederà alle attività di verifica necessarie per dar seguito alla segnalazione, in conformità al disposto del decreto, eventualmente avvalendosi di altri soggetti previamente autorizzati.

C’è infine da considerare che gli intermediari assicurativi sono destinatari, oltre che delle previsioni del dlgs 24/2023, anche delle norme sui sistemi interni di segnalazione delle violazioni previsti dal Codice delle assicurazioni private, agli artt. 10-quater e 10–quinquies.

L’Ivass, in questo contesto, è titolata a ricevere segnalazioni riguardanti violazioni delle norme del codice medesimo e delle disposizioni dell’Unione Europea, oltre che a stabilire condizioni, limiti e procedure per la ricezione delle segnalazioni. L’indicazione prevista dal CAP, tuttavia, non è stata ancora seguita dalla pubblicazione del relativo regolamento. Gli operatori del settore denunciano quindi la mancata piena attuazione del combinato disposto del CAP e del Dlgs 24/2023.

Lo schema di Regolamento è destinato a disciplinare i presidi di natura procedurale ed organizzativa che le imprese e gli intermediari assicurativi o riassicurativi devono adottare, per consentire al proprio personale di segnalare atti o fatti che possano costituire violazione delle norme che regolano l’attività svolta.

In pratica, si tratta di individuare i requisiti minimi ed essenziali dei sistemi di segnalazione delle violazioni, lasciando agli operatori margini di autonomia per scegliere le soluzioni tecniche ed organizzative più idonee ed efficaci per le caratteristiche della propria struttura e dell’attività effettivamente svolta.

Le disposizioni del dlgs 24/2023 non trovano applicazione ove le segnalazioni delle violazioni risultino già disciplinate in via obbligatoria dagli atti dell’Unione Europea o dalle normative nazionali che costituiscono attuazione degli atti dell’Unione Europea.

È dunque necessario verificare di volta in volta se gli ambiti di applicazione siano stati già disciplinati e gli esempi in tal senso non sono pochi. Basti pensare alle normative inerenti l’antiriciclaggio (dlgs 90/2017 e direttive Ue 847/17 e 849/17), i servizi finanziari (dlgs 58/98 e Regolamento Ue 596/2014 sugli abusi di mercato), i servizi bancari (dlgs 385/93 e 72/2015, recante attuazione della direttiva 2013/36/Ue) e quelli assicurativi (dlgs 68/2018, recante attuazione della direttiva 2016/97/Ue).

C’è da notare che, diversamente da quanto previsto da quella generale, le normative di settore hanno come destinatari tutti i soggetti operanti nel settore di riferimento, senza alcun limite minimo di operatività, riguardante, ad esempio, il numero dei dipendenti occupati.

I soggetti obbligati dalla normativa antiriciclaggio, ad esempio, saranno tutti complessivamente obbligati a osservare l’art. 48 del dlgs 231/2007, indipendentemente dalle minori dimensioni della società di appartenenza e dall’assetto organizzativo e gestionale utilizzato.

Infine, è possibile che un’azienda rientri nell’ambito applicativo di diverse discipline speciali (le banche e le società assicurative, ad esempio, sono assoggettate sia al Testo unico bancario/Testo unico della finanza/Codice assicurazioni, che alla normativa Antiriciclaggio). Il problema, in questo caso, sarà di valutare quale norma sia applicabile dal punto di vista sanzionatorio, in caso di omissioni o carenze nella gestione dei canali di segnalazione previsti dalle singole normative.

Abbiamo infine da tener conto del caso in cui un’impresa assicurata commetta degli errori nell’allinearsi alla nuova normativa e da questo derivi un illecito, per il quale è possibile che riceva una richiesta di risarcimento da parte del terzo coinvolto.

La vittima in questo caso sarebbe l’eventuale whistleblower che dovesse subire ritorsioni da parte dei suoi superiori, ad esempio, perché la sua identità è stata rivelata per un’errata o insufficiente procedura di protezione della sua identità.

La domanda da porsi è: un’eventualità del genere sarebbe coperta da una polizza?

In mancanza di una specifica esclusione, è possibile che una polizza D&O, o una Cyber Liability, rispondano. In fin dei conti, parliamo di un illecito trattamento di dati da proteggere, la cui responsabilità risalirebbe al Dpo dell’azienda stessa o al direttore che ricopre tale funzione.

Come sappiamo, uno dei capisaldi della copertura prestata dalle polizze di assicurazione della responsabilità delle figure apicali di un’azienda si muove dichiaratamente nell’ambito di operatività del dlgs 231/2001 e quindi dei modelli di gestione (Mog) dallo stesso previsti. Ed è probabile che questa normativa sia ancora troppo giovane per avere determinato una levata di scudi da parte delle compagnie di assicurazione, attraverso l’imposizione di esclusioni dedicate. 

È anche possibile immaginare che le società terze che provvederanno al trattamento dei dati dei whistleblowers, in ottemperanza alla normativa prevista dal decreto, commettano un errore nello svolgere la loro attività. O che debba rispondere di questo l’autore materiale del software di gestione, dedicato all’occultamento dell’identità del segnalante o delle persone a lui vicine.

Parliamo dunque di danni che ricadrebbero nell’alveo della responsabilità contrattuale, ovvero della responsabilità professionale attinente l’attività della società che gestisce o sia autrice del software medesimo.

Dal momento che la regolamentazione per la messa in pratica della nuova normativa è ancora decisamente in fieri e l’applicazione di alcuni suoi punti resta da chiarire, è possibile che alcuni operatori del settore commettano errori in grado di determinare illeciti del tipo che abbiamo indicato.

A questo punto, ci sarebbe da appurare quali richieste di risarcimento risulterebbero effettivamente coperte, dal momento che eventuali sanzioni irrogate dal Garante della privacy, come sappiamo, non potrebbero esserlo.

Quelli indicati rappresentano i primi contratti assicurativi che vengono in mente, vedremo se altre eventualità possano divenire oggetto di richieste da parte degli assicurati, nel prossimo futuro, e se le compagnie di assicurazione decideranno di offrire prodotti ad hoc per coprirne le conseguenze.