Nel contesto aziendale attuale, la protezione dei dati e la sicurezza informatica stanno assumendo un ruolo di primo piano a causa di un panorama normativo sempre più complesso e di una crescente attenzione alla trasparenza e alla necessità di compliance aziendale. Circa un anno fa, entrava in vigore nell’ordinamento italiano il D. Lgs 24/2023 di recepimento della Direttiva (UE) 1937/2019 sul Whistleblowing, recentemente aggiornato con riguardo agli illeciti cui è applicabile (in particolare quelli relativi ai mercati delle cripto-attività ai sensi del D. Lgs 129/2024 recante l’adeguamento delle norme nazionali al Regolamento (UE) 1114/2023 – c.d. MICA).
Ricordiamo che il termine "whistleblowing" si riferisce all'atto volontario attraverso il quale un individuo, denominato "segnalante" o "whistleblower", comunica una condotta illecita o un'irregolarità verificatasi all'interno di un'organizzazione, di cui abbia avuto conoscenza nel contesto lavorativo. Il segnalante, sebbene frequentemente identificato con un dipendente dell'organizzazione, può altresì essere un soggetto esterno (es. un fornitore o un ex tirocinante). In questo contesto, il legislatore europeo, mediante la Direttiva UE 1937/2019, ha inteso promuovere l'adozione, da parte delle organizzazioni sia pubbliche che private, di sistemi strutturati per la raccolta e la gestione di segnalazioni Whistleblowing. Questi canali devono essere progettati per garantire la riservatezza delle informazioni ricevute e la protezione dell'identità dei segnalanti. L'obiettivo è quello di favorire un ambiente in cui le segnalazioni di (potenziali) illeciti possano essere effettuate in modo sicuro e protetto, preservando l'integrità delle procedure interne e indirizzando tempestivamente le eventuali violazioni in conformità con i requisiti normativi stabiliti a livello europeo.
Il recente recepimento della Direttiva NIS2 attraverso il Decreto Legislativo 138/2024 crea una nuova cornice di riferimento per le organizzazioni, siano pubbliche o private, spingendo verso un rafforzamento della sicurezza nei processi di gestione delle segnalazioni ma anche riguardo la scelta del canale interno tramite cui poter raccogliere e gestire le segnalazioni.
L'implementazione della Direttiva NIS2 si propone di rafforzare la resilienza informatica in tutta l'Unione Europea, ampliando l'ambito dei soggetti obbligati e introducendo requisiti più stringenti per la prevenzione e la gestione degli incidenti di sicurezza. Questo impone ai soggetti operanti nel settore dei servizi TIC quali i fornitori di piattaforme whistleblowing (di cui all’Allegato I – Settori ad alta criticità) di intraprendere un'attenta revisione delle loro infrastrutture tecnologiche. Devono garantire che le misure di sicurezza siano, granularmente, integrate e aggiornate per rispondere efficacemente agli standard richiesti (specificatamente gli obblighi in materia di misure di gestione dei rischi per la sicurezza informativa di cui all’art. 24 del D.Lgs 138/2024).
È indispensabile che i portali e le piattaforme dedicate garantiscano non solo la crittografia dei dati sensibili che potrebbero transitare all’interno ma che l'accesso alle informazioni sia limitato a personale accuratamente autorizzato. I fornitori devono condurre audit di sicurezza regolari e penetration test per identificare potenziali vulnerabilità. Questi audit devono essere supportati da una stretta collaborazione con esperti in materia per assicurare che tutti gli aspetti dei canali interni siano in linea non solo con la Direttiva NIS2 ma anche con altre normative applicabili, come il GDPR ed il Decreto 24/2023 in materia Whistleblowing.
L'importanza della formazione continua per sviluppatori e tecnici non può essere sottovalutata. Essi devono essere aggiornati sui continui sviluppi normativi e sulle migliori pratiche di gestione della sicurezza informatica. Parallelamente, i fornitori devono garantire la trasparenza nei confronti dei propri clienti, fornendo report dettagliati sulle misure di sicurezza implementate e sui progressi compiuti nel rafforzamento delle misure di sicurezza tecniche applicate al canale di segnalazione. Tali misure aumentano la fiducia dei clienti nei confronti dei fornitori e promuovono una gestione più efficace dei rischi.
Dal punto di vista delle aziende utilizzatrici, la selezione di questi servizi non può più essere vista semplicemente come una scelta di convenienza prettamente legata alla questione economica. Si tratta di un decisivo passo strategico che richiede un'approfondita valutazione dei potenziali fornitori oppure delle piattaforme e dei canali già implementati. Le aziende devono eseguire un assessment annuale per valutare non solo la capacità tecnologica del proprio fornitore, ma anche la loro adesione alle normative in vigore (nello specifico alla Direttiva NIS2 e al D.Lgs. 24/2023). Questo processo dovrebbe includere una verifica delle certificazioni di sicurezza e delle politiche di gestione dei dati messe in atto dal fornitore.
Si ricorda che l’art. 27 del D. Lgs. 138/2024 fa rinvio all’uso di schemi di certificazione della cybersecurity al fine di dimostrare il rispetto di determinati obblighi di cui all'articolo 24. Tant’è che l’Autorità nazionale competente NIS promuove, l'utilizzo di servizi fiduciari qualificati da parte dei soggetti essenziali e dei soggetti importanti.
Un aspetto critico dell'adeguamento alla Direttiva NIS2 da parte dei fornitori di piattaforme e canali di segnalazioni consiste nel coordinamento interno tra il Dipartimento IT e il DPO dell'azienda. Veniva infatti ricordato, quale giorno fa, da Federprivacy nell’articolo di Pasquale Mancino “Whistleblowing e canale esterno di segnalazione: alcuni aspetti da approfondire che il Data Protection Officer deve supervisionare”. Fermo restando che entrambe le figure non sono deputate alla gestione delle segnalazioni Whistleblowing e, pertanto, non potrebbero venire a conoscenza delle segnalazioni in corso oppure di quelle precedenti; tale collaborazione – dal punto di vista materiale – è fondamentale per assicurarsi che le piattaforme adottate siano completamente integrate nei sistemi di sicurezza aziendali esistenti e che rispettino tutti i requisiti di compliance pertinenti.
Il monitoraggio continuo delle performance del fornitore e del canale fornito diventa cruciale, con verifiche periodiche e revisioni delle policy di sicurezza per garantire un allineamento costante con gli obblighi normativi. Le aziende devono predisporre valutazioni regolari del rischio per identificare eventuali falle nel sistema e sviluppare piani di risposta efficaci in caso di potenziali violazioni o “fuga di dati”.
L'importanza della formazione del personale interno non deve essere trascurata. I dipendenti (potenziali whistleblowers) nonché il designato whistleblowing interno (deputato alla gestione delle stesse come, ad esempio, il RPTC) devono essere preparati non solo a utilizzare correttamente la piattaforma, ma anche a comprendere l'importanza delle misure di sicurezza in atto.
In conclusione, l'entrata in vigore del Decreto Legislativo 138/2024, recependo la Direttiva NIS2, rappresenta un ulteriore passo verso la creazione di un ambiente di lavoro più sicuro e conforme. Per i fornitori di piattaforme e le aziende fruitrici dei servizi di whistleblowing, ciò richiede un impegno continuo per innovare, collaborare e gestire la conformità in modo proattivo. Solo attraverso uno sforzo congiunto, sostenuto da una solida preparazione e un'evoluzione continua, sarà possibile affrontare con successo le sfide e le opportunità offerte dal nuovo scenario normativo, proteggendo allo stesso tempo la reputazione aziendale ed evitando potenziali sanzioni.