Il problema reale: una policy nel cassetto non protegge nessuno

Molte organizzazioni dispongono di policy anticorruzione impeccabili sul piano redazionale. Il problema sorge quando si chiede: come dimostri che i tuoi dipendenti le hanno lette? Come provi che hai monitorato i conflitti di interesse? Chi controlla i tuoi fornitori, e con quale frequenza?

Se le risposte sono “via email”, “su Excel” o “una volta all’anno”, il sistema ha delle lacune pericolose.

Il caso Morgan Stanley del 2012 è emblematico: un dirigente della banca fu accusato di aver corrotto un funzionario governativo cinese. Il Dipartimento di Giustizia statunitense, dopo le indagini, decise di non procedere contro la società perché Morgan Stanley era in grado di dimostrare di aver distribuito le policy anticorruzione, di averle fatte leggere ai dipendenti e di aver erogato formazione specifica ben 35 volte a quel medesimo dipendente. La tecnologia aveva trasformato un potenziale disastro reputazionale ed economico in una prova a discarico.

Il messaggio è chiaro: senza un sistema digitale di tracciamento, la compliance rimane un concetto scritto su carta, difficilmente dimostrabile davanti a un giudice o a un revisore.

I cinque pilastri di un sistema ABAC integrato

1. Whistleblowing: il canale sicuro per far emergere l’illecito

Il whistleblowing è il primo e più importante strumento per intercettare condotte corruttive prima che si radichino. I canali di segnalazione sono lo strumento chiave per far emergere comportamenti illeciti che altrimenti resterebbero sommersi.

La normativa europea — recepita in Italia — impone oggi la tutela rafforzata del segnalante contro qualsiasi forma di ritorsione. Questo significa che l’azienda deve dotarsi di un canale anonimo, riservato e tecnologicamente sicuro, con procedure chiare e tracciate.

Non basta aprire una casella email dedicata. Serve un sistema che consenta di:

• ricevere segnalazioni in modo anonimo e riservato;
• gestire l’intero ciclo della segnalazione (presa in carico, feedback entro 7 giorni, riscontro finale entro 90 giorni);
• collaborare internamente coinvolgendo altri dipartimenti (Legal, HR) senza mai uscire dall’ambiente protetto della piattaforma;
• conservare un audit trail completo di ogni azione intrapresa.

Un segnale positivo e controintuitivo: quando le campagne di sensibilizzazione funzionano, il numero di segnalazioni ricevute aumenta. Non perché ci siano più illeciti, ma perché le persone cominciano a fidarsi del sistema.

2. Policy aziendali: distribuzione, attestazione e versioning

Una policy efficace deve innanzitutto definire con chiarezza cosa si intende per corruzione — attiva, passiva, e la cosiddetta area grigia dei pagamenti di facilitazione, la cui liceità varia sensibilmente da paese a paese.

L’ambito di applicazione deve coprire non solo i dipendenti ma anche il management, gli agenti commerciali e tutti i partner. I riferimenti normativi principali da tenere presenti sono il D.Lgs. 231/2001, l’UK Bribery Act e la ISO 37001.

Tuttavia, avere una policy ben scritta non basta. Il valore sta nella comunicazione tracciabile. Ogni destinatario deve poter attestare l’avvenuta lettura — tramite firma elettronica, quiz di comprensione o semplice check box — e l’azienda deve conservare questa evidenza nel tempo. Le policy hanno un ciclo di vita: vanno aggiornate, ridistribuite e nuovamente certificate.

Distribuire un documento in una cartella condivisa o su una intranet non è sufficiente: in caso di audit o procedimento giudiziario, non sarà possibile dimostrare chi lo ha letto né quando.

3. Conflitti di interesse e Gift & Hospitality: workflow approvativo automatizzato

La gestione degli omaggi, degli inviti e dei conflitti di interesse è un’area spesso sottovalutata, ma è proprio qui che si nascondono molti rischi corruttivi. Gestire queste richieste via email o su fogli Excel presenta tre problemi fondamentali:

• Nessun workflow tracciato: non è possibile garantire che una richiesta sia stata effettivamente approvata dal responsabile corretto.
• Nessun controllo sulle soglie: un dipendente potrebbe superare i limiti annuali consentiti senza che nessuno se ne accorga.
• Nessuna cronologia verificabile: in sede di audit è impossibile ricostruire cosa è stato autorizzato, quando e da chi.

Un sistema digitale consente invece di configurare regole automatiche (es. omaggi sotto i 50€ approvati automaticamente, tra i 50€ e i 200€ in attesa di approvazione manuale, sopra i 200€ rifiutati) e di generare dashboard che intercettano anomalie e trend: se un determinato partner commerciale genera un numero insolitamente elevato di richieste di regali verso i propri dipendenti, il sistema può segnalarlo come potenziale campanello d’allarme.

L’UK Bribery Act, che si applica a qualsiasi azienda con attività commerciali nel Regno Unito, è esplicito su questo punto: l’unica difesa contro un’accusa di mancata prevenzione della corruzione è dimostrare di disporre di adequate procedures, procedure adeguate e documentate.

4. Campagne di sensibilizzazione: il tone from the top

Nessun programma anticorruzione può funzionare senza che il top management dia l’esempio. Non è sufficiente una dichiarazione di principio nel codice etico: servono comunicazioni periodiche, una posizione esplicita di tolleranza zero costantemente ribadita e, soprattutto, comportamenti coerenti da parte della leadership.

La formazione è obbligatoria almeno su base annuale per tutti i dipendenti, non solo per chi opera in aree a rischio elevato. I moduli devono essere differenziati per funzione (procurement, vendite, finance hanno profili di rischio diversi) e integrati con strumenti di engagement come newsletter, quiz e campagne periodiche.

I KPI da monitorare sono tre:

• il tasso di completamento della formazione;
• i risultati dei test (che misurano l’effettiva sedimentazione dei concetti);
• il numero di segnalazioni ricevute tramite il canale di whistleblowing.

Le campagne di sensibilizzazione non vanno intese come eventi una tantum: una policy non si “abbandona” dopo la distribuzione. Un promemoria trimestrale ai dipendenti, o una campagna dedicata in prossimità del periodo natalizio (quando gli scambi di omaggi aumentano), fa parte di una strategia di prevenzione matura.

5. Due diligence delle terze parti: monitoraggio continuo, non fotografie statiche

Storicamente, il rischio corruttivo si annida con maggiore frequenza nelle relazioni con terze parti: agenti, intermediari, fornitori, distributori. È da questa direzione che arrivano la maggior parte delle sanzioni e dei casi di corruzione documentati a livello internazionale.

Il modello tradizionale — una verifica annuale, una visura camerale, un questionario inviato una volta — non è più sufficiente. Una visura è una fotografia statica: se il profilo di rischio di un fornitore cambia il 12 maggio (ad esempio perché finisce in una blacklist internazionale) e la prossima verifica è prevista a novembre, l’azienda è esposta per mesi senza saperlo.

Un sistema efficace di due diligence deve operare su quattro livelli:

• Sanzioni: verifica binaria dell’inserimento in liste restrittive internazionali o governative.
• Watch list e database ufficiali: area grigia che richiede approfondimento, non una risposta automatica.
• Persone Politicamente Esposte (PEP): individui in carica o ex titolari di ruoli pubblici, considerati ad alto rischio per posizione.
• Adverse media: notizie negative su testate locali, nazionali o internazionali, difficili da tracciare manualmente ma ad alto valore informativo.

Il monitoraggio deve essere continuo, non episodico. Un fornitore approvato oggi può cambiare assetto proprietario domani. La verifica dell’UBO (Ultimate Beneficial Owner), ovvero dei reali beneficiari finali di una società, è un obbligo sempre più esplicito nelle normative recenti.

Il quadro normativo: cosa prevede la legge

In Italia

Il sistema normativo italiano in materia di responsabilità degli enti si regge principalmente su tre pilastri:

• Lgs. 231/2001: introduce la responsabilità amministrativa delle persone giuridiche per reati commessi nel loro interesse o a loro vantaggio. Gli articoli 24 e 25 definiscono le fattispecie corruttive rilevanti, dalla corruzione propria all’induzione indebita.
• Lgs. 211/2025: recepisce la Direttiva UE 2024/1226 e rafforza gli strumenti di lotta alla corruzione, ampliando i reati presupposto al settore privato, armonizzando le sanzioni a livello europeo (calcolate sull’intero fatturato dell’ente) e rendendo più stringenti gli obblighi di due diligence sugli intermediari.
• Codice penale (artt. 318–322): disciplina le diverse forme di corruzione, dalla corruzione propria a quella impropria, fino alla concussione e all’istigazione a corrompere.

Sul piano internazionale

• UK Bribery Act (2010): la normativa anticorruzione più severa al mondo per portata applicativa. Si applica a qualsiasi azienda che fa affari nel Regno Unito. Non prevede un tetto massimo di sanzione. L’unica difesa è dimostrare di avere adequate procedures.
• FCPA – Foreign Corrupt Practices Act (USA): si applica alle società quotate nelle borse statunitensi e a chiunque utilizzi il sistema bancario americano. Due pilastri: divieto di corruzione di pubblici ufficiali stranieri e obbligo di tenere registri contabili accurati.
• Loi Sapin II (Francia): obbliga le società con più di 500 dipendenti e fatturato superiore a 100 milioni di euro — incluse le filiali italiane di gruppi francesi — a implementare un programma anticorruzione completo.
• Convenzione OCSE del 1997: obbliga tutti gli Stati firmatari a perseguire la corruzione secondo le normative nazionali.

Standard volontari

• ISO 37001: lo standard internazionale per i sistemi di gestione anticorruzione, certificabile, che copre l’intera catena: dalla due diligence alla formazione, dal whistleblowing ai controlli non finanziari.
• ISO 37301: complemento alla 37001, orientato alla compliance management in senso più ampio. Le due norme sono progettate per essere integrate insieme.

Perché l’integrazione fa la differenza

La parola chiave è integrazione. Non si tratta di avere cinque strumenti separati che si parlano male tra loro: serve un’unica piattaforma in cui whistleblowing, gestione delle policy, conflitti di interesse, formazione e due diligence sulle terze parti condividano dati, workflow e reportistica.

Solo così è possibile rispondere con certezza alle domande che contano davvero in caso di indagine o audit:

• Questa policy è stata distribuita a tutti i dipendenti interessati?
• Chi l’ha letta e quando?
• Questo dipendente ha ricevuto formazione specifica sul tema?
• Questa terza parte è stata sottoposta a screening all’onboarding e monitorata nel corso del rapporto
• Questa richiesta di omaggio è stata approvata secondo le regole aziendali?

Quando tutte queste risposte sono supportate da evidenze digitali tracciabili, il sistema ABAC smette di essere un insieme di documenti e diventa una vera e propria linea di difesa.

Conclusioni

Costruire un sistema Anti-Bribery Anti-Corruption integrato non è un esercizio formale né un adempimento da spuntare su una checklist. È un investimento nella sostenibilità dell’azienda, nella protezione della reputazione e, sempre più spesso, nell’unica difesa concreta disponibile quando qualcosa va storto.

Il messaggio che emerge con chiarezza dall’esperienza sul campo è questo: la tecnologia non sostituisce i valori etici di un’organizzazione, ma è l’unico strumento che consente di dimostrare — in modo credibile, misurabile e difendibile — che quei valori sono stati tradotti in azioni concrete.

Vuoi capire come EQS può supportarti nella creazione di un sistema ABAC integrato? Contattaci su www.eqs.com/it o richiedi una consulenza senza impegno qui.