PROCEDURE WHISTLEBLOWING
1. INTRODUZIONE E FINALITÀ
1.1 Contesto normativo
TESORA S.p.A. (di seguito “la Società” o “TESORA”), operante con il nome commerciale YourADN, ha implementato il presente Sistema di Whistleblowing in conformità ai seguenti obblighi normativi:
• Regolamento (UE) 2023/1114 (MiCAr), in particolare:
◦ Art. 68, par. 4 (requisiti organizzativi)
◦ Art. 71 (requisiti prudenziali)
◦ Art. 74 (custodia di cripto-attività e fondi dei clienti)
◦ Art. 116 (meccanismi di segnalazione delle violazioni)
• Direttiva (UE) 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione
• D.Lgs. 24/2023 (recepimento italiano Direttiva Whistleblowing)
• Regolamento (UE) 2016/679 (GDPR)
• D.Lgs. 231/2001 (responsabilità amministrativa degli enti)
• Normative CONSOB applicabili ai CASP
• Articolo 116 del Regolamento (UE) 2023/1114 (MiCAr) – che impone ai prestatori di servizi per le cripto-attività (CASP) di istituire meccanismi efficaci per la segnalazione di violazioni del regolamento;
• D.Lgs. 24/2023 – recepimento italiano della Direttiva (UE) 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione;
• Articolo 68, paragrafo 4 MiCAr – che richiede politiche e procedure di conformità efficaci.
La Società è in processo di autorizzazione per la prestazione dei seguenti servizi CASP entro il 30 giugno 2026, mediante trasformazione da VASP a CASP con presentazione dell’istanza in Dicembre 2025 presso CONSOB:
1. Collocamento di cripto-attività;
2. Custodia e amministrazione di cripto-attività per conto di terzi;
3. Gestione di una piattaforma di scambio di cripto-attività;
4. Ricezione e trasmissione di ordini riguardanti cripto-attività per conto di terzi;
5. Esecuzione di ordini riguardanti cripto-attività per conto di terzi;
6. Scambio di cripto-attività con fondi;
7. Consulenza in materia di cripto-attività.
1.2 Obiettivi del sistema Whistleblowing
Il Sistema di Whistleblowing di TESORA persegue i seguenti obiettivi fondamentali:
• Prevenzione: Individuare tempestivamente condotte non conformi o potenzialmente lesive dell’integrità aziendale;
• Protezione: Tutelare i segnalanti da qualsiasi forma di ritorsione o discriminazione;
• Trasparenza: Garantire un processo chiaro, definito e accessibile a tutti i soggetti legittimati;
• Miglioramento continuo: Utilizzare le segnalazioni come strumento di rafforzamento dei presidi di conformità;
• Conformità normativa: Rispettare gli obblighi imposti dal Regolamento MiCAr e dalla normativa vigente.
1.3 Ambito di applicazione
Il presente documento si prefigge di raggiungere le seguenti finalità:
a) Definire il sistema di conformità normativa della Società in relazione al Regolamento MiCAr e alla normativa applicabile ai CASP;
b) Stabilire le responsabilità organizzative in materia di normativa compliance;
c) Disciplinare i programmi di formazione e sensibilizzazione del personale sui requisiti normativi e regolamentari;
d) Implementare un sistema di whistleblowing conforme all’art. 116 MiCAr e alla Direttiva (UE) 2019/1937;
e) Garantire la protezione dei segnalanti e la corretta gestione delle segnalazioni di violazioni normative.
1.4 Principi guida
Il Sistema di Whistleblowing di TESORA si fonda sui seguenti principi:
• Riservatezza assoluta dell’identità del segnalante;
• Divieto di ritorsioni di qualsiasi natura nei confronti del segnalante;
• Accessibilità attraverso canali multipli e facilmente utilizzabili;
• Tempestività nella gestione e risposta alle segnalazioni;
• Proporzionalità delle azioni intraprese rispetto alla gravità della violazione;
• Tracciabilità di tutte le segnalazioni ricevute e delle azioni adottate.
2. POLICY CONFORMITÀ NORMATIVA MiCAr
2.1 Principi generali
La Società fonda la propria attività sui seguenti principi di conformità normativa:
a) Legalità e integrità: Ogni attività deve essere svolta nel rispetto delle leggi, dei regolamenti e delle disposizioni dell’autorità di vigilanza.
b) Trasparenza: La Società garantisce la massima trasparenza nelle relazioni con clienti, autorità di vigilanza e stakeholder.
c) Professionalità: Il personale opera con competenza, diligenza e secondo le migliori pratiche di mercato.
d) Cultura della conformità: La compliance è responsabilità di tutti i livelli organizzativi e costituisce elemento centrale della cultura aziendale.
e) Prevenzione: La Società adotta un approccio proattivo nell’identificazione e mitigazione dei rischi di non conformità.
f) Miglioramento continuo: Il sistema di conformità è oggetto di revisione e aggiornamento costante.
2.2 Ambito di applicazione
La Policy di Conformità Normativa si applica a tutte le attività della Società, con particolare riferimento a:
• Prestazione dei servizi CASP autorizzati
• Custodia e amministrazione di cripto-attività
• Consulenza in materia di cripto-attività
• Gestione dei rapporti con la clientela
• Salvaguardia delle cripto-attività e dei fondi dei clienti
• Prevenzione del riciclaggio e del finanziamento del terrorismo
• Gestione dei conflitti di interesse
• Tutela dei dati personali
• Cybersecurity e resilienza operativa
3. VIOLAZIONI SEGNALABILI
3.1 Violazioni del Regolamento MiCAr
Rientrano nell’ambito delle segnalazioni whistleblowing le violazioni o potenziali violazioni del Regolamento (UE) 2023/1114, tra cui in particolare:
• Requisiti organizzativi (art. 68 MiCAr): carenze nella governance, nei controlli interni, nella gestione dei conflitti di interesse;
• Requisiti prudenziali (art. 71 MiCAr): insufficienza patrimoniale, mancato rispetto dei coefficienti minimi;
• Custodia di cripto-attività (art. 74 MiCAr): irregolarità nella segregazione, conservazione o trasferimento di cripto-attività dei clienti;
• Regole di condotta (art. 76-82 MiCAr): comportamenti scorretti nei confronti dei clienti, informazioni ingannevoli, conflitti di interesse non gestiti;
• Gestione reclami (art. 85 MiCAr): mancata gestione o registrazione dei reclami dei clienti;
• Obblighi di reporting (art. 109-110 MiCAr): omessa o falsa comunicazione alle autorità competenti.
3.2 Violazioni procedurali interne
Sono segnalabili anche violazioni delle procedure operative interne di TESORA:
• Processi di custodia non conformi al Manuale Operativo;
• Violazioni delle politiche di sicurezza informatica;
• Comportamenti contrari al Codice Etico aziendale.
3.3 Violazioni normative correlate
Rientrano nell’ambito del whistleblowing anche violazioni della normativa collegata ai servizi CASP:
• Antiriciclaggio (D.Lgs. 231/2007): omessa identificazione clienti, mancate segnalazioni di operazioni sospette, violazioni degli obblighi di adeguata verifica;
• Protezione dati personali (GDPR): trattamenti illeciti di dati, data breach non comunicati, violazioni dei diritti degli interessati;
• Resilienza operativa digitale (DORA): carenze nella gestione dei rischi ICT, incidenti non segnalati;
• Responsabilità amministrativa enti (D.Lgs. 231/2001): reati presupposto commessi nell’interesse o a vantaggio della Società;
• Abusi di Mercato: manipolazioni di mercato, abusi di informazioni privilegiate.
3.4 Esclusioni
Non rientrano nell’ambito del whistleblowing:
• Reclami personali relativi a rapporti di lavoro (da gestire tramite canali interni);
• Divergenze di opinione su scelte gestionali o strategiche;
• Segnalazioni prive di fondamento o manifestamente pretestuose;
• Informazioni già di pubblico dominio;
• Contestazioni di natura commerciale con fornitori o partner (da gestire tramite canali ordinari).
4. SOGGETTI LEGITTIMATI
Sono legittimati a effettuare segnalazioni tramite il Sistema di Whistleblowing di TESORA i seguenti soggetti:
4.1 Clienti e terzi
• Clienti della piattaforma YourADN;
• Eventuali terzi che abbiano avuto conoscenza di violazioni nell’ambito di rapporti professionali o d’affari con TESORA.
4.2 Definizione di "segnalante in buona fede"
Le tutele previste dalla presente Procedura si applicano esclusivamente ai segnalanti in buona fede, ossia coloro che:
• Abbiano fondati motivi per ritenere veritiere le informazioni segnalate;
• Agiscano nell’interesse della legalità e della conformità, senza secondi fini personali;
• Non perseguano obiettivi diffamatori o calunniosi nei confronti di altri soggetti.
Importante: Le segnalazioni manifestamente false, calunniose o effettuate in mala fede non godono delle protezioni previste e possono comportare responsabilità disciplinare, civile o penale per il segnalante.
5. CANALI DI SEGNALAZIONE
TESORA garantisce la disponibilità di canali di segnalazione multipli, sicuri e riservati, per consentire a tutti i soggetti legittimati di effettuare segnalazioni in modo agevole e protetto.
5.1 Canale email dedicato
Indirizzo email: | compliance@youradn.com |
Gestione: | Compliance Officer Stefano Cezza (accesso esclusivo) |
Sicurezza: | sistemi server utilizzati da Tesora SpA |
Conferma ricezione: | Entro 7 giorni lavorativi dalla ricezione |
Come utilizzare il canale email
1. Inviare un’email all’indirizzo compliance@youradn.com;
2. Indicare nell’oggetto: “SEGNALAZIONE WHISTLEBLOWING”;
3. Descrivere dettagliatamente la violazione (fatti, date, luoghi, persone coinvolte);
4. Allegare eventuale documentazione probatoria (in formato PDF);
5. Indicare se si desidera essere contattati e tramite quale modalità.
Nota: È possibile inviare segnalazioni anche in forma anonima (senza indicare il proprio nome). Tuttavia, la presenza di riferimenti identificativi facilita la gestione della segnalazione e l’eventuale richiesta di integrazioni.
5.2 Lettera riservata
Destinatario: | Compliance Officer – TESORA S.p.A. |
Indirizzo: | Via Riva di Reno 58, 40122 Bologna |
Modalità: | Busta chiusa con dicitura “RISERVATA PERSONALE – WHISTLEBLOWING” |
Il Compliance Officer è l’unico autorizzato ad aprire la busta, garantendo la massima riservatezza.
5.3 Colloquio diretto
È possibile richiedere un incontro riservato con il Compliance Officer:
• Via email: scrivere a compliance@youradn.com indicando la richiesta di colloquio (senza fornire dettagli sulla segnalazione);
Il colloquio si svolgerà in ambiente riservato. Il segnalante può essere assistito da un legale o da un rappresentante sindacale di fiducia.
Canali esterni
Il segnalante può alternativamente rivolgersi direttamente alle autorità competenti:
• CONSOB (Autorità di vigilanza sui mercati finanziari);
• ANAC (Autorità Nazionale Anticorruzione);
• Autorità Giudiziaria in caso di reati.
6. PROTEZIONE DEL SEGNALANTE
TESORA garantisce la massima protezione ai segnalanti in buona fede, in conformità al D.Lgs. 24/2023 e all’art. 116 del Regolamento MiCAr.
6.1 Garanzie di riservatezza
Identità del segnalante
• Conosciuta esclusivamente dal Compliance Officer (o dal Collegio Sindacale in caso di segnalazione alternativa);
• Non divulgata a terzi senza consenso esplicito del segnalante;
• Omessa da tutti i report e comunicazioni al CdA o ad altri organi.
Eccezioni al divieto di divulgazione
L’identità del segnalante può essere rivelata esclusivamente nei seguenti casi:
a) Obbligo di legge: quando richiesto dall’Autorità Giudiziaria nell’ambito di indagini penali;
b) Necessità difensive: quando indispensabile per garantire i diritti di difesa del presunto responsabile, previa autorizzazione dell’Autorità Giudiziaria;
c) Consenso esplicito: quando il segnalante autorizza espressamente la divulgazione della propria identità.
6.2 Divieto di ritorsioni
TESORA vieta espressamente qualsiasi forma di ritorsione, discriminazione o comportamento pregiudizievole nei confronti del segnalante.
Costituiscono ritorsioni vietate, a titolo esemplificativo e non esaustivo:
• Licenziamento o risoluzione anticipata del rapporto;
• Sospensione o dimensionamento;
• Mancato rinnovo di contratto a termine o di consulenza;
• Trasferimento forzato di sede o mansioni;
• Riduzione retribuzione o benefit aziendali;
• Modifiche mansioni in senso peggiorativo;
• Valutazioni negative non giustificate da obiettivi parametri di performance;
• Mancate promozioni o aumenti retributivi meritati;
• Mobbing o isolamento sul luogo di lavoro;
• Pressioni, intimidazioni o minacce di qualsiasi natura.
6.3 Protezione estesa
Le tutele previste dalla presente Procedura si estendono anche a:
• Facilitatori: persone che assistono il segnalante nel processo di segnalazione (es. rappresentante sindacale, legale);
• Colleghi: persone che lavorano nello stesso contesto lavorativo del segnalante e che potrebbero subire ritorsioni per connessione con la segnalazione;
• Enti controllati dal segnalante: società o enti presso cui il segnalante lavora o di cui detiene quote di partecipazione.
6.4 Segnalazioni in mala fede
Le segnalazioni manifestamente false, calunniose o diffamatorie non godono delle protezioni previste.
Il segnalante in mala fede può incorrere in:
• Responsabilità disciplinare (sanzioni fino al licenziamento);
• Responsabilità civile per risarcimento danni ai soggetti ingiustamente accusati;
• Responsabilità penale per calunnia (art. 368 c.p.) o diffamazione (art. 595 c.p.).
7. GESTIONE DELLE SEGNALAZIONI
TESORA adotta un processo strutturato di gestione delle segnalazioni whistleblowing, articolato in 6 fasi con tempistiche definite.
7.1 Flusso operativo completo
FASE | GIORNI | ATTIVITÀ | RESPONSABILE |
1. Ricezione | Giorno 0 | Protocollazione, registrazione, segregazione dati riservati | Compliance Officer |
2. Riconoscimento | Entro 7 | Conferma ricezione al segnalante, codice pratica, tempistiche | Compliance Officer |
3. Valutazione | Entro 30 | Analisi ammissibilità, gravità, urgenza. Richiesta integrazioni | Compliance Officer |
4. Istruttoria | Entro 90 | Raccolta documenti, audizioni, verifiche tecniche, analisi normativa | Compliance Officer + eventuali consulenti |
5. Deliberazione | Entro 90 | Report CdA, delibera azioni correttive/disciplinari | CdA |
6. Feedback | Entro 90 | Comunicazione esito al segnalante, attuazione azioni | Compliance Officer |
Importante: Tutte le attività sono condotte con massima riservatezza, senza diffondere l’identità del segnalante. Vincolo di riservatezza esteso a tutti i soggetti coinvolti.
7.2 Ruoli e responsabilità
Compliance Officer
Responsabile unico della gestione operativa delle segnalazioni:
• Riceve e protocolla tutte le segnalazioni;
• Gestisce i canali di segnalazione (email, lettere, colloqui);
• Conduce le istruttorie;
• Garantisce la riservatezza dell’identità del segnalante;
• Predispone report per il CdA;
• Mantiene aggiornato il Registro Segnalazioni;
• Comunica l’esito al segnalante.
Requisiti:
• Indipendenza operativa;
• Accesso diretto al CdA;
• Formazione specifica in materia whistleblowing;
• Vincolo di riservatezza rafforzato.
Consiglio di Amministrazione
• Riceve report trimestrali su tutte le segnalazioni;
• Delibera su azioni correttive significative;
• Monitora l’efficacia del sistema whistleblowing;
• Assicura protezione dei segnalanti;
• Approva modifiche alla presente Procedura.
Collegio Sindacale
• Riceve segnalazioni alternative in caso di conflitto di interesse del Compliance Officer;
• Gestisce tali segnalazioni con le medesime garanzie di riservatezza;
• Supervisiona il corretto funzionamento del sistema whistleblowing.
7.3 Gestione conflitti di interesse
Caso 1: Segnalazione riguardante il Compliance Officer
• La segnalazione è gestita direttamente dal Presidente del CdA;
• Si applicano le medesime garanzie di riservatezza;
• Il Compliance Officer è escluso da ogni attività istruttoria.
Caso 2: Segnalazione riguardante il CdA o suoi membri
• Possibilità di segnalazione diretta all’AUTORITY;
• Eventuale coinvolgimento di consulente esterno indipendente nominato dal Collegio Sindacale.
