Un sistema di whistleblowing digitale è un canale di segnalazione che consente a un whistleblower di inviare informazioni sulle violazioni in modo riservato o anonimo. Tale canale di segnalazione fa parte del sistema di gestione della compliance e serve a individuare precocemente le violazioni delle norme e i reati penali.
Le leggi nazionali sulla protezione degli informatori si basano su Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, sulla protezione delle persone che segnalano violazioni del diritto dell'Unione, che doveva essere recepita nel diritto nazionale di tutti gli Stati membri dell'UE. La legge sulla protezione degli informatori stabilisce che questi ultimi devono disporre di adeguati canali di segnalazione confidenziali.
Inoltre, deve essere garantita la possibilità di una comunicazione adeguata tra l'ufficio di segnalazione interna e il whistleblower. È necessario un software di whistleblowing digitale semplice e sicuro che, da un lato, soddisfi i requisiti legali e, dall'altro, garantisca la protezione del whistleblower e il trattamento sicuro e conforme alla protezione dei dati sensibili. Il modo più adatto per soddisfare questi requisiti è utilizzare un software di whistleblowing anonimo e digitale.
Un sistema di whistleblowing digitale consente a un informatore di presentare una segnalazione di violazione via web in modo anonimo o riservato. I requisiti sono un browser e una connessione internet intatta.
Il cosiddetto SaaS (Software as a Service) è basato sul cloud, non richiede l'installazione sui dispositivi finali dell'azienda e consente un'implementazione semplice e rapida. Ulteriori vantaggi sono la riduzione dell'impegno amministrativo dell'IT, in quanto non è necessario gestire server propri e installare aggiornamenti. Il software garantisce un accesso indipendente dal dispositivo e dalla posizione, in qualsiasi momento. I centri dati certificati secondo lo standard ISO 27001 garantiscono la sicurezza dei dati attraverso un sistema professionale di gestione della sicurezza informatica. Lo spazio di archiviazione può essere ampliato in qualsiasi momento. Se le esigenze cambiano, è possibile apportare modifiche al software.
L'elevato grado di flessibilità, la sicurezza dei dati e la protezione delle risorse IT interne rendono il SaaS molto interessante per le aziende e le autorità pubbliche.
Il sistema digitale di whistleblowing di DISS-CO è un software di whistleblowing digitale sicuro con molti moduli selezionabili, integrazioni e opzioni di personalizzazione. Il software, che può essere utilizzato anche come software di gestione dei reclami, offre dashboard e una gestione intuitiva dei casi che memorizza i dati personali sensibili e quelli relativi ai casi in modo centralizzato, conforme alla DSGVO e non manipolabile. Il whistleblower può scegliere se presentare una segnalazione anonima o confidenziale. Attraverso una comunicazione criptata e anonima, è possibile ottenere ulteriori informazioni dall'informatore.
Garantire l'anonimato del sistema di whistleblower crea anche un'enorme sicurezza e fiducia nell'ufficio di segnalazione interna e nell'azienda. Rimuovendo i metadati dei file allegati, il sistema di whistleblower garantisce l'anonimizzazione tecnica. Anche la comunicazione interna e quella con i consulenti può avvenire in modo esclusivo e criptato sulla piattaforma. Questo riduce il rischio di perdita di dati. Un concetto di autorizzazione individuale può essere utilizzato per regolare l'accesso all'interno dell'organizzazione.
Se l'ufficio rapporti interno è parzialmente o completamente esternalizzato, gli agenti esterni hanno accesso alle informazioni tramite un concetto di autorizzazione. Le persone che assistono nel chiarimento di un caso possono ottenere facilmente e rapidamente l'accesso per la gestione dei compiti, senza dover visualizzare l'intero caso. Ciò consente alla persona responsabile del caso di avere sempre una panoramica dei compiti e di definire scadenze e dipendenze. Inoltre, una lavagna Kanban fornisce una panoramica dello stato delle attività in sospeso e in corso. Per la sicurezza dell'audit, tutte le informazioni sono registrate e non possono essere modificate fino alla cancellazione finale dell'intero caso. Il software ricorda anche le scadenze legali.
L'elaborazione centrale, sicura e non manipolabile delle informazioni in relazione alla comunicazione sicura, rispettando l'anonimato della persona che fornisce le informazioni, consente un'efficiente elaborazione dei casi.
Molte aziende forniscono ancora un indirizzo e-mail generico per segnalare le violazioni.
Se la persona che fornisce la soffiata vuole rimanere anonima, non c'è modo di evitare un account e-mail anonimo. La creazione di un account e-mail con un provider di posta elettronica privato è oggi molto facile e gratuita. Tuttavia, questo metodo presenta diversi svantaggi e rischi.
Le e-mail di solito non sono criptate, il che crea un rischio per la sicurezza dell'azienda. Inoltre, i dipendenti sono praticamente costretti a trasmettere informazioni interne all'azienda tramite un provider di posta elettronica privato. Le informazioni sensibili potrebbero essere intercettate durante la trasmissione o successivamente. I soliti provider di e-mail statunitensi, come Google e Yahoo, trasmettono i dati a server negli Stati Uniti o altrove, oppure a subappaltatori o affiliati, che a loro volta elaborano e trasmettono le informazioni ai loro subappaltatori e affiliati. Per gli utenti, il filone dell'elaborazione dei dati non è trasparente.
Se, ad esempio, le autorità statunitensi sono coinvolte in indagini esterne, i fornitori sono obbligati a collaborare e devono trasmettere le informazioni e le e-mail alle autorità. Gli interessati non vengono informati del trasferimento. In entrambi i casi, la conseguenza è che le informazioni sensibili interne all'azienda vengono trasmesse ed elaborate in modo incontrollato.
A volte i dipendenti utilizzano anche i loro dispositivi privati, a seconda della struttura e delle politiche IT dell'azienda. O perché non hanno bisogno di dispositivi finali come computer portatili e smartphone per il loro lavoro o perché esiste una politica "bring-your-own" o l'uso di dispositivi finali privati per scopi aziendali non è regolamentato. Questo comporta un rischio elevato per l'interessato. In passato, ci sono stati ripetuti casi di whistleblower con conseguenze penali per il whistleblower a causa del trasferimento di informazioni aziendali nella sfera privata.
I dati sono stati trasferiti fisicamente o digitalmente allo scopo di trasmetterli a organismi di segnalazione esterni o alla stampa dall'ambiente aziendale, a volte dopo che la persona ha subito rappresaglie a causa di una segnalazione interna. Non è rilevante se, ad esempio, una o più cartelle di file vengono trasferite fisicamente o se i dati vengono trasferiti digitalmente su supporti di memoria esterni o via e-mail. Ciò che è rilevante è il trasferimento stesso. Inoltre, è rilevante l'ambito dei dati trasferiti.
Le trasmissioni di dati attraverso i dispositivi finali dell'azienda e dalla rete aziendale possono essere tracciate con vari metodi. Questo può rivelare l'identità del whistleblower anonimo. Più sicuro è l'uso del software di whistleblowing digitale Smart Intergity Platfom di DISS-CO e l'applicazione delle linee guida associate, che, tra l'altro, vietano il tracciamento dell'uso dell'URL specifico da parte dell'IT.
Se al rapporto sono allegati dei file, i metadati possono essere utilizzati per determinare l'identità della persona che fornisce le informazioni. I metadati sono allegati a ciascun file e forniscono informazioni sull'autore, sugli utenti e sulla storia del file, tra le altre cose. Se la persona che fornisce le informazioni è abbastanza abile da rimuovere da sola i metadati, le informazioni non possono essere rintracciate. Sappiamo dalla pratica che solo una piccola percentuale di persone che di solito fanno rapporto ha le conoscenze tecniche o è disposta a documentarsi in modo approfondito. Pertanto, il software di whistleblowing digitale di DISS-CO rimuove automaticamente i metadati dalle segnalazioni anonime.
Inoltre, per motivi di sicurezza, alcune aziende dispongono dei cosiddetti strumenti di prevenzione della perdita di dati (DLP), in grado di registrare e monitorare tutte le azioni. Gli strumenti DLP possono essere utilizzati in modo preventivo per prevenire il furto di dati, ma sono anche molto adatti al monitoraggio dei dipendenti e possono mettere in pericolo l'anonimato del whistleblower. I whistleblower sono invitati a informarsi in anticipo sull'uso degli strumenti DLP se desiderano utilizzare il sistema di whistleblowing per le segnalazioni anonime.
L'utilizzo di un indirizzo e-mail come canale interno di whistleblowing offre molti rischi per l'azienda e per il whistleblower. Le informazioni sensibili all'interno dell'azienda vengono elaborate e inoltrate all'esterno in modo incontrollato, potrebbero essere utilizzate in modo improprio e causare danni finanziari e di reputazione.
Le possibili conseguenze negative per il whistleblower riducono la fiducia nel sistema di whistleblowing, il che porta a un minore utilizzo del sistema di whistleblowing. Questo, a sua volta, fa sì che le violazioni rimangano inosservate più a lungo.
Implementando un sistema sicuro sistema digitale di whistleblowing come la Smart Integrity Platform di DISS-CO, le aziende e le autorità possono offrire sicurezza agli informatori e scoprire i rischi in una fase iniziale.
DISS-CO® è un'azienda innovativa di tecnologia legale con una forte attenzione all'eGRC e al RegTech. Costruita da investigatori esperti nell'individuazione di frodi e altre violazioni in vari settori.
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-analytics | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Analytics". |
cookielawinfo-checkbox-funzionale | 11 mesi | Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie della categoria "Funzionale". |
cookielawinfo-checkbox-necessario | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessario". |
cookielawinfo-checkbox-altri | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Altro". |
cookielawinfo-checkbox-prestazioni | 11 mesi | Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Performance". |
politica_cookie_vista | 11 mesi | Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale. |