GH GambleHub

Canale per informatori e protezione dei dati

1) Assegnazione e ambito

Fornire un modo sicuro, accessibile e affidabile per dipendenti, appaltatori, affiliati e altri stakeholder di denunciare violazioni (corruzione, frode, AML/sanzioni, RG, GDPR/PII, PCI/IB, pubblicità/affiliati, conflitti di interesse, discriminazione e molestie, violazione di licenze/leggi). Il documento regola i canali, l'anonimato, l'elaborazione dei dati, le procedure investigative e la protezione contro la repressione.

2) Principi

Tolleranza zero alla repressione. Tutte le ritorsioni sono vietate.
Riservatezza e riduzione dei dati. La raccolta è solo necessaria, in base al principio need-to-know.
Anonimato a scelta dell'informatore. La possibilità di comunicare senza rivelazione di identità.
Tempestività e giustizia. SLA ricevimento/esame; una metodologia documentata e imparziale.
Indipendenza. Separazione dei ruoli: ricezione dei messaggi, indagine, sanzioni.
Trasparenza del processo. Monitoraggio dello stato, feedback, statistiche pubbliche senza personale.

3) Ruoli e RACI

Whistleblowing Officer (WBO) è il proprietario del processo, del triage, del coordinamento delle indagini, del report. (A/R)

Compliance/Legale/DPO - valutazione legale, protezione dei dati, politica di privacy. (R/C)

InfoSec/CISO - sicurezza dei canali, crittografia, controllo degli accessi, registrazione. (R)

HR/ER - valigette etiche/comportamentali, misure di supporto. (R)

Internal Audit (IA) è un controllo indipendente della qualità delle indagini e del CAPE. (C)

Sicurezza/Trust & Safety - valigette tecniche/frode, raccolta di manufatti digitali. (R)

Exec Sponsor (CEO/COO) - «tone from the top», risorse, escalation S1. (I/A)

4) Canali di ricezione

1. Modulo Web (raccomandato principale) - Supporto per l'anonimato; E-mail protetta per token/pin.
2. E-mail: cassetta dedicata con crittografia automatica, crittografia automatica senza divulgazione dei contenuti.
3. Linea telefonica/telefono: scrittura in un sistema di occultamento.
4. Chat-bot su messaggistica aziendale: non anonimo (o proxy).
5. Indirizzo e-mail/archivio fisico per i messaggi offline (scansione e caricamento nel sistema).
6. Contatto diretto con WBO/IA: incontro privato - su richiesta dell'informatore.

Requisiti di canale: TLS end-to-end, archiviazione in archivio criptato, RBAC, registri di accesso invariati, nessun dispositivo IP tracking in forma anonima, cookie/login trasparenti.

5) Protezione dei dati e fondamento legale

Lawful basis: adempimento dei doveri legali, legittimo interesse aziendale, interesse pubblico (a seconda della giurisdizione).
DPIA: prima del lancio: valutazione dell'impatto sulla privacy; Fissazione dei rischi e delle misure di riduzione.
Classificazione dei dati: personali, sensibili (salute, etnia, ecc.), segreti commerciali, artefatti investigativi.
Minimizzazione: non raccogliere troppo; eliminare i documenti non conformi.
Trasferimenti transfrontalieri solo in presenza di basi legali e garanzie contrattuali.
Diritti dei soggetti dati: DSAR vengono elaborati da DPO; l'eccezione è non rivelare l'identità dell'informatore e i dati che compromettono le indagini/terze parti.
Recensione: messaggi e manufatti - solitamente di 5 anni o per politica/legge/licenza; quindi l'eliminazione sicura (crypto-shred/cancellazione logica con registro).

6) Sicurezza e misure tecniche

Crittografia: at-rest (KMS/HSM), in-transit (TLS), chiavi con rotazione e separazione.
Accesso: RBAC/ABAC, il principio dei privilegi minimi, domini separati per valigette anonime.
Registri invariati (WORM), monitoraggio di disponibilità insolite, alert.
Segmentazione: sistema di messaggi isolato dai sistemi prod; cassetti separati che controllano il recupero.
Metadati: maschera, rimuove EXIF dagli allegati, avvisa l'informatore dell'identificazione automatica.
Canali di comunicazione riservati: casella di posta/posta web protetta per la corrispondenza anonima bilaterale.

7) Classificazione delle valigette e priorità

S1 (Critico): corruzione/mazzette, grande frode, perdita di PII/PCI, minacce alla vita/sicurezza, gravi violazioni delle licenze/leggi.
S2 (Alto): violazioni sistemiche della politica (AML/RG/GDPR/IB), gravi conflitti di interesse, discriminazione/molestie.
S3 (Media) - Violazioni locali delle procedure, errori pubblicitari/affiliati, violazioni di comportamento singole.
S4 (Basso): suggerimenti di miglioramento, incidenti a basso rischio.

SLA:
  • Ricevuta S1/S2 - 24 ore; S3/S4 - 3 ≤.
  • Punteggio primario (triage): S1 - 48 ore; S2 - 5 p.d.; S3/S4 - 10 ≤.
  • Piano d'indagine: S1 - ≤ 3 dC; S2 - 10 ≤.

8) Processo dal messaggio alla chiusura

Passo 1 - Ricezione e ricevuta. Assegnazione dell'ID, fissazione del canale, salvataggio delle prove «com'è».
Passo 2 - Triage e indipendenza. Verifica del conflitto di interessi tra le persone designate; in conflitto - ridistribuzione.
Fase 3 - Valutazione del rischio e piano. Volume, ipotesi, legittimità dei metodi, lista degli artefatti, road map.
Passo 4 - Raccolta prove. Documenti, fogli, interviste, campionamenti di transazioni; rispetto del chain-of-custody.
Fase 5 - Analisi e conclusioni. Il fattore (politica/legge/licenza) il rischio di influire.
Passo 6 - Raccomandazioni e CAPE. Azioni correttive/preventive, proprietari, scadenze, metriche di successo.
Passo 7 - Comunicazioni e feedback. Senza rivelazione dell'identità dell'informatore; lingua attenta (nessuna accusa fino alla fine).
Passo 8 - Chiusura e ritenzione. Rapporto finale, stato, deposito di manufatti, rilascio di statistiche impersonali.

9) Comunicazione e protezione dell'informatore

Niente tipping-off. Non rivelare ai presunti trasgressori la segnalazione o l'indagine.
Protezione contro la repressione. Sono vietati il declassamento, il licenziamento, la privazione di bonus, molestie, ecc. Le ritorsioni sono considerate come una violazione S1/S2 separata.
Supporto: trasferimento in un altro team, ferie, consulenze HR/avvocati, supporto psicologico, se necessario.
Comunicazione anonima bidirezionale: l'informatore può fare domande e ottenere lo stato tramite Web inbox/token.

10) Relazione con altre regole

Codice etico e comportamentale - standard e canali.
Politica anticorruzione - due diligence, regali, intermediari.
GDPR/PII - legittimità di lavorazione, DSAR, retenza.
AML/RG/PCI/IB - Procedure di profilassi e triage.
Il controllo interno è un controllo indipendente della qualità delle indagini.

11) Assegno fogli

11. 1 Prima di avviare il canale

  • DPIA e politica di privacy sono stati approvati dal DPO/Legale.
  • Architettura tecnica: crittografia, RBAC, registri WORM.
  • È stato configurato un modulo Web anonimo e un collegamento bidirezionale per token.
  • Formazione WBO/Triage Team sulla metodologia investigativa.
  • Modelli preparati (ricevuta, piano di indagine, rapporto, lettera di chiusura).
  • Campagna di comunicazione: «tone from the top», poster, intranet, FAQ.

11. 2 Ricezione messaggio

  • ID assegnato, data/canale/livello S registrata.
  • Conferma inviata all'informatore senza rivelazione dei dettagli.
  • Verifica del conflitto di interessi tra gli esecutori.
  • Tutti gli allegati/metadati sono stati registrati e l'identificazione è stata eseguita.

11. 3 Indagine

  • Il piano e le ipotesi sono state approvate (per necessità).
  • Chain-of-custody viene gestito per ogni artefatto.
  • Le interviste vengono registrate; avviso di privacy.
  • Le conclusioni sono basate su fatti verificabili, peer-review è stato eseguito.

11. 4 Chiusura

  • CAPE assegnato, tempi e metriche definiti.
  • L'informatore ha ricevuto un feedback impersonale.
  • Retenza/classificazione stabilita; gli artefatti sono stati archiviati.
  • Statistiche aggiornate sul dashbord.

12) Modelli di documento (inserimento rapido)

A) Ricevuta per l'informatore

💡 Grazie per il messaggio. Il tuo ID è WB-XXXX. Esamineremo le informazioni e ci metteremo in contatto con questo canale sicuro, se necessario. Può rimanere anonimo. Non divulgare le informazioni pubblicamente fino al completamento del controllo.

B) Piano investigativo (one-pager)

Case: WB-XXXX Priorità: S1/S2/S3/S4 Proprietario:... Tempi:...
Ipotesi/criteri:...
Dati/manufatti:...

Interviste: elenco/grafico

Rischi di privacy/restrizioni legali:...
Comunicazioni e punti di controllo:...

C) Report finale (struttura)

Riepilogo Criteri (politica/legge) Analisi conclusioni Raccomandazioni CAPE allegati (artefatti).

D) Lettera di chiusura

💡 La valigetta WB-XXXX è stata esaminata. Sono state adottate misure di conformità. Grazie per aver contribuito al lavoro etico e sicuro dell'azienda.

13) Metriche e dashboard

Intake Volume: numero di messaggi per categoria e canale.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA rispetto dei livelli S.
CAPE Progress: completato/in corso/scaduto, chiusura mediana.
Retalization Index - Richieste di risposta registrate (obiettivo 0).
Anonymity Rate - Percentuale di messaggi anonimi e loro conversione a valigette confermate.
Repeat Findings: ripetibilità dei temi in 12 mes.
Awareness Impact: aumento degli accessi dopo le campagne; NPS affidabile al canale.

14) Rischi e misure di controllo

Deanonimizzazione tramite metadati. Identificazione, rimozione EXIF, avvertenze esplicite.
→ RBAC, segmentazione, registri WORM, revisioni regolari degli accessi.
Messaggi/abusi fittizi, filtri educati e verifica dei fatti; sanzioni per false dichiarazioni (senza effetto intimidatorio).
Conflitto di interessi in un'indagine, roadmap degli esecutori, coinvolgimento di IA/Legale.
Repressione, un flusso di denunce separato; Risposta rapida HR/Compliance.

15) Formazione e consapevolezza

Il modulo sul canale, l'anonimato e la protezione dei dati (test dell '85%).
Riattestazione annuale per tutti; formazione aggiuntiva per WBO/Investigator.
Campagne trimestrali (poster/bot quiz/video): come presentare, come previsto, esempi.

16) Piano di implementazione di 30 giorni

Settimana 1

1. Assegna WBO e gruppo di lavoro (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Condurre la DPIA, approvare la politica di privacy e reticenza.
3. Specializza i canali (modulo Web/Posta/Linea), i requisiti di anonimato e i fogli.

Settimana 2

4. Implementare la piattaforma tecnica: crittografia, RBAC, riviste WORM, web inbox anonimi.
5. Preparare modelli e SOP: ricevuta, piano, rapporto, lettera di chiusura, CAPO.
6. Addestrare il team WBO/Triage; prescrivere RACI e SLA.

Settimana 3

7. Pilota: 1-2 valigette di prova (table-top), controllo della catena di prove e retensioni.
8. Configura le metriche e i rapporti di gestione/comitato.
9. Comunicazione: lettera CEO, pagina intranet, FAQ, poster.

Settimana 4

10. Avvio del canale; Monitoraggio SLA/carico di lavoro supporto caldo.
11. Recensioni settimanali delle valigette S1/S2 e CAPA.
12. Retro e regolazioni v1. 1 (politica, moduli, formazione).

17) Sezioni correlate

Codice etico e comportamentale

Politica anticorruzione

Formazione AML e formazione del personale/Consapevolezza del personale sulla compliance

Playbook e script di incidenti

Dashboard della compilazione e monitoraggio

Controllo interno e interno

Notifiche di violazioni e tempi di segnalazione

Report di regolazione e formati di dati

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.