PROCEDURA WHISTLEBLOWING

Sistema di Segnalazione delle Violazioni

ai sensi del D.Lgs. 24/2023 e della Direttiva UE 2019/1937

Società	MyGold S.p.A.
Sede legale	Piazzale Cadorna Luigi 9, Milano
Legale Rappresentante	Luca Canella
Versione	Marzo 2026
Revisione	Annuale
Destinatari	Lavoratori interni, collaboratori, clienti e terzi
Sito web	www.therealmoney.com

1. Cos’è il Whistleblowing e Perché è Importante

Il whistleblowing è la segnalazione, da parte di una persona — lavoratore, collaboratore, cliente o altro soggetto — di comportamenti illeciti, irregolari o non conformi alla normativa di cui sia venuta a conoscenza nell’ambito di un contesto lavorativo o di una relazione professionale o commerciale.

MyGold S.p.A. (di seguito “MyGold” o “la Società”), Operatore Professionale in Oro autorizzato dalla Banca d’Italia e iscritto all’OAM, ha adottato il presente Sistema di Whistleblowing convinta che la segnalazione tempestiva di eventuali violazioni sia uno strumento fondamentale per:

Prevenire condotte illecite o non conformi prima che producano danni;
Proteggere i clienti, i lavoratori e l’integrità dell’attività di compravendita di metalli preziosi;
Promuovere una cultura aziendale basata su legalità, correttezza e trasparenza;
Adempiere agli obblighi previsti dal D.Lgs. 24/2023 e adottare le best practice internazionali in materia di governance.

Il Sistema di Whistleblowing di MyGold è adottato in conformità al D.Lgs. 24/2023 e costituisce, per un Operatore Professionale in Oro — Banco Metalli, una scelta volontaria di best practice in materia di governance, legalità e trasparenza, coerente con gli standard più elevati del settore dei metalli preziosi e con gli obblighi AML/CFT previsti dalla normativa vigente.

Il Sistema adottato dalla Società si basa su strumenti che garantiscono la massima riservatezza dell’identità del segnalante, la protezione dei dati personali e il divieto assoluto di ritorsioni di qualsiasi natura nei confronti di chi effettua una segnalazione in buona fede.

1.2 Obiettivi del sistema di whistleblowing

Il Sistema di Whistleblowing di MyGold persegue i seguenti obiettivi fondamentali:

Prevenzione: individuare tempestivamente condotte non conformi o potenzialmente lesive dell’integrità aziendale;
Protezione: tutelare i segnalanti da qualsiasi forma di ritorsione o discriminazione;
Trasparenza: garantire un processo chiaro, definito e accessibile ai soggetti legittimati;
Miglioramento continuo: utilizzare le segnalazioni come strumento di rafforzamento dei presidi di conformità;
Conformità normativa: assicurare il rispetto della normativa vigente.

1.3 Ambito di applicazione

Il presente documento disciplina il sistema di whistleblowing della Società e, in particolare:

a) definisce il sistema di gestione delle segnalazioni ai sensi della normativa applicabile;
b) stabilisce i ruoli e le responsabilità organizzative in materia di gestione delle segnalazioni;
c) disciplina le attività di formazione e sensibilizzazione del personale;
d) implementa un sistema di whistleblowing conforme alla Direttiva (UE) 2019/1937 e al D.Lgs. 24/2023;
e) garantisce la protezione dei segnalanti e la corretta gestione delle segnalazioni di violazioni normative.

1.4 Principi guida

Il Sistema di Whistleblowing di MyGold si fonda sui seguenti principi:

riservatezza dell’identità del segnalante;
divieto di ritorsioni di qualsiasi natura;
accesso al sistema tramite canale interno unico (piattaforma MITWhistle);
tempestività nella gestione e riscontro delle segnalazioni;
proporzionalità delle azioni rispetto alla gravità delle violazioni;
tracciabilità delle segnalazioni e delle attività di gestione.

1.5 Definizioni

Ai sensi dell’art. 2 del Decreto Legislativo 10 marzo 2023, n. 24, si intende per:

Termine	Definizione
Segnalante	La persona fisica che effettua la segnalazione o la divulgazione pubblica di informazioni sulle violazioni acquisite nell’ambito del proprio contesto lavorativo
Segnalazione interna	La comunicazione scritta od orale di informazioni sulle violazioni, effettuata tramite il canale di segnalazione interno attivato dalla Società ai sensi dell’art. 4 del D.Lgs. 24/2023
Segnalazione esterna	La comunicazione scritta od orale di informazioni sulle violazioni, effettuata tramite il canale di segnalazione esterno attivato dall’ANAC ai sensi dell’art. 7 del D.Lgs. 24/2023
Divulgazione pubblica	Il rendere di pubblico dominio informazioni sulle violazioni tramite la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone, ai sensi dell’art. 15 del D.Lgs. 24/2023
Violazioni	Le azioni od omissioni, commesse o che potrebbero essere commesse dalla Società, che ledono l’interesse pubblico o l’integrità dell’ente e che consistono in: illeciti amministrativi, contabili, civili o penali; condotte illecite rilevanti ai sensi del D.Lgs. 231/2001; illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea o nazionali
Informazioni sulle violazioni	Informazioni, compresi i fondati sospetti, riguardanti violazioni commesse o che potrebbero essere commesse nell’organizzazione con cui il segnalante si interfaccia nell’ambito del proprio contesto lavorativo
Contesto lavorativo	Le attività lavorative o professionali, presenti o passate, svolte nell’ambito dei rapporti di lavoro con la Società, attraverso le quali le persone acquisiscono informazioni sulle violazioni
Persona coinvolta	La persona fisica o giuridica menzionata nella segnalazione come persona a cui la violazione è attribuita o come persona comunque implicata nella violazione segnalata
Facilitatore	La persona fisica che assiste il segnalante nel processo di segnalazione, operante nel medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata
Ritorsioni	Qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione e che provoca o può provocare alla persona segnalante un danno ingiusto
Misure di protezione	Le misure volte a tutelare da ritorsioni il segnalante, il facilitatore e i soggetti collegati al segnalante
Gestore della segnalazione	Il soggetto designato dalla Società, dotato di autonomia e indipendenza, responsabile della gestione del canale di segnalazione interno, identificato nel Compliance Officer di MyGold.
Segnalazione anonima	La segnalazione effettuata senza indicare l’identità del segnalante; qualora successivamente il segnalante venga identificato, si applicano le tutele previste dal D.Lgs. 24/2023

2. Riferimenti Normativi

La presente Procedura è adottata in conformità al quadro normativo europeo e nazionale in materia di whistleblowing, compliance, protezione dei dati personali e prevenzione dei rischi aziendali. In particolare, il sistema di segnalazione di MyGold è disciplinato dalle seguenti principali fonti normative:

Decreto Legislativo 24/2023 — attuazione della Direttiva (UE) 2019/1937 sulla protezione delle persone che segnalano violazioni;
Direttiva (UE) 2019/1937 — protezione delle persone che segnalano violazioni del diritto dell’Unione Europea;
Decreto Legislativo 231/2001 — disciplina della responsabilità amministrativa degli enti e dei modelli organizzativi;
Regolamento (UE) 2016/679 (GDPR) e Decreto Legislativo 196/2003, come modificato dal D.Lgs. 101/2018 — protezione dei dati personali;
Decreto Legislativo 231/2007 — normativa in materia di prevenzione del riciclaggio e del finanziamento del terrorismo;
Legge 7/2000 — disciplina dell’attività di intermediazione in oro e degli Operatori Professionali in Oro (OPO);
Provvedimenti Banca d’Italia in materia di organizzazione, procedure e controlli interni AML per gli Operatori Professionali in Oro.

3. Chi Può Effettuare una Segnalazione

Il Sistema di Whistleblowing di MyGold è accessibile a tutti i soggetti che, nell’ambito di un contesto lavorativo, professionale o commerciale, vengono a conoscenza di violazioni ai sensi della normativa applicabile. Le segnalazioni possono essere effettuate sia da soggetti interni sia da soggetti esterni, ai quali sono riconosciute le medesime tutele previste dalla normativa applicabile.

3.1 Segnalanti interni — lavoratori e collaboratori

Sono legittimati a effettuare segnalazioni tutti i soggetti che lavorano o hanno lavorato per MyGold in qualsiasi veste:

Dipendenti a tempo indeterminato e determinato;
Collaboratori, consulenti e liberi professionisti;
Stagisti e tirocinanti;
Lavoratori in somministrazione;
Amministratori, sindaci e membri degli organi societari;
Agenti e rappresentanti della rete commerciale MyGold;
Ex dipendenti o collaboratori, per fatti di cui sono venuti a conoscenza durante il rapporto;
Candidati in fase di selezione, per fatti appresi durante il processo di assunzione.

3.2 Segnalanti esterni — clienti e terzi

Sono altresì legittimati a effettuare segnalazioni i soggetti esterni che intrattengono o hanno intrattenuto rapporti professionali o commerciali con la Società, tra cui:

Clienti di MyGold, limitatamente a fatti appresi nell’ambito del rapporto con la Società;
Fornitori, partner commerciali e terze parti che operano o hanno operato per conto della Società;
Altri soggetti che, nell’ambito di relazioni professionali o commerciali, abbiano acquisito conoscenza di violazioni rilevanti.

3.3 Condizioni per la protezione del segnalante

Le tutele previste dalla presente Procedura si applicano ai segnalanti che effettuano segnalazioni ai sensi del D.Lgs. 24/2023, purché, al momento della segnalazione, abbiano fondati motivi di ritenere che le informazioni comunicate siano vere e rientrino nell’ambito delle violazioni rilevanti ai sensi della normativa applicabile. In particolare, la segnalazione deve essere effettuata:

sulla base di informazioni apprese nel contesto lavorativo e professionale;
con un ragionevole convincimento circa la veridicità dei fatti segnalati;
senza abuso dello strumento di segnalazione.

Restano escluse dalle tutele le segnalazioni effettuate con dolo o colpa grave, nonché quelle manifestamente false, infondate o strumentali. Tali segnalazioni possono comportare responsabilità disciplinare per i lavoratori, responsabilità civile per danni arrecati a terzi e responsabilità penale per calunnia (art. 368 c.p.) o diffamazione (art. 595 c.p.).

4. Cosa Si Può Segnalare

Possono essere oggetto di segnalazione le violazioni — o le ragionevoli ipotesi di violazione — delle seguenti categorie di norme e procedure interne applicabili alla Società:

4.1 Violazioni della normativa antiriciclaggio (AML/CFT)

Ai sensi del Decreto Legislativo 231/2007:

Omessa identificazione dei clienti o violazioni degli obblighi di adeguata verifica della clientela;
Mancate segnalazioni di operazioni sospette alla UIF;
Violazioni delle procedure KYC interne di MyGold;
Carenze nei presidi di prevenzione del riciclaggio e del finanziamento del terrorismo.

Le segnalazioni di operazioni sospette (SOS) devono essere effettuate tramite i canali AML dedicati e non attraverso il sistema di whistleblowing.

4.2 Violazioni della normativa sugli Operatori Professionali in Oro

Ai sensi della Legge 7/2000 e dei provvedimenti Banca d’Italia:

Irregolarità nella compravendita di oro da investimento o metalli preziosi;
Carenze nei presidi di tracciabilità e registrazione delle operazioni in metalli preziosi;
Violazioni degli obblighi di comunicazione alla Banca d’Italia e all’OAM;
Comportamenti scorretti nei confronti dei clienti nella compravendita di oro da investimento.

4.3 Violazioni in materia di governance e controlli interni

Ai sensi del D.Lgs. 231/2001 e delle procedure interne:

Carenze nella governance aziendale, nei controlli interni o nella gestione dei conflitti di interesse;
Comportamenti non conformi al Codice Etico aziendale e ai principi di integrità della Società;
Condotte rilevanti ai sensi della normativa sulla responsabilità amministrativa degli enti (D.Lgs. 231/2001);
Violazioni delle politiche di sicurezza informatica e dei presidi di protezione dei dati aziendali.

4.4 Violazioni in materia di protezione dei dati personali

Ai sensi del Regolamento (UE) 2016/679 (GDPR):

Trattamenti di dati personali effettuati in assenza di una base giuridica valida o in violazione dei principi del GDPR;
Mancata adozione di misure di sicurezza adeguate, inclusi accessi non autorizzati o perdita di dati;
Mancata gestione degli obblighi relativi ai data breach, inclusa la mancata notifica al Garante;
Violazioni dei diritti degli interessati.

4.5 Cosa NON si può segnalare tramite questo canale

Non rientrano nell’ambito del presente sistema di whistleblowing:

Reclami personali relativi a rapporti di lavoro o commerciali, da gestire tramite i canali ordinari;
Divergenze di opinione su scelte gestionali o strategiche;
Segnalazioni prive di qualsiasi fondamento o manifestamente pretestuose;
Informazioni già di pubblico dominio, salvo che siano collegate a possibili violazioni rilevanti;
Segnalazioni di operazioni sospette di riciclaggio — da inviare tramite l’apposito canale AML dedicato;
Reclami relativi a prodotti o servizi, da gestire tramite la procedura reclami aziendale.

Il sistema di segnalazione non sostituisce i canali ordinari di assistenza o reclamo.

5. Come Effettuare una Segnalazione — I Tre Canali

MyGold mette a disposizione dei segnalanti un sistema di segnalazione conforme alla normativa vigente, progettato per garantire riservatezza, sicurezza e tutela del segnalante. Le segnalazioni possono essere effettuate anche in forma anonima. Tuttavia, l’indicazione di un recapito personale può facilitare eventuali richieste di chiarimento o aggiornamenti.

La Società rilascia un avviso di ricevimento della segnalazione entro 7 giorni, ai sensi dell’art. 5 del Decreto Legislativo 24/2023.

5.1 Canale interno ufficiale — Piattaforma MITWhistle

Il canale interno ufficiale per l’invio delle segnalazioni è la piattaforma digitale dedicata:

(INSERIRE LINK MITWHISTLE — da completare)

La piattaforma consente:

segnalazioni scritte e anonime;
comunicazione riservata con il gestore della segnalazione;
protezione dei dati mediante sistemi crittografati;
separazione tra identità del segnalante e contenuto della segnalazione.

Il sistema è erogato da un provider esterno specializzato. Il titolare dei dati personali avviene nel rispetto della normativa vigente, e i ruoli privacy sono definiti in conformità al GDPR.

5.2 Canale alternativo residuale

In via subordinata e solo qualora non sia possibile utilizzare la piattaforma, è possibile:

richiedere un colloquio diretto e riservato con il Compliance Officer;
inviare una segnalazione tramite comunicazione riservata scritta.

Tali canali garantiscono comunque la riservatezza del segnalante e sono gestiti secondo le medesime tutele previste dalla normativa.

5.3 Canale esterno — ANAC

In presenza delle condizioni previste dalla normativa applicabile, il segnalante può effettuare una segnalazione tramite il canale esterno gestito da ANAC, ai sensi dell’art. 6 del D.Lgs. 24/2023. Il ricorso al canale esterno è consentito, tra l’altro, nei seguenti casi:

il canale interno non è attivo o non è conforme alla normativa;
la segnalazione interna è già stata effettuata e non ha avuto seguito;
sussistono fondati motivi di ritenere che l’utilizzo del canale interno possa esporre il segnalante a rischio di ritorsione;
sussiste un pericolo imminente o evidente per l’interesse pubblico.

5.4 Divulgazione pubblica

Nei casi previsti dalla normativa, il segnalante può effettuare una divulgazione pubblica delle informazioni, ad esempio tramite stampa o media, qualora: non sia stato dato seguito a una segnalazione interna o esterna; sussista un pericolo imminente o evidente per il pubblico interesse; vi sia fondato motivo di ritenere che la segnalazione non riceverà adeguato riscontro (art. 15 D.Lgs. 24/2023).

6. Contenuto della Segnalazione

Per consentire una gestione efficace della segnalazione, è utile — ma non obbligatorio — fornire le seguenti informazioni:

descrizione dei fatti segnalati (cosa è accaduto, in quale contesto e con quale eventuale frequenza);
date o periodo in cui si sono verificati i fatti;
luogo in cui si sono verificati i fatti;
soggetti coinvolti, se noti;
eventuale documentazione a supporto (email, contratti, screenshot, altro);
modalità con cui si è venuti a conoscenza dei fatti.

Non è necessario che il segnalante abbia la certezza assoluta che la violazione si sia verificata: è sufficiente avere fondati motivi per ritenere che i fatti segnalati corrispondano al vero. Ai sensi del D.Lgs. 24/2023, la tutela del segnalante si applica indipendentemente dall’esito delle verifiche successive.

7. Misure di Protezione del Segnalante

MyGold garantisce la massima protezione ai segnalanti in buona fede, in conformità al D.Lgs. 24/2023 e alla Direttiva UE 2019/1937.

7.1 Riservatezza dell’identità

L’identità del segnalante è trattata con la massima riservatezza. Essa è conosciuta esclusivamente dai soggetti autorizzati alla gestione della segnalazione e non viene divulgata a terzi senza il consenso esplicito del segnalante. Tutti i report e i documenti relativi alla segnalazione sono predisposti in modo da non contenere riferimenti che possano permettere l’identificazione del segnalante.

L’identità del segnalante può essere rivelata esclusivamente nei seguenti casi previsti dalla legge:

obbligo di legge, su richiesta dell’Autorità Giudiziaria nell’ambito di indagini penali;
esigenze di difesa dell’incolpato, nei limiti e secondo le garanzie previste dall’autorità giudiziaria;
consenso esplicito del segnalante.

In tali casi, ove possibile e non pregiudizievole per le indagini o per la sicurezza del segnalante, la Società informa preventivamente il segnalante.

7.2 Divieto assoluto di ritorsioni

La Società vieta qualsiasi forma di ritorsione, discriminazione o comportamento pregiudizievole nei confronti del segnalante, dei suoi colleghi o dei suoi familiari, in conseguenza della segnalazione. Sono considerate ritorsioni, a titolo esemplificativo:

licenziamento, sospensione o mancato rinnovo del contratto;
demansionamento, trasferimenti o modifiche peggiorative delle condizioni di lavoro;
riduzione della retribuzione o dei benefit;
valutazioni negative non giustificate da criteri oggettivi;
mancata promozione o avanzamento;
atti di mobbing, isolamento o pressione indebita;
interruzione o peggioramento del rapporto commerciale (per soggetti esterni).

Il segnalante che ritenga di aver subito una ritorsione può utilizzare il canale interno tramite la piattaforma dedicata oppure, nei casi previsti dalla normativa, rivolgersi ai canali esterni (ANAC) o alla divulgazione pubblica.

7.3 Protezione estesa

Le tutele previste dalla presente Procedura si estendono anche a:

facilitatori: persone che assistono il segnalante nel processo di segnalazione (legale, rappresentante sindacale);
colleghi e familiari del segnalante che potrebbero subire ritorsioni per connessione con la segnalazione;
enti controllati dal segnalante: società o enti presso cui il segnalante lavora o di cui detiene partecipazioni.

7.4 Trattamento dei dati personali del segnalante

I dati personali del segnalante sono trattati nel rispetto del Regolamento (UE) 2016/679 e del Decreto Legislativo 196/2003, come modificato dal D.Lgs. 101/2018. Il trattamento avviene esclusivamente per finalità connesse alla gestione della segnalazione e si basa sull’adempimento di un obbligo legale ai sensi dell’art. 6, par. 1, lett. c) del GDPR. I dati sono conservati per il tempo strettamente necessario alla gestione della segnalazione e comunque non oltre 5 anni dalla chiusura del procedimento, salvo diversi obblighi di legge. Per ulteriori informazioni si rimanda all’informativa privacy disponibile sul sito aziendale.

8. Come Gestiamo le Segnalazioni

MyGold adotta un processo strutturato di gestione delle segnalazioni articolato in sei fasi, con tempistiche definite nel rispetto dei termini previsti dal D.Lgs. 24/2023:

Fase	Tempistica	Attività	Responsabile
1. Ricezione	Giorno 0	Ricezione tramite piattaforma MITWhistle, protocollazione automatica e registrazione nel registro riservato, con segregazione delle informazioni identificative del segnalante	Compliance Officer / Sistema MITWhistle
2. Conferma	Entro 7 giorni	Invio avviso di ricevimento al segnalante tramite piattaforma, con codice pratica e indicazione delle tempistiche, ai sensi del D.Lgs. 24/2023	Compliance Officer
3. Valutazione	Entro 30 giorni	Analisi dell’ammissibilità, valutazione della gravità e urgenza, eventuale richiesta di integrazioni al segnalante	Compliance Officer
4. Istruttoria	Entro 90 giorni	Raccolta documentazione, audizioni delle persone coinvolte, verifiche tecniche, analisi normativa. Eventuali consulenti esterni possono essere coinvolti nel rispetto della riservatezza	Compliance Officer + eventuali consulenti
5. Deliberazione	Entro 90 giorni	Presentazione report al Consiglio di Amministrazione, delibera sulle azioni correttive e/o disciplinari	CdA su proposta del Compliance Officer
6. Feedback	Entro 90 giorni	Comunicazione dell’esito al segnalante (nei limiti della riservatezza), avvio delle azioni correttive deliberate	Compliance Officer

Tutte le fasi del processo sono condotte con la massima riservatezza dal gestore della segnalazione. Il vincolo di riservatezza sull’identità del segnalante è esteso a tutti i soggetti coinvolti. Il Registro Segnalazioni è conservato in forma riservata e segregata, accessibile esclusivamente al Compliance Officer e al Collegio Sindacale.

9. Gestione dei Conflitti di Interesse

MyGold S.p.A. ha previsto specifiche misure per garantire la gestione indipendente delle segnalazioni nei casi in cui possano emergere conflitti di interesse.

9.1 Segnalazione riguardante il Compliance Officer

Qualora una segnalazione riguardi il Compliance Officer, essa viene gestita tramite la piattaforma MITWhistle e assegnata direttamente al Presidente del Consiglio di Amministrazione, che ne assume la gestione istruttoria. Il Compliance Officer è escluso da qualsiasi accesso o attività relativa alla segnalazione.

9.2 Segnalazione riguardante il Consiglio di Amministrazione

Qualora la segnalazione riguardi uno o più membri del Consiglio di Amministrazione, la gestione è affidata al Collegio Sindacale, quale soggetto indipendente di controllo. La segnalazione può essere effettuata tramite la piattaforma MITWhistle selezionando l’opzione relativa a segnalazioni con conflitto di interesse, oppure nei casi previsti dalla normativa tramite il canale esterno ANAC. Il Collegio Sindacale può avvalersi, ove necessario, di consulenti esterni indipendenti.

10. Rapporti con le Autorità di Vigilanza

MyGold collabora pienamente con le autorità di vigilanza competenti:

ANAC	Autorità Nazionale Anticorruzione — canale esterno whistleblowing ai sensi del D.Lgs. 24/2023 — whistleblowing.anticorruzione.it
Garante Privacy	Per questioni relative al trattamento dei dati personali — garanteprivacy.it
Autorità Giudiziaria	Per segnalazioni aventi ad oggetto reati — procedura ordinaria

MyGold garantisce che l’utilizzo del canale interno non pregiudica in alcun modo il diritto del segnalante di ricorrere ai canali esterni previsti dalla normativa applicabile, nei casi e alle condizioni di cui all’art. 6 del Decreto Legislativo 24/2023.

11. Formazione e Comunicazione

MyGold si impegna a garantire che tutti i soggetti destinatari della presente Procedura siano adeguatamente informati e formati sul Sistema di Whistleblowing:

formazione obbligatoria per tutto il personale all’assunzione e con aggiornamento annuale;
comunicazione della presente Procedura a tutti i collaboratori e agenti della rete MyGold;
pubblicazione della Procedura sul sito aziendale nella sezione dedicata;
messa a disposizione del canale di segnalazione.

12. Aggiornamenti della Procedura

La presente Procedura è soggetta a revisione annuale da parte del Compliance Officer e del Consiglio di Amministrazione, ovvero al verificarsi di modifiche normative rilevanti. Ogni modifica è approvata dal Consiglio di Amministrazione e comunicata tempestivamente a tutto il personale. La versione aggiornata è sempre disponibile sul sito aziendale nella sezione dedicata al Whistleblowing.