Come noto, la Legge 30 novembre 2017, n. 179 (recante disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato) ha introdotto per la prima volta nell’ordinamento italiano l’obbligo per gli enti pubblici e privati di dotarsi di cosiddetti “sistemi di whistleblowing”, ossia di procedure e canali che consentano di: (a) segnalare un illecito, e (b) tutelare l’identità del segnalante. A questo riguardo, la Corte di Cassazione ha anzitutto premesso che la disciplina appena menzionata risponde “ad una duplice ratio, consistente da un lato nel delineare un particolare status giuslavoristico in favore del soggetto che segnala illeciti e, dall’altro, nel favorire l’emersione […] di fatti illeciti, promuovendo forme più incisive di contrasto alla corruzione”. In merito al comportamento del dipendente che intenda effettuare una segnalazione avente ad oggetto la segnalazione di un illecito appreso nell’ambito del proprio lavoro, la pronuncia in esame ha confermato che “la normativa citata si limit[a] a scongiurare conseguenze sfavorevoli, limitatamente al rapporto di impiego, per il segnalante che acquisisca, nel contesto lavorativo, notizia di un’attività illecita, mentre non fonda alcun obbligo di attiva acquisizione di informazioni, autorizzando improprie attività investigative, in violazione dei limiti posti dalla legge”. La Suprema Corte ha così evidenziato che la protezione garantita dalla legge in favore del whistleblower non può legittimare quest’ultimo a condurre autonome attività investigative circa l’illecito riscontrato, in violazione della normativa applicabile (nel caso di specie l’indebito utilizzo di credenziali d’accesso a sistema informatico protetto).