Whistleblowing: approvate le Linee Guida sui canali interni di segnalazione

---

Condividi l'articolo:

---

Con notizia pubblicata il 12 dicembre 2025, l’Autorità Nazionale Anticorruzione - ANAC ha reso noto di aver proceduto all’integrazione e ad un complessivo aggiornamento del quadro regolatorio in materia di whistleblowing.

In particolare, con Delibera n. 478 del 26 novembre 2025 (depositata in data 11 dicembre 2025), l’ANAC ha approvato in via definitiva le attese Linee guida sui canali interni di segnalazione, volte a fornire indicazioni operative sulle modalità di gestione dei canali interni, garantendo un’applicazione uniforme ed efficace della normativa.

Le Linee guida, che non sostituiscono né modificano le disposizioni contenute nella delibera ANAC Delibera n. 311 del 12 luglio 2023 (Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne), sono state adottate tenendo conto degli esiti della consultazione pubblica e previo parere favorevole del Garante per la protezione dei dati personali (provvedimento del 9 ottobre 2025, n. 581).

Contestualmente, con Delibera n. 479 del 26 novembre 2025, l’Autorità ha apportato modifiche e integrazioni alle Linee guida sulla presentazione e gestione delle segnalazioni esterne, al fine di assicurarne la coerenza con le nuove indicazioni sui canali interni e di superare le criticità emerse nella prima fase di applicazione del D.Lgs. n. 24/2023.

Si attende ora la pubblicazione sulla Gazzetta Ufficiale del relativo avviso.

Whistleblowing, canali interni di segnalazione: quadro normativo

Il decreto legislativo 10 marzo 2023, n. 24, ha introdotto una disciplina organica in materia di whistleblowing, prevedendo, all’art. 4, comma 1, l’obbligo per i soggetti del settore pubblico e per i soggetti del settore privato rientranti nell’ambito di applicazione della normativa di attivare appositi canali interni di segnalazione.

Tali canali sono finalizzati a ricevere e gestire le segnalazioni di violazioni del diritto dell’Unione e delle disposizioni normative nazionali, garantendo la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

La disciplina prevede che le modalità di funzionamento del canale interno siano definite all’interno di un apposito atto organizzativo o del Modello di organizzazione e gestione ex d.lgs. n. 231/2001, nel quale devono essere individuati, tra l’altro, i compiti e i poteri del soggetto destinatario delle segnalazioni, le modalità di ricevimento delle stesse e il processo di gestione.

Qualora il canale interno sia stato già istituito ai sensi della precedente disciplina (legge n. 179/2017), l’ente non è tenuto a una nuova attivazione, ma deve procedere a una verifica di adeguatezza del canale esistente rispetto alle nuove prescrizioni introdotte dal d.lgs. n. 24/2023.

Preferenza per i canali interni

Come già chiarito dalle Linee guida ANAC adottate con Delibera n. 311 del 12 luglio 2023, il legislatore ha inteso incoraggiare il ricorso ai canali interni in quanto strumenti più prossimi all’origine delle violazioni segnalate.

La vicinanza organizzativa ai fatti consente, infatti, una più efficace prevenzione e un più rapido accertamento delle violazioni, attraverso l’acquisizione di informazioni pertinenti da parte di soggetti che operano all’interno del contesto in cui le condotte si sono verificate.

La centralità del canale interno emerge anche dal carattere residuale e condizionato del ricorso al canale esterno presso ANAC, utilizzabile solo al ricorrere delle specifiche condizioni previste dall’art. 6 del D.Lgs. n. 24/2023.

Ruolo delle organizzazioni sindacali

L’art. 4, comma 1, del D.Lgs. n. 24/2023 prevede che l’attivazione dei canali interni avvenga “sentite le rappresentanze o organizzazioni sindacali”.

Le Linee guida ANAC hanno chiarito che tale espressione si riferisce alle organizzazioni sindacali comparativamente più rappresentative sul piano nazionale, alle rappresentanze sindacali aziendali (RSA) o alla rappresentanza sindacale unitaria (RSU), ai sensi dell’art. 51 del d.lgs. n. 81/2015.

Il coinvolgimento sindacale ha natura meramente informativa e si sostanzia in un’interlocuzione preventiva finalizzata a consentire all’ente di acquisire eventuali osservazioni in merito all’implementazione del canale interno.

Non si tratta, pertanto, di un procedimento volto al raggiungimento di un’intesa o di un accordo, né il parere espresso dalle organizzazioni sindacali assume carattere vincolante.

Tuttavia, l’assenza di tale coinvolgimento rende la procedura non conforme alla normativa e comporta l’esposizione dell’ente/impresa alle sanzioni previste dall’art. 21 del D.Lgs. n. 24/2023. 

L’interlocuzione deve essere prevista anche in caso di modifiche sostanziali o aggiornamenti dell’atto organizzativo o del MOG 231.

L’informativa è trasmessa alle organizzazioni sindacali prima dell’approvazione dell’atto organizzativo o dell’aggiornamento del MOG, per la parte relativa alla disciplina whistleblowing, al fine di consentire un esame tempestivo delle eventuali osservazioni, assegnando un termine per la loro formulazione e indicando la disponibilità a un eventuale incontro.

Modalità di effettuazione della segnalazione

La segnalazione può essere effettuata sia in forma scritta sia in forma orale. I soggetti obbligati sono pertanto tenuti a garantire entrambe le modalità, assicurando che il canale interno sia facilmente accessibile a tutti i soggetti legittimati, inclusi consulenti e collaboratori.

Segnalazione in forma scritta

Le Linee guida ANAC raccomandano l’utilizzo di piattaforme informatiche dedicate, in quanto strumenti in grado di garantire elevati livelli di sicurezza e una maggiore protezione dei dati personali sia nella fase di acquisizione sia in quella di gestione delle segnalazioni. Tali piattaforme devono consentire:

• la cifratura dei dati;
• la separazione dei dati identificativi dal contenuto della segnalazione;
• l’instaurazione di un’interlocuzione riservata con la persona segnalante, anche mediante l’attribuzione di un codice identificativo noto esclusivamente a quest’ultima.

La scelta dello strumento deve avvenire tenendo conto del contesto organizzativo e nel rispetto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, anche sulla base delle osservazioni del Responsabile della protezione dei dati, ove presente.

In assenza di una piattaforma informatica, è ammessa la segnalazione mediante un sistema a doppia busta, volto a separare i dati identificativi dal contenuto della segnalazione, inserite in una ulteriore busta chiusa recante la dicitura “riservata” indirizzata al gestore, il quale provvede alla registrazione riservata tramite apposito registro o altro strumento previsto dall’ente.

Il ricorso alla posta elettronica ordinaria o certificata è considerato, di regola, non idoneo a garantire la riservatezza dell’identità del segnalante, salvo l’adozione di specifiche misure di mitigazione del rischio individuate in sede di valutazione di impatto sulla protezione dei dati.

Segnalazione in forma orale

La segnalazione orale può essere effettuata:

• tramite linee telefoniche dedicate;
• mediante sistemi di messaggistica vocale;
• su richiesta della persona segnalante, attraverso un incontro diretto da svolgersi entro un termine ragionevole.

È fondamentale che anche le segnalazioni orali siano adeguatamente tracciate e documentate, nel rispetto della riservatezza e previo consenso della persona segnalante, mediante registrazione o redazione di un verbale sottoscritto.

La persona segnalante deve poter verificare e, se necessario, rettificare il contenuto della segnalazione al momento della sottoscrizione.

Regime sanzionatorio

Il decreto legislativo 10 marzo 2023, n. 24 attribuisce all’Autorità Nazionale Anticorruzione un rilevante potere sanzionatorio volto a garantire l’effettività del sistema di whistleblowing. In particolare, ai sensi dell’art. 21, comma 1, lettera b), del decreto, ANAC può applicare una sanzione amministrativa pecuniaria compresa tra 10.000 e 50.000 euro nei confronti dei soggetti del settore pubblico e privato che non abbiano istituito i canali interni di segnalazione, non abbiano adottato procedure per la ricezione e la gestione delle segnalazioni ovvero abbiano predisposto procedure non conformi alle disposizioni di cui agli articoli 4 e 5 del decreto.

In tutte le ipotesi considerate, la responsabilità è imputata all’organo di indirizzo dell’ente, tanto nel settore pubblico quanto in quello privato. L’organo di indirizzo risponde della sanzione in solido con i singoli componenti, fatta salva la possibilità di esercitare azione di regresso nei confronti dei soggetti responsabili della violazione, ai sensi dell’art. 6 della legge 24 novembre 1981, n. 689.

Gestore del canale interno

La gestione delle segnalazioni è affidata a una persona o a un ufficio interno appositamente dedicato e autonomo, ovvero a un soggetto esterno, purché anch’esso dotato dei requisiti di autonomia e adeguata formazione. I compiti, i poteri e le responsabilità del gestore, anche in relazione al trattamento dei dati personali, devono essere puntualmente definiti nell’atto organizzativo o nel Modello di organizzazione e gestione ex d.lgs. n. 231/2001.

Elemento centrale della figura del gestore è il requisito dell’autonomia, che si declina nei principi di imparzialità e indipendenza.

Nello svolgimento della propria istruttoria, il gestore può accedere alle informazioni e ai sistemi dell’ente nei limiti previsti dall’atto organizzativo, nonché coinvolgere, ove necessario, altre strutture interne o soggetti esterni dotati di specifiche competenze. Tuttavia, al fine di preservarne l’autonomia, agli organi di indirizzo non devono essere attribuiti poteri di supervisione o di approvazione preventiva delle attività istruttorie. L’organo di indirizzo può essere coinvolto solo in una fase successiva, qualora emergano profili di propria competenza.

L’attività del gestore può concludersi con diversi esiti, tra cui l’archiviazione della segnalazione, la proposta di revisione di procedure interne, la trasmissione degli atti agli uffici competenti, quali l’Ufficio procedimenti disciplinari, o alle Autorità giudiziarie.

Al fine di prevenire situazioni di conflitto di interessi e di garantire l’effettiva autonomia del gestore, le Linee guida raccomandano particolare attenzione all’ipotesi di cumulo di incarichi. Un esempio significativo è rappresentato dalla possibile coincidenza tra il ruolo di Responsabile della protezione dei dati (RPD) e quello di gestore del canale whistleblowing.

Negli enti di grandi dimensioni o caratterizzati da una struttura organizzativa complessa, è preferibile mantenere distinte le due funzioni.

Diversamente, negli enti di ridotte dimensioni, ove la carenza di personale non consenta una netta separazione dei ruoli, la coincidenza tra RPD e gestore può essere ammessa, purché fondata su una valutazione specifica e adeguatamente motivata, che tenga conto delle esigenze organizzative e delle garanzie di autonomia richieste dalla normativa.

Fornitura dell’infrastruttura informatica

L’ente può affidare a un soggetto terzo la fornitura dell’infrastruttura del canale interno di segnalazione, mediante soluzioni cloud o on-premise, previa stipula di un contratto che disciplini il funzionamento del servizio e gli aspetti connessi al trattamento dei dati personali. Il fornitore opera in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, nel rispetto delle istruzioni impartite dal titolare del trattamento.

Affidamento della gestione del canale a un soggetto esterno

La gestione del canale interno può essere affidata a un soggetto esterno, purché dotato dei requisiti di autonomia e indipendenza richiesti dalla normativa.

Tale affidamento deve essere formalizzato mediante un contratto che definisca compiti, poteri e responsabilità del gestore esterno, nonché le modalità di trattamento dei dati personali. Il soggetto esterno deve essere posto nelle condizioni di conoscere il contesto organizzativo dell’ente e di svolgere in autonomia tutte le attività previste dall’art. 5 del d.lgs. n. 24/2023.

Qualora più enti affidino a un medesimo soggetto esterno la gestione delle segnalazioni, devono essere adottate misure tecniche e organizzative idonee a garantire l’accesso esclusivo di ciascun ente alle segnalazioni di propria competenza, assicurando l’accesso selettivo al solo personale autorizzato e il rispetto della riservatezza e della disciplina in materia di protezione dei dati personali.

Condivisione del canale di segnalazione

Il D.Lgs. n. 24/2023 consente, in determinati casi, la condivisione del canale interno di segnalazione e delle risorse necessarie alla gestione delle segnalazioni, in particolare per i comuni non capoluogo di provincia e per i soggetti privati con una media annua di lavoratori non superiore a 249, nonché, secondo l’orientamento di ANAC, per gli enti pubblici di piccole dimensioni (per l’individuazione di tali enti appare ragionevole fare riferimento alla soglia dimensionale di meno di cinquanta dipendenti indicata dal legislatore per l’adozione del Piano Integrato di Attività e Organizzazione (PIAO) semplificato)

La condivisione deve essere disciplinata da un accordo tra gli enti coinvolti e non incide sull’obbligo per ciascun ente di dotarsi di un proprio canale interno e di nominare un proprio gestore. Ogni ente deve avere accesso esclusivo alle segnalazioni di propria competenza e garantire la riservatezza e il corretto seguito delle stesse. In caso di condivisione, gli enti assumono la qualifica di contitolari del trattamento dei dati personali e devono definire in modo trasparente le rispettive responsabilità.

Attività del gestore del canale interno

L’art. 5 del D.Lgs. n. 24/2023 disciplina le principali attività del gestore del canale interno di segnalazione, individuandone le fasi essenziali. Il gestore è l’unico soggetto legittimato a ricevere le segnalazioni e a curarne la gestione; qualora la segnalazione pervenga erroneamente ad altro soggetto interno, quest’ultimo è tenuto a trasmetterla al gestore entro sette giorni, nel rispetto della riservatezza.

Anche le segnalazioni anonime devono essere registrate e conservate, al fine di garantire la tutela del segnalante in caso di eventuali ritorsioni.

Avviso di ricevimento della segnalazione

Il gestore rilascia alla persona segnalante un avviso di ricevimento entro 7 giorni dalla presentazione della segnalazione. Tale avviso ha natura meramente informativa e attesta la presa in carico della segnalazione, senza comportare alcuna valutazione di merito sui fatti segnalati.

Esame preliminare e verifica dell’ammissibilità

In una fase preliminare, il gestore verifica la sussistenza dei presupposti soggettivi e oggettivi previsti dal D.Lgs. n. 24/2023. Qualora la segnalazione non rientri nell’ambito del whistleblowing, essa può essere trattata come segnalazione ordinaria dall’ufficio competente, dandone comunicazione alla persona segnalante.

Il gestore valuta inoltre la completezza e la precisione dei fatti segnalati e può richiedere integrazioni o chiarimenti. In caso di mancata collaborazione, la segnalazione può essere archiviata, con adeguata motivazione. L’accesso all’identità del segnalante è consentito solo se strettamente necessario ai fini istruttori e deve essere tracciato.

Istruttoria e accertamento dei fatti

Accertata l’ammissibilità, il gestore svolge l’istruttoria finalizzata a verificare la fondatezza dei fatti segnalati, direttamente o mediante il coinvolgimento di strutture interne o soggetti esterni dotati di specifiche competenze. In tale fase è essenziale garantire la tutela della riservatezza, trasmettendo ai soggetti coinvolti esclusivamente informazioni o estratti anonimizzati.

Ove necessario, la documentazione può essere trasmessa alle Autorità giudiziarie competenti, nel rispetto delle garanzie previste dalla normativa e previa informazione alla persona segnalante.

Esiti dell’istruttoria e riscontro al segnalante

Al termine dell’istruttoria, il gestore può archiviare la segnalazione oppure trasmettere gli atti agli organi o alle autorità competenti. Non rientra nei compiti del gestore la valutazione delle responsabilità individuali o l’adozione di provvedimenti conseguenti.

Il riscontro alla persona segnalante deve essere fornito entro 3 mesi dall’avviso di ricevimento, salvo la necessità di tempi più lunghi per accertamenti complessi, fermo restando l’obbligo di comunicare l’esito della segnalazione.

 Conservazione e cancellazione della documentazione

La segnalazione e la relativa documentazione devono essere cancellate entro 5 anni dalla comunicazione dell’esito finale alla persona segnalante. Possono invece essere conservati gli atti relativi ai procedimenti avviati a seguito della segnalazione, nel rispetto delle disposizioni sulla tutela dell’identità del segnalante.

Struttura di supporto al gestore

Considerata la complessità delle attività affidate al gestore, ANAC ritiene opportuno che, laddove le dimensioni organizzative lo consentano, egli possa avvalersi di una struttura di supporto. I soggetti di supporto devono essere autonomi, adeguatamente formati, autorizzati al trattamento dei dati personali e individuati nell’atto organizzativo o nel MOG 231.

Nel settore pubblico, il supporto può essere assicurato dal personale dell’ufficio del RPCT o da gruppi di lavoro dedicati; nel settore privato, da personale interno o da unità appositamente istituite, anche in caso di gestore esterno.