Le Linee guida ANAC in materia di whistleblowing sui canali interni di segnalazione

1.Il nuovo standard ANAC sul Whistleblowing: analisi delle Linee Guida sui canali interni di segnalazione

 

L’entrata in vigore del D.Lgs. n. 24/2023 (analizzato nel dettaglio in un precedente contributo) ha rappresentato una rivoluzione per la compliance in Italia.

A distanza di tre anni, l’approvazione delle Linee Guida n. 1/2025 da parte dell’Autorità Nazionale Anticorruzione (con Delibera n. 478 del 26 novembre 2025) segna il passaggio dalla fase di prima applicazione del Decreto a quella della piena maturità del sistema di segnalazioni.

 

Il documento completa il quadro avviato con le Linee Guida approvate con Delibera n. 311 del 12 luglio 2023 e si concentra esclusivamente sui canali interni di ricevimento e gestione delle segnalazioni (di cui all’art. 4, comma 1, del D.Lgs. n. 24/2023), considerati dal legislatore strumenti privilegiati per l’effettuazione delle segnalazioni, in quanto più efficaci per la prevenzione, l’accertamento e la trattazione delle violazioni che interessano gli enti.

 

Le Linee Guida intendono perseguire una maggiore certezza giuridica, chiarendo aspetti normativi e operativi e fornendo “orientamenti e indirizzi interpretativi di carattere generale” per “garantire un’applicazione uniforme ed efficace della normativa sul whistleblowing”, in considerazione delle criticità emerse nella prassi e riscontrate dai soggetti tenuti a darvi attuazione.

 

Tenendo, dunque, conto dei risultati del monitoraggio sullo stato di attuazione della normativa condotto da ANAC nel corso del 2023 (esaminati in altro contributo), nonché degli esiti della consultazione pubblica con soggetti istituzionali, associazioni di rappresentanza delle imprese e organizzazioni della società civile e del Terzo settore, nelle Linee Guida sono approfonditi i profili relativi a: canali interni di segnalazione; modalità di effettuazione delle segnalazioni; ipotesi sanzionatorie; ruolo e attività del soggetto destinatario e gestore delle segnalazioni interne; doveri di comportamento del personale e relativa formazione e ruolo di sostegno svolto dagli Enti del Terzo Settore.

 

Il documento è, infine, arricchito con “indicazioni pratiche che rispondono alle esigenze specifiche degli enti destinatari e risolvono alcuni dei principali ostacoli operativi” sino ad oggi riscontrati ed è accompagnato da una dettagliata relazione illustrativa, la quale dà conto del processo di consultazione pubblica e documenta l’interlocuzione con il Garante per la protezione dei dati personali, dimostrando come le Linee Guida siano frutto di un bilanciamento tra le esigenze di tutela dei whistleblowers e la sostenibilità organizzativa per gli enti.

 

2.Il coinvolgimento sindacale: oltre l’adempimento formale

 

Uno dei punti più dibattuti riguarda l’art. 4, comma 1, del Decreto, che impone ai soggetti del settore pubblico e privato di ‘sentire’ le rappresentanze o organizzazioni sindacali prima dell’istituzione dei canali interni di segnalazione.

 

Le nuove Linee Guida chiariscono che, seppure il preventivo coinvolgimento dei sindacati abbia carattere meramente informativo (e può essere attuato mediante interlocuzione e confronto, reale e documentabile, circa i principali elementi che connotano il canale interno, senza che gli eventuali pareri espressi abbiano natura vincolante), il mancato rispetto della previsione normativa non costituisce una mera irregolarità formale, ma vizia la legittimità della procedura di attivazione dei canali interni di segnalazione, rendendo di fatto il sistema “non conforme” e come tale sanzionabile ai sensi dell’art. 21, comma 1, lett. b), del D.Lgs. n. 24/2023.

 

 

3.Le modalità di effettuazione delle segnalazioni e le ipotesi sanzionatorie

 

Secondo le Linee Guida, le segnalazioni possono essere effettuate, alternativamente e a scelta del segnalante:

1. in forma orale, attraverso linee telefoniche gratuite gestite da operatori autorizzati, sistemi di messaggistica vocale o incontri diretti, purché sia garantita la successiva verbalizzazione e tracciabilità, sempre previo consenso e coinvolgimento del segnalante;
2. in forma scritta, evitando il ricorso alla posta elettronica, ordinaria o certificata (considerata, di regola, non adeguata a garantire la riservatezza a causa dei log di sistema accessibili agli amministratori IT) e preferendo strumenti analogici come la protocollazione riservata in doppia busta o procedure informatiche maggiormente affidabili e idonee ad assicurare una migliore protezione e riservatezza ai segnalanti, a garantire la sicurezza dei dati personali e prevenire eventi di data breach (anche in considerazione della necessità di adottare uno specifico documento di valutazione di impatto sulla protezione dei dati).

 

I canali interni di segnalazione devono, inoltre, essere facilmente accessibili da parte di tutti gli aventi diritto.

 

Gli enti, dunque, sono tenuti ad individuare le migliori modalità di presentazione e tracciamento delle segnalazioni in piena discrezionalità, tenendo conto del contesto organizzativo di riferimento e degli specifici rischi per gli interessati, disciplinando dettagliatamente tali modalità nei propri documenti interni.

 

Nei casi di mancata istituzione dei canali interni di segnalazione, di mancata adozione di procedure per l’effettuazione e la gestione delle segnalazioni o di procedure non conformi al Decreto, si precisa che l’ANAC può esercitare il proprio potere sanzionatorio, applicando una sanzione amministrativa pecuniaria da 10.000 a 50.000 euro nei confronti dell’organo di indirizzo dell’ente, il quale risponderà in solido con i suoi componenti (fatta salva l’azione di regresso verso i soggetti responsabili della violazione).

 

 

4.Il gestore del canale interno di segnalazione

 

Le Linee Guida dedicano ampio spazio alla figura del destinatario gestore delle segnalazioni (interno o esterno all’ente) avente il compito di “verificare i fatti segnalati e di rivolgersi tempestivamente agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze, nel caso in cui emerga una possibile violazione della normativa di settore”.

 

4.1. Requisiti soggettivi

 

Con riguardo ai requisiti soggettivi del gestore e dei membri del gruppo di lavoro di supporto (preventivamente individuati all’interno dell’ente con apposito atto scritto), i principi cardine restano l’autonomia (declinata in termini di imparzialità e neutralità rispetto alle parti coinvolte e indipendenza operativa, istruttoria e valutativa), la specifica formazione e competenza, nonché l’adeguata conoscenza del funzionamento dell’ente.

 

Le Linee Guida aggiungono alcune precisazioni fondamentali in tema di conflitto di interessi:

• in primo luogo deve porsi attenzione all’eventuale cumulo di incarichi (a titolo esemplificativo, evitando, negli enti di grandi dimensioni o caratterizzati da una struttura complessa, che il medesimo soggetto ricopra contemporaneamente il ruolo di responsabile della protezione dati e di gestore del canale whistleblowing);
• nel caso in cui la segnalazione riguardi il gestore stesso o un soggetto a lui gerarchicamente vicino, al fine di evitare la paralisi del sistema o, peggio, la violazione della riservatezza, possono essere previsti strumenti alternativi di segnalazione, l’astensione del gestore interessato, l’intervento di un sostituto del gestore o l’attivazione del canale esterno di segnalazione ad ANAC.

Nonostante tali chiarimenti, permangono, tuttavia, alcune criticità con riguardo alla più complessa individuazione di un gestore terzo e imparziale nell’ambito di realtà di piccole dimensioni e poco strutturate.

 

Viene, inoltre, confermata la possibilità di affidare la gestione a soggetti di carattere collegiale (ad esempio l’Organismo di Vigilanza o uffici di compliance strutturati), purché siano garantiti la segregazione dei dati e l’accesso limitato ai soli membri autorizzati.

 

In ottica di garantire maggiore indipendenza al soggetto gestore, le Linee Guida evidenziano, infine, la possibilità di ricorrere ad un soggetto esterno, gestore di una piattaforma informatica per le segnalazioni. In tal caso, dovrà essere stipulato un apposito contratto che disciplini dettagliatamente i compiti, i poteri e le responsabilità del fornitore, il funzionamento della infrastruttura e l’organizzazione della fornitura del servizio, le modalità di ricezione e gestione delle segnalazioni e il trattamento dei dati personali in qualità di responsabile.

 

4.2. Assenze e sostituzioni

 

La figura del gestore è il perno del sistema. Le Linee Guida sottolineano, pertanto, la necessità di prevedere la continuità della funzione.

 

In caso di assenza prolungata del gestore (oltre i sette giorni), le Linee Guida introducono una soglia temporale precisa per la nomina formale di un sostituto e ritengono opportuno che siano espressamente disciplinate le modalità di sostituzione.

 

Per le realtà di ridotte dimensioni che non hanno personale sufficiente per una sostituzione, le Linee Guida suggeriscono che la segnalazione possa essere indirizzata direttamente al canale esterno dell’ANAC.

 

4.3. La gestione dell’errore: il ‘re-indirizzamento’ protetto

 

Uno degli aspetti più innovativi riguarda il trattamento delle segnalazioni inviate per errore a soggetti interni diversi dal gestore designato.

 

Le Linee Guida introducono un protocollo rigido, per cui il soggetto ricevente deve trasmettere la segnalazione al gestore entro sette giorni ed è vincolato ai suoi stessi obblighi di riservatezza, non potendo rivelare l’identità del segnalante né il contenuto della segnalazione a terzi.

La mancata o tardiva trasmissione al gestore costituisce una violazione procedurale sanzionabile dall’ANAC.

 

4.4. Le segnalazioni anonime

 

Con riguardo alla gestione delle segnalazioni dalle quale non è possibile risalire all’identità del segnalante, le Linee Guida chiariscono che le segnalazioni anonime ricevute tramite il canale whistleblowing non godono delle protezioni del D.Lgs. n. 24/2023 finché il segnalante non viene identificato ed esse, dunque, devono essere trattate come segnalazioni ordinarie (non godendo delle tutele previste della normativa whistleblowing e non essendo soggette ai termini rigidi previsti dal Decreto, a meno che l’ente non decida diversamente per propria policy interna).

 

In ogni caso, l’ente è tenuto a registrare la segnalazione e a conservare la relativa documentazione, al fine di rintracciarla qualora il segnalante o chi abbia sporto denuncia comunichi ad ANAC di aver subìto misure ritorsive.

 

4.5. Le fasi di attività del gestore

 

In considerazione dei dubbi e delle problematiche riscontrate dagli enti durante la prima fase di applicazione del D.Lgs. n. 24/2023, le Linee Guida tornano anche sul tema delle diverse attività facenti capo al gestore delle segnalazioni, specificando che il gestore:

• deve confermare al segnalante la ricezione della segnalazione entro sette giorni, evidenziando anche l’eventualità che la segnalazione, nel rispetto della tutela della riservatezza dell’identità, possa essere trasmessa alle autorità competenti per i profili di rispettiva competenza;
• verifica la legittimità soggettiva e l’ammissibilità oggettiva della segnalazione e ove riscontri che la segnalazione non rientra nel perimetro di applicazione del D.Lgs. n. 24/2023 può trasmetterla al competente soggetto o ufficio interno all’ente oppure può archiviare rapidamente le segnalazioni che riguardano esclusivamente questioni personali del segnalante; in ogni caso, i dati personali riportati in segnalazioni ‘non pertinenti’ devono essere cancellati o anonimizzati tempestivamente secondo i protocolli di data cleaning che devono essere appositamente previsti nei documenti normativi interni di ciascun ente;
• può chiedere al segnalante ulteriori chiarimenti, documenti e informazioni a supporto della segnalazione e, in assenza, può procedere alla sua archiviazione;
• procede con la fase istruttoria ove la segnalazione sia ritenuta ammissibile, ponendo attenzione alla tutela della riservatezza, in particolare ove vengano coinvolti soggetti terzi per le verifiche sui fatti segnalati; il gestore può venire a conoscenza dei dati identificativi del segnalante solo se strettamente necessario per l’istruttoria, registrando le motivazioni dell’accesso alla sua identità;
• è tenuto a comunicare al segnalante gli esiti della istruttoria entro il termine, non perentorio, di tre mesi dalla data dell’avviso di ricevimento o, in mancanza, dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
• trasmette l’intera documentazione alle autorità competenti, ove necessario e nel rispetto della tutela della riservatezza dell’identità del segnalante, e laddove l’identità venga successivamente richiesta dall’autorità il gestore fornisce tale indicazione previa notifica al segnalante;
• deve cancellare la segnalazione e la relativa documentazione entro il termine massimo di cinque anni dalla comunicazione dell’esito finale della segnalazione, mentre potranno essere conservati gli atti e i documenti relativi ai procedimenti derivati dalla segnalazione, che solitamente non contengono i dati del segnalante.

 

4.6. Segnalazione trasmessa a una pluralità di soggetti

 

Nella fase di prima applicazione del D.Lgs. n. 24/2023 è emersa una ulteriore criticità relativa alle segnalazioni indirizzate ad una pluralità di destinatari.

 

Sul punto le Linee Guida precisano che:

1. nel caso in cui la segnalazione sia inviata, contestualmente, a più soggetti interni all’ente, la segnalazione deve essere considerata come trasmessa ad un soggetto non competente, per cui questi dovranno trasmetterla, entro sette giorni dal ricevimento, al soggetto interno competente, dandone contestuale notizia alla persona segnalante;
2. nel caso in cui la segnalazione sia inviata, oltre che al gestore competente, anche a più soggetti esterni all’ente, occorre valutare se ricorra l’istituto della divulgazione pubblica (di cui all’art. 15 del Decreto), chiedendo chiarimenti sul punto al segnalante. In presenza di una divulgazione pubblica inviata anche al canale interno, il gestore sarà tenuto a darvi seguito; ove, invece, non ricorra alcuna condizione prevista per le divulgazioni pubbliche, la segnalazione sarà considerata come ordinaria

5.La formazione del personale e la comunicazione interna ed esterna

 

Il D.Lgs. n. 24/2023 invita gli enti a creare una cultura di trasparenza e integrità, puntando sulla regolare formazione del personale e sull’informazione per gestire in maniera consapevole, accurata ed efficace le segnalazioni whistleblowing, rafforzare, conseguentemente, la fiducia dei dipendenti nell’ente e promuovere un ambiente lavorativo più etico e responsabile.

 

L’ultimo monitoraggio dell’ANAC rivela, tuttavia, un dato preoccupante: molti enti non risultano aver pianificato o avviato la formazione necessaria.

 

Le Linee Guida suggeriscono, dunque, un approccio mirato a seconda dei destinatari e forniscono alcuni suggerimenti diretti ad orientare l’attività formativa:

1. una specifica e dettagliata formazione, con appositi focus tematici e periodo aggiornamento, deve essere rivolta ai soggetti addetti o coinvolti nel processo di gestione delle segnalazioni, al fine di poter operare in autonomia e con professionalità;
2. a tutto il personale dell’ente deve essere fornito un quadro chiaro ed esaustivo sulla disciplina del whistleblowing;
3. devono essere erogate sessioni pratiche e interattive, con informazioni di carattere operativo, esempi concreti e casi pratici calati nel contesto organizzativo di ciascun ente.

 

Deve essere, infine, garantita a tutti i soggetti interessati un’ampia e capillare diffusione, conoscibilità e informazione (chiara e visibile) circa il sistema di segnalazione e i canali implementati da ciascun ente, le procedure e i presupposti per effettuare le segnalazioni (ad esempio mediante indicazione nei luoghi di lavoro o sui siti internet istituzionali). Ciò anche al fine di evitare che lo strumento del canale interno sia percepito come troppo burocratico o inefficiente dai segnalanti, spingendo questi a rivolgersi direttamente al canale esterno di ANAC.

 

6.L’integrazione con il Modello 231 e il codice etico

 

L’integrazione tra la disciplina del D.Lgs. n. 231/2001 e quella del whistleblowing e, dunque, l’adeguamento dei canali interni di segnalazione al D.Lgs. n. 24/2023 rappresentano un requisito di efficacia esimente del sistema interno di prevenzione e gestione dei rischi implementato da ciascun ente, sussistendo l’obbligo di previsione di un canale interno di segnalazione, di esplicitazione dei divieti di ritorsione e di ostacolo (anche solo tentato) del segnalante e di aggiornamento del sistema disciplinare con specifiche sanzioni nei confronti dei responsabili degli illeciti sanzionati da ANAC.

 

Proprio in ottica di rendere effettiva tale integrazione normativa e di razionalizzare le procedure interne, le Linee Guida raccomandano di adottare un solo canale di segnalazione (afferente sia alle violazioni di cui al D.Lgs. n. 231/2001 che alle violazioni previste dal D.Lgs. n. 24/2023) e di semplificare ulteriormente il sistema di segnalazione individuando il gestore delle segnalazioni whistleblowing nell’Odv dell’ente. Ove, invece, il soggetto che riceve e gestisce le segnalazioni sia diverso dall’Odv, i documenti normativi interni devono puntualmente disciplinare le procedure di raccordo e i flussi informativi tra tali figure.

 

Sul piano disciplinare, i codici etici e gli altri documenti interni che dispongono le regole di comportamento per il personale devono essere integrati “con i doveri connessi all’applicazione dell’istituto del whistleblowing e le conseguenti responsabilità” previste dal D.Lgs. n. 24/2023.

 

 

7.I gruppi societari: la disciplina delle soglie e delle legal entities italiane di gruppi stranieri

 

Per i gruppi di imprese, ANAC scioglie i dubbi sulla condivisione dei canali interni di segnalazione, chiarendo che:

1. nei gruppi costituiti da imprese che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati (sia a tempo indeterminato che determinato) non superiore a 249 è ammesso il ‘servizio condiviso’ per cui le società possono decidere, alternativamente, se:

• condividere i canali di segnalazione (ad esempio mediante l’istituzione di una piattaforma informatica unica e centralizzata, ramificata in tanti sotto-canali autonomi che assicurino a ogni società di avere accesso alle sole segnalazioni ad essa relative, e il ricorso alle potenzialità investigative della società capogruppo, sola responsabile del trattamento dei dati nei gruppi di imprese, con conseguente collaborazione infragruppo nella gestione delle segnalazioni, previa informativa al segnalante);
• affidare ad un unico fornitore esterno la gestione delle segnalazioni di tutto il gruppo (anche nella forma di outsourcing ad una società del gruppo o alla stessa capogruppo, ove non si optasse per un soggetto esterno al gruppo);

1. nei gruppi costituiti da imprese che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati (sia a tempo indeterminato che determinato) superiore a 249, la condivisione del canale interno di segnalazione non è consentita (per cui ogni società deve avere un proprio canale interno autonomo), ma le Linee Guida ammettono la possibilità di esternalizzare la gestione del canale di segnalazione (utilizzando un’unica piattaforma per tutto il gruppo, a patto che le utenze siano segregate, ogni società abbia contezza esclusivamente delle segnalazioni di propria spettanza e rimanga l’unico titolare del trattamento dei propri dati e la gestione dell’istruttoria rimanga in capo a personale dedicato alla specifica entità legale).

 

Le Linee Guida precisano, inoltre, che resta in capo ad ogni ente committente l’onere di istituire e attivare il proprio canale di segnalazione, nonché di verificarne la conformità alla normativa, in quanto la responsabilità dell’ente non può escludersi per il solo fatto che questi abbia affidato a terzi la gestione del canale.

Spetta sempre all’ente committente, poi, la scelta di un fornitore in grado di eseguire, autonomamente e correttamente, la prestazione del servizio; pertanto, si potrà configurare una responsabilità del committente che, al ricorrere dei necessari presupposti, potrà essere sottoposto alla sanzione di cui al citato art. 21 del D.Lgs. n. 24/2023.

Si raccomanda, infine, di nominare un referente interno che possa assicurare il coordinamento con il gestore esterno.

 

Con riguardo alle attività di vigilanza di ANAC, le Linee Guida dispongono che all’interno dei gruppi di imprese aventi sedi in Stati diversi e che hanno optato per la condivisione del canale di segnalazione tali attività possono essere esercitate nei confronti della società con sede in Italia presso cui la persona segnalante effettua la segnalazione.

In caso di gestione esternalizzata ad un soggetto terzo estero, ANAC comunque vigilerà sull’operato dell’ente committente italiano.

 

 

8.Il distinguo tra Terzo Settore e ‘facilitatori’

 

Un punto di particolare interesse tecnico riguarda la distinzione tra la figura del ‘facilitatore’ e gli Enti del Terzo Settore (ETS) iscritti in un apposito elenco dell’ANAC.

Questi ultimi sono persone giuridiche “che non ha un rapporto di natura lavorativa o professionale con la persona segnalante” e hanno il compito di fornire (a titolo gratuito alle persone segnalanti e a tutti i soggetti interessati) misure di sostegno (nella forma di informazioni, assistenza e consulenze) e supporto, anche psicologico, utili a promuovere la conoscenza della disciplina e a sensibilizzare sull’importanza del whistleblowing e sul corretto utilizzo di tale strumento.

 

Le Linee Guida avvertono che il ruolo di facilitatore e quello degli ETS vanno tenuti distinti, in quanto un ETS non può fungere da facilitatore, inteso, ai sensi della normativa, quale soggetto “che assiste la persona nel processo di segnalazione, operando all’interno del medesimo contesto lavorativo e il cui intervento deve essere mantenuto riservato”.

Se, infatti, un ETS assistesse il segnalante nel suo processo di segnalazione, conoscendone l’identità, e, contemporaneamente, fornisse assistenza ad altra persona coinvolta nella medesima segnalazione, si creerebbe un paradosso di riservatezza. L’ETS, quindi, è tenuto sempre a chiarire che la sua attività è di consulenza e non di intermediazione nella segnalazione.

 

9.Conclusioni: verso una compliance effettiva

 

Le nuove Linee Guida di ANAC non si limitano a interpretare la normativa, ma si pongono quale parametro su cui verrà misurata la legittimità dell’operato degli enti in tema di segnalazioni.

 

L’invito costante dell’Autorità è proprio quello di non limitarsi a una compliance puramente ‘cosmetica’, ma di vedere lo strumento del whistleblowing quale driver per un cambio di paradigma che vada nella direzione di diffondere una cultura organizzativa fondata sull’integrità, la fiducia e l’etica del dialogo.

 

Alcune note critiche possono essere segnalate con riguardo alla proporzionalità e rigidità di certi adempimenti, essendovi il timore, da un lato, che gli oneri gestionali e tecnologici richiesti per garantire i più alti livelli di riservatezza possano risultare particolarmente gravosi specialmente per le organizzazioni meno strutturate, e, dall’altro, che errori formali minimi (ad esempio nella gestione delle scadenze) possano annullare le tutele del segnalante o innescare l’applicazione di sanzioni automatiche.

 

La sfida dei professionisti della compliance sarà, dunque, trasformare gli obblighi normativi e gli standard di ANAC in processi ‘fluidi’ e davvero ‘su misura’ rispetto alla struttura specifica di ciascun ente per evitare che il whistleblowing venga percepito come l’ennesimo mero adempimento burocratico.