Il 26 novembre 2025, l'ANAC ha approvato con Delibera n. 478 le Linee Guida n. 1/2025, introducendo requisiti stringenti e operativi per l'istituzione e la gestione dei canali interni di segnalazione. Se la tua azienda non si è ancora adeguata o ha implementato soluzioni improvvisate, è il momento di agire: le sanzioni possono arrivare fino a 50.000 euro e il rischio reputazionale è concreto.
Perché queste linee guida cambiano le regole del gioco
La normativa sul whistleblowing (D.Lgs. 24/2023) non è una novità, ma molte PMI hanno sottovalutato l'aspetto tecnico-operativo della sua implementazione. Le nuove linee guida ANAC chiariscono finalmente cosa significa "canale conforme" e quali sono gli errori che possono costare caro.
Email e PEC? Non bastano più
Uno degli aspetti più rilevanti riguarda l'inadeguatezza delle soluzioni "fai da te". L'uso di email ordinaria o PEC per ricevere segnalazioni è considerato non conforme dall'ANAC. Il motivo? Questi strumenti generano log di sistema che possono esporre l'identità del segnalante, vanificando la protezione che la legge intende garantire.
La soluzione raccomandata prevede piattaforme dedicate con crittografia avanzata, in grado di separare l'identità del whistleblower dal contenuto della segnalazione attraverso sistemi di key code. Inoltre, è necessario configurare i propri sistemi di rete (firewall, proxy) per rendere non tracciabile l'accesso alla piattaforma da dispositivi aziendali.
Il coinvolgimento sindacale non è opzionale
Prima di implementare o aggiornare il canale interno, le aziende devono coinvolgere le rappresentanze sindacali aziendali (RSA/RSU) o, in loro assenza, le organizzazioni territoriali. Anche se il parere sindacale non è vincolante, la mancata consultazione rende la procedura non conforme e sanzionabile.
Questo passaggio, spesso trascurato, è fondamentale per evitare contestazioni e garantire la legittimità dell'intero sistema.
Chi può gestire il canale? Attenzione ai conflitti
Il gestore del canale deve operare in totale autonomia e imparzialità, senza interferenze da parte degli organi di indirizzo. Le linee guida specificano che in aziende complesse, il DPO non dovrebbe coincidere con il gestore del canale per non compromettere l'efficacia di entrambe le funzioni. Questa coincidenza è ammessa solo per realtà con meno di 50 dipendenti e con adeguata motivazione.
Il personale addetto deve ricevere formazione specifica non solo sugli aspetti normativi ed etici, ma anche sulla protezione dei dati personali, tema centrale nell'intero processo.
Gruppi societari: le regole per non sbagliare
Per le PMI che fanno parte di gruppi, le linee guida introducono distinzioni operative basate sulla dimensione:
- Fino a 249 dipendenti: è possibile condividere il canale interno tra società del gruppo, previa stipula di un contratto che regoli compiti e responsabilità
- Oltre 249 dipendenti: la condivisione non è ammessa, ma è possibile esternalizzare la gestione a un soggetto terzo, garantendo però sottocanali distinti e segregazione dei dati per ciascuna società
Tempi e protezione dati: non improvvisare
L'iter istruttorio prevede scadenze precise che devono essere rispettate:
- Invio avviso di ricevimento entro 7 giorni
- Riscontro finale entro 3 mesi
Cruciale è anche la gestione della riservatezza durante l'istruttoria: se il gestore deve coinvolgere terzi per accertamenti tecnici, non può trasmettere la segnalazione originale ma solo estratti anonimizzati.
La documentazione deve essere conservata solo per il tempo necessario e comunque eliminata dopo 5 anni dalla comunicazione dell'esito finale.
Modello 231: aggiornamento obbligatorio
Per i soggetti privati dotati di Modello 231, l'adeguamento non è opzionale. Il sistema disciplinare deve essere aggiornato includendo sanzioni per chi commette ritorsioni, ostacola le segnalazioni, viola la riservatezza o effettua segnalazioni calunniose. Solo così il Modello mantiene la sua efficacia esimente.
Il rischio di non conformità
L'ANAC può irrogare sanzioni pecuniarie da 10.000 a 50.000 euro all'organo di indirizzo in caso di mancata istituzione del canale o adozione di procedure non conformi. Si tratta di sanzioni che colpiscono direttamente i vertici aziendali, con una responsabilità personale che non può essere delegata o trasferita.
Ma al di là delle sanzioni economiche dirette, il quadro dei rischi è molto più articolato e potenzialmente devastante per una PMI. Il danno reputazionale derivante da un'ispezione ANAC o, peggio ancora, dalla scoperta di un canale inadeguato in seguito a una segnalazione esterna può compromettere rapporti commerciali consolidati, partecipazioni a gare pubbliche e la fiducia di clienti e partner.
Sul fronte GDPR, le conseguenze possono essere ancora più pesanti. Un canale di whistleblowing mal configurato che esponga l'identità dei segnalanti costituisce una violazione grave del Regolamento europeo, con sanzioni che possono arrivare fino al 4% del fatturato globale annuo o 20 milioni di euro. Non solo: in caso di data breach che coinvolga dati sensibili dei segnalanti, l'azienda è esposta anche a potenziali azioni risarcitorie da parte degli interessati.
C'è poi un rischio spesso sottovalutato: quello penale. Se un dipendente subisce ritorsioni a seguito di una segnalazione e il canale non era stato istituito correttamente o non garantiva la dovuta riservatezza, i responsabili possono trovarsi esposti a responsabilità penali oltre che amministrative. La giurisprudenza sta dimostrando una crescente severità nel sanzionare chi non tutela adeguatamente i whistleblower.
Infine, per le società dotate di Modello 231, un sistema di whistleblowing non conforme può far venire meno l'efficacia esimente del modello stesso, esponendo l'ente alla responsabilità amministrativa per reati commessi dai propri dipendenti o collaboratori. In altre parole, tutto l'investimento fatto per dotarsi di un sistema di compliance 231 rischia di risultare vanificato da un canale interno inadeguato.
Come mettersi in regola
L'adeguamento alle Linee Guida ANAC 1/2025 richiede un approccio strutturato che integri competenze legali, di cybersecurity e di data protection. Non è sufficiente installare un software: serve una governance chiara, formazione adeguata del personale, documentazione conforme e una valutazione d'impatto sulla protezione dei dati.
Per le PMI, questa può sembrare una sfida complessa, ma è anche un'opportunità per costruire un ambiente di lavoro più etico e trasparente, riducendo al contempo i rischi legali e reputazionali.
Come ti possiamo aiutare
Se vuoi impostare un canale che regga davvero — lato ANAC e lato GDPR — il supporto può essere su due binari, integrati:
1) Modulo Whistleblowing (piattaforma canale interno)
Attivazione e configurazione del canale interno con un'impostazione coerente con i requisiti di riservatezza, segregazione degli accessi, tracciabilità/"non tracciabilità" e gestione documentale. Grazie alla sinergia con E-Digit, grazie alla piattaforma MisterCompliance, possiamo supportare anche la realizzazione e messa a terra della piattaforma per il canale interno.
2) Consulenza organizzativa e privacy-by-design
Costruzione (o revisione) di procedure e processi: atto organizzativo/MOG 231, ruoli e responsabilità, struttura di supporto, "custode dell'identità", flussi verso funzioni interne/autorità, retention & cancellazione, e tutta la parte GDPR (DPIA dove serve, misure tecniche/organizzative, e soprattutto nomine e contratti ex art. 28 per gestore esterno/fornitore piattaforma e soggetti coinvolti).
Hai bisogno di verificare la conformità del tuo canale di whistleblowing? Contattaci per una valutazione preliminare: ti aiuteremo a implementare una soluzione compliant che protegga davvero la tua azienda e i tuoi dipendenti.
Scopri di più