Con delibera n. 478 del 26 novembre 2025, Anac ha approvato le Linee Guida in materia di whistleblowing sui canali interni di segnalazione, intervenendo a completamento e integrazione del quadro delineato dal d.lgs. 10 marzo 2023, n. 24, di attuazione della Direttiva (UE) 2019/1937. Nella medesima data, l’ Autorità ha poi apportato modifiche ed integrazioni alla delibera n. 311 del 12 luglio 2023 recante le Linee guida sulla presentazione e gestione delle segnalazioni esterne, per allinearle alle nuove indicazioni sui canali interni e superare alcune criticità applicative emerse nella prima fase di attuazione del D. Lgs. 24/2023.
I recenti provvedimenti si pongono in linea di continuità con l'indirizzo interpretativo inaugurato all'indomani del recepimento del D.Lgs. n. 24/2023 , consolidandone l'impianto applicativo. In particolare, la Delibera n. 478 del 26 dicembre 2025 fornisce dirimenti indicazioni operative su aspetti centrali della disciplina, quali l’implementazione e la gestione del canale interno, le rigorose modalità di segnalazione e il relativo apparato sanzionatorio. Il documento si sofferma, inoltre, sulla configurazione soggettiva e sull'attività del gestore, sui doveri di condotta in capo al personale del settore pubblico e privato, nonché sull’importanza strategica della formazione e sul ruolo di sostegno riconosciuto agli Enti del Terzo Settore.
L'intervento dell'ANAC si fonda sull'evidenza, emersa dalle attività di monitoraggio condotte nel biennio 2023-2024, e confermata dalla consultazione pubblica avviata nel novembre 2024, che le principali criticità non discendono da lacune normative quanto piuttosto dall'inadeguatezza delle modalità di implementazione dei canali interni di segnalazione percepiti più come potenziali fattori di rischio legale anziché come leve strategiche per la promozione della compliance, della trasparenza e della legalità societaria.
È in questa prospettiva che le nuove linee guida intendono rafforzare la fase di progettazione, attivazione e gestione dei canali di whistleblowing, ponendo le basi per una corretta ed efficace applicazione degli obblighi normativi.
Canali interni : la nuova disciplina – Con specifico riferimento al settore privato, dove la disciplina nazionale circoscrive l’ambito oggettivo delle segnalazioni alle violazioni del diritto dell’ Unione Europea e alle violazioni del modello di organizzazione e gestione previsto dal Decreto Legislativo sulla responsabilità amministrativa degli enti, l’ aggiornamento delle linee guida chiarisce che tali canali devono essere disciplinati in appositi atti organizzativi o, per i soggetti che ne sono dotati, all’ interno del modello di organizzazione e gestione ex D.Lgs. n. 231/2001.
L’ atto organizzativo, nella forma ritenuta più idonea, dovrà essere aggiornato per contenere l’indicazione dei canali di segnalazione a disposizione, le modalità di ricorso agli stessi, le violazioni oggetto di segnalazione, le tutele riconosciute alla persona segnalante e le modalità con le quali queste ultime potranno essere azionate.
In questa prospettiva, ANAC richiama l’attenzione non solo sui requisiti del canale, ma anche sul processo di istituzione e redazione dell’ atto organizzativo, che deve avvenire con il coinvolgimento delle organizzazioni sindacali comparativamente più rappresentative. L’ omissione di questo passaggio è tutt’altro che da sottovalutare in quanto – come ricordato dalle Linee guida – comporta la non conformità e espone l’ente a sanzioni che possono variare da 10.000 a 50.000 euro ( art. 21 del D.Lgs. n. 24/2023 ).
Modalità di segnalazione – Nelle proprie Linee Guida, l’ANAC riafferma la centralità del canale interno quale presidio prioritario di emersione degli illeciti, in virtù della sua prossimità alla fonte delle violazioni e della conseguente capacità di garantire una risposta tempestiva ed efficiente. Tale impostazione riflette la natura sussidiaria del canale esterno, il cui ricorso è subordinato alle condizioni previste dal D.Lgs. 24/2023 qualora il canale risulti assente o non conforme, vi sia stata inerzia nell'adozione delle misure a seguito di segnalazione fondata, ovvero sussista un fondato timore che la segnalazione possa esporre il soggetto a concrete ritorsioni.
Pur salvaguardando la piena discrezionalità del soggetto obbligato nel definire le modalità di segnalazione più congrue alla propria organizzazione , l'orientamento ANAC individua nel ricorso a infrastrutture informatiche la soluzione più idonea a garantire l'integrità e la riservatezza dei flussi informativi. In tale ottica, l'adozione di piattaforme dedicate — fornite da terzi mediante modelli di erogazione cloud o on-premise — appare lo strumento più adatto per assicurare il rigoroso rispetto dei protocolli di sicurezza. Tali soluzioni tecnologiche consentono, infatti, una corretta declinazione dei principi di privacy by design e privacy by default, sanciti dall'art. 25 del GDPR, blindando il processo di segnalazione entro un perimetro di conformità normativa e protezione del dato.
Ferma restando la piena discrezionalità nella scelta delle modalità di segnalazione, per quanto riguarda i canali interni , la soluzione ritenuta più idonea e garantista sotto il profilo della riservatezza è il ricorso a infrastrutture informatiche, fornite da soggetti terzi in cloud o on premise, con piattaforme dedicate in grado di assicurare la conformità ai principi di privacy by design e privacy by default previsti all’ art. 25 del GDPR.
L'impiego di canali di segnalazione alternativi — siano essi in forma scritta, quali la posta elettronica ordinaria o certificata, ovvero in modalità orale tramite linee telefoniche e sistemi di messaggistica vocale — è considerato astrattamente idoneo, a condizione che l'adozione di tali strumenti sia supportata da rigorose misure tecniche e organizzative. In tale ambito, il profilo di conformità è subordinato allo svolgimento di una preventiva valutazione di impatto sulla protezione dei dati personali (DPIA) ai sensi dell'art. 35 del GDPR. Tale adempimento risulta imprescindibile per declinare correttamente i protocolli di sicurezza e garantire la protezione del dato lungo l'intero iter della segnalazione.
Nomina del gestore del canale – Ai sensi dell’art. 4, comma 2, del D.Lgs. n. 24/2023, ciascun ente è tenuto a individuare il gestore del canale di segnalazione, potendo optare per una risorsa interna (persona o ufficio ) ovvero per un soggetto esterno specializzato.
Al fine di preservare i requisiti di autonomia e imparzialità intrinseci alla funzione, l’ANAC raccomanda un’attenta analisi in ordine al cumulo degli incarichi. Sotto tale profilo, l’Autorità ritiene che — con particolare riferimento alle realtà di grandi dimensioni o caratterizzate da elevata complessità organizzativa — la figura del Responsabile della Protezione dei Dati (RPD/DPO) non debba coincidere con quella del gestore del whistleblowing. Tale separazione funzionale è preordinata a garantire l’effettività dei rispettivi mandati, evitando che la sovrapposizione di responsabilità possa pregiudicare l’indipendenza richiesta da entrambe le cariche. In quest’ottica, al DPO dovrebbero essere riservate esclusivamente le prerogative di supervisione e controllo di cui agli artt. 38 e 39 del GDPR, escludendo ogni coinvolgimento operativo nella gestione delle segnalazioni per scongiurare potenziali conflitti di ruolo.
Viceversa, per gli enti di ridotte dimensioni, l'Autorità ammette la possibilità di concentrare le due funzioni in capo al medesimo soggetto, subordinatamente a una rigorosa valutazione ad hoc e a una congrua motivazione. Tale deroga è consentita qualora i vincoli organici rendano organizzativamente impraticabile la distinzione delle funzioni, fermo restando l'obbligo di assicurare la coerenza dei processi interni.
La gestione della segnalazione – L’aggiornamento introdotto con la delibera n. 476/2025 mira a fornire tempi certi e comunicazione costante in tutto l’iter di gestione della segnalazione.
- Atto di ricevimento – Ai sensi dell’art. 5, comma 1, lett. a) del D.Lgs. n. 24/2023, il gestore del canale è onerato del rilascio di un formale avviso di ricevimento al segnalante entro il termine perentorio di sette giorni dalla presentazione dell’istanza. L’ adempimento riveste una valenza prettamente informativa, configurandosi come una conferma della presa in carico della segnalazione.
- Esame preliminare : l gestore è tenuto a verificare preliminarmente la legittimazione dell'esponente e la sussistenza dei presupposti oggettivi della segnalazione, al fine di accertarne la meritevolezza. Qualora la segnalazione non sia riconducibile al perimetro del whistleblowing, essa dovrà essere derubricata a segnalazione ordinaria e trasmessa alle funzioni interne o agli uffici competenti, con contestuale informativa al segnalante; in tale scenario, l'estensione delle garanzie di riservatezza , a differenza di quanto suggerito dal Garante Privacy, è rimessa alla valutazione discrezionale dell'Ente e alle proprie policy di compliance interna. Laddove, al contrario, la segnalazione risulti fondata e pertinente, il trattamento dell'identità del whistleblower deve essere rigorosamente tracciato e la diffusione dei dati identificativi limitata ai soli casi di stretta necessità istruttoria, garantendo in ogni momento la massima protezione del segnalante.
- L’ istruttoria - Accertata l’ammissibilità della segnalazione, il gestore dà corso alla fase istruttoria, espletando le attività di verifica necessarie sia mediante approfondimenti diretti, sia attraverso l’ausilio di strutture interne o consulenti esterni dotati di specifica qualificazione. In tale contesto, il principio della riservatezza assume un ruolo preminente, imponendo che l’eventuale coinvolgimento di soggetti terzi avvenga esclusivamente tramite la trasmissione degli esiti degli accertamenti o di estratti documentali rigorosamente anonimizzati.
- Riscontro al segnalante : Il gestore è tenuto a comunicare alla persona segnalante gli esiti della istruttoria della segnalazione entro tre mesi dalla comunicazione del recepimento.
- Tempi di conservazione : La segnalazione e la relativa documentazione devono essere cancellate entro cinque anni dalla comunicazione dell’esito finale.
Codici di condotta e disciplinari –Sotto il profilo sanzionatorio, la disciplina configura precise fattispecie di responsabilità disciplinare, con particolare riferimento all’attuazione (anche solo tentata) di ritorsioni o condotte ostative alla segnalazione, alla violazione del dovere di riservatezza, nonché alle inadempienze organizzative concernenti l'istituzione, la conformità procedurale e l’omesso esame delle comunicazioni ricevute.
La formazione - Le Linee Guida n. 1/2025 affrontano anche il tema della formazione, richiamando quanto previsto dal D. Lgs. 24/2023: enti e amministrazioni rientranti nell’ambito di applicazione sono sensibilizzati ad attivare specifiche attività di formazione periodica e informazione in materia di whistleblowing. Tali attività sono finalizzate ad assicurare una gestione consapevole e accurata delle segnalazioni, a rafforzare la conoscenza della disciplina e a tutelare il segnalante.
Gruppi societari – In virtù delle numerose richieste di chiarimento formulate in occasione della consultazione pubblica l’ Autorità fornisce un approfondimento specifico per l’istituzione e gestione dei canali all’interno dei gruppi di imprese. Il tema appare rilevante poiché, nel contesto previgente, numerosi gruppi societari avevano deciso di introdurre il whistleblowing a livello aziendale tramite canali di segnalazione centralizzati, gestiti a livello di holding. Questa prassi resta legittima solo per i gruppi costituiti da imprese che hanno impiegato, una media di lavoratori subordinati non superiore a 249 nell’ ultimo anno. In aggiunta queste aziende possono anche optare per l’affidamento della gestione del canale di segnalazione ad un soggetto esterno, a differenza delle singole aziende con organici sopra soglia dove l’affidamento esterno rappresenta l’unica soluzione percorribile con tutte le conseguenze che ne derivano sotto il profilo contrattuale in primis indicazione analitica dei compiti, dei poteri e delle responsabilità del gestore.
Rapporto con i modelli 231 – Altro approfondimento specifico contenuto nelle Linee guida è quello dedicato all’integrazione tra disciplina whistleblowing e Modelli organizzativi 231: gli enti che adottano un MOG 231 devono adeguarlo prevedendo canali interni di segnalazione conformi al D. Lgs. 24/2023, esplicitando il divieto di ritorsione e aggiornando il sistema disciplinare, pena la possibile perdita dell’efficacia esimente del modello stesso; viene inoltre raccomandata l’adozione di un unico canale idoneo a ricevere tutte le segnalazioni rilevanti ai fini 231 e whistleblowing, per evitare duplicazioni e incertezze per i potenziali segnalanti.
La piena conformità alla disciplina sul whistleblowing diventa così non solo un obbligo normativo, ma anche un elemento qualificante dei sistemi di compliance, anticorruzione e governance aziendale.
WST Law & Tax