Whistleblowing nuove linee guida ANAC 2025 e Modello 231

Whistleblowing: nuove linee guida ANAC 2025 e Modello 231

A cura di:Redazione Ore

Whistleblowing, linee guida ANAC 2025 e Modello 231: la rivoluzione silenziosa che soddisferà i CFO e terrà svegli i consulenti.

Dopo mesi di attesa e una consultazione pubblica che ha coinvolto centinaia di operatori, l’Autorità Nazionale Anticorruzione ha riscritto le regole del gioco. Non si tratta di un semplice aggiornamento: è un cambio di prospettiva che trasforma il canale di segnalazione da obbligo burocratico a leva strategica di governance. Chi non si adegua rischia sanzioni fino a 50.000 euro – ma il vero costo potrebbe essere un Modello Organizzativo che non regge più alla prova dei fatti. OdV, Compliance Officer, DPO e direzioni legali: questo è il momento di agire. Nell’analisi che segue, ogni comma, ogni scadenza, ogni zona grigia finalmente chiarita.

Premessa: un cambio di paradigma nella gestione delle segnalazioni

Il 26 novembre 2025 ha segnato una data spartiacque per la compliance italiana. Con l’approvazione delle Delibere n. 478 e n. 479, l’Autorità Nazionale Anticorruzione ha completato un percorso regolatorio che ridefinisce radicalmente l’architettura del whistleblowing nel nostro Paese. Le nuove Linee Guida n. 1/2025 sui canali interni di segnalazione, pubblicate il 12 dicembre 2025 e annunciate nella Gazzetta Ufficiale Serie Generale n. 300 del 29 dicembre 2025, non si limitano a fornire chiarimenti interpretativi: elevano il whistleblowing da mero adempimento formale a presidio organizzativo strutturale, con profonde ricadute sui Modelli di Organizzazione, Gestione e Controllo ex d.lgs. 231/2001.

Questo intervento normativo risponde a un’esigenza concreta, emersa dalle attività di monitoraggio condotte dall’Autorità nel biennio 2023-2024: le principali criticità applicative del d.lgs. 24/2023 non derivano tanto da lacune della disciplina legislativa quanto da modalità di implementazione inadeguate dei canali interni, spesso percepiti dagli enti più come fattori di rischio che come leve di governance. Un paradosso che le nuove Linee Guida intendono superare attraverso indicazioni operative dettagliate e un approccio sistemico alla compliance integrata.

Il quadro normativo di riferimento

Il d.lgs. 24/2023 e la Direttiva UE 2019/1937

Per comprendere appieno la portata delle nuove Linee Guida occorre ricostruire brevemente l’evoluzione normativa che ha condotto al quadro attuale. Il decreto legislativo 10 marzo 2023, n. 24 ha recepito nel nostro ordinamento la Direttiva (UE) 2019/1937, superando la frammentazione che caratterizzava la materia e raccogliendo in un unico testo la disciplina relativa alla tutela delle persone segnalanti, sia nel settore pubblico che in quello privato.

Il decreto ha introdotto numerose innovazioni rispetto alla previgente disciplina: l’ampliamento dei soggetti beneficiari delle protezioni, la regolamentazione organica dei canali di segnalazione interni ed esterni, la specificazione degli obblighi di riservatezza, l’introduzione della figura del facilitatore quale soggetto che assiste il segnalante nel processo di segnalazione, e il rafforzamento dell’apparato sanzionatorio.

L’art. 4, comma 1, del d.lgs. 24/2023 impone ai soggetti del settore pubblico e privato rientranti nell’ambito di applicazione della normativa di attivare appositi canali interni di segnalazione, finalizzati a ricevere e gestire le comunicazioni garantendo la riservatezza dell’identità del segnalante, della persona coinvolta e del contenuto della segnalazione. Significativamente, la disciplina prevede che le modalità di funzionamento del canale interno siano definite all’interno di un apposito atto organizzativo o, per i soggetti che lo hanno adottato, del Modello 231.

Le Linee Guida ANAC del 2023 e i loro limiti

Già nel luglio 2023, con la Delibera n. 311, l’ANAC aveva adottato le prime Linee Guida in materia di whistleblowing, concentrate prevalentemente sul canale esterno di segnalazione. Tale documento, pur contenendo indicazioni e principi di cui gli enti potevano tener conto per i propri assetti interni, lasciava aperti numerosi interrogativi operativi che hanno generato prassi applicative disomogenee.

Il monitoraggio condotto dall’Autorità attraverso questionari sottoposti ad amministrazioni ed enti, unitamente alle criticità segnalate dai soggetti tenuti ad applicare la normativa, ha evidenziato la necessità di un intervento regolatorio specifico sui canali interni. La consultazione pubblica avviata il 7 novembre 2024 ha raccolto osservazioni che, in larga parte, sono confluite nel testo definitivo delle nuove Linee Guida, a testimonianza di un approccio di regolazione partecipata.

Le novità sostanziali delle Linee Guida ANAC 2025 n. 1/2025

Il canale interno come perno del sistema

Le nuove Linee Guida ribadiscono con chiarezza la preferenza accordata dal legislatore al ricorso al canale interno, in quanto strumento più prossimo all’origine delle violazioni e, per tale ragione, potenzialmente più efficace sotto il profilo della prevenzione e del tempestivo accertamento dei fatti. Tale centralità, tuttavia, non si esaurisce nella mera previsione formale: l’ANAC richiede che il canale sia concretamente accessibile, affidabile e percepito come tale dai potenziali segnalanti.

Un passaggio di particolare rilievo riguarda il processo di istituzione del canale, che deve avvenire previa interlocuzione con le rappresentanze o organizzazioni sindacali comparativamente più rappresentative, tanto nel settore pubblico quanto in quello privato. Questa previsione mira a garantire che il sistema di segnalazione sia effettivamente conosciuto e legittimato all’interno dell’organizzazione.

Modalità di segnalazione: oralità e piattaforme informatiche

Le Linee Guida chiariscono che la persona segnalante deve poter scegliere tra due diverse modalità: quella scritta e quella orale. Quest’ultima può essere effettuata tramite linea telefonica, messaggistica vocale o incontro diretto – opzioni configurate come alternative e non cumulative.

L’ANAC raccomanda fortemente l’utilizzo di piattaforme informatiche dedicate per la gestione delle segnalazioni, in grado di garantire riservatezza, tracciabilità e sicurezza. Significativamente, le Linee Guida precisano senza ambiguità che e-mail ordinaria e PEC non sono canali idonei per le segnalazioni whistleblowing, in quanto non garantiscono adeguati standard di riservatezza e protezione dell’identità del segnalante.

La figura del gestore: requisiti e incompatibilità

Uno degli snodi più delicati affrontati dalle nuove Linee Guida riguarda la figura del gestore del canale interno di segnalazione. L’ANAC dedica ampio spazio alla definizione dei requisiti soggettivi e funzionali, chiarendo che la gestione delle segnalazioni deve essere affidata a una persona o a un ufficio dotati di effettiva autonomia, intesa come imparzialità e indipendenza rispetto alle strutture e ai soggetti potenzialmente coinvolti.

Il gestore deve operare senza interferenze da parte dell’organo di indirizzo, al quale non possono essere attribuiti poteri di intervento sulle singole istruttorie, ferma restando una funzione di monitoraggio generale sul corretto funzionamento del sistema.

Le Linee Guida intervengono su questioni particolarmente dibattute nella prassi:

  • Il ruolo del Responsabile della Protezione dei Dati (DPO) non dovrebbe coincidere con quello del gestore delle segnalazioni, per evitare potenziali conflitti di interesse. Negli enti di dimensioni più contenute (sotto i 50 dipendenti) tale cumulo può essere ammesso solo previa valutazione motivata.
  • È necessario prevedere un gestore sostituto per i casi di conflitto di interesse o di assenze superiori a sette giorni.

Tempi e procedure di gestione

L’intervento normativo introduce tempi certi, strutturando un iter procedurale articolato nelle seguenti fasi:

Avviso di ricevimento: deve essere rilasciato entro il termine perentorio di sette giorni dalla presentazione della segnalazione. Tale adempimento ha valenza informativa e costituisce conferma della presa in carico.

Esame preliminare: il gestore verifica la legittimazione del segnalante e la sussistenza dei presupposti oggettivi. Qualora la comunicazione non sia riconducibile al perimetro del whistleblowing, deve essere derubricata a segnalazione ordinaria e trasmessa alle funzioni competenti.

Riscontro finale: deve essere fornito entro tre mesi dalla segnalazione, termine che comprende l’esito dell’istruttoria e le informazioni sulle misure previste o adottate.

Conservazione: la documentazione non può essere conservata oltre cinque anni dalla data della comunicazione dell’esito finale, in conformità ai principi di minimizzazione previsti dalla disciplina privacy.

Formazione e cultura della segnalazione

Le Linee Guida n. 1/2025 affrontano con particolare enfasi il tema della formazione, richiamando quanto previsto dal d.lgs. 24/2023. Gli enti rientranti nell’ambito di applicazione sono sensibilizzati ad attivare specifiche attività formative periodiche, finalizzate ad assicurare una gestione consapevole delle segnalazioni e a rafforzare la tutela del segnalante.

Tale indicazione si allinea alla crescente consapevolezza che l’effettività di un sistema di whistleblowing dipende in larga misura dalla cultura organizzativa: un canale formalmente conforme ma sconosciuto ai potenziali segnalanti rimane sostanzialmente inefficace.

L’integrazione con il Modello 231: una prospettiva sistemica

Il whistleblowing come requisito di idoneità del Modello

L’innesto del whistleblowing nella disciplina della responsabilità amministrativa degli enti risale alla legge 30 novembre 2017, n. 179, che ha introdotto nell’art. 6 del d.lgs. 231/2001 il comma 2-bis, prevedendo quale ulteriore requisito di idoneità del Modello la predisposizione di canali per la segnalazione di condotte illecite.

Con il d.lgs. 24/2023, questa integrazione si è consolidata: un Modello 231 privo di sistema di whistleblowing conforme è da considerarsi non idoneo ai fini dell’esonero da responsabilità dell’ente. La predisposizione di canali riservati e di un sistema di monitoraggio affidato a soggetti indipendenti è condizione essenziale di efficacia.

Le nuove Linee Guida chiariscono che l’istituzione o l’adeguamento del canale di segnalazione interna costituisce parte integrante del sistema di prevenzione dei rischi e deve essere coerentemente inserito nel Modello 231. L’adozione del canale non può essere considerata un adempimento autonomo, ma deve coordinarsi con la mappatura dei rischi, con i flussi informativi verso l’Organismo di Vigilanza e con il sistema disciplinare.

Il ruolo dell’OdV: vigilanza, non gestione

Un aspetto particolarmente delicato riguarda il rapporto tra l’Organismo di Vigilanza e il sistema di whistleblowing. Le Linee Guida ANAC, in coordinamento con le recenti Linee Guida del CNDCEC del 24 novembre 2025 (Informativa n. 169/2025), chiariscono che:

  • L’OdV può essere designato quale gestore delle segnalazioni, ma in tal caso deve operare con incarico separato e distinto dalla funzione di vigilanza sul Modello.
  • L’OdV, nella sua funzione tipica, deve coordinarsi con il soggetto incaricato della gestione, mantenendo il focus sulla coerenza delle procedure con il Modello 231 e sull’analisi delle informazioni ricevute per calibrare la propria attività di vigilanza.

Le Linee Guida CNDCEC precisano che l’OdV ha una funzione di alta vigilanza: deve verificare l’esistenza e l’adeguatezza del canale, monitorare che le procedure siano effettivamente applicate, ma non sostituirsi alla gestione operativa delle singole segnalazioni.

L’aggiornamento del sistema disciplinare

Le Linee Guida ANAC precisano che sotto il profilo sanzionatorio si configurano precise fattispecie di responsabilità disciplinare:

  • Condotte ritorsive o ostative alla segnalazione, anche solo tentate
  • Violazione del dovere di riservatezza sull’identità del segnalante e sul contenuto della segnalazione
  • Inadempienze organizzative concernenti l’istituzione del canale, la conformità procedurale e l’omesso esame delle comunicazioni

Conseguentemente, il sistema disciplinare previsto dal Modello 231 deve essere integrato con sanzioni specifiche per tali fattispecie, sia nei confronti di dipendenti e collaboratori, sia con riferimento ai soggetti apicali.

Il regime sanzionatorio: responsabilità e soggetti obbligati

Le sanzioni ANAC

L’apparato sanzionatorio previsto dall’art. 21 del d.lgs. 24/2023 e precisato dalle Linee Guida contempla sanzioni amministrative pecuniarie che possono essere irrogate dall’ANAC:

Da 10.000 a 50.000 euro per:

  • Mancata istituzione dei canali di segnalazione
  • Adozione di procedure non conformi agli artt. 4 e 5 del decreto
  • Mancata effettuazione dell’attività di verifica e analisi delle segnalazioni ricevute
  • Condotte ritorsive o ostacolo alla segnalazione (anche tentato)
  • Violazione dell’obbligo di riservatezza

Da 500 a 2.500 euro per:

  • Segnalazioni effettuate con dolo o colpa grave che si rivelino infondate (salvo condanna per diffamazione o calunnia)

Le Linee Guida precisano che, in tutte le ipotesi sanzionatorie, il responsabile è l’organo di indirizzo, sia negli enti del settore pubblico sia in quelli privati.

Il raccordo con il Garante Privacy

Le Linee Guida richiamano espressamente il coordinamento con la disciplina in materia di protezione dei dati personali, precisando che restano salve le sanzioni applicabili dal Garante per la protezione dei dati personali per i profili di competenza. Tale precisazione è rilevante considerando che le violazioni degli obblighi di riservatezza possono integrare tanto illeciti ai sensi del d.lgs. 24/2023 quanto violazioni del GDPR.

Il parere del Garante Privacy sugli schemi di Linee Guida, reso il 9 ottobre 2025, ha contribuito a definire i profili di coordinamento tra le due discipline, con particolare attenzione alle misure di sicurezza della piattaforma informatica e alla tutela dell’identità digitale degli utenti.

Profili di rischio emergenti e implicazioni operative

Compliance integrata: oltre i silos

Le Linee Guida ANAC n. 1/2025, lette congiuntamente alle Linee Guida CNDCEC sull’Organismo di Vigilanza, delineano un modello di compliance integrata che supera l’approccio a silos tradizionalmente prevalente nelle organizzazioni italiane.

L’OdV è chiamato a dialogare con una pluralità di presidi: antiriciclaggio, anticorruzione, privacy, adeguati assetti organizzativi ex art. 2086 c.c., sicurezza sul lavoro, cybersecurity, intelligenza artificiale, ESG e tax control framework. L’Organismo non sostituisce le funzioni specialistiche, ma promuove una visione sistemica dei rischi e dei controlli.

Questa prospettiva assume particolare rilievo nel contesto del whistleblowing, dove una segnalazione può simultaneamente rilevare ai fini della prevenzione dei reati presupposto ex d.lgs. 231/2001, della protezione dei dati personali, delle misure anticorruzione, degli obblighi antiriciclaggio e della tutela della salute e sicurezza sui luoghi di lavoro.

I gruppi societari: esigenze di coordinamento

Le Linee Guida precisano che, per i soggetti del settore privato con una media di lavoratori subordinati non superiore a 249, è possibile condividere il canale di segnalazione interna. Tale possibilità è ammessa anche nell’ambito dei gruppi societari, con alcuni chiarimenti:

  • Se si tratta di un’unica piattaforma condivisa, deve essere garantita una segregazione in relazione alla società per cui effettuare la segnalazione.
  • La condivisione consente, previa informativa al segnalante, il coinvolgimento delle altre società del gruppo o della capogruppo, nel rispetto dei principi di riservatezza.

Per i gruppi di dimensioni superiori (oltre 249 dipendenti) la condivisione del canale non è ammessa, potendosi ricorrere esclusivamente all’esternalizzazione della gestione a soggetti terzi qualificati.

Cybersecurity e intelligenza artificiale

Le Linee Guida CNDCEC del novembre 2025 evidenziano come il rapido sviluppo delle tecnologie digitali e l’integrazione dell’intelligenza artificiale nei processi aziendali impongano un ampliamento delle attività di vigilanza.

In materia di cybersecurity, l’OdV dovrebbe verificare l’esistenza e l’aggiornamento di policy coerenti con le normative nazionali ed europee (GDPR, NIS 2), la formazione del personale sui rischi cyber e le modalità di segnalazione degli incidenti informatici.

Con riferimento all’impiego dell’intelligenza artificiale, il documento suggerisce all’OdV di vigilare sulla trasparenza e tracciabilità delle decisioni automatizzate, sul rispetto dei principi di intervento e sorveglianza umana, sulla sicurezza degli algoritmi per prevenire manipolazioni o utilizzi non autorizzati.

Considerazioni conclusive: verso un whistleblowing effettivo

Le Linee Guida ANAC n. 1/2025 segnano un passaggio significativo nel consolidamento della disciplina del whistleblowing in Italia. L’attenzione si sposta dall’adempimento formale alla qualità dell’implementazione organizzativa: non basta avere un canale, occorre che sia accessibile, affidabile, presidiato da soggetti competenti e indipendenti, inserito in un sistema di governance che ne valorizzi la funzione preventiva.

Per le organizzazioni chiamate ad applicare la normativa, le implicazioni sono rilevanti:

  • I Modelli 231 devono essere aggiornati non solo con riferimento ai canali di segnalazione, ma nella logica di un’integrazione sistemica che coinvolga mappatura dei rischi, procedure operative, sistema disciplinare e flussi informativi.
  • Gli OdV sono chiamati a un ruolo più incisivo di verifica e coordinamento, pur senza trasformarsi in gestori diretti delle segnalazioni.
  • Le funzioni Compliance e Legal devono presidiare il corretto funzionamento del sistema, assicurando la conformità alle nuove indicazioni ANAC e il coordinamento con gli altri ambiti normativi rilevanti.
  • La formazione assume centralità strategica: solo attraverso una diffusa conoscenza del sistema e della sua funzione di tutela dell’integrità organizzativa è possibile superare le resistenze culturali che ne limitano l’efficacia.

In ultima analisi, le nuove Linee Guida propongono una visione del whistleblowing quale presidio stabile di legalità e corretto funzionamento dell’organizzazione, la cui efficacia dipende dalla capacità degli enti di tradurre le indicazioni normative in scelte organizzative effettive e coerenti.

 

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi