ruolo e autonomia del gestore interno

Whistleblowing: approvate le nuove Linee Guida ANAC che ridefiniscono ruolo e autonomia del gestore interno

Il 26 novembre 2025 ANAC ha approvato le nuove disposizioni che cambiano la gestione quotidiana dei canali di segnalazione. Autonomia decisionale, sanzioni amministrative fino a 50mila euro e obblighi tecnologici: cosa devono sapere Compliance Officer e RPCT.

L’Autorità Nazionale Anticorruzione ha approvato con la Delibera n. 478 del 26 novembre 2025 le nuove Linee Guida sui canali interni di segnalazione whistleblowing – con efficacia immediata, senza periodi transitori – completando il quadro normativo avviato con il D.Lgs. 24/2023.

Il documento, pubblicato l’11 dicembre, introduce prescrizioni vincolanti che ridefiniscono responsabilità, procedure e requisiti tecnologici per chi gestisce le segnalazioni all’interno di organizzazioni pubbliche e private.

Per i responsabili della compliance, l’impatto è immediato: dall’autonomia decisionale del gestore alle sanzioni per non conformità, fino agli obblighi di consultazione sindacale e di revisione dei canali utilizzati (con il superamento di email e PEC), le nuove disposizioni richiedono verifiche urgenti e, in molti casi, riorganizzazioni strutturali.

servizio chiavi in mano whistleblowing

1. Autonomia del gestore: il principio cardine per i responsabili Whistleblowing

La novità più rilevante delle Linee Guida riguarda l’autonomia operativa del gestore del canale interno. ANAC stabilisce un principio inequivocabile: gli organi di indirizzo non possono esercitare poteri di supervisione sulla gestione delle singole segnalazioni.

Cosa significa in concreto

Il gestore deve poter:

  • Condurre l’istruttoria in totale indipendenza
  • Decidere autonomamente l’esito (archiviazione, trasmissione ad autorità competenti, revisione procedure)

  • Coinvolgere gli organi di indirizzo solo a valle dell’istruttoria, quando emergano profili di loro competenza

Esempio pratico: se dall’istruttoria emerge la necessità di rivedere un regolamento interno, il gestore completa autonomamente l’analisi e trasmette la relazione (anonimizzata) all’organo competente. Non è l’organo di indirizzo a decidere se proseguire o archiviare.

Perché è un cambio di paradigma per chi gestisce le segnalazioni interne

Molte organizzazioni hanno strutturato i propri modelli prevedendo un’approvazione finale dell’organo di indirizzo sulle decisioni del gestore.
Il gestore mantiene piena autonomia valutativa e operativa. L’organo di indirizzo conserva solo un ruolo di monitoraggio generale sul funzionamento della procedura whistleblowing, ma non può interferire con le singole istruttorie.

Le azioni richieste immediate

  • Revisione di MOG 231 e atti organizzativi per eliminare ogni riferimento a poteri di supervisione
  • Ridefinizione esplicita dei poteri del gestore negli atti interni

  • Formazione degli organi di indirizzo, dei gestori e dei dipendenti sul nuovo perimetro di intervento: una formazione regolare e con cadenza periodica in essenziale per creare una cultura di trasparenza e integrità all’interno dell’organizzazione, che rafforza la fiducia dei dipendenti nell’ente e promuove un ambiente lavorativo più etico e responsabile

  • La persona segnalante deve poter scegliere tra due diverse modalità di segnalazione, quella scritta e quella orale. Nell’atto organizzativo/MOG 231 l’ente descrive le modalità del ricevimento e della gestione delle segnalazioni, ivi incluse quelle inerenti alle segnalazioni orali.

2. Email e PEC vietate: perché e quali alternative

Nelle Linee Guida ANAC è chiarito senza ambiguità che email ordinaria e PEC non sono canali idonei per le segnalazioni whistleblowing. Il motivo è tecnico: questi strumenti non garantiscono un livello adeguato di riservatezza dell’identità del segnalante, come invece richiede la normativa. Il loro utilizzo, di conseguenza, espone l’Organizzazione a una violazione dei requisiti di legge.

Il problema della tracciabilità delle segnalazioni whistleblowing via email

I sistemi di gestione della posta elettronica:

  • Generano e conservano automaticamente log di invio/ricezione

  • Registrano indirizzi IP, orari, metadati

  • Rendono possibile risalire all’identità del segnalante, anche indirettamente

  • Il rischio aumenta se si usa la casella aziendale

Anche con misure di mitigazione, la PEC non garantisce gli standard di riservatezza richiesti dal D.Lgs. 24/2023.

Le soluzioni conformi per il whistleblowing

La preferenza assoluta deve andare a piattaforme informatiche dedicate con le opportune misure tecniche (ad esempio non tracciabilità degli accessi dalla rete aziendale) volte a garantire riservatezza e privacy, a norma GDPR.

Legality Whistleblowing è la piattaforma DigitalPA che risponde al 100% ai requisiti tecnici e normativi.
Richiedi una demo o contattaci per verificare la conformità della tua Organizzazione alle nuove Linee Guida ANAC.

Sanzioni e responsabilità: cosa rischiano le Organizzazioni

ANAC può applicare sanzioni da 10.000 a 50.000 euro per:

  • Mancata istituzione del canale

  • Procedure non conformi agli artt. 4 e 5 del D.Lgs. 24/2023
  • Mancata gestione delle segnalazioni

Responsabile: l’organo di indirizzo, in solido con i suoi componenti (con possibilità di azione di regresso verso i soggetti effettivamente responsabili).

Le altre 10 novità chiave delle Linee Guida ANAC Whistleblowing 2025

Regola: negli Enti grandi/complessi DPO e gestore devono essere persone diverse. Negli Enti sotto 50 dipendenti: ammesso con valutazione motivata. Azione: verificare e, se necessario, separare i ruoli.
Regola: va nominato a monte per conflitti di interessi e assenze oltre 7 giorni. Azione: individuare e formare il sostituto, inserirlo nell’atto organizzativo.
Regola: prima di attivare/aggiornare il canale vanno sentite le organizzazioni sindacali (non vincolante, ma la mancata consultazione è sanzionabile). Azione: documentare le consultazioni effettuate.
Regola: obbligatorio prevedere linee telefoniche, messaggistica vocale o incontri diretti, con sistemi di tracciamento (registrazioni o verbali). Azione: implementare gli strumenti tecnici necessari.
Raccomandazione: un solo canale per tutte le segnalazioni, incluse quelle D.Lgs. 231/2001. Evitare duplicazioni che generano confusione. Azione: unificare eventuali canali paralleli.
Raccomandazione: costituire un team dedicato per le verifiche, con membri autonomi, formati e autorizzati al trattamento dati. Azione: valutare la costituzione del team in base alle dimensioni dell’ente.
Regola: formazione specifica per gestori e generale per tutto il personale, da inserire nel MOG231/PTPCT/PIAO. Azione: pianificare calendario formativo con contenuti minimi (normativa, GDPR, procedure).
Regola: inserire doveri di riservatezza, divieto ritorsioni e sanzioni disciplinare specifiche. Per privati con MOG 231: aggiornare il sistema disciplinare. Azione: revisione immediata dei codici/MOG.
Regola: avviso ricevimento (7 gg) → esame preliminare → istruttoria → riscontro (3 mesi) → conservazione (max 5 anni). Azione: formalizzare gli step e garantire tracciabilità.

Regola: fino a 249 dipendenti possibile condivisione canale; oltre 249 solo esternalizzazione. Azione: valutare la soluzione ottimale per il gruppo e stipulare contratti chiari.

Scopri subito il software per la gestione degli illeciti già pienamente conforme agli standard nazionali e internazionali