ruolo e autonomia del gestore interno

Whistleblowing: approvate le nuove Linee Guida ANAC che ridefiniscono ruolo e autonomia del gestore per la gestione degli illeciti

Il 26 novembre 2025 ANAC ha approvato le nuove disposizioni che cambiano la gestione quotidiana dei canali di segnalazione. Autonomia decisionale, sanzioni amministrative fino a 50mila euro e obblighi tecnologici: cosa devono sapere Compliance Officer e RPCT.

L’Autorità Nazionale Anticorruzione ha approvato con la Delibera n. 478 del 26 novembre 2025 le nuove Linee Guida sui canali interni di segnalazione whistleblowing – con efficacia immediata, senza periodi transitori – completando il quadro normativo avviato con il D.Lgs. 24/2023.

Il documento, pubblicato l’11 dicembre, introduce prescrizioni vincolanti che ridefiniscono responsabilità, procedure e requisiti tecnologici per chi gestisce le segnalazioni all’interno di organizzazioni pubbliche e private.

Per i responsabili della compliance, l’impatto è immediato: dall’autonomia decisionale del gestore alle sanzioni per non conformità, fino agli obblighi di consultazione sindacale e di revisione dei canali utilizzati (con il superamento di email e PEC), le nuove disposizioni richiedono verifiche urgenti e, in molti casi, riorganizzazioni strutturali.

servizio chiavi in mano whistleblowing

1. Autonomia del gestore: il principio cardine per i responsabili Whistleblowing

La novità più rilevante delle Linee Guida riguarda l’autonomia operativa del gestore del canale interno. ANAC stabilisce un principio inequivocabile: gli organi di indirizzo non possono esercitare poteri di supervisione sulla gestione delle singole segnalazioni.

Cosa significa in concreto

Il gestore deve poter:

  • Condurre l’istruttoria in totale indipendenza
  • Decidere autonomamente l’esito (archiviazione, trasmissione ad autorità competenti, revisione procedure)

  • Coinvolgere gli organi di indirizzo solo a valle dell’istruttoria, quando emergano profili di loro competenza

Esempio pratico: se dall’istruttoria emerge la necessità di rivedere un regolamento interno, il gestore completa autonomamente l’analisi e trasmette la relazione (anonimizzata) all’organo competente. Non è l’organo di indirizzo a decidere se proseguire o archiviare.

Perché è un cambio di paradigma per chi gestisce le segnalazioni interne

Molte organizzazioni hanno strutturato i propri modelli prevedendo un’approvazione finale dell’organo di indirizzo sulle decisioni del gestore.
Il gestore mantiene piena autonomia valutativa e operativa. L’organo di indirizzo conserva solo un ruolo di monitoraggio generale sul funzionamento della procedura whistleblowing, ma non può interferire con le singole istruttorie.

Le azioni richieste immediate

  • Revisione di MOG 231 e atti organizzativi per eliminare ogni riferimento a poteri di supervisione
  • Ridefinizione esplicita dei poteri del gestore negli atti interni

  • Formazione degli organi di indirizzo, dei gestori e dei dipendenti sul nuovo perimetro di intervento: una formazione regolare e con cadenza periodica in essenziale per creare una cultura di trasparenza e integrità all’interno dell’organizzazione, che rafforza la fiducia dei dipendenti nell’ente e promuove un ambiente lavorativo più etico e responsabile

  • La persona segnalante deve poter scegliere tra due diverse modalità di segnalazione, quella scritta e quella orale. Nell’atto organizzativo/MOG 231 l’ente descrive le modalità del ricevimento e della gestione delle segnalazioni, ivi incluse quelle inerenti alle segnalazioni orali.

2. Whistleblowing: email e PEC vietate, perché e quali alternative

Nelle Linee Guida ANAC è chiarito senza ambiguità che email ordinaria e PEC non sono canali idonei per le segnalazioni whistleblowing. Il motivo è tecnico: questi strumenti non garantiscono un livello adeguato di riservatezza dell’identità del segnalante, come invece richiede la normativa. Il loro utilizzo, di conseguenza, espone l’Organizzazione a una violazione dei requisiti di legge.

Il problema della tracciabilità delle segnalazioni whistleblowing via email

I sistemi di gestione della posta elettronica:

  • Generano e conservano automaticamente log di invio/ricezione

  • Registrano indirizzi IP, orari, metadati

  • Rendono possibile risalire all’identità del segnalante, anche indirettamente

  • Il rischio aumenta se si usa la casella aziendale

Anche con misure di mitigazione, la PEC non garantisce gli standard di riservatezza richiesti dal D.Lgs. 24/2023.

Le soluzioni conformi per il whistleblowing

La preferenza assoluta deve andare a piattaforme informatiche dedicate con le opportune misure tecniche (ad esempio non tracciabilità degli accessi dalla rete aziendale) volte a garantire riservatezza e privacy, a norma GDPR.

Legality Whistleblowing è la piattaforma DigitalPA che risponde al 100% ai requisiti tecnici e normativi.
Richiedi una demo o contattaci per verificare la conformità della tua Organizzazione alle nuove Linee Guida ANAC.

Sanzioni e responsabilità: cosa rischiano le Organizzazioni senza un software di Whistleblowing

ANAC può applicare sanzioni da 10.000 a 50.000 euro per:

  • Mancata istituzione del canale

  • Procedure non conformi agli artt. 4 e 5 del D.Lgs. 24/2023
  • Mancata gestione delle segnalazioni

Responsabile: l’organo di indirizzo, in solido con i suoi componenti (con possibilità di azione di regresso verso i soggetti effettivamente responsabili).

Le altre 10 novità chiave delle Linee Guida ANAC Whistleblowing 2025

Regola: negli Enti grandi/complessi DPO e gestore devono essere persone diverse. Negli Enti sotto 50 dipendenti: ammesso con valutazione motivata. Azione: verificare e, se necessario, separare i ruoli.
Regola: va nominato a monte per conflitti di interessi e assenze oltre 7 giorni. Azione: individuare e formare il sostituto, inserirlo nell’atto organizzativo.
Regola: prima di attivare/aggiornare il canale vanno sentite le organizzazioni sindacali (non vincolante, ma la mancata consultazione è sanzionabile). Azione: documentare le consultazioni effettuate.
Regola: obbligatorio prevedere linee telefoniche, messaggistica vocale o incontri diretti, con sistemi di tracciamento (registrazioni o verbali). Azione: implementare gli strumenti tecnici necessari.
Raccomandazione: un solo canale per tutte le segnalazioni, incluse quelle D.Lgs. 231/2001. Evitare duplicazioni che generano confusione. Azione: unificare eventuali canali paralleli.
Raccomandazione: costituire un team dedicato per le verifiche, con membri autonomi, formati e autorizzati al trattamento dati. Azione: valutare la costituzione del team in base alle dimensioni dell’ente.
Regola: formazione specifica per gestori e generale per tutto il personale, da inserire nel MOG231/PTPCT/PIAO. Azione: pianificare calendario formativo con contenuti minimi (normativa, GDPR, procedure).
Regola: inserire doveri di riservatezza, divieto ritorsioni e sanzioni disciplinare specifiche. Per privati con MOG 231: aggiornare il sistema disciplinare. Azione: revisione immediata dei codici/MOG.
Regola: avviso ricevimento (7 gg) → esame preliminare → istruttoria → riscontro (3 mesi) → conservazione (max 5 anni). Azione: formalizzare gli step e garantire tracciabilità.

Regola: fino a 249 dipendenti possibile condivisione canale; oltre 249 solo esternalizzazione. Azione: valutare la soluzione ottimale per il gruppo e stipulare contratti chiari.

Scopri subito il software per la gestione degli illeciti già pienamente conforme agli standard nazionali e internazionali