Con la Delibera n. 478 del 26 novembre 2025, l’ANAC ha approvato le Linee guida n. 1/2025 sui canali interni di segnalazione, completando la regolamentazione di indirizzo avviata nel 2023 con le disposizioni sul canale esterno.
Le linee guida rispondono alle criticità emerse nella prima fase di applicazione del D. Lgs. n. 24/2023, con particolare attenzione alla protezione dei dati personali coinvolti nelle segnalazioni e all’armonizzazione delle modalità organizzative e di gestione delle segnalazioni.
Viene ribadito l’obbligo di garantire la riservatezza dei soggetti coinvolti, la gestione efficace del sistema di segnalazione e la responsabilità dell’organo di indirizzo. Inoltre, ANAC dedica approfondimenti specifici al ruolo degli Organismi di Vigilanza, agli enti del terzo settore e alla gestione delle segnalazioni nei gruppi societari.
Le linee guida sui canali interni di segnalazione
Con Delibera n. 478 del 26 novembre 2025, l’Autorità Nazionale Anticorruzione (“ANAC”) ha approvato in via definitiva le Linee guida n. 1/2025 in materia di whistleblowing sui canali interni di segnalazione (“LLGG”), completando il quadro regolatorio di indirizzo già avviato con la Delibera n. 311/2023 avente ad oggetto le linee guida sul canale esterno di segnalazione, successivamente aggiornate ed integrate con la Delibera n. 479 del 26 novembre 2025.
Le nuove LLGG nascono dall’esigenza di superare le criticità emerse nel primo biennio di applicazione del D. Lgs. n. 24/2023, evidenziate nel monitoraggio ANAC del 2024 e nelle consultazioni pubbliche sulle stesse LLGG, e intendono fornire indicazioni operative uniformi, con particolare attenzione agli aspetti organizzativi e alla protezione dei dati personali.
Le nuove LLGG non sostituiscono né modificano le Linee guida sul canale esterno di segnalazione contenute nella Delibera ANAC n. 311/2023 (così come modificata e integrata nel 2025), bensì le integrano e le completano, rafforzando il principio e la ratio sottesa all’istituto del whistleblowing di preferenza per il ricorso al canale interno quale strumento “di prossimità” nella prevenzione degli illeciti.
Linee guida e soft law
ANAC chiarisce che le LLGG costituiscono esercizio del generale potere di indirizzo in materia di prevenzione della corruzione ad essa attribuito nonché diretta espressione dell’Articolo 8, comma 1, lettera a) del D. Lgs. 24/2023 in tema di informazioni sull’uso del canale interno di segnalazione. Le LLGG, dunque, non hanno natura di strumento normativo di hard law in senso stretto; tuttavia, costituiscono parametro di riferimento per la verifica della conformità delle procedure/atti organizzativi interni ai sensi degli Articoli 4 e 5 del D. Lgs. n. 24/2023, da cui gli enti possono discostarsene motivandone le ragioni.
Ne può derivare che l’attivazione e gestione di canali interni di segnalazione difformi dagli orientamenti dell’ANAC, se non adeguatamente motivati, integra una violazione sanzionabile ai sensi dell’Articolo 21 del D. Lgs. n. 24/2023.
Il ruolo delle organizzazioni sindacali
Il D. Lgs. n. 24/2023, all’Articolo 4, comma 1, impone che i canali interni siano istituiti “sentite” le rappresentanze od organizzazioni sindacali. ANAC conferma che tale coinvolgimento ha natura meramente informativa e non vincolante: si tratta di una interlocuzione preventiva – precedente l’approvazione della procedura per la ricezione e gestione delle segnalazioni – finalizzata a raccogliere osservazioni (eventualmente integrabili) sulle modalità di implementazione del canale di segnalazione interno.
L’ente dovrà trasmettere, ove esistano, (i) alle RSA/RSU aziendali o, in mancanza, (ii) alle organizzazioni territoriali delle associazioni sindacali maggiormente rappresentative sul piano nazionale, un’informativa preventiva (preferibilmente a mezzo PEC) sui principali elementi del sistema di segnalazione interno (tra cui, modalità di segnalazione, gestione del canale, individuazione del gestore, formazione etc.). La mancata attivazione di tale interlocuzione rende la procedura e il canale non conforme alla normativa e, quindi, sanzionabile ai sensi dell’Articolo 21 del D. Lgs. n. 24/2023.
Modalità di segnalazione interna: un ritorno all’uso di PEO/PEC?
Le LLGG ribadiscono l’obbligo di garantire almeno due modalità di segnalazione: (a) scritta e (b) orale.
Forma scritta. È fortemente raccomandato – come del resto già in precedenza – l’uso di piattaforme informatiche dedicate, idonee a cifrare i dati a riposo e a garantire un’interlocuzione riservata con il segnalante tramite “key code”. ANAC ricorda, altresì, l’importanza di una corretta due diligence sul fornitore della piattaforma, il quale dovrà garantire misure di sicurezza idonee e completa conformità alla normativa sul trattamento dei dati personali. Laddove non si utilizzino piattaforme informatiche, ANAC ricorda la possibilità di utilizzare il metodo di segnalazione analogico della protocollazione riservata “in doppia busta”.
Sul tema della segnalazione scritta,ANAC torna inoltre sull’uso della posta elettronica ordinaria (PEO) o certificata (PEC) quale canali di segnalazione interno, aprendo timidamente la possibilità all’uso delle stesse. Le LLGG, infatti, sulla base della precedente posizione di ANAC, ricordano che il ricorso alla PEO e alla PEC è di per sé inadeguato a garantire la riservatezza dell’identità del segnalante, poiché i sistemi di gestione della posta elettronica generano e conservano, in modo preventivo e generalizzato, metadati idonei a rivelare l’identità del segnalante. Sulla scorta di ciò, le LLGG consentono il ricorso a tali strumenti solo se accompagnato da specifiche misure di mitigazione del rischio individuate in sede di valutazione di impatto sulla protezione dei dati personali (DPIA) ai sensi dell’Articolo 35 del GDPR (es. cifratura end-to-end).
Forma orale. La segnalazione può avvenire tramite linee telefoniche, sistemi di messaggistica vocale o incontro diretto, da tenersi entro un termine ragionevole, con possibilità di registrazione previo consenso o verbalizzazione sottoscritta.
Responsabilità dell’organo di indirizzo
ANAC chiarisce che il potere sanzionatorio ai sensi dell’Articolo 21 D. Lgs. n. 24/2023 viene esercitato, attraverso l’ufficio di vigilanza interno dedicato al whistleblowing (UWHIB), nei confronti dell’organo di indirizzo dell’ente per le ipotesi di mancata istituzione dei canali di segnalazione interni nonché assenza o difformità delle procedure per la gestione delle segnalazioni rispetto agli Articoli 4 e 5 del D. Lgs. n. 24/2023. La sanzione amministrativa pecuniaria varia da 10.000 a 50.000 Euro.
L’organo di indirizzo dell’ente risponde in solido con i suoi singoli componenti, salva l’azione di regresso verso i soggetti responsabili, con un modello di responsabilità che rafforza la centralità delle scelte organizzative dell’ente.
Il gestore del canale interno e la sua attività
ANAC conferma che il gestore del canale interno di segnalazione – sia esso interno o esterno all’ente sia che esso svolga l’attività in regime collegiale o come organo monocratico – deve essere specificamente formato e autonomo: quest’ultimo requisito fondamentale da declinarsi quale caratteristica di imparzialità e indipendenza.
Le LLGG, inoltre, a differenza di quanto rilevato nella prassi, ribadiscono che il gestore delle segnalazioni è l’unico soggetto legittimato a ricevere e gestire le segnalazioni, con specifici poteri da individuarsi nella procedura organizzativa e con facoltà di coinvolgere strutture interne o esterne, nel rispetto della riservatezza dell’identità delle persone coinvolte. Sotto tale aspetto, all’organo di indirizzo non possono essere attribuiti poteri di supervisione o di incidenza sull’istruttoria, ma solo funzioni di monitoraggio generale sul corretto funzionamento della procedura organizzativa. Pertanto, l’organo di indirizzo andrà coinvolto solo a valle dell’istruttoria per le decisioni di propria competenza (es. avvio di un procedimento disciplinare).
Le LLGG confermano la necessità della previsione di un sostituto del gestore principale delle segnalazioni in caso di conflitto di interessi dello stesso nonché di una funzione di riserva in caso di assenza prolungata (da intendersi superiore a sette giorni) del gestore, a tutela dell’effettività del sistema.
ANAC, infine, conferma che tendenzialmente la figura del Responsabile della protezione dati (DPO), non dovrebbe coincidere con il gestore delle segnalazioni, perlomeno negli enti di grandi dimensioni o a struttura complessa.
Fasi di gestione della segnalazione
ANAC, sulla base dell’Articolo 5 del D. Lgs. n. 24/2023 individua cinque fasi essenziali dell’attività del gestore, di seguito esemplificate.
| Fase | Descrizione |
| Ricezione della segnalazione e avviso di presa in carico | Il gestore riceve la segnalazione attraverso il canale interno e rilascia alla persona segnalante l’avviso di ricevimento entro sette giorni dalla presentazione, senza alcuna valutazione di merito. |
| Verifica di procedibilità e ammissibilità della segnalazione | Il gestore verifica i presupposti soggettivi e oggettivi della segnalazione, accertando che provenga da soggetto legittimato e che rientri nell’ambito di applicazione del D. Lgs. n. 24/2023 nonché che la stessa abbia i requisiti minimi per la sua valutazione nel merito (es. contenga una minima descrizione dei fatti). |
| Istruttoria | Il gestore svolge le verifiche necessarie; mantiene le interlocuzioni con la persona segnalante; richiede eventuali integrazioni e coinvolge, se necessario, strutture interne o soggetti esterni, con le dovute cautele per la tutela dell’identità delle persone coinvolte, operando in autonomia e imparzialità. |
| Definizione degli esiti e riscontro alla persona segnalante | All’esito dell’istruttoria il gestore determina autonomamente le iniziative conseguenti: archiviazione, motivandone le ragioni; trasmissione degli atti agli uffici/organi interni competenti e/o alle autorità competenti; Entro tre mesi dall’avviso di ricevimento (o dalla scadenza dei sette giorni), il gestore fornisce riscontro alla persona segnalante sull’esito dell’istruttoria. |
| Conservazione della documentazione | Il gestore potrà conservare le segnalazioni e la documentazione per un massimo di cinque anni dalla comunicazione alla persona segnalante dell’esito finale della procedura di segnalazione. |
Aspetti Data protection della gestione delle segnalazioni whistleblowing
Le LLGG confermano i ruoli privacy in relazione alla gestione dei canali interni di segnalazione, con una novità nell’ambito dei gruppi di impresa:
- i fornitori della piattaforma e i gestori esterni delle segnalazioni sono qualificati quali Responsabili del trattamento dei dati personali ai sensi dell’Articolo 28 del GDPR, mediante apposita nomina;
- gli enti che condividono i canali di segnalazione e la relativa gestione (es. mediante piattaforma unica, ramificata in canali autonomi per ogni ente) sono qualificati come Contitolari del trattamento ai sensi dell’Articolo 26 del GDPR, da formalizzarmi mediante apposito accordo interno;
- nell’ambito dei gruppi di imprese, laddove si faccia uso della condivisione del canale di segnalazione tra le società del gruppo mediante gestione interna e fruizione della capacità investigativa della capogruppo, quest’ultima dovrà essere nominata Responsabile del trattamento dei dati personali ai sensi dell’ Articolo 28 del GDPR; laddove si ricorra, invece, all’esternalizzazione del canale, il soggetto terzo gestore del canale sarà nominato Responsabile del trattamento dei dati personali ai sensi dell’ Articolo 28 del GDPR.
ANAC sottolinea l’importanza di attivare il canale di segnalazione, previa predisposizione di una DPIA ai sensi dell’Articolo 35 del GDPR, anche con il supporto dell’eventuale provider terzo, e dell’implementazione delle misure di sicurezza per la mitigazione dei rischi.
Le LLGG, rilevando nella prassi applicativa una mancanza di piani di formazione e sensibilizzazione, ricordano che una specifica formazione, periodicamente erogata, deve essere rivolta ai gestori della segnalazione e al personale coinvolto, con focus su normativa whistleblowing, data protection nonché sulle procedure operative adottate dall’ente.
Parallelamente, l’ente deve assicurare una formazione e informazione diffusa a tutto il personale, chiarendo cosa può essere segnalato, quali tutele sono previste e quali canali utilizzare. La protezione dei dati personali diviene così parte integrante delle misure di prevenzione della corruzione.
Disciplina whistleblowing e modello organizzativo 231
Le LLGG dedicano uno specifico approfondimento, tra gli altri, all’adeguamento al D. Lgs. n. 24/2023 per gli enti che adottano un Modello di organizzazione, gestione e controllo ex D. Lgs. n. 231/2001 (“MOG 231”).
ANAC ricorda che gli enti che adottano un MOG 231, ai sensi dell’Articolo 21, comma 2 del D. Lgs. n. 24/2023 e dell’Articolo 6, comma 2-bis del D. Lgs. n. 231/2001, hanno l’onere di intervenire su MOG 231 affinché lo stesso risponda pienamente alla nuova disciplina in materia di whistleblowing.
L’adeguamento del MOG 231 risulta necessario sotto tre profili:
- previsione di un canale interno di segnalazione o adeguamento del canale precedentemente attivato;
- esplicitazione del divieto di ritorsione e del divieto di ostacolare (o tentare di ostacolare) il segnalante;
- aggiornamento del sistema disciplinare con possibili sanzioni nei confronti dei responsabili degli illeciti sanzionati da ANAC.
Le LLGG sottolineano che un MOG 231 non efficacemente adeguato non è in grado di esprimere la propria capacità esimente della responsabilità amministrativa da reato degli enti.
Considerazioni conclusive
Le Linee guida ANAC n. 1/2025 sul canale interno di segnalazione rappresentano il tassello conclusivo nell’attuazione del whistleblowing in Italia, spostando l’attenzione dall’adempimento formale alla costruzione di sistemi organizzativi realmente efficaci, sicuri e rispettosi della normativa privacy.
L’ente che intenda ridurre il rischio sanzionatorio dovrà oggi misurarsi con un modello maturo di governance del canale interno di segnalazione, nel quale tecnologia, formazione e responsabilità dell’organo di indirizzo concorrono a garantire una tutela effettiva del segnalante e il perseguimento delle finalità di prevenzione degli illeciti.
