A più di tre anni dall’entrata in vigore del D.lgs. 24/2023, la disciplina italiana del whistleblowing si presenta come una stratificazione di fonti sempre più densa: alla normativa primaria si sono affiancate, in successione, le Linee guida ANAC del 2023, la loro modifica e integrazione del 2025, i contributi delle associazioni di categoria e una giurisprudenza di merito che inizia a sedimentare un proprio orientamento.
In questo quadro, l’Associazione fra le società italiane per azioni ha recentemente pubblicato il Vademecum operativo al whistleblowing alla luce delle recenti Linee Guida ANAC (20 aprile 2026), ove gli atti di soft law a cui la pubblicazione si riferisce sono naturalmente le Linee guida in materia di whistleblowing sui canali interni di segnalazione (Delibera n. 478/2025; di seguito “Linee guida 2025”) e modifica ed integrazione delle Linee guida adottate nel 2023 (Delibera n. 479/2025; di seguito “Linee guida 2023”), entrambe del 26 novembre 2025.
Tuttavia, il Vademecum di Assonime, pur rispondendo ad un’esigenza concreta degli operatori, soprattutto delle realtà di piccole e medie dimensioni, di ricomporre in modo organico la disciplina complessiva delle segnalazioni di illeciti, merita una lettura critica nella misura in cui – pur apprezzabile nell’intento – lascia scoperti snodi operativi rilevanti, come si vedrà.
Le note che seguono, dunque, nascono dall’intento di restituire al lettore una mappa dei punti più significativi della pubblicazione di Assonime, nei quali emerge l’esigenza di una compliance aziendale chiamata ad un ruolo proattivo, quasi supplementare, per assicurare l’aderenza dei sistemi di whistleblowing allo spirito del Decreto 24/2023 e della Direttiva (UE) 2019/1937.
Di sicuro un dato merita di essere sottolineato da subito: tenuto conto, da un lato, del profluvio di commenti e contributi apparsi successivamente alle delibere dell’ANAC e, dall’altro, della definizione di vademecum operativo della pubblicazione in commento, da Assonime ci si sarebbe aspettati sicuramente un apporto maggiormente incisivo: non solo nel merito, come si dirà a breve con riferimento agli enti del settore privato, ma anche nel metodo.
Infatti, occorre in primis determinare la natura degli atti menzionati. L’art. 10 del D.lgs. 24/2023 (c.d. Decreto Whistleblowing) dispone che l’ANAC adotti e riesamini periodicamente «le linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni esterne»: come noto, le due Linee guida in parola si riferiscono prevalentemente (Linee guida 2023) ed esclusivamente (Linee guida 2025) ai canali interni di segnalazione che gli enti pubblici e privati devono attivare ex art. 4.
Fermo il valore di un atto – le Linee guida 2023 – che ha esaminato la novella legislativa di derivazione europea in un momento di smarrimento, dovuto principalmente all’estensione dell’istituto (i.e. di oneri gravosi e complessi) a enti privi del modello ex D.lgs. 231/2001, le Linee guida appaiono – per la parte che non disciplina il canale di segnalazione esterno gestito da ANAC – adottate ultra vires, non essendo sufficiente qualificarle espressione del generale potere di indirizzo attribuito ad ANAC in materia di misure di prevenzione della corruzione (Linee guida 2025, pag. 6), a fortiori per la portata (della normativa e) degli atti dell’Autorità, che raggiungono aree molto lontane dai confini dell’anticorruzione (si pensi agli aspetti giuslavoristici).
Alternativamente, potrebbero considerarsi mere indicazioni, utili per orientarsi, ma di cui l’ente dovrebbe operare una lettura critica e sistematica. Più facile a farsi che a dirsi: soprattutto per le molteplici funzioni che il Decreto pone in capo all’ANAC – canale esterno, ritorsioni, linee guida, enti del terzo settore, sanzioni – e che possono indurre l’interprete a leggere meno criticamente le Linee guida, per trovarsi agevolato nella faticosa attività ermeneutica che il Decreto richiederebbe.
Il rischio è tutt’altro che teorico: la stessa rettifica operata dall’ANAC nel 2025 sul tema della segnalazione esterna nell’ente non obbligato – di cui si dirà nella sezione 5 – dimostra come una prima lettura delle Linee guida 2023, troppo aderente alla posizione dell’Autorità, sarebbe risultata in conflitto con il dettato del Decreto.
Rinviando ad un prossimo approfondimento l’analisi delle indicazioni contenute nelle Linee guida da cui – a parere di chi scrive – sarebbe opportuno discostarsi per i motivi appena accennati, veniamo ora al merito, ovvero al contenuto del Vademecum.
1. Il ruolo delle organizzazioni sindacali.
Il primo focus del Vademecum è dedicato all’obbligo di informativa che l’ente deve rendere alle organizzazioni sindacali circa il canale interno di segnalazione prima dell’attivazione (art. 4, c. 1), pena la non conformità del sistema whistleblowing al Decreto, sanzionabile dall’ANAC ex art. 21, nonché passibile di censura ex art. 28 Stat. Lav. (condotta antisindacale).
Vale la pena di ricordare che l’obbligo configurato dall’art. 4, c. 1, del Decreto Whistleblowing si colloca a margine della più ampia tradizione italiana degli obblighi di informazione e consultazione sindacale, che trova le proprie matrici nell’art. 47 della L. 428/1990 e, sul versante eurounitario, nel D.lgs. 25/2007 attuativo della Direttiva 2002/14/CE. A differenza di quei modelli, tuttavia, l’informativa preventiva sul canale interno di segnalazione è un obbligo sui generis: non costituisce contrattazione, non è assimilabile alla consultazione propriamente intesa e non apre un confronto strutturato sulle scelte organizzative dell’ente. La sua funzione è meramente partecipativa, finalizzata a portare a conoscenza delle rappresentanze l’esistenza e le caratteristiche del canale, senza condizionarne il contenuto. Tale qualificazione – che la prassi tende a sottovalutare – spiega perché la sanzione amministrativa pecuniaria, da 10.000 a 50.000 euro, prevista dall’art. 21, c. 1, lett. b), del Decreto per la mancata adozione delle procedure relative al canale interno di segnalazione, ove applicata, si presti alle critiche che si vedranno di seguito.
Almeno due aspetti – comuni nella prassi, ma non affrontati dalle Linee guida né dal Vademecum di Assonime – meritano sul punto attenzione.
Innanzitutto, si tratta di un obbligo meramente informativo, da indirizzare alle rappresentanze aziendali, ove costituite, o alle organizzazioni territoriali delle associazioni più rappresentative, che solitamente non replicano alla controparte datoriale o si limitano a confermare la ricezione dell’informativa. Peraltro, l’eventuale parere reso dal sindacato non sarebbe vincolante per l’ente (Linee guida 2025 nel silenzio del Decreto). Nel caso in cui la società avesse adottato una procedura conforme al dettato normativo e – con i caveat di cui sopra – alle Linee guida dell’ANAC, non si comprende su quali basi possa essere sanzionata, se non per mero formalismo (art. 21, c. 1, lett. b): infatti, la procedura sarebbe conforme anche qualora il sindacato fosse stato informato e avesse inviato suggerimenti (non vincolanti e) ignorati dalla parte datoriale.
Inoltre, a quasi 3 anni dall’enforcement del Decreto, le indicazioni fornite dall’ANAC nel 2025 commentate da Assonime interessano unicamente gli enti di nuova costituzione, quelli non inizialmente soggetti all’obbligo normativo (per limiti dimensionali o mancata adozione del modello ex D.lgs. 231/2001), nonché quelli che non si erano adeguati al Decreto.
Tuttavia, nella prassi, sovente accade che l’ente abbia adottato sia il canale interno sia la procedura di gestione delle segnalazioni, senza ottemperare all’obbligo di informativa al sindacato. Su questo aspetto, i documenti in commento non forniscono soluzioni operative.
L’ANAC precisa che il coinvolgimento delle organizzazioni sindacali è necessario anche laddove sia necessario apportare modifiche sostanziali/aggiornamenti all’atto organizzativo (Linee guida 2025). In questa direzione, l’ente potrebbe aggiornare la procedura inizialmente adottata e fornire al sindacato un’informativa completa, ovvero non limitata alle modifiche e/o all’aggiornamento, ma che comprenda anche l’impostazione originale del sistema whistleblowing. Ove la procedura fosse conforme alla legge e il sindacato non sollevasse obiezioni sul primo impianto, si ritiene che – secondo un approccio sostanzialistico al Decreto, che si sta affermando anche in giurisprudenza – la sanzione sarebbe irrogata irragionevolmente.
2. Il canale interno di segnalazione
Sul canale interno si è scritto molto, principalmente per un motivo: il costo delle licenze software che garantiscono la conformità al Decreto. Da qui le soluzioni più disparate: l’e-mail, la pec, la linea telefonica, la “doppia busta” protocollata…
Il mercato offre oggi un ventaglio di soluzioni informatiche dedicate, di complessità e costo molto variabili, in grado di assicurare i requisiti tecnici imposti dal Decreto: tracciabilità degli accessi, riservatezza dell’identità del segnalante, conservazione strutturata della documentazione e, nelle implementazioni più evolute, articolazione del canale per realtà di gruppo. La scelta della piattaforma non è quindi, di per sé, un ostacolo all’adempimento, neppure per gli enti di minori dimensioni: lo è, semmai, una valutazione di adeguatezza condotta senza considerare la natura del trattamento sotteso al canale di segnalazione, di cui si dirà più avanti.
Il canale interno costituito esclusivamente dallo strumento informatico potrebbe disincentivare e mettere in soggezione potenziali whistleblower poco familiari con le nuove tecnologie. Occorre tuttavia precisare che il Decreto dispone di diverse forme di supporto e comunicazione (segnalazione presentata a soggetto diverso dal gestore, che ha obbligo di riferire a questi entro sette giorni; figura del facilitatore; elenco degli ETS), che potrebbero sopperire ad eventuali barriere tecnologiche, qualora fosse assolto l’obbligo di formazione e informazione del personale.
Il software GlobaLeaks prevedere la possibilità di “ramificazione del canale” che ben si presta a garantire il principio di prossimità nei gruppi societari.
A prescindere dallo strumento prescelto, occorre rammentare che la gestione del canale interno di segnalazione costituisce un trattamento di dati personali a tutti gli effetti, riconducibile al perimetro del Regolamento (UE) 2016/679. La natura delle informazioni veicolate – che possono includere dati relativi a condotte illecite, dati giudiziari ex art. 10 GDPR e, talora, categorie particolari di dati – rende il trattamento ad alto rischio per i diritti e le libertà degli interessati, e dunque di norma soggetto alla valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 GDPR. La scelta dello strumento, pertanto, non si esaurisce nella valutazione costi-benefici della licenza software, ma chiama l’ente a un esercizio preliminare di privacy by design che riguarda, fra l’altro, le politiche di conservazione, i meccanismi di cifratura, la profilazione dei ruoli di chi accede al canale e la tracciabilità degli accessi.
Il punto è rilevante anche perché il Garante per la protezione dei dati personali ha più volte qualificato i sistemi di whistleblowing come trattamenti che richiedono garanzie rafforzate, sicché un canale tecnicamente fragile (si pensi alla mera casella di posta condivisa) espone l’ente a una duplice esposizione sanzionatoria: lato compliance whistleblowing e lato protezione dei dati.
3. Segnalazioni anonime
In tema di segnalazioni anonime, il Vademecum fornisce un’indicazione che frustra l’intento chiarificatore delle Linee Guida 2025.
Commenta Assonime: «L’Autorità ha rimesso alla discrezionalità dell’ente la scelta su come trattare le segnalazioni anonime. Pertanto, l’ente può scegliere se razionalizzare il proprio sistema prevedendo che tutte le segnalazioni (incluse, quindi, quelle anonime) debbano essere trattate come whistleblowing oppure stabilire che le segnalazioni anonime devono essere considerate ordinarie» (pag. 12).
L’indicazione di Assonime appare dissonante rispetto alla precisazione dell’ANAC, che mira, se non a valorizzare le segnalazioni anonime – che sono statisticamente le più rilevanti secondo tutte le principali indagini – almeno a sottolineare la portata innovativa della norma (art. 16, c. 4): «nel caso di segnalazione anonima l’ente è comunque tenuto a registrare la segnalazione e a conservare la relativa documentazione rendendo così possibile rintracciarla qualora la persona segnalante o chi abbia sporto denuncia comunichi ad ANAC di aver subìto misure ritorsive a causa di quella segnalazione o denuncia anonima» (Linee guida 2025, pag. 23).
E non solo. L’art. 16, c. 4 dispone l’applicazione di tutte le misure di protezione previste dal Capo III del Decreto al whistleblower inizialmente anonimo che venga successivamente identificato e sia vittima di ritorsioni.
Pertanto, la discrezionalità dell’ente sembrerebbe piuttosto limitata, laddove le misure di protezione si dimostrano affatto efficaci, come evidenziato dalla recente pronuncia del Tribunale di Milano, che ha disposto la reintegra del whistleblower inizialmente anonimo, poi identificato e licenziato (per approfondimenti, si veda Nota a Trib. Milano, Sez. Lavoro, 27 marzo 2026, n. 701).
4. Modello ex D.lgs. 231/2001 e Codice etico
La classificazione delle segnalazioni di violazione del Codice etico quali segnalazioni whistleblowing è stata a lungo – e ingiustificatamente – dibattuta.
Il dettato normativo è infatti molto chiaro: 1) secondo il D.lgs. 24/2023, tra le violazioni segnalabili sono incluse le condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione ivi previsti; 2) la struttura e il contenuto del modello ex D.lgs. 231/2001 non sono normati, salvo poche indicazioni rinvenibili negli artt. 6 e 7, pertanto il catalogo delle violazioni segnalabili è aperto.
Nella prassi, il Codice etico è solitamente adottato dall’organo di indirizzo unitamente al modello, di cui costituisce quella che è stata definita – in termini un po’ enfatici – la “carta costituzionale” dell’ente.
Tuttavia, l’adozione del Codice etico non è obbligatoria, né è necessario che il Codice etico sia una componente del modello: un ente potrebbe essersi dotato di modello e Codice etico (che ne sia componente o meno), di uno e non dell’altro, di nessuno dei due (in tale ultimo caso le segnalazioni rilevanti sarebbero esclusivamente quelle relative al diritto unionale richiamato dal Decreto).
Ne consegue che, qualora l’ente abbia adottato il modello che includa il Codice etico, tutte le segnalazioni di violazioni del Codice etico sono ex lege segnalazioni whistleblowing, come correttamente evidenziato da Assonime.
Non giovano a fare chiarezza alcune indicazioni che, forse per eccesso di sintesi, sembrano distinguere le segnalazioni rilevanti ex D.lgs. 231/2001 dal più ampio insieme delle segnalazioni whistleblowing (senza contemplare la remota ipotesi del Codice etico che non sia parte del modello): «si suggerisce di non tenere distinti il canale per le segnalazioni afferenti al MOG 231 e quello per le violazioni previste dal d.lgs. n. 24/2023 bensì di prevedere un unico canale interno di segnalazione» (Linee guida 2025).
Va peraltro osservato che la raccomandazione di prevedere un canale interno unitario, condivisibile sul piano dell’efficienza, sposta l’asse del problema dalla pluralità dei canali alla qualità del triage: in molte realtà aziendali coesistono, accanto al canale whistleblowing, sistemi di segnalazione paralleli (linee dedicate alla qualità, helpdesk etico, casella del responsabile delle risorse umane, sportelli di ascolto) attivati nel tempo per finalità legittime e in sé non incompatibili con il Decreto.
La criticità non si risolve perciò sul solo piano formale dell’adozione di un unico punto d’accesso, ma sulla capacità dell’ente di garantire una corretta qualificazione iniziale di ogni segnalazione – ovunque pervenga – e l’immediata attivazione delle tutele del Capo III qualora ne ricorrano i presupposti. Il rischio di misclassification, ovvero di una segnalazione astrattamente whistleblowing trattata come segnalazione ordinaria, ricade per intero sull’ente, anche quando l’errata qualificazione sia stata operata in buona fede dal personale di prima linea. La governance della segnalazione – più che la sua sede tecnica – diventa così il vero terreno su cui si misura l’adeguatezza del sistema.
5. La segnalazione (whistleblowing?) nell’ente non obbligato a dotarsi di canale interno
Uno degli aspetti più rilevanti e più trascurati dell’aggiornamento delle Linee guida 2023 riguarda una delle disposizioni invero più controverse del D.lgs. 24/2023, ovvero la lettera a) del comma 1 dell’art. 6, rubricato Condizioni per l’effettuazione della segnalazione esterna, che recita «la persona segnalante può effettuare una segnalazione esterna se, al momento della sua presentazione, ricorre una delle seguenti condizioni: a) non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna […]».
Così commentava l’ANAC nella prima versione delle Linee guida 2023: «Tale fattispecie, tuttavia, presenta delle difficoltà applicative in quanto, per come è strutturato il decreto, il soggetto è tutelato se l’ente presso cui lavora e/o collabora rientra tra quelli tenuti ad applicare la disciplina in questione. Quindi se il canale non è istituito perché l’ente non è obbligato, il segnalante non è considerato un whistleblower e non può trasmettere di conseguenza segnalazioni ad ANAC».
Perplessità condivisibili, ma apertamente contra legem: il Decreto riconosce il c.d. «diritto di whistleblowing» per tutte le segnalazioni di violazioni del diritto unionale, al di là dell’ambito soggettivo di applicazione (numero dipendenti, adozione del modello, etc.).
L’ANAC ha correttamente modificato nel 2025 le Linee guida 2023, mutando completamente indirizzo: «il decreto contempla anche l’ipotesi in cui non sia prevista, nell’ambito del contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna. In tal caso, la persona segnalante potrà trasmettere la propria segnalazione ad ANAC mediante il canale esterno ai sensi dell’art. 6, co. 1, lett. a) del d.lgs. n. 24/2023».
L’Autorità ha così rettificato un’indicazione che mal si conciliava con l’obbligo, altrettanto gravoso, di inviare alle autorità preposte le segnalazioni su cui non ha competenza, dandone avviso al segnalante (art. 8, c. 2); obbligo che – in questo caso – l’ANAC aveva fatto proprio, disciplinandone puntualmente l’attuazione con il Regolamento per la gestione delle segnalazioni esterne e per l’esercizio del potere sanzionatorio dell’ANAC in attuazione del decreto legislativo 10 marzo 2023, n. 24 (in particolare, art. 8, c. 5, lett. b), adottato con Delibera n. 301/2023, contestualmente alla prima versione delle Linee Guida.
La rettifica operata dall’ANAC nel 2025 va letta, sul piano sistematico, come un riallineamento al principio di effettività della tutela del segnalante affermato dall’art. 21 della Direttiva (UE) 2019/1937: la lettura originaria, oltre a presentarsi contra legem rispetto alla lettera del Decreto, contraddiceva la ratio della Direttiva, che impone agli Stati membri di assicurare un canale di segnalazione esterno accessibile a chiunque abbia ottenuto informazioni su violazioni nell’ambito di un’attività lavorativa, indipendentemente dalle dimensioni o dalla configurazione dell’ente datore. Il chiarimento prodotto dall’aggiornamento delle Linee guida 2023 avrà ricadute concrete anche sugli enti non obbligati: questi ultimi, pur non tenuti ad attivare un canale interno, dovranno comunque essere in grado di rispondere alle richieste informative dei propri collaboratori e di gestire le interlocuzioni con ANAC qualora una segnalazione esterna venga effettivamente trasmessa.
In conclusione, il Vademecum di Assonime – con i limiti che si sono evidenziati – va valutato per ciò che è: un primo strumento di consolidamento della prassi, utile a orientare gli operatori in una materia che continua a presentare aree di incertezza interpretativa. Il suo contributo, tuttavia, non esaurisce il lavoro che spetta all’ente: la compliance aziendale è chiamata, a tre anni dall’enforcement del Decreto, a un esercizio interpretativo più rigoroso, capace di tenere insieme la fonte primaria, la sua matrice eurounitaria, gli atti dell’Autorità e i primi orientamenti giurisprudenziali. È in questo spazio – più vasto e più impegnativo di quello tracciato dalla pubblicazione in commento – che si gioca, in ultima analisi, l’effettiva tenuta del sistema whistleblowing italiano.
Dott. Giuseppe Monteleone
Avv. Adamo Brunetti
