Guida all'implementazione del canale di segnalazione — D.Lgs. 24/2023

1. Contesto normativo

Il D.Lgs. 24/2023, entrato in vigore il 30 marzo 2023, rappresenta il recepimento italiano della Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell'Unione. La normativa ha profondamente riformato il sistema italiano di whistleblowing, superando la frammentarietà della precedente disciplina contenuta nel D.Lgs. 179/2017 e nella Legge 190/2012 per il settore pubblico. Il decreto stabilisce un sistema articolato su tre livelli di segnalazione — interno, esterno tramite ANAC e divulgazione pubblica — con garanzie rafforzate per i segnalanti e obblighi stringenti per le organizzazioni.

L'Autorità Nazionale Anticorruzione (ANAC) è stata designata quale autorità competente per la gestione del canale di segnalazione esterno, per l'emanazione delle linee guida applicative e per l'irrogazione delle sanzioni amministrative in caso di violazioni. Le Linee guida ANAC, approvate con Delibera n. 311 del 12 luglio 2023, forniscono indicazioni operative dettagliate per l'implementazione dei canali di segnalazione e per la corretta gestione delle segnalazioni ricevute, sia nel settore pubblico che in quello privato.

La normativa copre un ampio spettro di violazioni segnalabili, tra cui illeciti amministrativi, contabili, civili o penali, violazioni del diritto dell'Unione europea in settori quali appalti pubblici, sicurezza dei prodotti, tutela dell'ambiente, protezione dei dati personali, sicurezza degli alimenti, salute pubblica e tutela dei consumatori. Sono altresì incluse le condotte che ledono gli interessi finanziari dell'Unione e le violazioni relative al mercato interno, comprese le norme in materia di concorrenza e aiuti di Stato.

Importante: Il D.Lgs. 24/2023 prevede che anche le segnalazioni anonime, qualora circostanziate e dettagliate, debbano essere trattate con le stesse garanzie di riservatezza e protezione previste per le segnalazioni nominative. Le organizzazioni devono pertanto predisporre canali idonei a ricevere e gestire anche segnalazioni in forma anonima, garantendo la tracciabilità sicura e il seguito delle stesse.

2. Chi è obbligato

Il D.Lgs. 24/2023 estende significativamente la platea dei soggetti obbligati rispetto alla normativa previgente, coinvolgendo sia il settore pubblico sia quello privato. L'ambito soggettivo di applicazione è particolarmente ampio anche dal lato dei segnalanti: la protezione si applica a dipendenti, lavoratori autonomi, collaboratori, liberi professionisti, consulenti, volontari, tirocinanti (anche non retribuiti), azionisti, membri degli organi di amministrazione, direzione, controllo e vigilanza, nonché a qualsiasi persona che operi sotto la supervisione e direzione di appaltatori, subappaltatori e fornitori.

Settore privato

Nel settore privato, l'obbligo di istituire un canale di segnalazione interna si applica a tutte le imprese che hanno impiegato nell'ultimo anno una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato. L'obbligo si estende inoltre, indipendentemente dal numero di dipendenti, a tutte le imprese che adottano modelli di organizzazione e gestione ai sensi del D.Lgs. 231/2001, nonché alle imprese che operano nei settori dei servizi, prodotti e mercati finanziari, della prevenzione del riciclaggio e del finanziamento del terrorismo, della sicurezza dei trasporti e della tutela dell'ambiente. Per le aziende con 250 o più dipendenti l'obbligo è operativo dal 15 luglio 2023, mentre per le aziende con un numero di dipendenti compreso tra 50 e 249 il termine è stato fissato al 17 dicembre 2023.

Settore pubblico

Nel settore pubblico, l'obbligo di predisporre canali di segnalazione interna si applica a tutte le pubbliche amministrazioni di cui all'articolo 1, comma 2, del D.Lgs. 165/2001, compresi enti pubblici economici, società in controllo pubblico, società in house, organismi di diritto pubblico, concessionari di pubblico servizio, autorità amministrative indipendenti e ogni altro ente o organismo che esercita funzioni di pubblica amministrazione. Per il settore pubblico l'obbligo è pienamente operativo dal 15 luglio 2023, senza distinzioni basate sulla dimensione organizzativa.

3. Requisiti del canale di segnalazione

Il D.Lgs. 24/2023 e le Linee guida ANAC stabiliscono requisiti specifici e dettagliati per i canali di segnalazione interna. La conformità a tali requisiti è essenziale per evitare le sanzioni amministrative previste dalla normativa e per garantire l'effettiva protezione dei segnalanti. Il canale deve essere progettato, realizzato e gestito in modo da assicurare la riservatezza dell'identità del segnalante, della persona coinvolta e di qualsiasi altra persona menzionata nella segnalazione, nonché del contenuto della segnalazione stessa e della relativa documentazione.

Riservatezza garantita: il canale deve assicurare la riservatezza assoluta dell'identità del segnalante, delle persone coinvolte e del contenuto della segnalazione, mediante strumenti di crittografia end-to-end e accesso limitato ai soli soggetti autorizzati alla gestione delle segnalazioni.
Accessibilità multicanale: la segnalazione deve poter essere effettuata in forma scritta (piattaforma online, posta ordinaria) e in forma orale (linea telefonica dedicata, sistema di messaggistica vocale o, su richiesta del segnalante, mediante un incontro diretto). Il canale deve essere accessibile anche a soggetti esterni all'organizzazione.
Gestione dedicata: la gestione del canale deve essere affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato, oppure a un soggetto esterno qualificato e indipendente. Il gestore deve garantire imparzialità e assenza di conflitti di interesse.
Avviso di ricevimento: il gestore del canale deve rilasciare al segnalante un avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione. L'avviso deve essere fornito attraverso il medesimo canale utilizzato per la segnalazione.
Riscontro tempestivo: il gestore deve fornire un riscontro alla segnalazione entro tre mesi dalla data dell'avviso di ricevimento, comunicando al segnalante le misure previste o adottate per dare seguito alla segnalazione e i motivi del seguito dato.
Conformità GDPR: il trattamento dei dati personali deve essere effettuato nel pieno rispetto del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003. È necessaria una valutazione d'impatto sulla protezione dei dati (DPIA) e la designazione dei soggetti autorizzati al trattamento.
Conservazione documentale: le segnalazioni e la relativa documentazione devono essere conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni dalla data della comunicazione dell'esito finale della procedura di segnalazione.
Informativa chiara: l'organizzazione deve fornire informazioni chiare, facilmente accessibili e visibili sul canale di segnalazione interna, sulle procedure e sui presupposti per effettuare le segnalazioni, anche sul proprio sito web in una sezione dedicata.

4. Termini di legge

Azione	Termine
Entrata in vigore del D.Lgs. 24/2023	30 marzo 2023
Obbligo canale interno — settore pubblico	15 luglio 2023
Obbligo canale interno — aziende private con 250+ dipendenti	15 luglio 2023
Obbligo canale interno — aziende private con 50-249 dipendenti	17 dicembre 2023
Obbligo per soggetti con MOG 231 (indipendentemente dai dipendenti)	15 luglio 2023
Avviso di ricevimento al segnalante	Entro 7 giorni dalla ricezione
Riscontro al segnalante sull'esito	Entro 3 mesi dall'avviso di ricevimento
Conservazione della documentazione	Massimo 5 anni dalla comunicazione dell'esito finale

Le aziende con un numero di dipendenti compreso tra 50 e 249 possono condividere il canale di segnalazione interna con altre imprese, purché ciascuna mantenga la piena conformità ai requisiti di riservatezza e alle tempistiche di gestione previste dal decreto. Questa possibilità di condivisione delle risorse è particolarmente rilevante per le PMI e i gruppi societari.

5. Sanzioni per inadempimento

Sanzioni ANAC:

• Da €10.000 a €50.000 — quando l'organizzazione non ha istituito il canale di segnalazione interna o il canale istituito non è conforme ai requisiti previsti dalla normativa, anche con riferimento alla mancata adozione di procedure per l'effettuazione e la gestione delle segnalazioni.
• Da €10.000 a €50.000 — quando vengono accertate ritorsioni nei confronti del segnalante, della persona che ha sporto denuncia o ha effettuato una divulgazione pubblica, o dei facilitatori e delle altre persone tutelate dal decreto.
• Da €10.000 a €50.000 — quando è accertato che la segnalazione è stata ostacolata o che si è tentato di ostacolarla, anche attraverso comportamenti intimidatori o pressioni sul segnalante.
• Da €500 a €2.500 — quando è accertata la responsabilità penale del segnalante per i reati di diffamazione o calunnia, nel caso in cui la segnalazione risulti effettuata con dolo o colpa grave e si riveli infondata.
• Nullità degli atti ritorsivi: il D.Lgs. 24/2023 prevede espressamente la nullità di qualsiasi atto ritorsivo adottato nei confronti del segnalante, inclusi licenziamenti, demansionamenti, trasferimenti, sanzioni disciplinari e qualsiasi altra misura organizzativa avente effetti negativi diretti o indiretti sulle condizioni di lavoro.

L'ANAC può intervenire sia d'ufficio sia su segnalazione, e pubblica annualmente la relazione sull'attività svolta in materia di whistleblowing. Le sanzioni sono determinate tenendo conto della gravità della violazione, delle dimensioni dell'organizzazione, della reiterazione della condotta e del comportamento collaborativo del soggetto sanzionato. È fondamentale che le organizzazioni documentino accuratamente tutte le misure adottate per la conformità, in modo da poter dimostrare la propria diligenza in caso di procedimento sanzionatorio.

6. Protezione del segnalante

Il D.Lgs. 24/2023 introduce un sistema articolato e rafforzato di protezione per i segnalanti, che si estende ben oltre il perimetro della normativa previgente. La protezione si applica non solo ai dipendenti in senso stretto, ma a un'ampia categoria di soggetti: lavoratori subordinati, lavoratori autonomi, collaboratori, liberi professionisti, consulenti, volontari, tirocinanti (retribuiti e non), azionisti, persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, e chiunque operi nell'ambito del contesto lavorativo dell'organizzazione, compresi i lavoratori di appaltatori, subappaltatori e fornitori.

✕Divieto assoluto di ritorsione: è vietata qualsiasi forma di ritorsione diretta o indiretta nei confronti del segnalante, inclusi licenziamento, sospensione, retrocessione, mancata promozione, cambiamento di mansioni, trasferimento, modifiche dell'orario di lavoro, note di merito negative, sanzioni disciplinari, coercizione, intimidazione, molestie, discriminazione, trattamento sfavorevole, mancato rinnovo o risoluzione anticipata del contratto, danni reputazionali e qualsiasi altra misura pregiudizievole.
✕Inversione dell'onere della prova: nell'ambito di procedimenti giudiziari o amministrativi relativi a presunte ritorsioni, è il datore di lavoro a dover dimostrare che le misure adottate nei confronti del segnalante sono motivate da ragioni estranee alla segnalazione e non hanno alcun collegamento con la stessa.
✕Protezione dell'identità: l'identità del segnalante è tutelata con rigorose garanzie di riservatezza. L'identità non può essere rivelata senza il consenso espresso del segnalante, salvo i casi in cui la rivelazione sia indispensabile ai fini della difesa del soggetto segnalato nell'ambito di un procedimento disciplinare o giudiziario.
✕Protezione estesa ai facilitatori: la protezione si estende anche ai cosiddetti facilitatori (persone fisiche che assistono il segnalante nel processo di segnalazione), ai colleghi di lavoro del segnalante che hanno con quest'ultimo un rapporto abituale e corrente, ai familiari del segnalante e agli enti di proprietà del segnalante o in cui il segnalante lavora.
✕Misure di sostegno: il decreto prevede misure di sostegno in favore dei segnalanti, tra cui informazioni, assistenza e consulenza a titolo gratuito sulle modalità di segnalazione e sulla protezione dalle ritorsioni. Tali misure sono fornite dai centri antifrode e dagli enti del Terzo settore indicati dall'ANAC.
✕Tre canali di segnalazione: il segnalante può utilizzare il canale interno dell'organizzazione, il canale esterno gestito dall'ANAC (quando il canale interno è assente, non conforme, non ha dato seguito o sussiste il rischio di ritorsione), oppure procedere alla divulgazione pubblica (quando una segnalazione interna o esterna non ha avuto seguito o sussiste un pericolo imminente per l'interesse pubblico).

La tutela del segnalante si applica anche durante il periodo di prova, dopo la cessazione del rapporto di lavoro e durante il processo di selezione o nelle fasi precontrattuali. Il segnalante che subisce ritorsioni può ottenere la nullità degli atti ritorsivi, il risarcimento del danno e la reintegrazione nel posto di lavoro ove applicabile.

7. Implementazione passo dopo passo

8. Perché WhistleBox

WhistleBox è la piattaforma di segnalazione progettata specificamente per garantire la piena conformità al D.Lgs. 24/2023, alla Direttiva UE 2019/1937 e alle Linee guida ANAC. La soluzione è pensata per semplificare l'adempimento normativo sia per le piccole e medie imprese sia per le grandi organizzazioni pubbliche e private, eliminando la complessità tecnica e riducendo significativamente i tempi e i costi di implementazione.

Conformità integrale al D.Lgs. 24/2023: piattaforma progettata e costantemente aggiornata per rispettare ogni requisito della normativa italiana, delle Linee guida ANAC e della Direttiva europea 2019/1937.

Crittografia end-to-end: tutte le segnalazioni, i dati e le comunicazioni sono protetti con crittografia avanzata end-to-end, garantendo che solo i soggetti autorizzati possano accedere ai contenuti.

Segnalazioni anonime con dialogo sicuro: i segnalanti possono effettuare segnalazioni completamente anonime mantenendo un canale di comunicazione bidirezionale crittografato con il gestore, attraverso un codice univoco generato dal sistema.

Hosting dati nell'Unione Europea: tutti i dati sono archiviati su server ubicati nell'Unione Europea, nel pieno rispetto del GDPR, del D.Lgs. 196/2003 e delle disposizioni in materia di trasferimento transfrontaliero dei dati.

Attivazione in meno di 5 minuti: la piattaforma è operativa in pochi minuti dalla registrazione, senza necessità di installazioni complesse, configurazioni IT avanzate o interventi dell'infrastruttura aziendale.

Supporto multilingue: interfaccia disponibile in italiano e nelle principali lingue europee, per agevolare le segnalazioni in contesti multinazionali e gruppi societari con sedi in più paesi.

Dashboard di gestione intuitiva: pannello di controllo dedicato per i gestori delle segnalazioni, con funzionalità di monitoraggio dello stato, assegnazione, classificazione, annotazioni interne e generazione di report statistici.

Conformità GDPR nativa: valutazione d'impatto sulla protezione dei dati (DPIA) preconfigurata, registro dei trattamenti, gestione dei consensi e cancellazione automatica dei dati alla scadenza del periodo di conservazione quinquennale.

Canale orale integrato: possibilità di effettuare segnalazioni in forma orale attraverso un sistema di messaggistica vocale crittografata, in conformità al requisito del D.Lgs. 24/2023 di predisporre canali sia scritti che orali.

Assistenza e formazione dedicate: team di supporto specializzato nella normativa whistleblowing italiana, con servizio di assistenza per l'implementazione, la formazione dei gestori e la risoluzione delle problematiche operative.

Crea account gratuito Prenota una demo