Con la Delibera n. 478 del 26 novembre 2025, ANAC ha approvato l’aggiornamento delle linee guida sul whistleblowing, integrando i contributi raccolti nella consultazione pubblica e recependo le osservazioni del Garante Privacy.
Il risultato? Un quadro operativo più chiaro, che punta a rafforzare la protezione dei segnalanti e a indirizzare enti pubblici e privati verso sistemi tecnologici più sicuri ed efficienti.

Le nuove linee guida definiscono in modo più puntuale come devono essere progettati i canali di segnalazione, quali soluzioni e quali evitare, e quali competenze deve possedere chi gestisce il processo.

Whistleblowing: cosa prevede oggi la normativa

Il riferimento principale resta il D.lgs. 24/2023, che recepisce la Direttiva UE 2019/1937.
Per aziende ed enti significa:

• adottare canali di segnalazione sicuri e riservati, anche tramite crittografia;
• aggiornare o introdurre i Modelli Organizzativi 231 con un canale interno conforme;
• nominare un gestore delle segnalazioni competente e indipendente (anche esterno);
• garantire anonimato e protezione da ritorsioni;
• strutturare procedure chiare di presa in carico, istruttoria e riscontro;
• rispettare il sistema sanzionatorio previsto;
• in alternativa o in caso di impossibilità, consentire l’accesso alla piattaforma ANAC.

L’aggiornamento ANAC rafforza soprattutto un punto: la privacy del segnalante è centrale e non negoziabile.

PEC ed e-mail non bastano più: ANAC lo chiarisce definitivamente

Uno dei passaggi più rilevanti delle nuove linee guida è la precisazione secondo cui:

“L’utilizzo della posta elettronica (ordinaria o certificata) non è adeguato a garantire la riservatezza del segnalante, salvo specifiche contromisure”.

Tradotto: PEC e-mail non sono soluzioni idonee, perché troppo facilmente riconducibili al mittente.

Le aziende devono quindi orientarsi verso strumenti che assicurino:

• anonimato reale
• separazione tra segnalazione e identità del segnalante
• protocolli di sicurezza avanzati.

 La soluzione consigliata: piattaforma digitale conforme al GDPR

ANAC suggerisce chiaramente l’utilizzo di piattaforme dedicate, preferibilmente esternalizzate, che integrino:

• crittografia e protezione dati GDPR
• meccanismo del “doppio cieco”
• tracciabilità dei processi
• accessi profilati e auditabili.

Queste piattaforme sono oggi lo standard più sicuro per imprese ed enti, riducendo rischi e responsabilità.

Pur essendo ancora ammessa, ANAC definisce la modalità cartacea esplicitamente una scelta da evitare, soprattutto per gli enti soggetti al Codice dell’Amministrazione Digitale.

La procedura a buste chiuse è infatti complessa, lenta e facilmente esposta a rischi.

Gestione esterna del canale: cosa cambia

Le nuove linee guida chiariscono che, quando un unico soggetto gestisce le segnalazioni di più enti, ogni azienda deve avere un canale e un accesso dedicato.

Questo rende essenziale affidarsi a partner tecnologici:

• affidabili dal punto di vista GDPR
• strutturati per gestire più entità
• in grado di garantire segregazione dei dati e accessi selettivi.

Il ruolo del gestore: competenze e indipendenza

ANAC ribadisce che ogni ente deve nominare un proprio gestore, interno o esterno, con:

• competenze giuridiche
• conoscenza della normativa privacy e del settore
• indipendenza e autonomia
• assenza di conflitti di interesse.

In caso di impossibilità o organizzazioni molto piccole, è possibile delegare ANAC tramite il canale esterno ufficiale.

Tempi e procedure: cosa deve fare l’ente

La procedura si articola in passaggi obbligatori:

1. Conferma di ricezione al segnalante entro 7 giorni.
2. Valutazione preliminare della segnalazione (ammissibilità e specificità).
3. Istruttoria interna, con eventuale archiviazione o trasmissione agli organi competenti.
4. Riscontro entro 3 mesi, con comunicazione dell’esito (archiviazione o inoltro).

È previsto il principio di minimizzazione: il segnalante riceve informazioni essenziali, non dettagli investigativi.

Tutela del segnalante e garanzie per gli accusati

Le linee guida rafforzano:

• la protezione verso chi segnala
• la prevenzione delle ritorsioni
• la riservatezza dell’identità.

Ma ribadiscono anche un principio fondamentale:
il gestore non deve valutare la responsabilità dei soggetti coinvolti, limitandosi alla trasmissione delle risultanze alle autorità competenti.

In sintesi: cosa significa tutto questo per le organizzazioni

Le aziende oggi devono:

• adottare una piattaforma di whistleblowing realmente sicura, non una semplice PEC;
• documentare processi, ruoli e responsabilità;
• formare il gestore interno o scegliere un partner esterno qualificato;
• aggiornare i Modelli 231 e i regolamenti interni;
• comunicare il canale ai dipendenti e ai sindacati (obbligo sanzionato).

Chi si adegua non solo rispetta la legge, ma riduce il rischio di frodi, conflitti interni e responsabilità 231.

I consulenti Metha supportano le imprese nella implementazione delle prassi e delle procedure aggiornate in materia di whistleblowing in funzione della normativa vigente.