Whistleblowing: la nuova Guida Confindustria aggiorna le regole per gli enti privati

La nuova Guida operativa di Confindustria in materia di whistleblowing segna un passaggio rilevante per gli enti privati chiamati a gestire i canali interni di segnalazione.

 

L’aggiornamento, pubblicato nel maggio 2026, recepisce i chiarimenti contenuti nelle nuove Linee Guida ANAC sui canali interni di segnalazione, approvate con Delibera n. 478 del 26 novembre 2025.

Non si tratta di un semplice aggiornamento formale.

 

La Guida richiama imprese, organi di indirizzo, funzioni HR, compliance, privacy, internal audit e Organismi di Vigilanza a una revisione complessiva dell’assetto organizzativo adottato per la gestione delle segnalazioni.

 

Il whistleblowing viene sempre più configurato come un presidio strutturale di prevenzione degli illeciti, di protezione dell’integrità aziendale e di rafforzamento dei sistemi di controllo interno.

 

Uno dei profili centrali riguarda i canali di segnalazione.

 

La disciplina richiede strumenti idonei a garantire la riservatezza dell’identità della persona segnalante, delle persone coinvolte e del contenuto della segnalazione. In questa prospettiva, l’utilizzo di strumenti ordinari come email o PEC deve essere valutato con estrema cautela, poiché può non assicurare, di per sé, livelli adeguati di protezione, tracciabilità e segregazione degli accessi.

 

Diventa quindi essenziale verificare la conformità tecnica e organizzativa delle piattaforme utilizzate, nonché la coerenza delle procedure interne con il quadro normativo e con le indicazioni dell’Autorità.

 

Altro profilo decisivo riguarda il gestore delle segnalazioni.

 

La funzione chiamata a ricevere, esaminare e dare seguito alle segnalazioni deve operare con autonomia, indipendenza e adeguata competenza. L’organo di indirizzo conserva un ruolo di supervisione generale sul sistema, ma non può interferire nella gestione delle singole istruttorie, che devono restare presidiate da chi è formalmente incaricato della trattazione.

 

Questo aspetto incide direttamente sulla governance interna.

 

Le imprese devono individuare con attenzione il soggetto o l’ufficio competente, definire poteri, responsabilità, flussi informativi, regole di sostituzione in caso di conflitto di interessi e modalità di documentazione delle attività svolte.

 

Un ulteriore snodo riguarda il rapporto tra whistleblowing e Modello 231.

 

Per gli enti che hanno adottato un modello di organizzazione, gestione e controllo ai sensi del D. Lgs. n. 231/2001, l’aggiornamento del sistema di segnalazione non può essere trattato come un intervento isolato.

 

Occorre verificare la coerenza tra canale whistleblowing, codice etico, sistema disciplinare, procedure aziendali, flussi verso l’Organismo di Vigilanza e presidi di controllo già previsti dal Modello 231.

 

In particolare, dovrà essere chiarito il ruolo dell’OdV rispetto alla ricezione delle informazioni, alla tutela della riservatezza, alla gestione dei flussi e all’eventuale coinvolgimento nelle verifiche conseguenti alle segnalazioni.

 

La Guida richiama inoltre l’attenzione sulla consultazione sindacale.

Prima dell’attivazione o dell’aggiornamento dei canali interni, l’ente è tenuto a coinvolgere le rappresentanze o organizzazioni sindacali competenti. Il parere non ha natura vincolante, ma la mancata consultazione può rilevare ai fini della conformità complessiva del sistema.

 

Particolare rilievo assume anche la protezione dei dati personali.

 

La gestione delle segnalazioni comporta il trattamento di informazioni spesso delicate, riferite non solo alla persona segnalante, ma anche alla persona coinvolta, ai facilitatori, ai testimoni e ad altri soggetti menzionati. Per questo motivo, devono essere definiti correttamente i ruoli privacy, le autorizzazioni, le misure di sicurezza, i tempi di conservazione e le informative.

 

La valutazione d’impatto sulla protezione dei dati (DPIA) assume un ruolo centrale nella verifica preventiva dei rischi connessi alla piattaforma e al processo di gestione delle segnalazioni.

 

Anche le imprese appartenenti a gruppi societari sono chiamate a una verifica puntuale.

 

La gestione accentrata o condivisa dei canali di segnalazione deve rispettare i limiti previsti dalla disciplina, garantendo in ogni caso autonomia, riservatezza e corretta allocazione delle responsabilità. Nei gruppi di maggiori dimensioni, l’esternalizzazione della gestione può rappresentare una soluzione organizzativa possibile, purché non comprometta l’indipendenza del processo e la tutela della persona segnalante.

 

Rilevanti sono poi le modalità di segnalazione orale.

 

Il sistema deve consentire, ove previsto, segnalazioni mediante linea telefonica, sistemi di messaggistica vocale o incontro diretto. Anche in questi casi devono essere assicurate riservatezza, tracciabilità, corretta verbalizzazione e gestione documentale.

 

Le tempistiche restano un elemento essenziale del procedimento.

 

Il soggetto gestore deve dare avviso di ricevimento della segnalazione entro sette giorni, mantenere le interlocuzioni con la persona segnalante, svolgere l’istruttoria necessaria e fornire riscontro entro i termini previsti. La conservazione della documentazione deve avvenire per il tempo necessario al trattamento della segnalazione e, comunque, nel rispetto dei limiti di legge.

 

La mancata adozione di canali adeguati, l’assenza di procedure conformi, la violazione degli obblighi di riservatezza, l’ostacolo alla segnalazione o il mancato svolgimento dell’attività di verifica possono esporre l’ente a sanzioni ANAC significative.

 

Per le imprese, il punto non è più soltanto dotarsi di un software.

 

Occorre costruire un sistema completo, coerente e documentato, capace di integrare tecnologia, governance, compliance, privacy, controlli interni, Modello 231 e formazione.

 

Le azioni prioritarie riguardano almeno tre ambiti.

 

In primo luogo, la verifica della conformità tecnica e procedurale dei canali esistenti.

 

In secondo luogo, l’aggiornamento del Modello 231, del codice etico, del sistema disciplinare, delle procedure interne e dell’impianto privacy.

 

In terzo luogo, la formazione strutturata e periodica dei gestori, degli organi di indirizzo, delle funzioni aziendali coinvolte e del personale.

 

Il whistleblowing, nella nuova impostazione delineata da ANAC e recepita dalla Guida Confindustria, non è più un presidio meramente formale.

 

È uno strumento di prevenzione, ascolto organizzativo e gestione del rischio, destinato a incidere in modo crescente sulla qualità dei sistemi di controllo e sulla responsabilità degli assetti aziendali.