Whistleblowing aziende private: nuova guida operativa di Confindustria

Con la pubblicazione della Guida Operativa sul Whistleblowing per gli enti privati, aggiornata a maggio 2026, Confindustria offre alle imprese uno strumento pratico e sistematico per orientarsi nella disciplina introdotta dal D.Lgs. 10 marzo 2023, n. 24, che ha recepito nell'ordinamento italiano la Direttiva UE 2019/1937 sulla protezione dei segnalanti. 

La guida si inserisce in un quadro regolatorio ormai consolidato, completato dalle Linee Guida ANAC del luglio 2023 e dall'aggiornamento di dicembre 2025 dedicato specificamente al canale interno di segnalazione nei soggetti privati. 

Va forse ricordato che la nuova disciplina si applica, in linea generale, 

• ai soggetti del settore privato che abbiano impiegato nell'ultimo anno una media di almeno 50 lavoratori subordinati, 
•  agli enti dotati di Modello Organizzativo 231 indipendentemente dalla soglia dimensionale e 
• a quelli operanti nei settori dei servizi finanziari, della prevenzione del riciclaggio e della sicurezza dei trasporti.

Canale interno di segnalazione: strumenti, gestore e procedimento

Il cuore operativo della guida è dedicato all'istituzione e alla gestione del canale interno di segnalazione, con indicazioni dettagliate sugli strumenti ammissibili — piattaforma informatica o posta cartacea per il canale scritto, linea telefonica dedicata o sistema di messaggistica vocale per quello orale, fino alla possibilità di incontro diretto con il gestore — e sui requisiti che questi devono soddisfare in termini di riservatezza dell'identità del segnalante e delle persone coinvolte. 

Particolare rilievo è attribuito alla figura del gestore della segnalazione, che può essere una persona fisica interna, un ufficio dedicato o un soggetto esterno, purché dotato di autonomia, imparzialità e adeguata formazione: la guida passa in rassegna le soluzioni più accreditate dalla prassi aziendale, inclusa la possibilità di affidare l'incarico all'Organismo di Vigilanza 231. 

Vengono poi illustrate le fasi del procedimento :

• dalla ricezione con avviso entro sette giorni, 
• all'esame preliminare di procedibilità e ammissibilità, 
• all'istruttoria vera e propria,
•  fino al riscontro finale al segnalante entro tre mesi —

 con attenzione agli obblighi di tracciabilità e riservatezza che permeano ogni fase.

 La guida affronta anche i modelli di condivisione del canale per i gruppi di imprese, sia per le realtà sotto i 249 dipendenti sia per i gruppi più strutturati, recependo la soluzione — proposta da Confindustria e confermata dalle nuove Linee Guida ANAC — che consente l'esternalizzazione della gestione alla capogruppo in qualità di soggetto terzo.

Tutela del segnalante, privacy, sanzioni e canali alternativi

La guida dedica ampio spazio ai profili di tutela del segnalante e degli altri soggetti protetti — facilitatori, colleghi, familiari entro il quarto grado — con una disamina  del divieto di ritorsioni, del meccanismo di inversione dell'onere probatorio nei procedimenti dinanzi ad ANAC e delle limitazioni di responsabilità penale, civile e amministrativa riconosciute al whistleblower che agisca in buona fede. 

La sezione sul trattamento dei dati personali richiama i principi del GDPR — minimizzazione, limitazione delle finalità, privacy by design — e individua ruoli e responsabilità dei soggetti coinvolti nel ciclo di vita della segnalazione, con l'obbligo di condurre una DPIA preliminare. 

Il documento si chiude con il sistema sanzionatorio — con sanzioni fino a 50.000 euro a carico dell'organo di indirizzo o del gestore per le principali violazioni — e con le indicazioni su formazione del personale, obblighi informativi verso dipendenti, fornitori e partner commerciali, nonché sulle condizioni che legittimano il ricorso al canale esterno ANAC o alla divulgazione pubblica, istituto quest'ultimo che la guida  invita a trattare  con cautela per le potenziali ricadute reputazionali sull'impresa.

Scarica la guida integrale e le infografiche di riepilogo

Guida whistleblowing CONFINDUSTRIA + infografiche di riepilogo

FAQ — Whistleblowing : le domande più frequenti sulle procedure

La mia azienda ha 40 dipendenti e non ha adottato il Modello 231: è obbligata ad attivare un canale interno di segnalazione?

No. L'obbligo di istituire un canale interno di segnalazione si applica ai soggetti del settore privato che abbiano impiegato nell'ultimo anno una media di almeno 50 lavoratori subordinati. Un'impresa con 40 dipendenti che non abbia adottato il Modello Organizzativo 231 e non operi nei settori regolati dagli atti UE richiamati dall'Allegato al Decreto (servizi finanziari, prevenzione del riciclaggio, sicurezza dei trasporti) non rientra nel perimetro applicativo della disciplina whistleblowing e non è quindi tenuta ad attivare il canale.

Come si calcola la soglia dei 50 lavoratori?

Secondo le indicazioni fornite dall'ANAC — in linea con quanto richiesto da Confindustria — il riferimento è la media annua degli addetti risultante dalla visura camerale al 31 dicembre dell'anno solare precedente a quello in corso. Per le imprese di nuova costituzione, poiché il dato viene aggiornato trimestralmente, si prende come riferimento il valore medio calcolato nell'ultima visura disponibile. Confindustria auspica tuttavia che la prassi interpretativa si adegui al criterio delle ULA (unità lavorative annue) previsto dall'art. 27 del D.Lgs. 81/2015, che tiene conto dell'effettiva durata di ciascun rapporto di lavoro.

Un dipendente può segnalare qualsiasi irregolarità attraverso il canale whistleblowing?

No. La disciplina ha un ambito oggettivo ben definito. Nel settore privato le segnalazioni ammissibili riguardano i reati presupposto del Decreto 231, le violazioni del Modello Organizzativo 231 e le violazioni del diritto dell'Unione europea nelle materie indicate dall'Allegato al Decreto. Sono invece escluse le segnalazioni legate a un interesse esclusivamente personale del segnalante — come vertenze di lavoro individuali, conflitti interpersonali o discriminazioni prive di rilevanza per l'integrità dell'ente — nonché quelle in materia di sicurezza e difesa nazionale e quelle relative a settori già dotati di disciplina di segnalazione ad hoc.

Chi può essere nominato gestore delle segnalazioni?

La scelta è rimessa alla discrezionalità dell'ente. Il gestore può essere una persona fisica interna (tipicamente il responsabile della funzione compliance, internal audit, o legale), un ufficio o organo collegiale interno — come l'Organismo di Vigilanza 231, soluzione espressamente valorizzata dalla guida — oppure un soggetto esterno all'impresa. In tutti i casi il gestore deve possedere autonomia e indipendenza dal management, adeguata formazione in materia di whistleblowing e trattamento dei dati personali, nonché buona conoscenza del contesto giuridico e organizzativo dell'ente. Le nuove Linee Guida ANAC sconsigliano il cumulo dell'incarico di gestore con quello di Responsabile della Protezione dei Dati (RPD), almeno negli enti di grandi dimensioni.

La posta elettronica ordinaria è uno strumento adeguato per ricevere le segnalazioni?

No, in linea generale. Le Linee Guida ANAC — in coerenza con il parere del Garante per la protezione dei dati personali — chiariscono che la posta elettronica, compresa la PEC, non è di per sé idonea a garantire la riservatezza dell'identità del segnalante, in quanto i sistemi di gestione della posta generano e conservano log di invio e ricezione che potrebbero consentire di risalire, anche indirettamente, all'identità del mittente. L'utilizzo della email potrebbe essere considerato adeguato solo se accompagnato da specifiche misure di mitigazione del rischio, opportunamente documentate nella DPIA. Confindustria conferma l'opportunità di evitare tale strumento.