Cookie Consent by Free Privacy Policy Generator
Studio Legale MP - Verona logo

Cerca nel sito

Inserisci una parola chiave per iniziare la ricerca

Whistleblowing: il gestore del canale interno - Studio Legale MP - Verona

Un responsabile commerciale invia una segnalazione tramite il canale interno di whistleblowing aziendale. Un mese dopo viene licenziato per giusta causa. L'azienda aveva già pubblicato un annuncio su LinkedIn per la sua posizione prima ancora di aprire il procedimento disciplinare. Il Tribunale di Milano, con sentenza 6 giugno 2025 n. 1680, Sez. Lavoro, dichiara il licenziamento nullo per motivo illecito determinante, ordina la reintegrazione immediata del lavoratore e condanna la società al pagamento dell'intera retribuzione maturata medio tempore, oltre ai contributi previdenziali. Chi gestiva quel canale interno? Aveva documentato la segnalazione? Aveva rispettato i tempi? Aveva coinvolto il DPO? Domande che, nel silenzio delle procedure interne, diventano il vero problema giuridico dell'impresa.

Il canale interno di segnalazione è oggi, nel panorama della compliance aziendale italiana, l'infrastruttura giuridica più sottovalutata. Istituito formalmente da molte imprese per obbligo normativo, è spesso gestito senza una reale consapevolezza delle responsabilità che ne derivano. Le Linee Guida n. 1/2025 di ANAC, approvate con delibera n. 478 del 26 novembre 2025 e pubblicate in Gazzetta Ufficiale il 29 dicembre 2025, segnano una svolta precisa: dal regime di prima applicazione del D.Lgs. 10 marzo 2023, n. 24 si passa alla fase della piena maturità del sistema, con prescrizioni vincolanti, efficacia immediata e nessun periodo transitorio.

Il quadro normativo: chi deve attivare il canale e chi lo gestisce

Il D.Lgs. 24/2023, che ha recepito la Direttiva (UE) 2019/1937, stabilisce l'obbligo di istituire un canale interno di segnalazione per tutti i soggetti del settore pubblico e per le imprese private con almeno cinquanta dipendenti. L'obbligo si estende, indipendentemente dalla soglia dimensionale, alle imprese che hanno adottato un Modello di Organizzazione e Gestione ai sensi del D.Lgs. 231/2001. Il decreto individua quattro canali possibili — interno, esterno (gestito da ANAC), divulgazione pubblica e denuncia all'autorità giudiziaria — ma considera quello interno lo strumento privilegiato, in quanto più efficace per la prevenzione e la trattazione degli illeciti nell'interesse dell'ente stesso.

La questione centrale, spesso trascurata nella letteratura pratica, riguarda la figura del gestore: il soggetto o l'ufficio cui è affidata operativamente la ricezione, l'esame e il riscontro delle segnalazioni. Le nuove Linee Guida ANAC intervengono su questo punto con chiarezza inedita, ridefinendo autonomia, requisiti e responsabilità del gestore. Nei soggetti di grandi dimensioni il ruolo del DPO e quello del gestore devono essere ricoperti da persone distinte: una separazione non solo formale, ma sostanziale, che riflette la diversità delle funzioni. Il DPO vigila sulla protezione dei dati e sulla coerenza del sistema, ma non può essere destinatario delle segnalazioni né coinvolto nella loro gestione operativa.

Un ampliamento significativo dell'ambito oggettivo è intervenuto con il D.Lgs. 30 dicembre 2025, n. 211, che ha modificato l'art. 1 del D.Lgs. 24/2023 estendendo le tutele anche ai segnalanti che denunciano violazioni delle misure restrittive dell'Unione europea e ulteriori fattispecie di diritto penale. Questo allargamento del perimetro impone una revisione delle procedure interne già esistenti, perché ciò che ieri non rientrava nel campo di applicazione del decreto oggi potrebbe essere segnalabile con piena tutela per chi segnala.

La sequenza procedimentale obbligatoria è rimasta quella dell'art. 5 del D.Lgs. 24/2023: avviso di ricevimento entro sette giorni dalla ricezione della segnalazione, interlocuzioni con il segnalante se necessario, diligente seguito istruttorio, riscontro entro tre mesi. Le Linee Guida 2025 precisano tuttavia che questa sequenza non è meramente burocratica: ogni fase deve essere documentata, motivata e tracciabile, perché in caso di contestazione da parte di ANAC o di contenzioso giudiziale è la documentazione interna a determinare la conformità o meno delle procedure adottate.

Un aspetto rimasto in ombra nel dibattito tra compliance officer riguarda l'obbligo di consultazione sindacale. Le Linee Guida ANAC 2025 chiariscono che le organizzazioni sindacali devono essere sentite preliminarmente all'attivazione del canale e in occasione di ogni modifica sostanziale delle procedure. Il mancato coinvolgimento non è una irregolarità minore: rende la procedura non conforme e può comportare l'irrogazione di una sanzione da parte di ANAC. Questa novità riguarda sia il settore pubblico sia quello privato, e investe direttamente l'organizzazione del lavoro interna.

Sul piano tecnologico, le Linee Guida 2025 confermano la preferenza assoluta per piattaforme informatiche dedicate, con misure tecniche che impediscano la tracciabilità degli accessi dalla rete aziendale. La posta elettronica ordinaria — inclusa la PEC — non garantisce gli standard di riservatezza richiesti dal decreto e dalla normativa GDPR, anche se adottata con misure di mitigazione. Rimane però ammessa la segnalazione in forma scritta con protocollazione riservata in doppia busta: le nuove Linee Guida eliminano l'obbligo di allegare copia del documento di identità, in ossequio al principio di minimizzazione dei dati personali. Fondamentale è la DPIA — Valutazione d'Impatto sulla Protezione dei Dati — che il Garante Privacy, con Parere del 9 ottobre 2025 (Registro dei provvedimenti n. 581), ha confermato come necessaria e preventiva rispetto all'attivazione di qualsiasi canale interno.

La giurisprudenza che cambia le regole: onere della prova, ritorsione e limiti della tutela

Il vero elemento di discontinuità rispetto ai primi due anni di applicazione del D.Lgs. 24/2023 è giurisprudenziale. Tre pronunce recenti ridisegnano il perimetro delle tutele e impongono alle imprese di ripensare in modo radicale le proprie prassi.

La sentenza del Tribunale di Milano, Sez. Lavoro, 6 giugno 2025, n. 1680 — già citata in apertura — costituisce la prima applicazione giurisprudenziale dell'art. 17, comma 2, del D.Lgs. 24/2023, la norma che introduce la presunzione relativa di ritorsione. Il principio affermato è netto: una volta dimostrata la sequenza temporale tra segnalazione e provvedimento sfavorevole, si attiva automaticamente la presunzione di ritorsività, e spetta al datore di lavoro provare che la misura adottata è fondata su ragioni oggettive, autonome e del tutto estranee alla segnalazione. Nel caso di specie il datore non vi è riuscito, e il giudice ha dichiarato la nullità del licenziamento con applicazione della tutela reintegratoria piena, senza limiti al quantum risarcitorio.

La sentenza del Tribunale di Bergamo, 6 novembre 2025, n. 951 interviene su un fronte diverso ma ugualmente rilevante: il risarcimento del danno morale patito dal segnalante. Il caso riguardava un'agente di polizia locale che aveva segnalato favoritismi nell'erogazione di buoni pasto, indennità di turno e irregolarità nella gestione di fondi regionali. Il Tribunale ha dichiarato la nullità delle azioni disciplinari adottate nei confronti del dipendente segnalante e ha condannato l'ente al risarcimento del danno morale derivante dal mantenimento di un ambiente di lavoro ostile, nocivo e fonte di logorio fisico e mentale, fondando la responsabilità datoriale sull'art. 2087 del Codice civile. Un aspetto cruciale della decisione riguarda la distinzione tra mobbing in senso tecnico e violazione dell'obbligo generale di sicurezza: non è necessario provare il disegno persecutorio sistematico per ottenere il risarcimento, essendo sufficiente la dimostrazione del nesso tra le condizioni ambientali deteriorate e la segnalazione effettuata.

Il quadro si completa con la Corte di Cassazione, sentenza 27 gennaio 2025, n. 1880, che traccia con precisione i limiti soggettivi della tutela. La Suprema Corte ha stabilito che le protezioni previste dal D.Lgs. 24/2023 non si applicano quando la segnalazione persegue scopi essenzialmente personali o si riduce a rivendicazioni inerenti al rapporto di lavoro individuale nei confronti dei superiori. La ratio è chiara: l'istituto del whistleblowing tutela chi agisce nell'interesse dell'integrità dell'organizzazione e della collettività, non chi usa il canale interno come strumento di conflitto personale. Il gestore del canale deve essere in grado di distinguere, già in sede di esame preliminare, tra le due fattispecie: una valutazione delicata, che richiede competenza giuridica e autonomia di giudizio.

Questo ultimo aspetto merita una riflessione operativa che raramente emerge nella letteratura di compliance. Il gestore che archivia una segnalazione qualificandola come rivendicazione personale si espone al rischio opposto: se la qualificazione è errata, l'archiviazione può essere essa stessa qualificata come ritorsione indiretta. Il margine di errore è stretto, e la documentazione delle ragioni della decisione diventa l'unica tutela efficace.

Sul piano sanzionatorio, ANAC può irrogare sanzioni da 10.000 a 50.000 euro per la mancata istituzione del canale, per l'adozione di procedure non conformi agli artt. 4 e 5 del D.Lgs. 24/2023 e per la mancata verifica e analisi delle segnalazioni ricevute. Sanzioni da 5.000 a 30.000 euro si applicano invece nei casi di ritorsione accertata, ostruzione alle segnalazioni o violazione dell'obbligo di riservatezza. La responsabilità sanzionatoria ricade sull'organo di indirizzo dell'ente, in solido con i suoi componenti, con possibilità di azione di regresso verso i soggetti effettivamente responsabili delle omissioni.

Vigilantibus iura subveniunt: il diritto soccorre chi è vigile. Il principio romano, nella sua applicazione al whistleblowing, vale in doppio senso: per il segnalante che agisce tempestivamente e in buona fede, e per l'ente che struttura e presidia il proprio sistema interno con la medesima attenzione. Come ricordava Stefano Rodotà, il diritto alla riservatezza non è un privilegio individuale ma una condizione di libertà collettiva: applicato al contesto del whistleblowing, significa che la protezione dell'identità del segnalante non è un adempimento tecnico, ma un valore che l'organizzazione deve interiorizzare e presidiare a ogni livello.

Tra gli errori operativi più frequenti che emergono dall'analisi delle prime prassi applicative, va segnalato l'utilizzo di canali di segnalazione paralleli — uno per il whistleblowing e uno per le segnalazioni ex 231/2001 — che generano confusione, duplicazioni di gestione e rischi di incoerenza procedurale. Le nuove Linee Guida ANAC raccomandano esplicitamente un canale unico per tutte le tipologie di segnalazione, con opportuna segregazione degli accessi. Un secondo errore ricorrente è l'assenza di formazione specifica per il gestore e di formazione generale per tutto il personale: la conoscenza del sistema è una condizione di efficacia, non un'opzione. Un terzo profilo critico riguarda la conservazione dei dati: la documentazione relativa alle segnalazioni va conservata per un massimo di cinque anni, e il rispetto dei tempi di cancellazione è parte integrante della conformità GDPR, non un dettaglio residuale.

Il sistema del whistleblowing, guardato dalla prospettiva insolita del gestore del canale interno, rivela così la sua natura più autentica: non un obbligo formale da soddisfare con l'acquisto di una piattaforma informatica, ma un presidio di governance che richiede autonomia decisionale, competenza giuridica, documentazione rigorosa e integrazione con il sistema disciplinare, il MOG 231, la privacy aziendale e le relazioni sindacali. La giurisprudenza del 2025 ha reso operativi i principi che la normativa aveva enunciato: le tutele non sono più sulla carta.

Hai bisogno di assistenza o di un preventivo?

Autore: Redazione - Staff Studio Legale MP


Redazione - Staff Studio Legale MP -

Redazione - Staff Studio Legale MP