Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-296 min read

Whistleblowing e D.Lgs 24/2023: Requisiti e Privacy

D.Lgs. 24/2023 Whistleblowing: obblighi per le aziende, requisiti tecnici dei canali di segnalazione e tutela della privacy dei segnalanti. Guida aggiornata.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Il D.Lgs. 24/2023 ha introdotto in Italia l'obbligo di dotarsi di canali di segnalazione (Whistleblowing) sicuri per le aziende con almeno 50 dipendenti o dotate di Modello 231. Sotto la vigilanza dell'ANAC (Autorità Nazionale Anticorruzione) e del Garante Privacy, le organizzazioni devono oggi implementare soluzioni software che garantiscano l'assoluto anonimato del segnalante e la protezione dei dati personali tramite crittografia end-to-end.

Secondo le Linee Guida ANAC e i recenti provvedimenti del Garante, la gestione delle segnalazioni non può essere affidata a strumenti generici come email ordinari o moduli cartacei, ma richiede piattaforme dedicate in grado di segregare l'identità del segnalante dall'oggetto della segnalazione.

In sintesi: (1) Il software deve cifrare integralmente allegati, IP e metadati. (2) È obbligatorio svolgere una DPIA preliminare (Art. 35 GDPR). (3) Le sanzioni ANAC per mancata istituzione del canale raggiungono i 50.000 euro. (4) La gestione può essere affidata a un ufficio interno autonomo o a un gestore esterno (outsourcing).

1. Quali aziende italiane sono per legge obbligate a dotarsi di software Whistleblowing?

È errato supporre sistematicamente che la materia del whistleblowing incomba unicamente sui dipartimenti della grande corporazione o su SPA pubbliche.

L'impianto sanzionatorio investe il comparto privato al realizzarsi dell'esistenza di precise specificità demografiche operative o ambientali:

  1. Dato dimensionale 50+: Ogni azienda privata ed organigramma societario dotato di una media dei lavoratori inquadrati e subordinati (si fa riferimento all’ultimo esercizio o calcolo temporale semestrale di consistenza) ricadenti nella fascia di eguale numero a 50 prestatori o ai 50 dipendenti (incluso apprendistato par-time ed ex somministrati).

  2. Soglie Ambientali e Strategiche a "Zero Dipendenti": Scattano immediati obblighi a dotazione ineludibile dei portali d'allerta indipendentemente dall'ammontare e grandezza da banco personale dei dipendenti, per qualsiasi organizzazione se facente ricorso d'applicazione d'Ufficio al famoso Modello Organizzativo Di Prevenzione 231 (D.lgs. n. 231/2001) e in aggiunta a tutti quei poli industriali insistenti e operanti sui servizi a natura regolamentata bancaria comunitaria, creditizio, e dei delicatissimi settori antinfiltrativi (prevenzione anti riciclaggio / anti-terrorismo). L'adeguamento ad essi non prevede scappatoie o margini fiduciari di derogazione.

2. Quali sono i requisiti di cifratura E2E imposti dall'ANAC per rendere illecita una piattaforma base?

Il decreto, unito alle emanazioni e provvedimenti emanati a corredo investigativo dalle circolari in base di ispezione del Garante per i Dati Sensibili, non avalla un singolo applicativo o marchio proprietario. Promulga la rigidissima linea dell'inadeguatezza, focalizzandosi che l'articolazione prescelta tuteli al culmine matematico ingegneristico l'identità protetta della fisionomia e metadati digitali dell'anonimo emittente.

A monte per l'ingenerarsi di conformità la Piattaforma adottata dovrà ergersi a questi principi inossidabili:

  • Protocolli Crittografici Pieno Dominio: Tutte quante le documentalità allegate (Scan cartacei probatori, Pdf excel, video), comprese le schermate relazionali interne al form applicativo transcodificado al database dell'hosting ed e server, debbono esentarsi e cifrarsi in via perenne alle restrizioni matematiche RSA o AES ad alto strato, schermando ogni manomissione interattiva o intercettazione informatica aziendale dall’amministratore (Admin IT aziendale puro). Quest'ultimo non deve aver facoltà ne padronanza di sbircio o prelevazione del ticket di database, potenziale focolaio ritorsivo immediato.

  • Separazione Architetturale Logica Irreversibile: Dev'essere pre-garantita, informaticamente, la segregazione e dicotomia spaziale delle anagrafiche del denunciante, isolandole e crittografandole mediante chiavi univoche separate ermeticamente dalle credenziali contenutistiche oggetto d'elaboazione indagine sommaria di frode (in poche parole la separazione dati anagrafici tra Form e Corpo Oggetto).

  • Nessun Tracciamento d'Ip Server e "Cookieless" Totale: Il Garante è stato adamantino sulle indagini irrorate verso portali carenti governativi e locali. Lo strumento SaaS adottato internamente o di terze figure al cui interno è inglobato il modulo interattivo form (Survey, portali compilativi) del Whistleblower, non dovrà archiviare nativamente Log e non estrapolerà o scriverà mai gli Headers di Routing del Protocollo Traffico Rete TCP/Ip dell'utente ne iniettare Cookie Traccianti Statistico-analitici d’ordinamento di sessione in navigazione. La maculazione della sessione o impronta mac-address azzera i principi di pseudonimato di fonte allineandosi a punibilità in concorso per inidoneità progettuale violata Art. 32.

3. Perché il sistema di Whistleblowing innesca obbligatoriamente un esame DPIA preliminare (Art. 35 GDPR)?

Il Regolamento (UE) Generale Privacy 2016 indurisce e sposa appieno il testo italiano dell'Integrità Antifrode 2023. Ricepire, vagliare indiziamente e trattare reportistici su crimini fiscali e dolo gestionale attuato da individui colleghi dell’ambiente produttivo interno ricade matematicamente nello spettro normativo ad altissimo rischio imminente intrinseco per la lesività corporale, diritti ascritti essenziali, fisionomia dignitaria e d’affari economico dei dipendenti e terze maestranze indicate ed esposte al reportistico.

Ne erompe, perentoria per le aziende che se ne adeguano ad incassare software e Policy proceduralizzate d'ufficio la cogizione dell'obbligo preliminare ex ante pre-utilizzo e inchiesta da formare mediante un Data-Protection Officer / Legale la Valutazione D'Impatto Di Sicurezza Informatica Data Protection e Trattamento, Data Protection Impact Assessment (DPIA) che sancisca nero e su bianco ruoli, crittografia algoritmica cloud e tempistiche in estinzione di retention degli iter investigati oltre alla mappatura asseverata delle identità operative limitrofe che stringono i manubri d'istruttoria decriptativo.

4. Chi deve assumere formalmente la figura di gestore indipendente per la ricezione illeciti?

Oltre ad allinearsi sul ramo IT, il dettato e prescritto del Titolo Legislativo n.24 pretende l'elezione designata (A mezzo Atto e Nomina formale ed ufficiale ad accettare per il trattamento privacy speciale) della persona interna, nucleo dedicato ad Organo Dipartimento (OdV e Compliance), a condizione restrittiva d'estrema partecipazione d'ufficio e separativismo fiduciario autonomo o, prediligendo prassi ormai più consone ad accogliere per imparzialità la designazione totale ad enti "Esterni" In Outsourcing, ossia nominare Legali Esperti d’Avvocatura (quali Gestori Esecutori d’allerta nominati formalmente della casella e delle investigazioni primitive) distanziando ed assorbendo integralmente i reflussi nocivi relazionali.

Domande Frequenti (FAQ)

Una casella PEC o un'email dedicata sono conformi al D.Lgs. 24/2023? No. ANAC e Garante Privacy hanno chiarito che l'email ordinaria o la PEC non garantiscono l'anonimato del segnalante né la separazione dei dati necessari alla tutela dell'identità. È obbligatorio l'utilizzo di piattaforme crittografate che impediscano anche all'amministratore IT dell'azienda di accedere ai contenuti.

Quali sono le sanzioni per chi non attiva il canale di Whistleblowing? L'ANAC può irrogare sanzioni amministrative pecuniarie da 10.000 a 50.000 euro per la mancata istituzione del canale o per l'adozione di procedure non conformi. In caso di discriminazioni o ritorsioni ai danni del segnalante, le sanzioni possono essere altrettanto significative.

Chi deve gestire le segnalazioni che arrivano tramite il software? L'azienda deve nominare un "gestore della segnalazione", che può essere una persona interna appositamente formata e autonoma, un ufficio dedicato o un soggetto esterno (outsourcing). Il gestore ha l'obbligo di dare riscontro al segnalante entro tre mesi dalla ricezione.

È obbligatorio fare la valutazione d'impatto privacy (DPIA)? Sì. Trattandosi di un trattamento di dati personali ad alto rischio (che può impattare sulla vita e sul lavoro delle persone), l'Art. 35 del GDPR impone al Titolare di redigere una DPIA prima di attivare il software, documentando le misure di sicurezza adottate.

La normativa si applica anche alle piccole imprese con meno di 50 dipendenti? Sì, se l'azienda adotta un Modello Organizzativo ex D.Lgs. 231/2001 (anche con un solo dipendente) o se opera in settori specifici come i servizi finanziari, bancari e la prevenzione del riciclaggio, indipendentemente dal numero di dipendenti in organico.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Allegato III: Guida alla Classificazione dei Sistemi AI ad Alto Rischio9 min readAziendeAI Act e Attrito Commerciale B2B: Il Rischio Nascosto per le Startup8 min readAziendeAI Act Data Governance: Come Auditare i Bias e Implementare PET9 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza