Desideriamo aggiornarvi su un’importante evoluzione normativa che impatta direttamente sulla normativa Whistleblowing.
L’ANAC, con la Delibera n. 478 del 26 novembre 2025, ha approvato le nuove Linee Guida sui canali interni di segnalazione. Non si tratta di semplici suggerimenti, ma di requisiti stringenti che richiedono un adeguamento tecnico e organizzativo dei vostri sistemi attuali.
🧾Ecco una sintesi dei punti chiave e delle azioni necessarie.
1. Governance e Organizzazione
L'ANAC ha chiarito che il processo di gestione deve essere "blindato" rispetto ai vertici aziendali:
Segretezza delle istruttorie: gli organi di vertice (CDA, Amministratori) non possono supervisionare le singole segnalazioni, possono essere informati solo sull’esito finale o ricevere dati statistici aggregati;
Il Sostituto del Gestore: è ora obbligatorio nominare formalmente un sostituto del Gestore della segnalazione, che deve intervenire in caso di assenza prolungata o, soprattutto, in caso di conflitto di interessi (es. se la segnalazione riguarda il Gestore stesso).
Consultazione sindacale: se dovete istituire un nuovo canale o modificare sostanzialmente quello esistente, è necessario coinvolgere preventivamente le rappresentanze sindacali.
2. Requisiti Tecnici della Piattaforma
Le piattaforme SaaS "base" potrebbero non essere più sufficienti. I nuovi standard richiedono
Crittografia avanzata: i dati devono essere cifrati con algoritmi forti (AES-256) e i database dell'identità del segnalante devono essere fisicamente o logicamente separati dal contenuto della segnalazione, collegati solo tramite un token cifrato.
Invisibilità della navigazione: l'accesso al portale dalla rete aziendale non deve lasciare tracce nei log di rete (firewall, proxy), cosicché i reparti IT non possano vedere chi ha visitato l'URL della piattaforma.
No password reset dal Fornitore: il fornitore della piattaforma non deve avere le chiavi di decifratura e non deve poter resettare le password per accedere ai contenuti.
MFA (Multi-Factor Authentication): obbligatoria per il Gestore e il suo sostituto.
3. Canale Orale e Messaggi Vocali
Se la vostra piattaforma permette segnalazioni vocali o se utilizzate un canale orale:
Alterazione della voce: il timbro vocale è un dato biometrico (dato particolare ai sensi dell'art. 9 GDPR), dunque la piattaforma deve ora offrire strumenti di distorsione/alterazione della voce affinché il Gestore possa ascoltare il contenuto senza identificare il segnalante dal tono.
Linee dedicate: non basta più un incontro informale; servono linee telefoniche protette o sistemi di messaggistica vocale con conservazione a norma.
4. Interoperabilità
Una delle novità più rilevanti riguarda la capacità della piattaforma di "parlare" con l'Autorità:
Esportazione standard: le piattaforme devono supportare l'export dei dati in formati leggibili istantaneamente da ANAC (XML o JSON).
Schema Dati Unificato: ANAC sta definendo uno "schema unico" di etichettatura (es. tag specifici per "tipologia illecito") e ogni piattaforma dovrà uniformarsi a questo standard per garantire la coerenza dei dati a livello nazionale.
Canali di Trasferimento Cifrati: il passaggio dei dati verso i nodi di ricezione ANAC deve avvenire solo tramite protocolli sicuri (SFTP o Web Services protetti), rendendo impossibile l'esposizione dell'identità del segnalante.
Inadeguatezza e-mail/PEC: questi strumenti non garantiscono la riservatezza richiesta (gli amministratori di sistema potrebbero leggere i messaggi), perciò l'uso della mail è ora ammesso solo in casi eccezionali e con cifratura end-to-end praticamente impossibile da gestire con i mezzi standard.
❓Cosa dobbiamo fare ora?
👉Il primo passo è effettuare un audit tecnico sulla piattaforma che state utilizzando per verificare se risponde a questi nuovi requisiti.
I risultati dell'analisi ricadranno sui seguenti controlli:
👉Aggiornamento DPIA: la Valutazione d'Impatto deve essere integrata verificando i nuovi requisiti tecnici;
👉 Revisione Nomina a Responsabile (art. 28): dobbiamo verificare che i DPA con i fornitori delle piattaforme includano le clausole di sicurezza specifiche richieste da ANAC.
👨💼Il nostro Team è a vostra disposizione per eventuali approfondimenti e, se desiderate, per fissare una breve call con l'obiettivo di verificare insieme la conformità del vostro attuale sistema di Whistleblowing.
Per qualsiasi informazione ulteriore o necessità di supporto, puoi contattarci e all'indirizzo mail assistenza@opendata.it.