Il contributo esamina il rapporto tra la disciplina del whistleblowing, come ridefinita dal D. Lgs. 24/2023 in attuazione della Direttiva UE 2019/1937, e i Modelli di Organizzazione, Gestione e Controllo previsti dal D. Lgs. 231/2001. Alla luce delle Linee Guida ANAC n. 1/2025, adottate con delibera n. 478 del 26 novembre 2025, l’analisi individua nel canale di segnalazione interno non soltanto un adempimento normativo, ma un elemento strutturale del sistema di prevenzione dei reati presupposto ex D. Lgs. 231/2001. L’integrazione tra i due istituti non è più meramente formale, bensì funzionale: un sistema di whistleblowing strutturato e governato in modo compliant rafforza la tenuta esimente del Modello 231 e contribuisce alla costruzione di una cultura organizzativa orientata alla legalità.
1. Introduzione – Il whistleblowing come presidio sistemico
L’entrata in vigore del D. Lgs. 10 marzo 2023, n. 24[1], con cui il legislatore italiano ha recepito la Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, ha determinato una significativa revisione dell’istituto del whistleblowing nel panorama giuridico nazionale. La norma segna un momento di discontinuità rispetto alla precedente disciplina dettata dalla Legge n. 179 del 2017[2], ampliandone il perimetro soggettivo e oggettivo e introducendo un sistema articolato di protezioni per il segnalante.
In tale contesto, la pubblicazione da parte dell’ANAC delle Linee Guida n. 1/2025 (in seguito anche solo “LG 2025”), adottate con delibera n. 478 del 26 novembre 2025[3] ha definito in modo organico le modalità operative per la gestione del canale interno di segnalazione.
Le LG 2025 non aggiornano, né sostituiscono, le precedenti Linee Guida[4], ma le completano e integrano sul piano operativo, con particolare riguardo alle specificità del settore privato.
Il presente contributo si propone di analizzare il rapporto di integrazione funzionale tra la disciplina del whistleblowing e quella della responsabilità da reato degli enti ex D. Lgs. 231/2001: il canale di segnalazione, strutturato e governato secondo le indicazioni delle LG 2025, costituisce un elemento del sistema di controllo interno capace di incidere sull’efficacia esimente del Modello 231, oltre che rafforzare la cultura della legalità all’interno dell’organizzazione.
2. Il quadro normativo: D. Lgs. 24/2023 e D. Lgs. 231/2001 a confronto
2.1 Il D. Lgs. 24/2023: struttura e ambito di applicazione
Il D. Lgs. 24/2023 si articola attorno a tre pilastri fondamentali: (i) la definizione dell’ambito soggettivo e oggettivo delle segnalazioni protette; (ii) la disciplina dei canali di segnalazione – interno, esterno e divulgazione pubblica; (iii) il sistema delle misure di protezione del segnalante e delle sanzioni a carico dei trasgressori. Tali pilastri verranno analizzati, anche più nel dettaglio, nei paragrafi che seguono alla luce delle LG 2025.
Quanto all’ambito soggettivo, il primo pilastro del Decreto tutela una platea particolarmente ampia di soggetti: lavoratori subordinati, lavoratori autonomi, collaboratori, liberi professionisti, azionisti, membri degli organi di amministrazione, gestione o controllo, volontari e tirocinanti. La protezione si estende anche a coloro che non hanno ancora formalmente instaurato un rapporto giuridico o lavorativo, qualora le informazioni oggetto della segnalazione siano state acquisite durante il processo di selezione o in altre fasi precontrattuali; durante il periodo di prova; nonché successivamente allo scioglimento del rapporto, se le informazioni sono state acquisite nel corso dello stesso.
Dal punto di vista oggettivo, le segnalazioni possono riguardare (ossia, “cosa” può essere segnalato) illeciti amministrativi, contabili, civili o penali; illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea (relativi, a titolo non esaustivo, ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; tutela dell’ambiente); violazione delle misure restrittive dell’Unione europea previste nel codice penale e nel D. Lgs. 286/1998 (alla luce della recente entrata in vigore del D. Lgs. 211/2025); altri atti od omissioni che ledono gli interessi finanziari dell’Unione europea e/o riguardanti il mercato interno.
Vi rientrano, altresì, proprio nell’ottica di un consolidamento della connessione tra i due sistemi normativi di cui si discute, espressamente le condotte illecite rilevanti ai sensi del D. Lgs. 231/2001 e le violazioni dei Modelli di Organizzazione, Gestione e Controllo della società.
Quanto al secondo pilastro, il Decreto disciplina un sistema di canali di segnalazione, che privilegia la gestione interna e riserva un ruolo secondario agli strumenti esterni.
Il sistema si articola nel canale interno, istituito da ciascun soggetto obbligato, o gestito in forma condivisa per gli enti minori; nel canale esterno, gestito da ANAC e attivabile solo in presenza delle condizioni tassative di cui all’art. 6 del Decreto e nella divulgazione pubblica, quale extrema ratio, ammessa quando la segnalazione interna e/o esterna non abbia avuto riscontro nei termini previsti, o ricorrano le ragioni di urgenza o rischio previste per il canale esterno.
Quanto al terzo pilastro, il sistema di protezione del segnalante poggia su un divieto generale di ritorsione che prevede condotte vietate, quali, a titolo non esaustivo: il licenziamento, la mancata promozione, la discriminazione, il danno reputazionale, oltre che sulla tutela della riservatezza dell’identità del segnalante, del segnalato e dell’oggetto della segnalazione.
Sul piano sanzionatorio, ai sensi dell’art. 21 del Decreto, ANAC irroga specifiche sanzioni amministrative pecuniarie.
2.2 Il D. Lgs. 231/2001: la responsabilità da reato degli enti
Come noto, il D. Lgs. 231/2001 ha introdotto nell’ordinamento italiano la responsabilità da reato degli enti per i reati commessi nel loro interesse o a loro vantaggio da soggetti in posizione apicale o sottoposti a direzione o vigilanza.[5]
La norma ha strutturato un meccanismo di esonero da responsabilità fondato sull’adozione e l’efficace attuazione di un Modello di Organizzazione, Gestione e Controllo e sulla nomina di un Organismo di Vigilanza (OdV) dotato di autonomi poteri di iniziativa e controllo.
Il Modello 231 assolve, nella sistematica del Decreto, una duplice funzione: preventiva – nella misura in cui identifica e mappa le aree di rischio di commissione dei reati presupposto e predispone presidi di controllo per la loro gestione – ed esimente, qualora l’ente dimostri di averlo adottato prima della commissione del fatto verificatosi, di aver affidato il compito di vigilare sul suo funzionamento a un organismo dotato dei requisiti di legge e che il reato sia stato commesso eludendo fraudolentemente il Modello stesso.
Il raccordo tra i due sistemi in parola è già in parte desumibile dallo stesso D. Lgs. 24/2023, il quale estende l’obbligo di istituire il canale interno di segnalazione anche agli enti che abbiano adottato Modelli 231, a prescindere dalla soglia occupazionale.
L’art. 6, co. 2-bis D. Lgs. 231/2001, così come modificato dal D. Lgs. 24/2023, ha previsto l’obbligo di prevedere nel Modello stesso il canale interno di segnalazione, il divieto di ritorsione e un sistema disciplinare idoneo a sanzionarne le violazioni.
3. Le Linee Guida ANAC n. 1/2025: contenuti, iter e principali novità
Le Linee Guida ANAC n. 1/2025, adottate con delibera n. 478 del 26 novembre 2025, rappresentano il principale strumento di regolazione di secondo livello per la gestione del canale interno di segnalazione.
Il documento, articolato in cinque sezioni principali e tre approfondimenti tematici (Modello 231, gruppi societari, Enti del Terzo settore), è stato elaborato all’esito di uno specifico percorso istruttorio.[6]
3.1 Il canale interno: modalità di segnalazione
Le LG 2025, quanto al canale interno, confermano che gli enti devono garantire entrambe le modalità di presentazione delle segnalazioni: scritta e orale.
Per le segnalazioni scritte, l’Autorità esprime una netta preferenza per le piattaforme informatiche, che assicurano la cifratura dei dati, la mitigazione degli eventi di data breach e la riservatezza delle interlocuzioni tramite codice identificativo (key code).[7] Il ricorso alla posta elettronica, ordinaria o certificata, è ritenuto di per sé non adeguato a garantire la riservatezza del segnalante, se non accompagnato da specifiche contromisure opportunamente giustificate quali misure di mitigazione del rischio individuate in sede di definizione della valutazione di impatto del trattamento sulla protezione dei dati.
Per le segnalazioni orali, sono previste linee telefoniche, sistemi di messaggistica vocale e incontri diretti, con obbligo di tracciamento mediante registrazione (previo consenso) o verbale da sottoscrivere nel contraddittorio tra le parti.
Le LG 2025 precisano altresì che l’atto organizzativo (i.e. procedura di whistleblowing) deve disciplinare le attività di ricevimento e gestione delle segnalazioni.
Da ultimo, l’informativa alle organizzazioni sindacali, prevista obbligatoriamente dall’art. 4, co. 1, D. Lgs. 24/2023, deve essere trasmessa prima della delibera di approvazione dell’atto organizzativo. L’omesso coinvolgimento rende la procedura non conforme alla legge ed espone l’organo di indirizzo a sanzioni pecuniarie da 10.000 a 50.000 euro, irrogabili dall’ANAC ai sensi dell’art. 21 D. Lgs. 24/2023.[8]
3.2 Il gestore delle segnalazioni interne: requisiti e cumulo degli incarichi
Una parte centrale delle LG 2025 è dedicata al gestore del canale interno.
Il requisito fondamentale è l’autonomia, declinata in imparzialità (neutralità ed equidistanza rispetto alle parti coinvolte) e indipendenza (autonomia operativa e valutativa). Il gestore deve possedere una buona conoscenza in campo giuridico, etico e dell’integrità, nonché adeguata conoscenza dell’organizzazione dell’ente.[9]
Gli organi di indirizzo non possono esercitare poteri di supervisione sulla gestione delle segnalazioni, dovendosi limitare al monitoraggio generale sul corretto funzionamento del sistema whistleblowing.
Quanto al cumulo degli incarichi, le LG 2025 escludono che negli enti di grandi dimensioni o a struttura complessa il Responsabile della Protezione dei Dati (RPD/DPO) possa contemporaneamente fungere da gestore, in quanto l’affidamento di incarichi ulteriori potrebbe inficiarne l’efficacia; negli enti di ridotte dimensioni (meno di 50 dipendenti) il cumulo è ammesso con adeguata motivazione.
Le LG 2025 introducono altresì la figura del sostituto del gestore, da prevedere non solo per le ipotesi di conflitto di interessi, ma anche per assenza prolungata (superiore a sette giorni), con conseguente necessità per gli enti di nominare un sostituto o di prevedere un gestore collegiale.
3.3 La formazione e la disciplina per i gruppi societari
Le LG 2025 dedicano ampio spazio alla formazione, qualificandola come misura essenziale per creare una cultura di trasparenza e integrità.
Gli enti dovranno garantire: una formazione generale per tutto il personale sull’istituto del whistleblowing e una formazione specifica e periodicamente aggiornata per i soggetti addetti alla gestione delle segnalazioni; una corretta informazione sull’utilizzo del canale interno e di quello esterno gestito dall’ANAC, anche mediante il sito istituzionale ove presente.
Per quanto riguarda i gruppi societari – profilo oggetto di numerose richieste di chiarimento da parte delle imprese durante la fase delle consultazioni – le LG 2025 distinguono: per i gruppi con imprese fino a 249 dipendenti, sono ammesse sia la condivisione del canale (mediante piattaforma unica ramificata), sia l’affidamento della gestione a un soggetto esterno, anche coincidente con la capogruppo; per i gruppi con imprese oltre i 249 dipendenti, la condivisione non è consentita, ma è sempre possibile l’affidamento a terzi. In entrambi i casi, ogni società deve nominare un gestore autonomo per il follow up delle segnalazioni ricevute.[10]
4. Il canale di segnalazione interno come elemento del Modello 231
L’integrazione tra whistleblowing e Modello 231 è sancita esplicitamente dalle LG 2025, che nell’Approfondimento 1 indicano tre profili di adeguamento obbligatorio del Modello: previsione di un canale interno di segnalazione conforme al D. Lgs. 24/2023; esplicitazione del divieto di ritorsione; aggiornamento del sistema disciplinare. Le LG, dunque, affermano con chiarezza tale integrazione: «il Modello non ha efficacia esimente della responsabilità amministrativa ove non adeguato».[11]
Le stesse LG 2025 impongono che l’ente definisca, in un apposito atto organizzativo o nel Modello 231, i compiti e i poteri del soggetto destinatario delle segnalazioni, le modalità di ricezione e il processo di gestione.
In questa prospettiva, il canale di segnalazione previsto dal D. Lgs. 24/2023 non si sovrappone al flusso informativo verso l’OdV previsto dal Modello 231, ma lo alimenta in modo coordinato: il segnalante interno contribuisce a far emergere rischi o illeciti che l’OdV è chiamato a valutare nell’ambito delle proprie attività di vigilanza.
Va peraltro precisato, in linea con la dottrina, che l’assenza del sistema di segnalazione o una sua gestione scorretta non determinano un automatismo sanzionatorio ai sensi del D. Lgs. 231/2001: il giudizio di idoneità e adeguatezza del Modello resta una prerogativa del giudice penale, il quale valuterà se e in che misura l’omissione abbia concretamente influito sulla commissione del reato presupposto, potendo contribuire a sostanziare la «colpa d’organizzazione» dell’ente.
Questo collegamento funzionale impone agli enti di ripensare il Modello 231 non più come un documento statico di mappatura dei rischi, bensì come un sistema dinamico di presidio organizzativo, alimentato anche dai flussi informativi provenienti dal canale di segnalazione.
5. Organismo di Vigilanza e gestore delle segnalazioni
Le LG 2025 raccomandano l’adozione di un unico canale di segnalazione, verso il quale convogliare il flusso di reporting avente a oggetto le violazioni di legge e della normativa aziendale, evitando la moltiplicazione dei canali e la confusione tra i destinatari. L’Approfondimento 1 delle LG 2025 affronta esplicitamente il rapporto tra gestore e OdV, prevedendo che «se il gestore delle segnalazioni è individuato nell’OdV, questi riceve anche le segnalazioni sul Modello 231 e può esercitare i compiti di vigilanza che il D. Lgs. 231/2001 gli attribuisce. Ove, invece, il gestore sia individuato in un soggetto diverso dall’OdV, l’atto organizzativo/MOG 231 deve necessariamente disciplinare le procedure di raccordo e coordinamento tra l’OdV e il gestore».[12]
In tale ipotesi, l’atto organizzativo/Modello 231 prevederà flussi informativi periodici e a evento. Ciò al fine di consentire all’OdV di verificare la corretta gestione del sistema di segnalazione, nonché di conoscere i risultati delle istruttorie che evidenzino rischi e violazioni delle misure previste dal Modello.
In dottrina si è sottolineato, con argomenti condivisibili, che la gestione delle segnalazioni costituisce un’attività rientrante nel rischio d’impresa, difficilmente compatibile con l’indipendenza e la terzietà che l’OdV deve mantenere nei confronti della società. Ne consegue che l’OdV, pur non dovendo necessariamente essere il gestore responsabile del sistema, dovrà ricevere dal gestore i flussi informativi in merito alle attività svolte e alle segnalazioni di violazioni rilevanti ai sensi del D. Lgs. n. 231/2001, nonché dalla società, in relazione al funzionamento dei canali, all’aggiornamento della policy e alle misure rimediali adottate.
6. Le ricadute pratiche: adeguamento dei Modelli 231 esistenti
Le LG 2025 impongono agli enti che già dispongono di un Modello 231 una revisione strutturata del documento e del sistema di controllo interno.
In concreto, gli enti dovranno: (i) verificare che il canale di segnalazione interno soddisfi i requisiti tecnici e organizzativi delle LG 2025; (ii) verificare che il gestore sia formato in materia, nonché indicare il sostituto per le ipotesi di conflitto di interessi e di assenza prolungata; (iii) disciplinare i flussi informativi tra il gestore e l’OdV; (iv) aggiornare il sistema disciplinare per includere le violazioni della disciplina whistleblowing; (v) predisporre o aggiornare i piani di formazione periodica del personale; (vi) per gli enti appartenenti a gruppi, valutare le opzioni di condivisione del canale o di affidamento a terzi in conformità alle indicazioni delle stesse LG.[13]
Sotto il profilo sanzionatorio, come già menzionato, sono previste specifiche sanzioni amministrative pecuniarie a carico dell’organo di indirizzo e del segnalante, irrogabili dall’ANAC all’esito del procedimento disciplinato dalle Linee Guida ANAC, adottate con delibera n. 311 del 12 luglio 2023.[14]
L’organo di indirizzo dell’ente risponde della sanzione in solido con i suoi singoli componenti, fatta salva l’azione di regresso verso i soggetti responsabili della violazione.[15]
7. Conclusioni: verso un sistema integrato di compliance
Quanto precede consente di trarre alcune conclusioni di carattere sistematico e pratico.
Sul piano sistematico, il whistleblowing e il Modello 231 non sono istituti paralleli destinati a operare in modo autonomo, bensì elementi di un unico sistema integrato di compliance aziendale. Il canale di segnalazione costituisce un meccanismo di early warning che, alimentando i flussi informativi verso l’OdV, rafforza la capacità dell’ente di rilevare tempestivamente rischi e illeciti e di adottare le misure correttive necessarie a mantenere il Modello adeguato ed efficacemente attuato.
Sul piano pratico, l’integrazione tra i due istituti impone agli enti di superare una visione meramente formale della compliance e di abbracciare un approccio strategico, in cui la gestione delle segnalazioni diventa una leva per il miglioramento continuo del sistema di controllo interno. La disciplina del whistleblowing – nella sua dimensione proattiva e non reattiva – trasforma, pertanto, la segnalazione in uno strumento di prevenzione e di tutela dell’interesse comune, contribuendo al rafforzamento del sistema di controllo interno.
In conclusione, le LG ANAC offrono un orientamento tecnico di particolare rilevanza, delineando un modello di governance delle segnalazioni che, se correttamente recepito nel Modello 231, può contribuire significativamente a elevare il livello di prevenzione dei rischi.
[1] D. Lgs. 10 marzo 2023, n. 24, «Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione», in GU n. 63 del 15 marzo 2023.
[2] L. 179/2017, recante «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato».
[3] “Linee Guida in materia di whistleblowing sui canali interni di segnalazione” (LG 2025), adottate con delibera ANAC, n. 478 del 26 novembre 2025 e pubblicate sul sito istituzionale www.anticorruzione.it il 12 dicembre 2025.
[4] “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” adottate con delibera ANAC, n. 311 del 12 luglio 2023, come modificate e integrata con delibera n. 479 del 26 novembre 2025.
[5] D. Lgs. 8 giugno 2001, n. 231, «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica», in G.U. n. 140 del 19 giugno 2001.
[6] Cfr. ANAC, LG 2025, Premessa, p. 6. Il percorso istruttorio ha incluso consultazioni mirate con soggetti istituzionali, organizzazioni della società civile e del terzo settore e associazioni di rappresentanza delle imprese coinvolte nell’implementazione della normativa sul whistleblowing.
[7] Cfr. ANAC, LG 2025, § 2.2, «Modalità di effettuazione della segnalazione», pp. 10-13.
[8] Cfr. ANAC, LG 2025, § 2.1, «La disciplina del canale interno: il ruolo delle organizzazioni sindacali» pp. 8-10 e Approfondimento 1, «La procedura per l’istituzione del canale», pp. 35-36.
[9] Cfr. ANAC, LG 2025, § 3.1, «I requisiti del gestore», pp. 14-16.
[10] Cfr. ANAC, LG 2025, p. 43.
[11] ANAC, LG 2025, cit., Approfondimento 1, § «Disciplina whistleblowing e Modello organizzativo 231», p. 34.
[12] ANAC, LG 2025, cit., Approfondimento 1, § «Il ruolo dell’OdV», pp. 36-37.
[13] Per indicazioni operative sull’adeguamento dei Modelli 231, vds, anche Assonime, “Vademecum operativo al whistleblowing alla luce delle recenti Linee Guida ANAC”, pubblicato nel 2026, disponibile su www.assonime.it.
[14] ANAC, LG 2023, Parte Terza – I poteri sanzionatori di ANAC
[15] Cfr, ANAC, LG 2025, § 2.3, § «le ipotesi sanzionatorie relative al canale interno di segnalazione», pp. 13-14.

