Nuova Guida Confindustria Maggio 2026 sul Whistleblowing: cosa cambia per le imprese nella gestione del canale interno
Nel mese di maggio 2026 Confindustria ha pubblicato la nuova Guida operativa per gli enti privati sulla disciplina whistleblowing, un documento di particolare interesse per aziende, gruppi societari, Organismi di Vigilanza, consulenti privacy e professionisti che supportano le imprese nell’adozione dei canali interni di segnalazione.
Il documento non modifica la normativa di riferimento, che resta fondata sul D.Lgs. 24/2023, ma aggiorna il quadro interpretativo e operativo alla luce delle più recenti indicazioni ANAC, con particolare riferimento alle Linee Guida ANAC sul canale interno di segnalazione, adottate con delibera del 12 dicembre 2025.
La Guida ha un valore pratico importante perché non si limita a riepilogare gli obblighi normativi, ma entra nel merito delle scelte organizzative che le imprese devono compiere: scelta del canale, gestione delle segnalazioni, coinvolgimento delle rappresentanze sindacali, privacy, DPIA, formazione, informazione, rapporti con il Modello 231 e gestione dei gruppi societari.
Per le imprese, il messaggio è chiaro: il whistleblowing non può essere trattato come un semplice adempimento formale. Il canale interno deve essere inserito in un sistema organizzativo coerente, documentato, sicuro e capace di garantire riservatezza, tracciabilità e corretta gestione delle segnalazioni.
Il canale interno resta centrale
Uno dei punti più importanti confermati dalla Guida è la centralità del canale interno di segnalazione. Il D.Lgs. 24/2023 prevede diversi strumenti attraverso cui una persona può segnalare una violazione: canale interno, canale esterno ANAC, divulgazione pubblica e denuncia all’autorità giudiziaria o contabile.
Tuttavia, Confindustria ribadisce che il sistema normativo incentiva il ricorso prioritario al canale interno. La segnalazione esterna e la divulgazione pubblica restano possibili, ma solo al ricorrere di specifiche condizioni.
Questo aspetto è rilevante per le imprese perché un canale interno ben progettato riduce il rischio che le segnalazioni vengano indirizzate subito all’esterno, con potenziali ricadute reputazionali, organizzative e legali.
Un canale interno efficace deve quindi essere facilmente accessibile, conosciuto dai soggetti legittimati, gestito da persone autonome e formate, e soprattutto capace di garantire la riservatezza dell’identità del segnalante, della persona coinvolta e del contenuto della segnalazione.
Email e PEC: strumenti ancora critici
Uno degli aspetti più interessanti della nuova Guida riguarda l’utilizzo di email ordinaria e PEC come strumenti per ricevere segnalazioni whistleblowing.
Le precedenti indicazioni tendevano a escludere in modo netto l’adeguatezza della posta elettronica ordinaria e della PEC. La nuova impostazione, alla luce delle più recenti Linee Guida ANAC, è leggermente più articolata: l’utilizzo della posta elettronica viene considerato di per sé non adeguato a garantire la riservatezza dell’identità della persona segnalante, salvo che sia accompagnato da specifiche contromisure tecniche e organizzative, opportunamente giustificate anche nella valutazione di impatto privacy.
Il problema principale è legato ai log generati dai sistemi di posta elettronica. I sistemi email, infatti, possono registrare dati relativi all’invio, alla ricezione, agli indirizzi coinvolti, agli accessi e alle attività collegate al messaggio. Questo può determinare il rischio di risalire, anche indirettamente, all’identità del segnalante, soprattutto se la persona utilizza un indirizzo aziendale.
Per questo motivo, pur non essendo più presentata come una esclusione assoluta in ogni caso, Confindustria conferma l’opportunità di evitare strumenti come email e PEC quando non siano accompagnati da misure realmente idonee.
Dal punto di vista operativo, questo rafforza la necessità di utilizzare piattaforme dedicate, progettate secondo logiche di riservatezza, segregazione degli accessi, tracciabilità controllata e protezione dei dati.
Canale scritto e canale orale: l’impresa deve prevederli entrambi
Un altro chiarimento importante riguarda le modalità di segnalazione.
La Guida ricorda che la scelta tra segnalazione scritta e segnalazione orale spetta al segnalante. L’impresa, invece, deve mettere a disposizione entrambe le possibilità: un canale scritto e un canale orale.
Per il canale scritto, l’impresa può scegliere tra modalità informatica, come una piattaforma online, oppure modalità analogica, ad esempio posta cartacea con specifiche cautele. Per il canale orale, invece, possono essere previsti una linea telefonica dedicata, un sistema di messaggistica vocale o, su richiesta del segnalante, un incontro diretto con il gestore della segnalazione.
Questo passaggio è molto importante perché molte imprese continuano a ritenere sufficiente un solo strumento di raccolta, ad esempio un indirizzo email o un modulo online. In realtà, la disciplina richiede una struttura più completa.
La presenza di un canale orale è particolarmente delicata perché impone regole precise sulla registrazione, sul consenso del segnalante, sulla conservazione del file audio oppure, in alternativa, sulla redazione di un verbale o resoconto da sottoporre al segnalante per verifica e sottoscrizione.
Informativa alle rappresentanze sindacali: obbligo informativo, non accordo
La Guida dedica attenzione anche al coinvolgimento delle rappresentanze sindacali.
L’art. 4 del D.Lgs. 24/2023 prevede che, prima dell’attivazione del canale interno, l’impresa debba sentire le rappresentanze o le organizzazioni sindacali di cui all’art. 51 del D.Lgs. 81/2015.
La nuova Guida conferma un punto importante: questo coinvolgimento ha natura meramente informativa. Non serve un accordo sindacale, né il parere espresso dalle rappresentanze ha valore vincolante. La disciplina del canale interno resta nella piena autonomia organizzativa dell’ente.
Tuttavia, il passaggio non deve essere sottovalutato. L’informativa deve intervenire prima dell’approvazione dell’atto organizzativo che disciplina il canale interno. Inoltre, in caso di modifiche sostanziali o aggiornamenti rilevanti della procedura, il coinvolgimento delle rappresentanze sindacali deve essere nuovamente valutato.
L’assenza di questo passaggio può incidere sulla conformità della procedura e può esporre l’ente a contestazioni.
Per le aziende è quindi opportuno conservare evidenza documentale dell’informativa inviata, dei contenuti trasmessi, della data di ricezione e dell’eventuale termine concesso per osservazioni.
Atto organizzativo e procedura interna: il cuore della conformità
Uno dei messaggi più chiari della Guida è che l’adozione del canale non basta. L’impresa deve definire un vero e proprio atto organizzativo, normalmente approvato dall’organo amministrativo, nel quale siano disciplinate le modalità di ricezione e gestione delle segnalazioni.
Questo documento dovrebbe indicare, tra gli altri aspetti:
- i soggetti legittimati a segnalare;
- le violazioni che possono essere oggetto di segnalazione;
- i soggetti tutelati dalla disciplina;
- il gestore del canale e i suoi poteri;
- le modalità di presentazione della segnalazione;
- le fasi di gestione, istruttoria e riscontro;
- la procedura in caso di conflitto di interessi;
- la gestione delle segnalazioni anonime;
- i tempi di conservazione dei dati;
- gli adempimenti privacy;
- i presupposti per la segnalazione esterna;
- le modalità di informazione e formazione;
- l’avvenuto coinvolgimento delle rappresentanze sindacali.
Questo aspetto evidenzia come il whistleblowing debba essere trattato come un processo aziendale strutturato, non come una semplice pagina web o un indirizzo di posta.
Il ruolo del gestore della segnalazione
La Guida conferma che la gestione del canale può essere affidata a una persona fisica interna, a un ufficio interno o a un soggetto esterno.
In ogni caso, il gestore deve essere autonomo, indipendente, imparziale e adeguatamente formato.
Il documento richiama anche un punto molto rilevante: l’organo di indirizzo dell’ente non deve avere poteri di supervisione o decisori sull’attività di gestione delle singole segnalazioni. Può essere coinvolto a valle dell’istruttoria, per i profili di competenza, e può svolgere un’attività generale di monitoraggio sul corretto funzionamento della procedura.
Questo principio è fondamentale per evitare interferenze nella gestione delle segnalazioni e per garantire la fiducia dei segnalanti nel sistema.
Gruppi societari e canale condiviso: una novità operativa importante
Uno degli aspetti più rilevanti della Guida riguarda la gestione delle segnalazioni nei gruppi societari.
Per gli enti fino a 249 dipendenti è già prevista la possibilità di condividere il canale interno e la relativa gestione. La Guida, però, recepisce anche un’apertura importante per i gruppi con società sopra i 249 dipendenti.
Le nuove indicazioni consentono infatti l’esternalizzazione della gestione alla capogruppo o a una società del gruppo, qualificata come soggetto esterno rispetto alle controllate. Questo modello deve essere regolato da contratti di servizio che disciplinino compiti, poteri, responsabilità e aspetti privacy.
È possibile, quindi, utilizzare una piattaforma unica, eventualmente con canali dedicati e segregati per ciascuna società, purché ogni ente conservi adeguata autonomia e siano garantite la riservatezza, la separazione delle segnalazioni e il corretto trattamento dei dati.
Per i gruppi di imprese si tratta di un passaggio molto importante, perché consente di organizzare sistemi centralizzati ma conformi, evitando duplicazioni inutili e mantenendo comunque la separazione delle responsabilità.
Privacy, DPIA e registro dei trattamenti
La Guida dedica ampio spazio al trattamento dei dati personali.
La ricezione e la gestione delle segnalazioni comportano il trattamento di dati personali comuni, dati particolari e, in alcuni casi, dati relativi a condanne penali e reati. Possono essere coinvolti il segnalante, la persona segnalata, i facilitatori, i testimoni e altri soggetti menzionati nella segnalazione.
Per questo motivo, il trattamento deve essere impostato nel rispetto del GDPR, del Codice Privacy e delle specifiche disposizioni del D.Lgs. 24/2023.
La Guida conferma la necessità di effettuare una valutazione d’impatto sulla protezione dei dati, la cosiddetta DPIA, in ragione della particolare delicatezza delle informazioni trattate e dei rischi per i diritti e le libertà degli interessati.
Inoltre, il trattamento relativo alla gestione delle segnalazioni deve essere censito nel registro delle attività di trattamento ai sensi dell’art. 30 GDPR.
Questo significa che ogni impresa dovrebbe verificare non solo di avere un canale attivo, ma anche di aver aggiornato correttamente la propria documentazione privacy: informativa, registro trattamenti, DPIA, nomine, autorizzazioni, istruzioni interne e accordi con eventuali fornitori esterni.
Fornitori esterni e responsabilità del trattamento
Quando l’impresa affida a un soggetto esterno la gestione tecnica o organizzativa del canale, ad esempio mediante una piattaforma SaaS, il fornitore deve essere inquadrato come responsabile del trattamento ai sensi dell’art. 28 GDPR.
Il rapporto deve essere regolato da un contratto o altro atto giuridico scritto, nel quale siano definite la natura del trattamento, le finalità, la durata, le categorie di dati, le categorie di interessati, gli obblighi del responsabile e le istruzioni del titolare.
Questo conferma l’importanza del Data Processing Agreement, ma anche della documentazione tecnica e organizzativa che il fornitore deve mettere a disposizione del cliente per dimostrare l’adeguatezza delle misure adottate.
In altre parole, la conformità del canale whistleblowing non dipende solo dall’impresa che lo adotta, ma anche dalla solidità del fornitore tecnologico scelto.
Formazione e informazione: obblighi sempre più centrali
La Guida sottolinea anche il ruolo della formazione.
La formazione del personale incaricato della gestione del canale è espressamente prevista dalla normativa. Il gestore deve conoscere la disciplina whistleblowing, le procedure interne, i profili privacy, gli obblighi di riservatezza e le corrette modalità di interlocuzione con il segnalante.
Ma la Guida va oltre e richiama l’opportunità di formare anche il personale interno in modo più ampio, per creare consapevolezza sulle finalità della disciplina, sulle tutele previste, sui comportamenti vietati e sulle modalità corrette di utilizzo del canale.
Accanto alla formazione, vi è poi l’obbligo informativo. Le informazioni sul canale interno e su quello esterno devono essere chiare, accessibili e diffuse. Possono essere pubblicate sul sito web, esposte nei luoghi di lavoro, rese disponibili nella piattaforma informatica e trasmesse a personale, fornitori, consulenti, collaboratori e partner commerciali.
Questo conferma che la piattaforma tecnologica deve essere accompagnata da una corretta comunicazione aziendale.
Modello 231 e whistleblowing
Per gli enti dotati di Modello Organizzativo 231, la Guida conferma la necessità di aggiornare il modello alla nuova disciplina whistleblowing.
Il Modello 231 deve prevedere canali di segnalazione interna conformi al D.Lgs. 24/2023, il divieto di ritorsione e un sistema disciplinare idoneo a sanzionare le violazioni.
Particolare attenzione deve essere dedicata anche al rapporto tra gestore delle segnalazioni e Organismo di Vigilanza. L’OdV può essere individuato come gestore del canale, se ricorrono i requisiti necessari, oppure può essere coinvolto attraverso flussi informativi regolamentati, nel rispetto degli obblighi di riservatezza.
In ogni caso, il coordinamento tra procedura whistleblowing e Modello 231 deve essere chiaro e documentato.
Perché questa Guida è importante per le imprese
La nuova Guida Confindustria conferma un’evoluzione ormai evidente: il whistleblowing non è più un adempimento isolato, ma un presidio organizzativo integrato nel sistema di compliance aziendale.
Le imprese devono prestare attenzione a diversi livelli:
- scelta del canale;
- sicurezza tecnica;
- riservatezza;
- procedura organizzativa;
- informativa sindacale;
- privacy e DPIA;
- formazione;
- gestione delle segnalazioni;
- tracciabilità delle attività;
- rapporti con il Modello 231;
- rapporti con eventuali fornitori esterni.
Una soluzione improvvisata, basata su email, PEC o moduli non strutturati, rischia di non essere sufficiente, soprattutto se non accompagnata da un adeguato impianto documentale e organizzativo.
Conclusioni
La Guida Confindustria di maggio 2026 rappresenta un documento utile per tutte le imprese private chiamate ad adottare o aggiornare il proprio canale whistleblowing.
Il documento conferma la necessità di un approccio concreto, organizzato e documentabile. Non basta attivare un canale: occorre dimostrare che il sistema sia conforme, sicuro, riservato, conosciuto dai soggetti interessati e gestito da figure competenti.
Per le aziende, questo significa verificare periodicamente la propria procedura, aggiornare la documentazione privacy, formare il personale, informare correttamente lavoratori e collaboratori, e scegliere strumenti tecnologici realmente adeguati.
La direzione è chiara: il canale whistleblowing deve diventare un presidio stabile di governance, trasparenza e tutela, capace di proteggere il segnalante ma anche di aiutare l’impresa a intercettare tempestivamente criticità, violazioni e rischi organizzativi.
In questo scenario, l’adozione di una piattaforma dedicata, accompagnata da procedure, documentazione e formazione, rappresenta una scelta sempre più coerente con le aspettative normative e con le migliori pratiche operative indicate da Confindustria e ANAC.



Commento all'articolo