Whistleblowing

Come scegliere un software whistleblowing: criteri tecnici, organizzativi e normativi

  • Redazione
  • Maggio 2026
  • 12 min lettura
Share

Scegliere un software whistleblowing è diventata una decisione complessa. Fino a qualche anno fa bastava valutare se lo strumento permettesse di ricevere segnalazioni in forma riservata. Oggi non basta più: la Delibera ANAC 478/2025 ha introdotto requisiti tecnici precisi, il Garante Privacy ha sanzionato aziende che usavano strumenti inadeguati, e il mercato si è riempito di prodotti che dichiarano la conformità senza sempre garantirla.

Questa guida è pensata per chi deve fare la scelta: compliance officer, OdV, legal counsel, responsabile acquisti con delega sulla compliance. Non è un confronto tra prodotti specifici, è un metodo per valutarli con criteri oggettivi, indipendentemente dal fornitore. I criteri sono dieci, organizzati in tre aree: requisiti normativi non negoziabili, funzionalità operative, integrazione con i sistemi aziendali.

1. Perché la scelta del software è oggi una decisione normativa, non solo tecnica

Fino al 2023 molte aziende gestivano le segnalazioni con strumenti improvvisati: una casella e-mail dedicata, un form sul sito, in qualche caso una PEC. Il D.Lgs. 24/2023 ha reso queste soluzioni inadeguate per legge. La Delibera ANAC 478/2025 ha poi aggiunto requisiti tecnici specifici che di fatto escludono qualsiasi soluzione non progettata appositamente per il whistleblowing.

La conseguenza è che la scelta del software non è più una questione di preferenza operativa: è una scelta con implicazioni normative dirette. Selezionare uno strumento non conforme espone l’organizzazione a sanzioni ANAC fino a 50.000 euro e, in parallelo, a procedimenti del Garante Privacy per violazione del GDPR. I due procedimenti sono indipendenti e possono cumularsi, come ha dimostrato la vicenda del 2024 in cui il Garante ha sanzionato un’azienda per aver gestito le segnalazioni con strumenti tecnici inadeguati.

Il punto di partenza per qualsiasi valutazione è quindi verificare la conformità normativa dello strumento, non le sue caratteristiche commerciali.

2. I requisiti tecnici minimi fissati dalla Delibera ANAC 478/2025

La Delibera 478/2025 non si limita a indicare principi generali: fissa requisiti tecnici che il software deve implementare. Sono requisiti minimi, non opzionali. Uno strumento che non li rispetta tutti non è conforme, indipendentemente da quanto dichiari il fornitore.

Cifratura end-to-end dei dati trasmessi. Tutti i dati scambiati tra il segnalante e la piattaforma, e tra la piattaforma e il gestore, devono essere cifrati. Non è sufficiente il solo HTTPS sul canale di trasmissione se i dati sono accessibili in chiaro sul server del fornitore.

Protezione dell’accesso dalla rete aziendale. La piattaforma deve essere strutturata in modo che i reparti IT aziendali non possano accedere alle segnalazioni. Questo esclude qualsiasi soluzione installata su server interni gestiti dall’IT aziendale senza segregazione tecnica certificata.

Possibilità di segnalazione anonima. Il sistema deve consentire al segnalante di inviare una segnalazione senza rivelare la propria identità, mantenendo al tempo stesso un canale di dialogo riservato con il gestore per eventuali richieste di chiarimento.

Audit trail completo e immutabile. Ogni operazione compiuta sulla segnalazione, ricezione, lettura, aggiornamento di stato, interlocuzione con il segnalante, decisione finale, deve essere registrata in un log che non può essere modificato né cancellato. Questo audit trail è il documento principale in caso di ispezione ANAC.

Rispetto dei termini di legge. La piattaforma deve consentire di gestire le scadenze previste dalla normativa: avviso di ricevimento entro 7 giorni, riscontro entro 3 mesi. Uno strumento che non integra questa gestione delle scadenze sposta il carico organizzativo interamente sul gestore, aumentando il rischio di inadempimento.

Prima di valutare qualsiasi altra funzionalità, verificare che questi cinque requisiti siano presenti e documentati dal fornitore. Chiedere evidenza tecnica, non solo dichiarazioni commerciali.

3. Canale orale: il requisito che molti dimenticano

Il D.Lgs. 24/2023 e le Linee Guida ANAC n. 1/2025 prevedono che le organizzazioni soggette all’obbligo debbano mettere a disposizione almeno una modalità di segnalazione orale, in alternativa alla forma scritta. Le Linee Guida indicano tre soluzioni ammesse: linea telefonica dedicata, sistema di messaggistica vocale, incontro diretto su richiesta del segnalante.
Nella valutazione del software, questo requisito si traduce in una domanda concreta: come gestisce la piattaforma le segnalazioni orali? Le risposte possibili sono diverse, e non tutte equivalenti.

Alcune piattaforme integrano un sistema di registrazione vocale che anonimizza la voce del segnalante. Altre si limitano a gestire la fase successiva alla segnalazione orale, che viene raccolta esternamente e inserita manualmente nella piattaforma dal gestore. Questa seconda soluzione è ammessa normativamente, ma introduce un passaggio manuale che richiede una procedura interna molto precisa per evitare violazioni della riservatezza.

Verificare come il software gestisce il canale orale, e se la soluzione proposta dal fornitore è tecnicamente adeguata a garantire l’anonimato del segnalante.

4. Gestione del gestore: autonomia, tracciabilità, conflitti di interesse

Le Linee Guida ANAC n. 1/2025 hanno chiarito che il gestore delle segnalazioni opera in piena autonomia rispetto all’organo di indirizzo aziendale. L’organo di indirizzo non può supervisionare le singole istruttorie né condizionare gli esiti. Il software deve riflettere questo principio nella sua architettura di accesso.

Separazione dei ruoli. La piattaforma deve consentire di configurare ruoli distinti con livelli di accesso differenziati: il gestore vede le segnalazioni assegnate, l’organo di indirizzo può vedere i report aggregati ma non le singole segnalazioni, l’amministratore tecnico non accede ai contenuti. Questa separazione non è un optional: è una condizione per garantire l’autonomia del gestore prevista dalla normativa.

Gestione dei conflitti di interesse. Può accadere che una segnalazione riguardi proprio il gestore designato, o qualcuno del suo ufficio. La piattaforma deve consentire di riassegnare la segnalazione a un gestore alternativo senza perdere la tracciabilità del percorso. Verificare che questa funzione sia disponibile e documentata.

Gestore esterno. Molte organizzazioni scelgono di affidare la gestione delle segnalazioni a un soggetto esterno: un professionista, uno studio legale, un servizio specializzato. La piattaforma deve supportare questa configurazione senza compromettere la riservatezza: il gestore esterno deve poter operare sulla piattaforma senza accedere alla rete aziendale, e le sue attività devono essere tracciate come quelle di qualsiasi altro gestore.

5. Conformità privacy e DPIA: cosa deve garantire il fornitore

Il software whistleblowing tratta dati personali sensibili, inclusi potenzialmente dati giudiziari. Questo impone obblighi specifici al titolare del trattamento, cioè all’azienda che adotta la piattaforma, e al fornitore, che agisce come responsabile del trattamento ai sensi dell’art. 28 GDPR.

Il contratto di nomina a responsabile del trattamento. Prima di attivare qualsiasi piattaforma, l’azienda deve stipulare con il fornitore un contratto che rispetti i requisiti dell’art. 28 GDPR: finalità del trattamento, misure di sicurezza adottate, sub-responsabili eventualmente coinvolti, obblighi in caso di data breach, modalità di restituzione o cancellazione dei dati alla fine del contratto.

La DPIA. Il trattamento di dati whistleblowing presenta caratteristiche che nella grande maggioranza dei casi portano i professionisti a ritenere necessaria una valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR, anche se la necessità deriva formalmente da una valutazione del rischio specifica per ciascuna organizzazione, non da un automatismo normativo universale. In ogni caso, il fornitore dovrebbe essere in grado di supportare questa analisi fornendo la documentazione tecnica necessaria: architettura della piattaforma, misure di sicurezza implementate, flussi di dati, sub-responsabili. Un fornitore che non ha documentazione pronta per questo tipo di valutazione non ha la maturità necessaria per questo servizio.

Localizzazione dei dati. Verificare dove sono fisicamente conservati i dati: se i server sono fuori dall’Unione Europea, il trasferimento internazionale di dati personali richiede garanzie aggiuntive. I trasferimenti verso gli Stati Uniti, dopo le vicende degli anni scorsi, richiedono verifiche specifiche basate sul Data Privacy Framework vigente.

6. Gestione dei gruppi societari

Per le organizzazioni che fanno parte di un gruppo, la scelta del software deve tenere conto delle regole specifiche introdotte dalla Delibera 478/2025 sulla condivisione del canale.

La regola fondamentale è basata sulla soglia dimensionale. Per i gruppi con società che non superano i 249 dipendenti, è ammessa la condivisione del canale interno, a condizione che la piattaforma garantisca la segregazione per società: il segnalante deve poter indicare a quale società si riferisce la segnalazione, e i gestori di una società non devono poter vedere le segnalazioni delle altre. Per i gruppi con almeno una società oltre i 249 dipendenti, la condivisione del canale interno non è ammessa: è consentita solo l’esternalizzazione a un soggetto terzo qualificato.

Cosa verificare nella piattaforma. La segregazione per società è una funzione tecnica specifica: non tutti i software la implementano correttamente. Chiedere al fornitore una dimostrazione pratica di come funziona la segregazione, verificare che i gestori di una società non abbiano nemmeno visibilità sulle segnalazioni delle altre, e controllare come vengono gestiti i flussi informativi tra capogruppo e controllate quando è necessario il coinvolgimento di più entità nella stessa istruttoria.

Il ruolo della capogruppo. Se la capogruppo gestisce il canale per le controllate, agisce come responsabile del trattamento ai sensi dell’art. 28 GDPR. Questo richiede un contratto specifico tra capogruppo e ciascuna controllata, e la piattaforma deve supportare questa configurazione senza ambiguità sui ruoli.

7. Integrazione con il Modello 231

Per le organizzazioni che hanno adottato un Modello 231, l’integrazione tra il canale whistleblowing e il Modello 231 non è facoltativa: l’ANAC raccomanda esplicitamente un unico canale per le segnalazioni relative sia al D.Lgs. 24/2023 sia agli illeciti 231.

Questo ha conseguenze operative rilevanti sulla scelta del software. La piattaforma deve supportare la distinzione tra tipologie di segnalazione, con categorie configurabili che permettano di classificare la segnalazione come rilevante per il D.Lgs. 24/2023, per il Modello 231, o per entrambi. I flussi informativi verso l’OdV devono essere separati rispetto alla gestione ordinaria delle segnalazioni: il canale per le segnalazioni e il canale per i flussi informativi periodici all’OdV restano distinti anche quando usano la stessa piattaforma.

Verificare inoltre come la piattaforma gestisce i casi in cui il gestore delle segnalazioni e l’OdV sono soggetti diversi, che è la configurazione più frequente: la segnalazione arriva al gestore, che la valuta e trasmette all’OdV le informazioni pertinenti. Questo flusso deve essere tracciato e documentato dalla piattaforma.

8. Reportistica e audit trail

La reportistica non è una funzione accessoria: è lo strumento con cui il gestore dimostra il funzionamento del sistema sia all’organo di indirizzo sia, in caso di ispezione, ad ANAC.

Report aggregati per l’organo di indirizzo. La piattaforma deve produrre report periodici che sintetizzano il funzionamento del sistema senza esporre i contenuti delle singole segnalazioni: numero di segnalazioni ricevute, distribuzione per categoria, stato delle istruttorie, tempi medi di gestione, esiti. Questi report devono essere esportabili in formato leggibile e archiviabili.

Audit trail per le ispezioni ANAC. Ogni operazione sulla piattaforma deve essere registrata in modo immutabile: chi ha acceduto alla segnalazione, quando, con quale ruolo, quali azioni ha compiuto. L’audit trail deve essere esportabile e verificabile indipendentemente dal fornitore.

Scadenzario integrato. La piattaforma deve gestire attivamente le scadenze normative, avvisando il gestore quando si avvicinano i termini per l’avviso di ricevimento (7 giorni) e per il riscontro finale (3 mesi). Un sistema che non integra questa funzione scarica sul gestore un carico organizzativo che aumenta il rischio di inadempimento.

9. Formazione e supporto all'adozione

Un software conforme ma inutilizzato, o utilizzato male, non raggiunge lo scopo. La formazione del gestore e del personale è un requisito della Delibera ANAC 478/2025, non solo una buona pratica.

Formazione del gestore. Il gestore deve essere formato su aspetti giuridici, etici e tecnici della gestione delle segnalazioni. Verificare se il fornitore offre materiali formativi specifici per il gestore, non solo per l’utilizzo tecnico della piattaforma ma anche per la conduzione delle istruttorie.

Informativa ai dipendenti. Tutti i dipendenti devono essere informati dell’esistenza del canale e delle sue modalità di utilizzo. Verificare se la piattaforma include strumenti per la distribuzione dell’informativa e per la registrazione della sua avvenuta comunicazione.

Supporto all’adozione nei gruppi. Per le organizzazioni multi-entità, il processo di adozione è più complesso: ogni società del gruppo deve essere configurata, i gestori di ciascuna società devono essere formati, le informative devono essere adattate per ciascuna entità. Verificare se il fornitore ha esperienza nella gestione di implementazioni multi-entità e cosa è incluso nel contratto a questo riguardo.

10. Il contratto con il fornitore: cosa verificare prima di firmare

Il contratto con il fornitore di software whistleblowing è un documento che ha implicazioni normative dirette.

Nomina a responsabile del trattamento. Deve essere presente il contratto ex art. 28 GDPR, con le specifiche tecniche e organizzative del trattamento, l’elenco dei sub-responsabili, gli obblighi in caso di data breach e le modalità di restituzione o cancellazione dei dati.

SLA di disponibilità. Il canale whistleblowing deve essere disponibile continuativamente. Verificare i livelli di servizio garantiti e le penali in caso di interruzione: un’interruzione del canale durante la quale i segnalanti non riescono a inviare segnalazioni può costituire una non conformità.

Aggiornamenti normativi. La normativa sul whistleblowing è in evoluzione. Verificare se il fornitore si impegna contrattualmente ad aggiornare la piattaforma in caso di modifiche normative.

Domande frequenti

Tecnicamente sì, se implementa tutti i requisiti normativi. In pratica, la conformità richiede non solo il software ma anche infrastruttura certificata, assistenza per la DPIA, contratto ex art. 28 GDPR e supporto formativo. Le soluzioni open source autogestite raramente includono tutti questi elementi, e la responsabilità della conformità ricade interamente sull’organizzazione che le adotta.

Solo se il modulo è stato progettato specificamente per il whistleblowing e soddisfa i requisiti tecnici della Delibera 478/2025: cifratura, anonimato, non accessibilità dall’IT aziendale, audit trail immutabile. La maggior parte dei moduli generici presenti negli ERP non soddisfa questi requisiti. Chiedere al fornitore dell’ERP una dichiarazione esplicita di conformità al D.Lgs. 24/2023 e alla Delibera 478/2025.

Non c’è un minimo normativo, ma è opportuno considerare che le istruttorie possono durare mesi e la documentazione va conservata fino a cinque anni dall’esito. Un contratto annuale rinnovabile è la struttura più comune.

Oltre alle caratteristiche tecniche del prodotto, verificare da quanto tempo opera nel mercato whistleblowing, se ha clienti di dimensioni simili alla propria organizzazione, se è in grado di fornire referenze, e se ha una struttura organizzativa che garantisce continuità del servizio nel tempo. Un prodotto conforme gestito da un fornitore instabile è un rischio operativo.

Non esiste una certificazione obbligatoria specifica per i software whistleblowing in Italia. Esistono certificazioni di sicurezza informatica (ISO 27001, SOC 2) che attestano la maturità del fornitore nella gestione della sicurezza, ma non sostituiscono la verifica diretta della conformità normativa. La responsabilità della verifica è dell’organizzazione che adotta il software.

Stai valutando un software whistleblowing?

Leggi il confronto tra open source autogestito e software commerciale: cosa funziona e quali criticità emergono con la normativa italiana.

Scarica la guida
Share

In questo articolo

Software

Whistleblowing conforme al D.Lgs. 24/2023

Attivo in 24h, già scelto da +2000 aziende

Richiedi demo
Articoli correlati

My Governance - Zucchetti

Software Legal Tech per la compliance aziendale.
Linkedin Youtube

Newsletter compliance

Aggiornamenti normativi

ANAC, Garante Privacy, novità per compliance officer.
Iscriviti alla newsletter

Software

Risorse

Azienda

Supporto

Certificazioni

  • © 2026 MyGo S.r.l.
  • P.IVA 14356531005