Whistleblowing

Whistleblowing nei gruppi societari: obblighi della capogruppo e configurazione del canale

  • Redazione
  • Giugno 2022
  • Aggiornato maggio 2026
  • 7 min lettura
Share

I gruppi societari italiani si trovano davanti a una domanda concreta: ogni società del gruppo deve avere il proprio canale di segnalazione whistleblowing, oppure è sufficiente un canale centralizzato gestito dalla capogruppo?

La risposta non è semplice, e per anni è rimasta ambigua. Con le Linee Guida ANAC n. 1/2025 (Delibera 478 del 26 novembre 2025) e il Vademecum operativo pubblicato da Assonime nell’aprile 2026, il quadro si è finalmente chiarito. Questa guida riassume le regole aggiornate e spiega cosa deve fare concretamente ogni gruppo societario.

Il punto di partenza: cosa diceva la Commissione Europea nel 2021

Il dubbio interpretativo sui gruppi societari nasce dall‘art. 8, par. 6 della Direttiva UE 2019/1937, che consente alle aziende con 50-249 dipendenti di condividere le risorse per il ricevimento delle segnalazioni. Già nel 2021 la Commissione Europea, sollecitata da alcune associazioni datoriali, aveva chiarito che questa possibilità non si estende automaticamente ai gruppi societari: ogni società controllata, in linea di principio, avrebbe dovuto istituire il proprio canale.

Quella posizione lasciava molti nodi irrisolti per i gruppi strutturati. Le Linee Guida ANAC del 2025 hanno fatto chiarezza, introducendo una distinzione netta basata sulle dimensioni.

La regola chiave: la soglia dei 249 dipendenti

Le Linee Guida ANAC precisano che, per i soggetti del settore privato con una media di lavoratori subordinati non superiore a 249, è possibile condividere il canale di segnalazione interna. Per i gruppi di dimensioni superiori, oltre 249 dipendenti, la condivisione del canale non è ammessa, potendosi ricorrere esclusivamente all’esternalizzazione della gestione a soggetti terzi qualificati.

In pratica, la regola funziona così:

  • Gruppi con società fino a 249 dipendenti ciascuna — è ammessa la condivisione del canale interno a livello di gruppo, con condizioni precise;
  • Gruppi con almeno una società oltre 249 dipendenti — la condivisione del canale interno non è ammessa. L’unica alternativa è l’esternalizzazione a un soggetto terzo qualificato.

Questa distinzione è fondamentale e supera definitivamente l’impostazione rigida del 2021.

Canale condiviso: cosa è ammesso e a quali condizioni

Per i gruppi con società sotto la soglia dei 249 dipendenti, se il gruppo opta per la condivisione del canale interno, ciascuna società deve dare conto di tale scelta nella procedura o nel Modello 231. Sul piano privacy, la capogruppo che gestisce il canale agisce come responsabile del trattamento ai sensi dell’art. 28 GDPR, non come contitolare, e deve essere nominata formalmente con un apposito contratto.

Le condizioni tecniche e organizzative da rispettare sono quattro:

  • Segregazione per società — se si tratta di un’unica piattaforma condivisa, deve essere garantita una segregazione in relazione alla società per cui effettuare la segnalazione. In concreto: il segnalante deve poter indicare a quale società del gruppo si riferisce la segnalazione, e i gestori di una società non devono poter vedere le segnalazioni delle altre;
  • Informativa al segnalante — la condivisione consente, in fase di gestione della segnalazione e previa informativa al segnalante, il coinvolgimento delle altre società del gruppo oppure della stessa capogruppo;
  • Gestori distinti per società — nei gruppi con fino a 249 dipendenti è possibile adottare una piattaforma unica per le segnalazioni, pur mantenendo distinti i gestori per ciascuna società. Un unico software non significa un unico gestore: ogni società deve nominare il proprio responsabile della gestione delle segnalazioni;
  • Flussi informativi disciplinati — è necessario che i flussi informativi infra-gruppo siano chiaramente disciplinati, individuando in modo puntuale i soggetti autorizzati al trattamento delle segnalazioni, le responsabilità operative e le modalità di comunicazione tra capogruppo e società controllate.

Stai configurando il canale per un gruppo? Scarica la guida operativa.

Canale esternalizzato: quando si usa e come funziona

L’esternalizzazione del canale è sempre consentita, indipendentemente dalle dimensioni del gruppo. La gestione può essere affidata a un soggetto terzo, che può essere anche la capogruppo, una controllata o un soggetto esterno al gruppo. È necessario stipulare un apposito contratto di affidamento, da richiamare nell’atto organizzativo o nel modello 231, con indicazione di compiti, poteri e responsabilità del gestore esterno. Resta ferma la responsabilità della singola società per la corretta istituzione e conformità del canale.

Un punto critico da non sottovalutare: l’esternalizzazione non esonera la singola società dagli obblighi normativi. Se il soggetto incaricato si rivela inadeguato, la responsabilità ricade sull’ente che lo ha nominato.

Il ruolo della capogruppo: responsabile del trattamento, non contitolare

Questo è uno dei chiarimenti più importanti delle Linee Guida 2025, che ha corretto un’ambiguità presente nelle bozze precedenti. Quando la capogruppo gestisce per le società controllate il canale di segnalazione, il suo ruolo è quello di responsabile del trattamento, non di contitolare.

La distinzione ha conseguenze pratiche rilevanti:

  • La capogruppo che gestisce il canale deve essere formalmente nominata come responsabile del trattamento ai sensi dell’art. 28 GDPR con un apposito contratto;
  • Le singole società controllate rimangono titolari del trattamento dei propri dati;
  • È necessario formalizzare la nomina a responsabile della capogruppo quando gestisce il canale e mantenere evidenza delle autorizzazioni interne.

Gruppi con Modello 231: le implicazioni specifiche

Per i gruppi che hanno adottato il Modello Organizzativo ex D.Lgs. 231/2001, le implicazioni sono più ampie. L’ANAC raccomanda un unico canale per le segnalazioni relative sia al Modello 231 sia al D.Lgs. 24/2023. Questa raccomandazione, però, richiede una precisazione operativa importante.

L’unicità del canale si suggerisce per le segnalazioni di violazioni del Modello 231 e del D.Lgs. 24/2023, ma resta distinto il canale per la trasmissione dei flussi informativi all’OdV. È obbligatoria la definizione formale dei flussi informativi, sia periodici sia “a evento”.

In pratica nei gruppi con Modello 231:

  • Il canale di segnalazione per whistleblowing e illeciti 231 può essere unificato in un’unica piattaforma;
  • I flussi informativi verso l’OdV restano separati e devono essere disciplinati formalmente;
  • Se la gestione è affidata all’organismo di vigilanza, questo riceverà entrambe le tipologie di segnalazioni; diversamente, occorre definire chiaramente i flussi informativi tra i soggetti coinvolti;
  • Il Modello 231 deve essere aggiornato per recepire le nuove procedure, il divieto di ritorsione e il sistema disciplinare.

Cosa fare adesso: la lista degli interventi per i gruppi societari

Sulla base del quadro normativo aggiornato, questi sono gli interventi concreti che ogni gruppo deve verificare o completare.

Verificare la dimensione di ciascuna società del gruppo

Conta i lavoratori subordinati medi dell’ultimo anno per ciascuna società. Se tutte sono sotto 249, è ammessa la condivisione del canale interno. Se almeno una supera 249, è obbligatorio il canale esternalizzato.

Scegliere il modello organizzativo

Canale condiviso interno (solo per gruppi sotto soglia), canale esternalizzato alla capogruppo, canale esternalizzato a soggetto terzo esterno. Ogni scelta deve essere motivata nell’atto organizzativo o nel Modello 231.

Configurare la segregazione tecnologica

Se si usa una piattaforma condivisa, verificare che ogni società abbia un’area separata e che i gestori di una società non possano accedere alle segnalazioni delle altre.

Nominare un gestore per ciascuna società

Anche con una piattaforma unica, ogni società deve avere il proprio gestore nominato formalmente con le tutele previste dalla normativa.

Formalizzare il ruolo della capogruppo

Se la capogruppo gestisce il canale, stipulare il contratto come responsabile del trattamento ai sensi dell’art. 28 GDPR. Aggiornare le informative privacy di tutte le società coinvolte.

Aggiornare gli accordi infra-gruppo

Definire per iscritto i flussi informativi tra società, le responsabilità operative e le modalità di coinvolgimento della capogruppo nelle indagini.

Aggiornare il Modello 231

Se il gruppo ha adottato il Modello 231, aggiornarlo con le nuove procedure whistleblowing, il divieto di ritorsione, il sistema disciplinare e i flussi verso l’OdV.

Aggiornare le informative ai dipendenti

Tutti i dipendenti di tutte le società del gruppo devono essere informati dell’esistenza del canale, delle modalità di utilizzo e delle tutele previste.

Domande frequenti

No. La dimensione della capogruppo supera la soglia dei 249 dipendenti, quindi la condivisione del canale interno non è ammessa. L’unica opzione è l’esternalizzazione a un soggetto terzo, che può essere la capogruppo stessa, ma con un contratto formale come responsabile del trattamento.

Sì. Le Linee Guida richiedono che il segnalante riceva un’informativa specifica prima che la segnalazione venga condivisa all’interno del gruppo. La riservatezza non si riduce, ma il segnalante deve essere consapevole del perimetro di chi gestisce la sua segnalazione.

La responsabilità è distribuita: la capogruppo risponde come responsabile del trattamento per la gestione tecnica e operativa del canale; le singole controllate rimangono titolari e rispondono della corretta istituzione e conformità del canale. L’esternalizzazione non esonera le controllate.
Sì, in ogni caso. Le Linee Guida ANAC 478/2025 introducono nuovi requisiti (divieto di ritorsione esplicito, sistema disciplinare aggiornato, flussi informativi OdV formalizzati) che quasi certamente non erano presenti nei Modelli adottati prima del 2025.

Gestisci il whistleblowing per un gruppo societario?

Scarica la guida operativa con la checklist per la configurazione del canale nei gruppi multi-entità, aggiornata alle Linee Guida ANAC 478/2025.

Scarica la checklist
Share

In questo articolo

Software

Whistleblowing conforme al D.Lgs. 24/2023

Attivo in 24h, già scelto da +2000 aziende

Richiedi demo
Articoli correlati
  • Delibera ANAC 478/2025​
  • Sansione Garante Privacy

My Governance - Zucchetti

Software Legal Tech per la compliance aziendale.
Linkedin Youtube

Newsletter compliance

Aggiornamenti normativi

ANAC, Garante Privacy, novità per compliance officer.
Iscriviti alla newsletter

Software

Risorse

Azienda

Supporto

Certificazioni

  • © 2026 MyGo S.r.l.
  • P.IVA 14356531005