Whistleblowing
Whistleblowing: perché e-mail e PEC non sono conformi al Decreto legislativo 24/2023
- Redazione
- Marzo 2023
- Aggiornato maggio 2025
- 4 min lettura
Share
Utilizzare una semplice e-mail o una casella di posta elettronica certificata (PEC) non può essere considerato uno strumento sicuro, né tantomeno efficace per la gestione delle segnalazioni.
Le principali criticità riguardano la protezione e la sicurezza delle informazioni dei dati trasmessi, così come la riservatezza dei soggetti coinvolti, ai sensi della normativa sul trattamento dei dati personali, ma anche elementi di contrasto con la normativa whistleblowing specifica, dove è esplicito il riferimento alla riservatezza dei dati dei soggetti coinvolti e a profili di compliance privacy.
Da sapere
- Email e PEC non sono canali adeguati per gestire correttamente le segnalazioni whistleblowing
- La normativa richiede canali riservati, sicuri e tracciabili
- Le aziende devono adottare strumenti conformi per ridurre rischi operativi e sanzionatori
La posta elettronica non è raffigurabile come una forma di comunicazione sicura. I dati contenuti nelle e-mail non sono criptati, possono essere lette da chiunque e persino il loro contenuto può essere alterato. Soggetti aziendali quali i membri dell’IT, per esempio, possono accedere facilmente a tutte le informazioni compromettendo, di fatto, la riservatezza dell’identità del whistleblower e di tutti gli altri soggetti coinvolti. Un altro aspetto critico da considerare è il venire meno ai principi di accountability e di privacy by design e by default previsti dal GDPR. Inoltre, i documenti inviati e relativi al caso segnalato non potranno essere archiviati in modo sicuro e idoneo a garantire adeguati livelli di sicurezza, esponendo l’azienda a possibili e gravi data breach.
Oltre all’invio delle segnalazioni l’altro aspetto da considerare è la gestione delle segnalazioni. Il Decreto legislativo 24/2023 prevede che venga fornito un riscontro al segnalante entro 7 giorni, ed entro 3 mesi l’esito della segnalazione stessa; le aziende inadempienti possono incorrere in sanzioni fino a 50.000 euro.
La conferma della Delibera ANAC 478/2025
Con la Delibera 478 del 2025, l’Autorità Nazionale Anticorruzione ha aggiornato le proprie linee guida sul whistleblowing introducendo requisiti tecnici ancora più stringenti per i canali di segnalazione interna. Il documento chiarisce in modo esplicito che i canali di segnalazione devono garantire:
- la crittografia di tutti i dati trasmessi;
- la possibilità di effettuare segnalazioni in forma anonima;
- la gestione di segnalazioni orali, attraverso sistemi di registrazione che preservino l’anonimato del segnalante;
- un audit trail completo e immutabile di tutte le operazioni compiute sul canale.
Risulta evidente quindi che e-mail e PEC non sono strumenti adeguati per garantire piena conformità al quadro normativo.
Il caso della sanzione del Garante Privacy: cosa è successo e cosa insegna
Nel 2024 il Garante per la Protezione dei Dati Personali ha sanzionato un’azienda italiana per aver gestito le segnalazioni whistleblowing attraverso strumenti non conformi alla normativa privacy. La vicenda ha chiarito un punto che molte aziende tendevano a sottovalutare: la responsabilità della non conformità non ricade solo sull’azienda che ha adottato uno strumento inadeguato, ma può estendersi anche al fornitore del software che non ha implementato le misure tecniche previste dal GDPR.
Questo significa che scegliere un canale di segnalazione non conforme espone l’azienda a un doppio rischio: la sanzione ANAC per la violazione del D.Lgs. 24/2023 e la sanzione del Garante Privacy per la violazione del GDPR. I due procedimenti sono indipendenti e possono cumularsi.
Perché scegliere un software whistleblowing
La soluzione migliore che assicura all’impresa la piena compliance alla normativa prevede l’adozione di un software di whistleblowing che possa, da un lato mettere al riparo l’azienda da possibili violazioni della normativa, e dall’altro semplificare il processo di gestione interno delle segnalazioni ricevute. Un software whistleblowing:
- garantisce la tutela della riservatezza dei dati perché implementa le adeguate tecnologie di crittografia;
- permette di archiviare, storicizzare e centralizzare tutte le segnalazioni in un ambiente protetto;
- consente di monitorare gli accessi in piattaforma (anche tramite strong authentication) per garantire che siano solo i gestori delle segnalazioni ad accedere alle segnalazioni;
- permette di monitorare e rispettare i tempi dell’istruttoria come richiesto dal Decreto.
A questi requisiti di base, un software conforme alla Delibera ANAC 478/2025 deve aggiungere la gestione delle segnalazioni orali, uno degli obblighi introdotti dall’aggiornamento del 2025, che molte aziende non hanno ancora recepito. Il canale orale consente al segnalante di effettuare la propria segnalazione attraverso un sistema di registrazione o con un incontro in presenza, senza dover necessariamente usare un form scritto. Le aziende che dispongono solo di un canale scritto (incluse quelle che usano email o PEC) non rispettano questo requisito.
Email e PEC nel 2025: cosa rischi concretamente
La scelta di un software whistleblowing non è solo dovuta ad esigenze di compliance nei confronti delle normative vigenti, ma anche di efficienza della gestione delle segnalazioni. Con l’entrata in vigore della Delibera ANAC 478/2025 e il precedente della sanzione del Garante Privacy, il rischio di non adeguarsi non è più teorico: è concreto, quantificabile e crescente.
Share
In questo articolo
Software
Whistleblowing conforme al D.Lgs. 24/2023
Attivo in 24h, già scelto da +2000 aziende
Articoli correlati
- Delibera ANAC 478/2025
- Sansione Garante Privacy
Newsletter compliance
Aggiornamenti normativi
Risorse
Azienda
Supporto
Certificazioni
