legal / whistleblowing-pa

Whistleblowing per la PA

Canale di segnalazione interno per la PA a norma del d.lgs. 24/2023 e delle Linee guida ANAC n. 1/2025: GlobaLeaks conforme all'accessibilità, attivazione e atti per il RPCT.

richiedi_informazioni

Per le pubbliche amministrazioni il canale di segnalazione interno non è una scelta: lo impongono il d.lgs. 24/2023 e le Linee guida ANAC n. 1/2025. La gestione è affidata al RPCT, ma l’obbligo non finisce alla piattaforma: servono accessibilità, una pagina istituzionale corretta, tutele per chi segnala e processi documentati che reggano una verifica. Tutto questo atterra quasi sempre su un RPCT o un segretario comunale con poco tempo, poche risorse e altre priorità. Il nostro mestiere è toglierglielo dalle mani, a norma.

Cosa chiede la norma, in pratica

Ogni amministrazione deve garantire la riservatezza dell’identità del segnalante e rispettare tempi precisi: avviso di ricevimento entro 7 giorni, riscontro entro 3 mesi. Serve una pagina istituzionale che spieghi chi può segnalare, come e con quali tutele, con il link al canale esterno ANAC; e il trattamento dei dati deve reggere il confronto con il GDPR, dalla minimizzazione alla conservazione.

Due punti generano dubbi ricorrenti nei piccoli enti. Primo: la condivisione del canale è ammessa solo per i comuni che non sono capoluogo di provincia, anche in forma associata — ANAC cita come esempio le unioni di comuni. Secondo: la norma non sta ferma. Le Linee guida ANAC n. 1/2025 hanno aggiornato le indicazioni sui canali interni e dal 24 gennaio 2026 il d.lgs. 211/2025 estende le violazioni segnalabili alle misure restrittive UE: procedure e informative scritte nel 2023 vanno riviste.

La piattaforma: GlobaLeaks, dedicata o condivisa

Lavoriamo su GlobaLeaks, piattaforma open source dedicata al whistleblowing: cifratura integrale di segnalazioni, allegati e comunicazioni, con chiavi per utente e per segnalazione; accesso anonimo via Tor; autenticazione a due fattori; audit log che non compromette la privacy. L’interfaccia è multilingua, utilizzabile da mobile e in linea con WCAG 2.1 AA, come richiesto ai siti istituzionali.

L’erogazione segue due modelli. L’istanza dedicata, su dominio istituzionale (es. segnalazioni.nomecomune.it), dà all’ente massimo isolamento, autonomia e riconoscibilità. L’istanza managed, gestita da noi su infrastruttura UE con separazione rigorosa dei dati, è pensata per i piccoli enti e per le gestioni associate dei comuni non capoluogo. La scelta dipende da dimensioni, competenze interne e budget: la definiamo insieme in fase di analisi.

Cosa facciamo

L’attivazione segue cinque fasi, con responsabilità chiare a ogni passaggio:

  1. Analisi con RPCT e uffici competenti: mappatura di flussi, categorie di violazioni e canali già esistenti
  2. Setup: installazione e hardening della piattaforma, ruoli segregati, moduli di segnalazione, policy di conservazione
  3. Atti e pagina web: determina istitutiva, procedura di gestione, informative privacy e pagina “Whistleblowing” con FAQ e link al canale esterno ANAC
  4. Formazione e sensibilizzazione: sessioni operative per i gestori, guide, poster e QR code, piano di comunicazione interna — un canale che il personale non conosce è come una via di fuga non segnalata
  5. Go-live e supporto: collaudo completo prima dell’avvio, report periodici, affiancamento durante audit e verifiche

Cosa ottieni

  • Un canale conforme al d.lgs. 24/2023 e alle Linee guida ANAC n. 1/2025, documentato per audit e controlli
  • Atti pronti per la firma — determina, procedura, informative — e la pagina istituzionale con tutto ciò che la norma chiede di pubblicare
  • Gestori formati e personale che sa che il canale esiste e come usarlo
  • Report periodici privi di dati personali per OIV e organi di controllo, con KPI su tempi, esiti e azioni correttive
  • Esportazioni controllate (CSV/PDF) verso protocollo riservato e conservazione digitale a norma

Lavoriamo già con piattaforme GlobaLeaks in produzione e ci occupiamo anche dell’adeguamento di canali esistenti alle novità del 2025-2026. Che il tuo ente parta da zero o debba aggiornare ciò che ha, prenota un incontro di valutazione: definiamo insieme tempi, responsabilità e deliverable. Per società partecipate e fornitori privati c’è il servizio gemello whistleblowing per le aziende.

// domande frequenti

Chi deve gestire le segnalazioni in un ente pubblico?

Il d.lgs. 24/2023 affida la gestione del canale interno, nella PA, al RPCT — il Responsabile della prevenzione della corruzione e della trasparenza — come confermano le Linee guida ANAC n. 1/2025. La piattaforma va configurata di conseguenza: ruoli segregati, accesso ai contenuti delle segnalazioni riservato al solo gestore designato, audit log delle attività. Agli OIV e agli organi di controllo va invece riservata solo reportistica aggregata e priva di dati personali: è così che configuriamo i ruoli, per rispettare riservatezza e minimizzazione.

Quali sono i tempi obbligatori per rispondere a una segnalazione?

Due scadenze: avviso di ricevimento al segnalante entro 7 giorni e riscontro entro 3 mesi. ANAC chiarisce che il termine dei 3 mesi non è perentorio, ma l'ente deve comunque documentare la gestione: una piattaforma con scadenze tracciate serve proprio a dimostrare di aver rispettato — o motivatamente superato — questi tempi.

Un piccolo comune può condividere il canale con altri enti?

Sì, ma a una condizione precisa: la condivisione del canale interno è ammessa per i comuni che non sono capoluogo di provincia, anche in forma associata — ANAC porta a esempio le unioni di comuni. Non dipende dalla dimensione dell'ente, ma da questo requisito. In questi casi un'istanza gestita multi-ente, con separazione rigorosa dei dati di ciascuna amministrazione, è la soluzione tipica per chi ha poche risorse.

Le segnalazioni anonime sono possibili? E la riservatezza è davvero protetta?

Sono due piani distinti. La riservatezza dell'identità del segnalante è un obbligo di legge, e la piattaforma la sostiene tecnicamente: GlobaLeaks cifra integralmente segnalazioni, allegati e comunicazioni, con chiavi per utente e per segnalazione, e prevede l'autenticazione a due fattori per i gestori. L'anonimato è una possibilità in più: il segnalante può accedere anche via rete Tor, senza esporre la propria identità tecnica. Nessun sistema può promettere l'impossibilità assoluta di identificazione: diffidare di chi lo fa.

Abbiamo già un canale attivo dal 2023: dobbiamo aggiornarlo?

Sì, un canale del 2023 va riesaminato. Le Linee guida ANAC n. 1/2025 (delibera 478 del 26 novembre 2025) sono oggi il riferimento per i canali interni e dal 24 gennaio 2026 il d.lgs. 211/2025 estende le violazioni segnalabili alle misure restrittive dell'Unione europea — cioè l'oggetto stesso delle segnalazioni si allarga, e con esso vanno riviste procedure, informative e moduli del canale. CyberQuake interviene anche solo per adeguare un canale esistente, senza rifare ciò che già funziona.

Cosa rischia l'ente se il canale manca o non è conforme?

Le sanzioni amministrative previste dal d.lgs. 24/2023 e applicate da ANAC vanno da 10.000 a 50.000 euro e coprono la mancata istituzione del canale, le procedure non conformi, le ritorsioni contro chi segnala e le violazioni di riservatezza. Più della sanzione, però, conta ciò che la previene: un canale configurato bene e una gestione documentata che regga la verifica.

// incident response

Sotto attacco? Agisci ora.

Il CSIRT risponde 24/7: contenimento, analisi e ripristino, a partire dalla prima chiamata.

sono_stato_hackerato

csirt 24/7 --> +39 376 25 89 182