legal / whistleblowing-pmi

Whistleblowing per PMI

Canale whistleblowing conforme al d.lgs. 24/2023 su piattaforma GlobaLeaks: obbligatorio dai 50 dipendenti, attivo in circa dieci giorni, integrato con Modello 231 e GDPR.

richiedi_informazioni

Dal d.lgs. 24/2023, attuazione della Direttiva (UE) 2019/1937, le imprese con una media di almeno 50 lavoratori subordinati nell’ultimo anno devono avere un canale di segnalazione interno; l’obbligo scatta anche sotto soglia per chi adotta un Modello 231 o opera in settori regolamentati. Un canale che esiste solo sulla carta, però, è un rischio doppio: sanzioni se non è conforme, segnalazioni che prendono altre strade se nessuno si fida di usarlo. Servono riservatezza verificabile, tempi certi e un processo che regge.

Gli obblighi e le novità del 2026

Il riferimento operativo per i canali interni sono oggi le Linee guida ANAC n. 1/2025 (delibera 478/2025), che sostituiscono la 311/2023 per i canali interni: avviso di ricevimento al segnalante entro 7 giorni e riscontro di norma entro 3 mesi, identità protetta in ogni fase del processo. Le sanzioni ANAC vanno da 10.000 a 50.000 euro per la mancata istituzione del canale, procedure non conformi, ritorsioni o violazioni di riservatezza. E il controllo non arriva solo da ANAC: il piano ispettivo del Garante privacy per il primo semestre 2026 include il whistleblowing tra i temi sotto osservazione, insieme ai data breach.

C’è anche una scadenza recente: dal 24 gennaio 2026 il d.lgs. 211/2025 estende le violazioni segnalabili alle misure restrittive dell’Unione europea. Procedure e Modelli 231 scritti prima di quella data vanno aggiornati. È il motivo per cui trattiamo il canale come un presidio da mantenere nel tempo, non come un progetto da chiudere — lo stesso approccio della nostra cybercompliance.

Riservato per legge, anonimo per scelta

Il canale si basa su GlobaLeaks, piattaforma open source nata per il whistleblowing: cifratura integrale di segnalazioni, allegati e comunicazioni, con chiavi per utente e per segnalazione; accesso anonimo via Tor per chi lo desidera; autenticazione a due fattori per chi gestisce. Riservatezza e anonimato non sono sinonimi: la norma impone la prima, la piattaforma consente anche il secondo. Una casella email o una PEC dedicata non bastano — espongono metadati, non separano i ruoli, non documentano i tempi.

Cosa facciamo

  • Assessment iniziale gratuito: verifichiamo se e in che misura scatta l’obbligo, definiamo il perimetro delle segnalazioni e la formula — istanza dedicata sul tuo dominio (es. segnalazioni.azienda.it) o managed per le realtà più piccole
  • Installiamo e mettiamo in sicurezza la piattaforma: data residency UE, backup cifrati, retention configurata, on-premise dove serve
  • Disegniamo il processo per intero — presa in carico, istruttoria, esito — con ruoli, segregazione verificata e i tempi di legge: avviso entro 7 giorni, riscontro di norma entro 3 mesi
  • Redigiamo i documenti: procedura whistleblowing, aggiornamento del Modello 231 (misure restrittive UE comprese), informative privacy, registro dei trattamenti
  • Formiamo HR, compliance e IT sulla gestione delle segnalazioni
  • Prepariamo il kit di comunicazione interna — annuncio in intranet, poster, QR code — perché il canale venga davvero usato, anche da chi non lavora a un PC: la piattaforma è multilingua e funziona da smartphone
  • Andiamo in produzione con test completo e pagina whistleblowing pubblicata sul tuo sito, poi gestiamo nel tempo: report periodici, audit log, aggiornamenti normativi

Cosa ottieni

  • Un canale attivo e conforme in circa dieci giorni con il piano standard
  • Documentazione integrata con Modello 231 e GDPR, pronta per verifiche e ispezioni
  • Tutele effettive per i segnalanti: dalla cifratura alla riservatezza dell’identità che la legge impone di proteggere
  • Report periodici su volumi, tempi ed esiti, senza dati personali
  • Un presidio che recepisce le novità normative prima che diventino rilievi

Le segnalazioni interne sono il sismografo dell’organizzazione: registrano i segnali deboli prima che diventino scosse. Gestiamo piattaforme di whistleblowing per i nostri clienti ogni giorno e sappiamo cosa distingue un canale a norma da un canale che funziona. Se sei un ente pubblico, il servizio dedicato è whistleblowing per la PA. Per la tua impresa, richiedi un assessment gratuito: ti diciamo tempi e costi prima di iniziare.

// domande frequenti

Chi è obbligato ad avere un canale di segnalazione interno?

Nel settore privato, tutte le imprese con una media di almeno 50 lavoratori subordinati nell'ultimo anno (le pubbliche amministrazioni sono obbligate a prescindere dalla soglia). Sotto i 50 l'obbligo resta per chi adotta un Modello 231 — con segnalazioni limitate agli illeciti rilevanti ai fini del modello — e per chi opera in settori regolamentati come servizi finanziari, antiriciclaggio, trasporti e ambiente. La base normativa è il d.lgs. 24/2023, che attua la Direttiva (UE) 2019/1937.

Le segnalazioni sono anonime o solo riservate?

Sono due cose diverse. La legge impone la riservatezza: l'identità del segnalante è protetta e accessibile solo a chi gestisce la segnalazione. Una piattaforma come GlobaLeaks consente in più l'anonimato vero: si può segnalare senza dichiarare la propria identità, con accesso via Tor e cifratura integrale di segnalazioni, allegati e comunicazioni, con chiavi per utente e per segnalazione.

Basta una casella email o una PEC dedicata per essere conformi?

No. Email e PEC non garantiscono la riservatezza dell'identità richiesta dal d.lgs. 24/2023: espongono metadati, non separano i ruoli di chi accede, non tracciano i tempi di avviso e riscontro né la conservazione dei dati. Le Linee guida ANAC n. 1/2025 chiedono strumenti che proteggano l'identità del segnalante in ogni fase: serve un canale progettato per questo scopo.

Cosa rischia chi non ha il canale o lo gestisce male?

Chi non istituisce il canale, o lo gestisce in modo non conforme, rischia sanzioni ANAC da 10.000 a 50.000 euro — previste anche per ritorsioni e violazioni di riservatezza. E i controlli aumentano: nel 2026 il whistleblowing rientra tra le priorità ispettive del Garante privacy, che lo include nel piano del primo semestre insieme ai data breach.

Dove sono conservati i dati delle segnalazioni?

Su infrastruttura nell'Unione europea, con cifratura integrale, backup cifrati, retention configurata in base alla procedura e audit log degli accessi. A fine retention i dati vengono cancellati in modo controllato. Per le organizzazioni con vincoli particolari sulla localizzazione dei dati è possibile valutare l'installazione on-premise.

Possiamo affidare la gestione delle segnalazioni a un soggetto esterno?

Sì: il d.lgs. 24/2023 consente di affidare la gestione del canale a un soggetto esterno. È la modalità managed che CyberQuake propone alle realtà più piccole senza una funzione compliance strutturata: il gestore è indipendente e formato sulla materia, noi gestiamo piattaforma e istruttoria, l'azienda mantiene la titolarità delle decisioni. In alternativa, per i soggetti privati fino a 249 lavoratori la norma ammette la condivisione del canale di segnalazione e delle relative risorse.

// incident response

Sotto attacco? Agisci ora.

Il CSIRT risponde 24/7: contenimento, analisi e ripristino, a partire dalla prima chiamata.

sono_stato_hackerato

csirt 24/7 --> +39 376 25 89 182