Chi è obbligato al whistleblowing e perché oggi non è più un’opzione

Negli ultimi anni il whistleblowing obbligatorio è diventato uno dei pilastri della compliance aziendale. Non si tratta più di una scelta organizzativa o di una “best practice” facoltativa: per molte aziende l’adozione di un sistema di whistleblowing è un obbligo di legge, con conseguenze rilevanti in caso di omissione o gestione non conforme.

Quando parliamo di whistleblowing ci riferiamo all’insieme di regole, procedure e strumenti che consentono a lavoratori e collaboratori di segnalare illeciti, violazioni o comportamenti irregolari di cui siano venuti a conoscenza nel contesto lavorativo, garantendo riservatezza, tutela del segnalante e corretto trattamento dei dati personali.

Il whistleblowing non è un meccanismo di “denuncia”, ma uno strumento di prevenzione dei rischi legali, reputazionali ed economici per l’impresa.

Quali aziende devono adeguarsi

Sono oggi obbligate a dotarsi di un sistema di whistleblowing:

• le aziende del settore privato con almeno 50 dipendenti;

• le società che adottano modelli di organizzazione, gestione e controllo ex 231, indipendentemente dal numero di dipendenti;

• le imprese che operano in settori particolarmente regolamentati (ad esempio finanziario, assicurativo, trasporti, ambiente, sicurezza);

• le società di capitali strutturate, incluse SRL, SPA e gruppi societari, quando ricorrono i presupposti dimensionali o organizzativi.

Molti imprenditori credono, erroneamente, che il whistleblowing riguardi solo le grandi aziende o il settore pubblico. In realtà, una quota significativa di PMI italiane rientra già oggi nell’obbligo, spesso senza esserne consapevole.

L’errore più frequente delle imprese

Uno degli errori che riscontriamo più spesso è pensare che basti “attivare una piattaforma” per essere in regola. In realtà:

• il canale di segnalazione deve rispettare requisiti precisi di riservatezza e sicurezza;

• devono esistere procedure interne formalizzate;

• deve essere individuato un soggetto competente per la gestione delle segnalazioni;

• l’intero sistema deve essere coerente con la normativa privacy e il GDPR.

Su questo punto, abbiamo approfondito in modo operativo il tema nell’articolo dedicato all’implementazione del whistleblowing in azienda, che rappresenta un primo riferimento utile per comprendere cosa significhi davvero adeguarsi in modo corretto: https://www.studiolegalecalvello.it/implementazione-whistleblowing-azienda-guida-operativa/

Perché il legislatore ha reso il whistleblowing obbligatorio

La ratio dell’obbligo è chiara: intercettare le violazioni prima che diventino scandali, sanzioni o procedimenti giudiziari. Un sistema di whistleblowing efficace consente all’azienda di:

• individuare tempestivamente condotte illecite;

• intervenire prima dell’intervento delle autorità;

• dimostrare un assetto organizzativo diligente;

• ridurre il rischio di sanzioni e responsabilità per amministratori e dirigenti.

Non a caso, la mancata istituzione dei canali interni o la loro gestione non conforme è oggi considerata una violazione autonoma, come abbiamo chiarito in modo specifico nell’analisi dedicata alla mancata istituzione dei canali di segnalazione:
https://www.studiolegalecalvello.it/whistleblowing-la-mancata-istituzione-dei-canali-interni-e-delle-relative-procedure-o-istituzione-non-conforme/

In questa prospettiva, il whistleblowing non è un adempimento burocratico, ma uno strumento di tutela dell’impresa stessa, se progettato e gestito correttamente.

Quando scatta l’obbligo di whistleblowing e quali sono le tempistiche di adeguamento per le aziende

Una delle domande che imprenditori e amministratori ci pongono più spesso è “da quando il whistleblowing è obbligatorio?”. La risposta, nella pratica professionale, non è mai banale, perché l’obbligo non scatta in modo uniforme per tutte le aziende, ma dipende da dimensioni, struttura organizzativa e settore di attività.

Il whistleblowing obbligatorio è oggi una realtà consolidata e non una prospettiva futura. Questo significa che molte imprese sono già fuori tempo massimo, pur non essendone consapevoli. Ed è proprio questa inconsapevolezza a generare i rischi più elevati.

Whistleblowing obbligatorio: da quando è operativo

L’obbligo di dotarsi di un sistema di whistleblowing aziendale è pienamente operativo e riguarda:

• le aziende private con almeno 50 dipendenti, per le quali l’adeguamento non è più procrastinabile;

• le società che adottano o dovrebbero adottare un Modello Organizzativo 231, anche con meno di 50 dipendenti;

• le imprese che operano in settori soggetti a vigilanza o regolazione rafforzata, indipendentemente dal numero di lavoratori.

Dal punto di vista giuridico-organizzativo, non esistono più “zone grigie”: se l’azienda rientra nei parametri, deve essere conforme oggi, non domani.

Il whistleblowing non è un obbligo “progressivo”: o il sistema è conforme, o l’azienda è esposta.

L’adeguamento non è solo una questione di tempistiche

Molte imprese, anche strutturate, hanno commesso un errore ricorrente: attendere l’ultimo momento per “attivare qualcosa” che potesse sembrare un sistema di whistleblowing. Questo approccio è particolarmente pericoloso perché:

• un canale attivato senza procedure non è conforme;

• una piattaforma senza governance espone a violazioni privacy;

• l’assenza di ruoli e responsabilità formalizzati rende il sistema inefficace.

Il risultato è un falso adeguamento, che non tutela l’azienda ma, al contrario, aggrava la posizione in caso di controlli o segnalazioni.

Su questo aspetto, abbiamo analizzato in modo puntuale le attività cui è tenuto chi gestisce le segnalazioni, chiarendo perché la gestione improvvisata rappresenti uno dei principali profili di rischio: https://www.studiolegalecalvello.it/whistleblowing-le-attivita-cui-e-tenuto-chi-gestisce-le-segnalazioni/

Whistleblowing e organizzazione interna: perché il “quando” incide sul “come”

Il momento in cui l’azienda si adegua incide direttamente sulla qualità del sistema di whistleblowing. Le imprese che intervengono in modo tempestivo possono:

• integrare il whistleblowing nei processi interni;

• coordinare correttamente privacy, compliance e organizzazione del lavoro;

• formare il personale in modo coerente;

• ridurre drasticamente il rischio di segnalazioni esterne o non gestite.

Al contrario, un adeguamento tardivo porta spesso a soluzioni standardizzate, non calibrate sulla realtà aziendale, con effetti controproducenti.

Non a caso, uno dei temi più delicati riguarda i canali di segnalazione interni, che devono essere progettati tenendo conto della struttura dell’impresa, dei flussi informativi e delle responsabilità. Abbiamo approfondito questo punto specifico nell’articolo dedicato ai canali di segnalazione interni, che rappresentano il cuore operativo del sistema: https://www.studiolegalecalvello.it/whistleblowing-i-canali-di-segnalazione-interni/

Adeguarsi oggi significa prevenire i problemi di domani

Dal punto di vista strategico, il whistleblowing obbligatorio non va letto come un adempimento imposto dall’esterno, ma come uno strumento di governo dell’impresa. Adeguarsi nei tempi corretti consente di:

• intercettare criticità interne prima che diventino pubbliche;

• dimostrare diligenza organizzativa;

• tutelare amministratori, dirigenti e soci;

• evitare l’effetto domino di sanzioni, contenziosi e danni reputazionali.

È proprio per questo che la tempistica di adeguamento rappresenta uno snodo centrale nella gestione del rischio aziendale.

Cosa deve fare concretamente un’azienda per essere conforme al whistleblowing obbligatorio

Arrivati a questo punto, la domanda che ogni imprenditore si pone è inevitabile: cosa deve fare, in concreto, un’azienda per essere davvero conforme al whistleblowing obbligatorio? È qui che si gioca la differenza tra un adeguamento solo apparente e un sistema realmente efficace, in grado di tutelare l’impresa, gli amministratori e l’organizzazione nel suo complesso.

Un sistema di whistleblowing aziendale conforme non è mai un singolo adempimento isolato, ma un insieme coordinato di strumenti, procedure e responsabilità che devono funzionare in modo coerente.

Il canale di segnalazione: il cuore del whistleblowing aziendale

Il primo elemento imprescindibile è l’istituzione di canali di segnalazione interni che consentano l’invio delle segnalazioni in modo:

• sicuro, per prevenire accessi non autorizzati;

• riservato, a tutela dell’identità del segnalante e del segnalato;

• efficace, affinché la segnalazione arrivi al soggetto competente.

Il canale può essere informatico, cartaceo o orale, ma nella pratica aziendale moderna la soluzione più idonea è quasi sempre una piattaforma di whistleblowing dedicata, progettata per garantire tracciabilità, protezione dei dati e continuità operativa.

Abbiamo approfondito in modo specifico le caratteristiche e le criticità dei canali di segnalazione interni, chiarendo perché la loro corretta progettazione rappresenti il primo vero presidio di legalità per l’azienda:
https://www.studiolegalecalvello.it/whistleblowing-i-canali-di-segnalazione-interni/

La gestione delle segnalazioni: competenze, ruoli e responsabilità

Un errore molto diffuso è pensare che, una volta attivato il canale, il sistema di whistleblowing sia completo. In realtà, la gestione delle segnalazioni è l’aspetto più delicato e più esposto a errori.

Ogni azienda deve individuare chi gestisce le segnalazioni, definendo in modo chiaro:

• i soggetti autorizzati alla ricezione;

• le modalità di analisi e riscontro;

• i tempi di gestione;

• i flussi informativi interni.

La scelta del soggetto incaricato non è neutra: una gestione impropria può compromettere la riservatezza, violare la normativa privacy e rendere inutilizzabile l’intero sistema.

Su questo punto abbiamo dedicato un approfondimento specifico ai soggetti a cui va affidata la gestione delle segnalazioni, evidenziando criteri di indipendenza, competenza e imparzialità: https://www.studiolegalecalvello.it/whistleblowing-i-soggetti-a-cui-va-affidata-la-gestione-delle-segnalazioni/

Procedure interne e atti organizzativi: la struttura che regge il sistema

Il whistleblowing obbligatorio richiede che il sistema sia formalizzato all’interno dell’organizzazione. Questo significa adottare procedure scritte che disciplinino:

• le modalità di invio delle segnalazioni;

• la gestione e l’istruttoria;

• la conservazione della documentazione;

• le misure di tutela contro ritorsioni e discriminazioni.

Queste procedure devono essere coerenti con gli atti organizzativi dell’azienda, come il PTPCT, il MOG 231 o altri regolamenti interni. In assenza di un coordinamento formale, il rischio è quello di avere un sistema scollegato dal resto dell’organizzazione.

Abbiamo analizzato in dettaglio questo aspetto nella trattazione dedicata alla disciplina della procedura di gestione delle segnalazioni nei principali atti organizzativi, evidenziando le criticità più frequenti riscontrate nelle aziende: https://www.studiolegalecalvello.it/whistleblowing-la-disciplina-della-procedura-di-gestione-delle-segnalazioni-nel-piao-ptptc-mog-231-o-in-altro-atto-organizzativo/

Whistleblowing e protezione dei dati personali

Un sistema di whistleblowing conforme non può prescindere dal corretto trattamento dei dati personali. Le segnalazioni contengono spesso dati sensibili, informazioni riservate e talvolta dati relativi a presunti illeciti.

È quindi essenziale che il sistema sia progettato nel rispetto dei principi di:

• minimizzazione dei dati;

• limitazione delle finalità;

• sicurezza e riservatezza;

• corretta conservazione.

La violazione delle regole privacy può trasformare il whistleblowing da strumento di tutela a fonte di ulteriore responsabilità per l’azienda. Proprio per questo abbiamo approfondito in modo specifico il rapporto tra whistleblowing e trattamento dei dati personali, chiarendo i principali obblighi evidenziati anche dalle autorità di controllo: https://www.studiolegalecalvello.it/whistleblowing-trattamento-dei-dati-personali/

Perché l’adeguamento “standard” non funziona

Dal punto di vista professionale, uno degli aspetti che emerge con maggiore evidenza è che non esiste un modello di whistleblowing valido per tutte le aziende. Ogni impresa ha una propria struttura, una propria cultura organizzativa e specifici rischi.

Adeguarsi significa costruire un sistema su misura, che tenga conto:

• delle dimensioni aziendali;

• del settore di attività;

• della presenza di modelli organizzativi;

• dei flussi decisionali interni.

Solo in questo modo il whistleblowing diventa un vero strumento di prevenzione e non un adempimento formale privo di utilità concreta.

Cosa rischia concretamente un’azienda se non si adegua al whistleblowing obbligatorio

Quando si parla di whistleblowing obbligatorio, il tema dei rischi è spesso sottovalutato. Molte aziende ritengono che l’assenza di segnalazioni equivalga all’assenza di problemi. In realtà, dal punto di vista giuridico, il rischio non nasce dalla segnalazione, ma dalla mancanza di un sistema conforme.

Il mancato adeguamento al whistleblowing o l’adozione di un sistema solo formale espongono l’impresa a conseguenze rilevanti sotto il profilo sanzionatorio, organizzativo e reputazionale.

Le sanzioni per il mancato whistleblowing

La normativa prevede sanzioni amministrative significative nei confronti delle aziende che:

• non istituiscono i canali di segnalazione interni;

• istituiscono canali non conformi ai requisiti di legge;

• non tutelano adeguatamente la riservatezza del segnalante;

• non gestiscono correttamente le segnalazioni ricevute.

Le sanzioni possono colpire direttamente l’ente, ma anche riflettersi sulla posizione di amministratori e dirigenti, soprattutto quando emergono carenze organizzative strutturali.

Abbiamo analizzato in modo sistematico le diverse fattispecie sanzionate in materia di whistleblowing, chiarendo quali condotte sono maggiormente esposte a contestazioni:
https://www.studiolegalecalvello.it/whistleblowing-sanzioni-anac-scopri-le-diverse-fattispecie-sanzionate/

Il rischio organizzativo: quando il sistema “non regge”

Un sistema di whistleblowing non conforme non solo non protegge l’azienda, ma può amplificare il problema. In assenza di canali interni efficaci, il segnalante può rivolgersi all’esterno, con conseguenze difficilmente controllabili.

Inoltre, una gestione impropria delle segnalazioni può determinare:

• violazioni della riservatezza;

• trattamenti illeciti di dati personali;

• contestazioni per ritorsioni o discriminazioni;

• perdita di fiducia da parte dei dipendenti.

Su questo punto, è fondamentale comprendere che la tutela del segnalante non è facoltativa, ma rappresenta un obbligo preciso. Abbiamo approfondito il tema della tutela contro le ritorsioni e delle indicazioni operative fornite dalle autorità competenti in un articolo dedicato:
https://www.studiolegalecalvello.it/whistleblowing-anac-linee-guida-e-tutela-contro-le-eventuali-ritorsioni/

Whistleblowing e privacy: un doppio livello di responsabilità

Un profilo di rischio spesso ignorato riguarda il trattamento dei dati personali. Le segnalazioni whistleblowing contengono informazioni delicate, talvolta anche dati sensibili o giudiziari.

Se il sistema non è progettato correttamente, l’azienda può incorrere in:

• violazioni del principio di minimizzazione dei dati;

• accessi non autorizzati;

• conservazione illecita della documentazione;

• mancanza di adeguate informative.

Il risultato è una sovrapposizione di responsabilità: da un lato per la normativa whistleblowing, dall’altro per la disciplina privacy. Questo aspetto è stato analizzato nel dettaglio nel nostro approfondimento sul rapporto tra whistleblowing e trattamento dei dati personali:
https://www.studiolegalecalvello.it/whistleblowing-trattamento-dei-dati-personali/

Il danno reputazionale e il rischio “silenzioso”

Oltre alle sanzioni formali, esiste un rischio meno immediato ma spesso più grave: il danno reputazionale. Una segnalazione gestita male, una fuga di informazioni o una contestazione pubblica possono compromettere:

• l’immagine dell’azienda;

• i rapporti con clienti e partner;

• la fiducia interna dei lavoratori;

• il valore complessivo dell’impresa.

Dal punto di vista strategico, un sistema di whistleblowing efficace riduce il rischio di esposizione esterna, consentendo all’azienda di intervenire tempestivamente e in modo riservato.

È proprio per evitare questi scenari che la mancata istituzione dei canali interni viene oggi considerata una violazione autonoma e particolarmente rilevante, come chiarito nel nostro approfondimento dedicato:
https://www.studiolegalecalvello.it/whistleblowing-la-mancata-istituzione-dei-canali-interni-e-delle-relative-procedure-o-istituzione-non-conforme/

Perché il whistleblowing tutela anche gli amministratori

Un ultimo aspetto, spesso trascurato, riguarda la posizione degli amministratori e dei vertici aziendali. Un sistema di whistleblowing correttamente implementato rappresenta una prova concreta di diligenza organizzativa e può costituire un elemento difensivo rilevante in caso di contestazioni.

In altre parole, adeguarsi non serve solo a evitare sanzioni, ma a costruire una struttura di tutela preventiva per chi governa l’impresa.

Un esempio reale di vita aziendale, le domande più frequenti sul whistleblowing obbligatorio e come tutelare davvero l’impresa

Per comprendere fino in fondo perché il whistleblowing obbligatorio non sia un mero adempimento formale, è utile calarlo nella vita quotidiana di un’azienda reale, lontano dalle astrazioni normative.

Un caso concreto: quando il whistleblowing fa la differenza

Immaginiamo una società privata con circa 70 dipendenti, strutturata come SRL, operante nel settore dei servizi. L’azienda è in crescita, ha una governance snella e non ha mai ritenuto prioritario dotarsi di un sistema di whistleblowing aziendale, confidando nel clima interno e nella fiducia reciproca.

Un dipendente, venuto a conoscenza di irregolarità nella gestione di alcuni fornitori, non trovando un canale di segnalazione interno conforme, evita di esporsi e decide di non segnalare internamente. La criticità emerge mesi dopo, in modo informale, coinvolgendo soggetti esterni e generando un’escalation di problemi: tensioni interne, sospetti, perdita di fiducia, verifiche e controlli.

Se l’azienda avesse adottato per tempo un sistema di whistleblowing obbligatorio, con:

• canali interni o esterni sicuri e riservati,

• procedure chiare di gestione delle segnalazioni,

• tutela dell’anonimato e dell’identità del segnalante,

la segnalazione sarebbe potuta emergere in modo controllato, consentendo all’impresa di intervenire tempestivamente e in via riservata.

È proprio per evitare situazioni di questo tipo che il legislatore ha imposto l’adozione di canali interni strutturati, come abbiamo chiarito anche nell’approfondimento dedicato alla possibilità per alcuni enti di gestire in modo condiviso le segnalazioni, tema spesso rilevante nei gruppi societari:
https://www.studiolegalecalvello.it/whistleblowing-la-possibilita-per-alcuni-enti-di-gestire-in-modo-condiviso-le-segnalazioni/

Le domande più frequenti sul whistleblowing obbligatorio (FAQ)

Nel nostro lavoro quotidiano di assistenza alle imprese, queste sono le domande che imprenditori e amministratori ci pongono più spesso quando si parla di whistleblowing:

Il whistleblowing è obbligatorio per tutte le aziende?
No, ma lo è per molte più aziende di quanto si creda. In particolare, riguarda le aziende con almeno 50 dipendenti e quelle dotate di modelli organizzativi 231.

Il whistleblowing è obbligatorio anche per le PMI?
Sì, quando superano determinate soglie dimensionali o adottano assetti organizzativi che lo rendono necessario.

È sufficiente attivare una piattaforma di whistleblowing?
No. La piattaforma è solo uno strumento: senza procedure, ruoli e governance, il sistema non è conforme.

Il segnalante può rimanere anonimo?
Sì, l’anonimato nel whistleblowing è un elemento centrale e deve essere garantito con strumenti tecnici e organizzativi adeguati, come approfondito qui:
https://www.studiolegalecalvello.it/whistleblowing-lanonimato/

Chi può ricevere e gestire le segnalazioni?
Solo soggetti competenti, imparziali e adeguatamente formati, interni o esterni all’organizzazione.

Cosa succede se l’azienda non istituisce i canali interni?
La mancata istituzione dei canali di segnalazione è una violazione autonoma e può comportare sanzioni, come già chiarito in modo puntuale:
https://www.studiolegalecalvello.it/whistleblowing-la-mancata-istituzione-dei-canali-interni-e-delle-relative-procedure-o-istituzione-non-conforme/

Il whistleblowing è compatibile con il GDPR?
Sì, ma solo se il sistema è progettato correttamente. In caso contrario, l’azienda rischia violazioni privacy significative.

Quanto tempo vanno conservate le segnalazioni?
La conservazione della documentazione deve rispettare principi di proporzionalità e limitazione temporale, tema che abbiamo analizzato in modo specifico:
https://www.studiolegalecalvello.it/whistleblowing-conservazione-della-documentazione-inerente-alle-segnalazioni-2/

Il segnalato ha tutele?
Sì. Il sistema deve garantire anche la tutela del segnalato, evitando abusi o segnalazioni strumentali:
https://www.studiolegalecalvello.it/whistleblowing-la-tutela-del-segnalato/

Il whistleblowing tutela anche gli amministratori?
Assolutamente sì. Un sistema conforme rappresenta una prova di diligenza organizzativa e riduce l’esposizione personale dei vertici aziendali.

Perché affidarsi a un supporto legale specializzato

Il whistleblowing obbligatorio non è un adempimento da improvvisare. Un sistema non conforme espone l’azienda a rischi sanzionatori, contestazioni ANAC e criticità organizzative che possono essere evitate solo con un’impostazione corretta fin dall’inizio.

Lo Studio Legale Calvello mette a disposizione un servizio di whistleblowing “chiavi in mano”, pensato per le imprese che desiderano una soluzione completa, conforme e giuridicamente difendibile.
Il servizio include:

• Piattaforma di whistleblowing conforme ai requisiti ANAC, sicura e adeguata alla normativa vigente

• Gestione esterna delle segnalazioni, affidata a soggetto indipendente

• Supporto legale continuativo, dalla progettazione all’operatività del sistema

Puoi approfondire il servizio completo qui: https://www.studiolegalecalvello.it/whistleblowing-ecco-il-nostro-servizio-alle-aziende-chiavi-in-mano/

Verifica ora la conformità della tua azienda

Se desideri sapere se la tua azienda è soggetta all’obbligo di whistleblowing, se il sistema adottato è realmente conforme o se stai valutando l’implementazione di un nuovo canale, è possibile richiedere:

• una consulenza legale personalizzata sull’implementazione del whistleblowing, oppure

• un preventivo dedicato per il servizio chiavi in mano.

Contatta lo Studio Legale Calvello per una consulenza riservata: https://www.studiolegalecalvello.it/consulenza-studio-legale/