Whistleblowing: i rischi per le imprese e per il segnalante

| Approfondimenti

Compliance & Risk Management | giugno 2026

In questo numero della Newsletter Compliance & Risk Management, i professionisti delle Service Line 231/Privacy di Andersen hanno approfondito i rischi per le imprese e per il segnalante al fine di evidenziare l’importanza, sempre più crescente, di adottare apposite misure tecniche e organizzative in grado di mitigare i rischi derivanti dall’applicazione della normativa whistleblowing, migliorando così la propria governance e la propria resilienza.

Il mancato adeguamento alla normativa whistleblowing: inadempienze e responsabilità

A quasi tre anni dall’entrata in vigore del D.Lgs. 24/2023, molte organizzazioni continuano a sottovalutare gli obblighi introdotti dalla disciplina whistleblowing.

Le imprese tenute all’applicazione della normativa devono garantire la presenza di canali interni che assicurino la riservatezza dell’identità del segnalante, delle persone coinvolte e del contenuto della segnalazione, nonché definire un processo di gestione chiaro, tracciabile e conforme alla disciplina in materia di protezione dei dati personali.

Il mancato adeguamento può esporre l’ente a rilevanti conseguenze. Il D.Lgs. 24/2023 attribuisce infatti all’ANAC il potere di irrogare sanzioni amministrative pecuniarie nei confronti delle organizzazioni che omettano di attivare i canali di segnalazione obbligatori o che adottino procedure non conformi ai requisiti di legge. Accanto al rischio sanzionatorio, non devono essere trascurati gli impatti reputazionali e organizzativi. L’assenza di un sistema efficace di segnalazione può infatti compromettere la capacità dell’ente di intercettare tempestivamente condotte illecite, irregolarità operative o violazioni normative, con possibili ricadute economiche e reputazionali.

Gestione delle segnalazioni e trattamento dei dati personali: aumentano i rischi di data breach

La gestione delle segnalazioni (whistleblowing) comporta nuove e complesse sfide per la sicurezza aziendale, posizionando la protezione dei dati personali in cima alle priorità. In questo scenario, il rischio di un data breach non è più un’ipotesi remota, ma una minaccia concreta. Le segnalazioni, infatti, possono contenere, oltre ai dati personali comuni (dati identificativi del segnalante e del segnalato), anche categorie particolari di dati personali (c.d. “dati sensibili”).

Se questi dati vengono sottratti a causa di accessi non autorizzati, attacchi informatici o banalmente per un errore umano, le conseguenze per l’organizzazione sono rilevanti. Un data breach può comportare non solo pesanti sanzioni pecuniarie da parte dell’Autorità Garante per la privacy, ma anche danni reputazionali che minano la fiducia dei dipendenti e degli stakeholder. Resta inteso che nessun lavoratore utilizzerà i canali di segnalazione se teme che la propria identità possa essere esposta. Per mitigare questo rischio, le aziende devono adottare un approccio basato sulla “privacy by design e by default“. È fondamentale implementare canali di comunicazione criptati, limitare l’accesso ai soli soggetti formalmente autorizzati e formare costantemente il personale addetto alla gestione delle segnalazioni.

I rischi di una segnalazione infondata

La tutela riconosciuta al segnalante non è illimitata: le protezioni previste dalla legge non si applicano a chi effettua una segnalazione infondata con dolo o colpa grave. Sul piano interno, l’azienda può avviare un procedimento disciplinare per l’utilizzo scorretto del canale di segnalazione, fino all’applicazione delle sanzioni previste dal sistema disciplinare aziendale.

Sul piano civile, il soggetto segnalato potrebbe agire per ottenere il risarcimento dei danni provocati dalla segnalazione infondata. Le segnalazioni infondate, inoltre, potrebbero integrare le fattispecie penali di diffamazione o calunnia.

Il canale di segnalazione non richiede la certezza dell’illecito, ma presuppone che il segnalante agisca in buona fede, sulla base di informazioni attendibili e verificabili. Utilizzare il canale whistleblowing per finalità ritorsive, personali o strumentali significa esporsi a rischi che possono essere ben più gravi dei benefici che la normativa riconosce a chi segnala correttamente.