Guide pratiche

Come Implementare un Canale di Segnalazione Whistleblowing in Azienda

Implementare un canale whistleblowing conforme al D.Lgs 24/2023 richiede 4 step: scelta piattaforma, designazione gestore, redazione procedure, comunicazione ai dipendenti. Ecco la roadmap.

Team Ingenia 30 April 2026
Come Implementare un Canale di Segnalazione Whistleblowing in Azienda

Hai capito che la tua azienda è obbligata al canale di segnalazione (D.Lgs 24/2023). Bene. Ma come si implementa concretamente? Quali decisioni operative prendere? Chi designare gestore? Cosa scrivere nelle procedure? Come comunicarlo ai dipendenti senza creare allarme? Ecco la roadmap operativa in 4 fasi e 8-12 settimane.

Le 4 fasi della transizione

Fase 1: Scelta piattaforma (settimana 1-2)

Fase 2: Designazione gestore e procedure (settimana 3-5)

Fase 3: Configurazione tecnica e formazione (settimana 6-8)

Fase 4: Comunicazione e go-live (settimana 9-12)

Fase 1: scelta piattaforma

Criteri di valutazione

Una piattaforma whistleblowing conforme al D.Lgs 24/2023 deve avere:

  • Form pubblico accessibile senza credenziali.
  • Anonimato totale per il segnalante (no IP, no email obbligatoria).
  • Crittografia end-to-end dei contenuti.
  • Codice univoco per follow-up segnalante.
  • Chat anonima bidirezionale.
  • Workflow gestione con stati (ricevuta, in carico, indagine, chiusa).
  • Audit log immodificabile.
  • Conservazione cifrata 5 anni.
  • Reportistica ANAC.
  • SLA conformi (alert su 7 gg presa in carico, 3 mesi chiusura).
  • Multi-utente per più gestori.
  • White-label: brand della tua azienda.

Domande al fornitore

  1. Dove sono ospitati i dati? (UE preferito, no extra-UE per GDPR)
  2. Come viene gestita la chiave di cifratura?
  3. Come viene gestita l'identità del segnalante?
  4. Avete certificazioni ISO 27001 / 37002?
  5. Quali audit indipendenti avete superato?
  6. Cosa succede se cambio fornitore? (esportazione dati)
  7. Costi nascosti? (per utente, per segnalazione, per anno)

Verifica conformità

Prima di firmare, controlla:

  • Privacy policy specifica per whistleblowing.
  • DPA (Data Processing Agreement) GDPR.
  • Eventuali certificazioni mostrabili.
  • Test del form (provare a fare una segnalazione fittizia anonima).

Fase 2: designazione gestore e procedure

Chi designare gestore

Il D.Lgs 24/2023 richiede che il gestore sia indipendente. Le opzioni:

Gestore interno

  • Compliance Officer: ruolo dedicato a compliance.
  • Organismo di Vigilanza (OdV) per aziende con modello 231.
  • Internal Audit: funzione di controllo interna.
  • Legal Counsel: ufficio legale interno.

Vantaggio: conoscenza dell'azienda.
Svantaggio: rischio percepito di non indipendenza.

Gestore esterno

  • Studio legale specializzato.
  • Società di consulenza.
  • Professionista indipendente.

Vantaggio: imparzialità percepita.
Svantaggio: meno conoscenza dell'azienda, costi.

Soluzione mista

Gestore interno + supervisione di un soggetto esterno per casi delicati. Tipico delle aziende medio-grandi.

Cosa NON può essere il gestore

  • Il direttore HR (conflitto di interesse).
  • Il manager del personale.
  • L'amministratore delegato.
  • Chi è coinvolto nella gestione disciplinare.

Redazione procedure

Procedura di gestione segnalazioni (10-15 pagine tipiche):

  1. Premessa normativa: D.Lgs 24/2023, Direttiva UE 2019/1937.
  2. Ambito di applicazione: chi può segnalare, cosa segnalare.
  3. Canale di segnalazione: web, email, deposito, incontro.
  4. Tutele del segnalante: riservatezza, divieto ritorsioni, sanzioni a chi viola.
  5. Workflow gestione:
    • Ricezione (immediata).
    • Presa in carico (entro 7 giorni).
    • Eventuale richiesta integrazioni.
    • Indagine (con interviste, evidenze).
    • Decisione (entro 3 mesi, max 6 con motivazione).
    • Comunicazione al segnalante.
    • Eventuali azioni correttive.
  6. Conservazione: 5 anni cifrata.
  7. Trattamento dati personali: rinvio a informativa GDPR.
  8. Sanzioni per violazioni.
  9. Modifiche e revisione periodica (annuale).

Adottata con delibera del CdA o procedura interna del management. Pubblicata sull'intranet aziendale.

Informativa GDPR specifica

Documento dedicato al trattamento dati nel processo whistleblowing:

  • Titolare del trattamento (l'azienda).
  • DPO (se nominato).
  • Finalità: gestione segnalazione, tutela ordine pubblico, conformità normativa.
  • Base giuridica: obbligo legale (art. 6.1.c GDPR).
  • Categorie dati: a seconda del contenuto della segnalazione.
  • Periodo conservazione: 5 anni.
  • Eventuali destinatari (autorità in caso di violazioni).
  • Diritti dell'interessato (con limitazioni in caso di indagine in corso).

Fase 3: configurazione tecnica e formazione

Configurazione piattaforma

  • URL personalizzato (es. segnalazioni.tuaazienda.it).
  • Brand aziendale (logo, colori).
  • Categorie di segnalazione configurate.
  • Workflow gestione.
  • Permessi per gestore (e backup gestore).
  • Test di funzionalità.

Formazione del gestore

Il gestore deve essere formato su:

  • Normativa D.Lgs 24/2023 e GDPR.
  • Procedura aziendale.
  • Tecniche di intervista.
  • Gestione confidenzialità.
  • Software piattaforma.

Formazione tipica: 8-16 ore. Aggiornamenti annuali.

Formazione altri ruoli

Se nelle indagini possono essere coinvolti altri (audit, legal, HR per aspetti giuslavoristici), formazione specifica su obblighi di riservatezza.

Fase 4: comunicazione ai dipendenti

Come comunicare

Comunicazione strategica, non solo "compliance":

Tono giusto

  • Positivo: "vogliamo un'azienda etica e trasparente".
  • Tutelante: "tutela del segnalante prima di tutto".
  • NON allarmistico: "se vedi qualcosa di sbagliato".
  • NON delazione: "questo non è un sistema per spiarsi".

Canali

  • Email aziendale a tutti i dipendenti.
  • Bacheca fisica (per dipendenti senza email).
  • Intranet con link permanente.
  • Pillola informativa di 30 minuti (online o presenza).
  • Mention durante riunioni di reparto.

Materiali

  • Documento sintetico "cosa è il whistleblowing in azienda".
  • FAQ.
  • Procedura completa (link).
  • Informativa GDPR.
  • Locandina con QR code per accesso veloce al canale.

Come NON comunicare

  • Email vaga "abbiamo adottato un canale whistleblowing per adempiere alla normativa": fa percepire il canale come obbligo formale, non come strumento utile.
  • Comunicazione solo via PDF allegato lungo: nessuno lo legge.
  • Senza spiegare le tutele: i dipendenti non si fidano.
  • Senza spiegare cosa si può segnalare: arrivano segnalazioni inappropriate (es. lamentele HR).

Go-live: cosa aspettarsi

Primi 30 giorni

  • 0-2 segnalazioni "vere".
  • Eventuali "test" da dipendenti curiosi (segnalazioni non significative).
  • Domande al gestore su come funziona.

Primo anno

  • Tipicamente 1-5 segnalazioni per 100 dipendenti.
  • Variabilità per settore (più alte in finanziario, costruzioni).
  • % fondate: 30-50% tipicamente.

Trend

  • Numerosità segnalazioni stabile dopo il primo anno.
  • Importante il follow-up: se le prime segnalazioni vengono gestite bene, dipendenti si fidano e usano il canale.

Errori da evitare

  • Implementazione "tagliata col rasoio": solo per adempiere, senza convinzione. Risultato: nessuno la usa.
  • Gestore non indipendente: rischio sanzioni e contenziosi.
  • Comunicazione assente: dipendenti non sanno che c'è.
  • Risposte lente alle prime segnalazioni: distrugge la fiducia.
  • Reazione punitiva verso un segnalante (anche solo percepita): rischio sanzioni 50.000 €.

I moduli HRPRO per implementare

Scopri HRPRO e implementa il canale whistleblowing in 8-12 settimane.

Continua a leggere

Altri articoli

Credito imposta transizione digitale: come valutarlo

Credito imposta transizione digitale: come valutarlo

04 May 2026
ISO 27018 e protezione dati cloud

ISO 27018 e protezione dati cloud

03 May 2026
ISO 27017 cloud compliance per le imprese

ISO 27017 cloud compliance per le imprese

02 May 2026

Pronto a trasformare il tuo business?

Raccontaci il tuo progetto. Ti risponderemo entro 24 ore.