Guide pratiche

Whistleblowing D.Lgs 24/2023: Chi è Obbligato e Come Implementarlo

Il D.Lgs 24/2023 impone alle aziende oltre 50 dipendenti (e ad altre categorie) un canale di segnalazione interno per illeciti. Sanzioni fino a 50.000 €. Vediamo chi è obbligato e come adempiere.

Team Ingenia 30 April 2026
Whistleblowing D.Lgs 24/2023: Chi è Obbligato e Come Implementarlo

Il D.Lgs 24/2023 ha rivoluzionato il quadro normativo del whistleblowing in Italia recependo la Direttiva UE 2019/1937. Da metà 2023 (per le aziende grandi) e dal 17 dicembre 2023 (per quelle più piccole), le aziende italiane sono obbligate a fornire un canale interno di segnalazione con tutele specifiche per il segnalante. Le sanzioni per inadempimento arrivano a 50.000 €. Ecco cosa devi sapere e come adempiere.

Cosa è il whistleblowing

Il whistleblowing è la segnalazione di illeciti, irregolarità o violazioni di norme che il segnalante (whistleblower) ha conosciuto in ambito lavorativo. Tipologie di violazioni segnalabili:

  • Illeciti penali (corruzione, frode, riciclaggio).
  • Illeciti amministrativi.
  • Violazioni del modello 231/2001.
  • Violazioni di normative di settore (finanziario, ambiente, sicurezza).
  • Violazioni dei diritti dei lavoratori.
  • Violazioni privacy / GDPR.
  • Mobbing e discriminazioni.

Chi è obbligato per legge

Il D.Lgs 24/2023 (art. 2) si applica a:

Soggetti del settore privato

Aziende che, nell'ultimo anno, hanno impiegato in media almeno 50 lavoratori subordinati con contratti a tempo indeterminato o determinato.

Soggetti del settore privato con modello 231

Aziende di qualsiasi dimensione che hanno adottato il modello organizzativo D.Lgs 231/2001. Anche con 5 dipendenti, se hai il modello 231, sei obbligato.

Soggetti del settore privato in settori regolamentati

Aziende che operano in settori specifici (servizi finanziari, prevenzione riciclaggio, sicurezza dei trasporti, tutela ambiente) indipendentemente dal numero di dipendenti.

Settore pubblico

Tutte le pubbliche amministrazioni: comuni, regioni, ministeri, enti pubblici economici, aziende sanitarie, ecc.

Le scadenze già scattate

SoggettoScadenza
Aziende private >249 dipendenti15 luglio 2023
Aziende private 50-249 dipendenti17 dicembre 2023
Aziende con modello 231 (qualsiasi dim.)17 dicembre 2023
Pubbliche amministrazioni15 luglio 2023

Se la tua azienda rientra in queste categorie e non hai ancora un canale di segnalazione conforme, sei già fuori legge.

Le sanzioni

L'art. 21 prevede sanzioni amministrative pecuniarie irrogate da ANAC:

  • 10.000 - 50.000 € per:
    • Mancata istituzione del canale.
    • Mancata adozione delle procedure.
    • Adozione di procedure non conformi.
    • Mancato svolgimento dell'attività di verifica.
  • 10.000 - 50.000 € per ritorsioni, ostruzionismo, violazione obbligo riservatezza.
  • 500 - 2.500 € per il segnalante in caso di segnalazione manifestamente infondata fatta con dolo o colpa grave.

Queste sanzioni si cumulano: aziende inadempienti possono accumulare multe importanti rapidamente.

Cosa deve fare l'azienda obbligata

1. Istituire il canale interno

Un canale "stabile" che permetta di:

  • Effettuare segnalazioni in forma scritta o orale.
  • Mantenere la riservatezza dell'identità del segnalante.
  • Garantire integrità delle informazioni.
  • Conservare le segnalazioni per 5 anni dalla loro chiusura.

Il canale deve essere accessibile a:

  • Dipendenti.
  • Lavoratori autonomi e collaboratori.
  • Tirocinanti.
  • Volontari.
  • Azionisti, organi di amministrazione, controllo, vigilanza.
  • Persone in periodo di prova o pre-contrattuale.
  • Ex dipendenti per fatti accaduti durante il rapporto.
  • Fornitori e subfornitori.

2. Designare un gestore segnalazioni

Il gestore deve essere:

  • Indipendente da HR e management operativo.
  • Formato sulla normativa.
  • Imparziale.
  • Soggetto a obbligo di riservatezza.

Può essere interno (es. compliance officer, organismo di vigilanza, internal audit) o esterno (es. studio legale, società di consulenza specializzata).

3. Adottare procedure scritte

Procedura di gestione segnalazioni che descriva:

  • Modalità di invio segnalazione (web, email, posta, verbale).
  • Tempi: presa in carico entro 7 giorni, conclusione entro 3 mesi.
  • Modalità di comunicazione col segnalante.
  • Tutele e diritti del segnalante.
  • Modalità di archiviazione.

4. Formare i dipendenti

Comunicare a tutti i dipendenti l'esistenza del canale, come accedervi, quali tutele esistono. Tipicamente tramite:

  • Email aziendale.
  • Bacheche aziendali.
  • Intranet.
  • Eventuale formazione strutturata.

5. Adottare informativa privacy GDPR

Documento dedicato al trattamento dati nel processo whistleblowing, con specifico riferimento alle modalità di tutela del segnalante.

Le 3 opzioni implementative

Opzione 1: piattaforma SaaS specializzata

Software dedicato cloud (come Whistleblowing HRPRO) con:

  • Form pubblico.
  • Crittografia end-to-end.
  • Workflow gestione.
  • Conservazione 5 anni.
  • Reportistica ANAC.

Costo: 50-300 €/mese.
Vantaggio: pronto, conforme, manutenzione automatica.
Svantaggio: dipendenza dal fornitore.

Opzione 2: sviluppo interno

Sviluppare un canale ad-hoc internamente.

Costo: 15.000-50.000 € sviluppo + manutenzione.
Vantaggio: controllo totale.
Svantaggio: complessità, rischio di non conformità.

Opzione 3: outsourcing al gestore esterno

Affidare la gestione segnalazioni completa a uno studio legale o società specializzata che fornisce sia la piattaforma che il gestore.

Costo: 1.500-6.000 €/anno.
Vantaggio: massima imparzialità, gestione professionale.
Svantaggio: meno integrazione con l'azienda.

Cosa NON funziona (più)

Pratiche non più conformi al D.Lgs 24/2023:

  • Email aziendale "anonima" tipo segnalazioni@azienda.it: NON è anonima, l'IT vede header, IP, ecc.
  • Cassetta postale fisica: ancora ammessa come canale aggiuntivo, non come unico.
  • Numero verde generico: ammesso solo se accompagnato da garanzie di riservatezza specifiche.
  • Procedura solo cartacea: insufficiente per la maggioranza delle aziende.

Tempistiche e roadmap

Per chi parte adesso (in ritardo rispetto alle scadenze):

MeseAttività
1Scelta piattaforma, designazione gestore
2Configurazione, redazione procedure e informativa GDPR
3Comunicazione ai dipendenti, formazione
4Go-live e eventuali test

Cosa rischi se sei già in ritardo

Aziende che dovevano adempiere a luglio o dicembre 2023 e non l'hanno fatto:

  • Sanzioni potenziali da 10.000 a 50.000 €.
  • In caso di ispezione ANAC: certa applicazione delle sanzioni.
  • Anche un singolo dipendente che lo richiede al sindacato può attivare segnalazione ad ANAC.

Implementare adesso è sempre meglio che continuare ad essere inadempienti.

I moduli HRPRO per il whistleblowing

Scopri HRPRO e adempi al D.Lgs 24/2023 senza rischi.

Continua a leggere

Altri articoli

Credito imposta transizione digitale: come valutarlo

Credito imposta transizione digitale: come valutarlo

04 May 2026
ISO 27018 e protezione dati cloud

ISO 27018 e protezione dati cloud

03 May 2026
ISO 27017 cloud compliance per le imprese

ISO 27017 cloud compliance per le imprese

02 May 2026

Pronto a trasformare il tuo business?

Raccontaci il tuo progetto. Ti risponderemo entro 24 ore.