Documentazione
Base normativa, criterio di accessibilità e metodologia di monitoraggio.
1. Quadro normativo
Le informazioni sul canale di whistleblowing devono essere pubblicate sul sito dell'ente in modo chiaro e facilmente raggiungibile — non in modo occulto.
- D.Lgs. 24/2023, art. 5, c. 1, lett. e) — il gestore del canale deve mettere a disposizione informazioni chiare su canale interno, procedure e presupposti per le segnalazioni interne ed esterne; tali informazioni devono essere facilmente visibili nei luoghi di lavoro, accessibili anche a chi non frequenta fisicamente l'ente, e — se l'ente ha un sito internet — pubblicate «anche in una sezione dedicata» del sito.
- ANAC — Delibera n. 311/2023 — le amministrazioni devono chiarire, sul sito e nella pagina della piattaforma, le differenze tra segnalazione ordinaria e segnalazione whistleblowing (in assenza di chiara indicazione la segnalazione potrebbe essere trattata come ordinaria).
- ANAC — Linee guida n. 1/2025 (canali interni) — va garantita «la più ampia e capillare diffusione»; l'atto organizzativo/procedura deve avere adeguata visibilità, «anche attraverso la pubblicazione nel sito, in una sezione dedicata, facilmente raggiungibile».
In sintesi: non basta che il link esista tecnicamente. Una collocazione nascosta, non intuitiva, non indicizzata, raggiungibile solo con molti passaggi o con denominazioni ambigue non è coerente con gli obblighi informativi. La collocazione corretta è una pagina/sezione chiaramente denominata (es. «Whistleblowing – Segnalazione di illeciti») con accesso alla piattaforma, istruzioni, soggetto gestore, canale esterno ANAC, presupposti e tutele.
2. Numero di click — criterio di accessibilità
La normativa non fissa un numero massimo di click: il criterio è qualitativo (sezione dedicata, chiara, facilmente visibile/accessibile e raggiungibile). Operativamente però la profondità di navigazione è un indicatore diretto di accessibilità, e questa è la soglia pratica che adottiamo:
| Click dalla homepage | Valutazione |
|---|---|
| 1 click | Ottimale (es. homepage → «Whistleblowing / Segnalazione illeciti»). |
| 2 click | Normalmente difendibile se il percorso è intuitivo (es. homepage → «Amministrazione Trasparente» → «Whistleblowing»). |
| 3 click | Potenzialmente conforme solo se il percorso è standard e chiarissimo (es. homepage → «Amministrazione Trasparente» → «Altri contenuti» → «Prevenzione della corruzione / Whistleblowing»). |
| 4+ click o link occulto | Fortemente contestabile: link sepolto in PDF, footer generico, raggiungibile solo da ricerca interna, pagina senza titolo chiaro, diciture ambigue («istanze varie», «segnalazioni» senza riferimento al whistleblowing). |
Formula prudente: la homepage non è obbligatoria in sé, ma l'accessibilità effettiva sì. Indicativamente non più di 2–3 passaggi dalla homepage; oltre, o con denominazioni non espresse, l'accessibilità del canale può essere contestata.
3. Validazione del contenuto della pagina whistleblowing
Individuare un link «whistleblowing» non basta: verifichiamo che la pagina sia effettivamente la sezione di segnalazione, analizzandone il contenuto (non un semplice match testuale). Metodologia di validazione v1.2 — 2026-06-16
Segnali fondamentali (CORE) — necessari per confermare:
- Tema esplicito — «whistleblowing», «segnalazione illeciti», «D.Lgs. 24/2023», «tutela del segnalante».
- Canale di segnalazione reale e utilizzabile (requisito necessario) — un link a una piattaforma (es. GlobaLeaks, segnalazioni.net), una email/PEC dedicata, o un form: un modo concreto per segnalare, non solo testo descrittivo.
- RPCT / soggetto gestore indicato (chi riceve le segnalazioni).
Segnali di rafforzamento (SUPPORTING) — aumentano la confidenza:
- Canale aperto anche all'esterno — accessibile non solo al personale interno ma a tutti i segnalanti (collaboratori, fornitori, consulenti, ex dipendenti, ecc.), per policy e per accessibilità (es. senza autenticazione con credenziali dell'ente). Nota: il canale esterno ANAC è sempre disponibile per legge e non viene verificato.
- Tutele: riservatezza, divieto di ritorsioni, protezione dell'identità.
- Presupposti: cosa si può segnalare (illeciti, violazioni, corruzione).
- Distinzione segnalazione ordinaria vs whistleblowing (ANAC 311/2023).
- Modalità di anonimato.
- Procedura di gestione delle segnalazioni (descritta in pagina o come PDF).
- Informativa privacy / trattamento dei dati (GDPR).
- Riferimenti di legge espliciti (D.Lgs. 24/2023, art. 54-bis, Dir. UE 2019/1937, ecc.).
Segnali negativi — abbassano o escludono:
- «Segnalazione disservizi/guasti», «segnala un problema» senza contesto anticorruzione.
- Pagina «contatti» generica; solo un PDF senza informazioni in pagina.
Esiti della validazione:
| Confermata | Tema esplicito e canale reale utilizzabile presenti. |
| Informativa (senza canale) | Tema e segnali di rafforzamento presenti, ma nessun canale linkato → pagina presente ma incompleta. |
| Falso positivo | Solo keyword (menu/footer) o prevalenza di segnali negativi → non è la sezione whistleblowing. |
La validazione è applicata sia dal validatore Claude (legge la pagina e applica i criteri) sia dal detector automatico Python, in modo coerente.
- v1.2 (2026-06-16) — ridefinito il "canale esterno": non più il canale ANAC (sempre disponibile per legge, non verificabile) ma l'apertura del canale anche ai segnalanti esterni (non solo personale interno), per policy e accessibilità.
- v1.1 (2026-06-16) — su indicazione dell'esperto WBPA aggiunti tre elementi SUPPORTING: informativa privacy, riferimenti di legge espliciti, e procedura riconosciuta anche se descritta in pagina (non solo come PDF). 11 elementi totali.
- v1.0 (2026-06-16) — prima definizione: CORE (tema + canale reale necessario + RPCT), SUPPORTING, NEGATIVE; tre esiti (confermata / informativa-senza-canale / falso positivo).
4. Metodologia di monitoraggio
Per ogni ente nel registro IndicePA misuriamo, in modo tracciabile e ripetibile:
- Pipeline di connessione — dal totale enti al «bucket netto»: con sito indicato →
dominio che risolve (DNS) → connessione riuscita → risposta
HTTP 200. Il bucket netto è il denominatore di tutte le altre statistiche. - Discovery della sezione WB — strategie concatenate (link diretto, voce di menu, macro-sezioni Compliance/Governance, Amministrazione/Società Trasparente, sitemap, crawl profondo, canale su piattaforma esterna). Ogni tentativo e il suo esito sono registrati per ente.
- Click dalla homepage — stima dei click necessari a raggiungere la pagina WB (vedi §2), come indicatore di accessibilità.
- Analisi del contenuto — validazione che la sezione trovata sia effettivamente quella whistleblowing (non un semplice match testuale) e, per i siti dove non viene trovata, rielaborazione con discovery più approfondita.
- Resilienza — i timeout transienti vengono ritentati con backoff esponenziale (anche da IP/VPN diversi); i motivi di irraggiungibilità sono registrati analiticamente.
5. Cosa misuriamo (sintesi)
Per ogni ente raccogliamo, in modo tracciabile e ripetibile, le seguenti dimensioni.
Raggiungibilità del sito
| Sito indicato (IndicePA) | l'ente ha un sito istituzionale |
| Dominio risolve (DNS) | il dominio esiste/risponde |
| Connessione riuscita | TCP/TLS stabilita |
| Risponde HTTP 200 (bucket netto) | denominatore di tutte le altre percentuali |
| Causa irraggiungibilità | DNS morto / timeout / blocco WAF-IP / errore SSL |
| Egress + resilienza | IP datacenter/residenziale/VPN; retry con backoff (n. tentativi ed esito) |
Discovery e accessibilità della sezione WB
| Sezione WB trovata + URL | sì/no e link individuato |
| Metodo di discovery | menu / Amm. Trasparente / Società Trasparente / macro-sezione (Compliance…) / sitemap / piattaforma esterna |
| Click dalla homepage | 1 ottimale · 2 ok · 3 borderline · 4+ contestabile |
Validazione qualitativa del contenuto (rubrica v1.1 — 11 elementi)
| Esito | confermata · informativa (senza canale) · falso positivo + punteggio /11 |
| Tema (cos'è il WB) | spiegazione/riferimento al whistleblowing |
| Canale utilizzabile | piattaforma / email-PEC / form effettivamente utilizzabile |
| Canale aperto all'esterno | accessibile a tutti i segnalanti (non solo personale interno): per policy e per accessibilità (es. senza credenziali dell'ente). Il canale ANAC è sempre disponibile e non si verifica. |
| Riferimenti di legge | D.Lgs. 24/2023, art. 54-bis, Dir. UE 2019/1937… |
| Procedura gestione segnalazioni | in pagina o come PDF |
| Informativa privacy | trattamento dati / GDPR |
| RPCT / soggetto gestore | indicato |
| Tutele · Presupposti · Distinzione ord./WB · Anonimato | elementi di completezza |
Canale digitale: software, anonimato e autenticazione
| Canale digitale | presente / raggiungibile / tipo (piattaforma, email, form) |
| Software | presenza e quale piattaforma (es. GlobaLeaks / WhistleblowingPA), versione e confidenza dell'identificazione |
| Segnalazione anonima | il canale consente di segnalare in forma anonima |
| Autenticazione richiesta | se invece occorre autenticarsi, e con quali credenziali: credenziali interne dell'ente, SPID o CIE |
| Autenticazione forte (SPID/CIE) | requisito di credenziali forti = potenziale ostacolo all'accessibilità del canale |
RPCT e incrocio con il registro WhistleblowingPA
| RPCT | nominativo e contatti (da pagina e/o dataset ANAC, con riconciliazione) |
| Presente in WhistleblowingPA | canale su whistleblowing.it (GlobaLeaks); stato registro (Registrata/Cancellata) |
| Stato live dei link | canale piattaforma e pagina pubblica online/offline; anomalie (registrata-ma-offline, cancellata-ma-online) |
Trasversalmente, per ogni ente e ogni step registriamo esito (ok/fallito/parziale), metodo usato e motivo del fallimento. Sintesi v1.2 — 2026-06-16
Riferimenti
- D.Lgs. 24/2023, art. 5
- ANAC Delibera 311/2023
- ANAC Linee guida 1/2025
- Dashboard diagnostica