Monitoraggio indipendente dei canali di whistleblowing

Documentazione

Base normativa, criterio di accessibilità e metodologia di monitoraggio.

1. Quadro normativo

Le informazioni sul canale di whistleblowing devono essere pubblicate sul sito dell'ente in modo chiaro e facilmente raggiungibile — non in modo occulto.

  • D.Lgs. 24/2023, art. 5, c. 1, lett. e) — il gestore del canale deve mettere a disposizione informazioni chiare su canale interno, procedure e presupposti per le segnalazioni interne ed esterne; tali informazioni devono essere facilmente visibili nei luoghi di lavoro, accessibili anche a chi non frequenta fisicamente l'ente, e — se l'ente ha un sito internet — pubblicate «anche in una sezione dedicata» del sito.
  • ANAC — Delibera n. 311/2023 — le amministrazioni devono chiarire, sul sito e nella pagina della piattaforma, le differenze tra segnalazione ordinaria e segnalazione whistleblowing (in assenza di chiara indicazione la segnalazione potrebbe essere trattata come ordinaria).
  • ANAC — Linee guida n. 1/2025 (canali interni) — va garantita «la più ampia e capillare diffusione»; l'atto organizzativo/procedura deve avere adeguata visibilità, «anche attraverso la pubblicazione nel sito, in una sezione dedicata, facilmente raggiungibile».

In sintesi: non basta che il link esista tecnicamente. Una collocazione nascosta, non intuitiva, non indicizzata, raggiungibile solo con molti passaggi o con denominazioni ambigue non è coerente con gli obblighi informativi. La collocazione corretta è una pagina/sezione chiaramente denominata (es. «Whistleblowing – Segnalazione di illeciti») con accesso alla piattaforma, istruzioni, soggetto gestore, canale esterno ANAC, presupposti e tutele.

2. Numero di click — criterio di accessibilità

La normativa non fissa un numero massimo di click: il criterio è qualitativo (sezione dedicata, chiara, facilmente visibile/accessibile e raggiungibile). Operativamente però la profondità di navigazione è un indicatore diretto di accessibilità, e questa è la soglia pratica che adottiamo:

Click dalla homepageValutazione
1 clickOttimale (es. homepage → «Whistleblowing / Segnalazione illeciti»).
2 clickNormalmente difendibile se il percorso è intuitivo (es. homepage → «Amministrazione Trasparente» → «Whistleblowing»).
3 clickPotenzialmente conforme solo se il percorso è standard e chiarissimo (es. homepage → «Amministrazione Trasparente» → «Altri contenuti» → «Prevenzione della corruzione / Whistleblowing»).
4+ click o link occultoFortemente contestabile: link sepolto in PDF, footer generico, raggiungibile solo da ricerca interna, pagina senza titolo chiaro, diciture ambigue («istanze varie», «segnalazioni» senza riferimento al whistleblowing).

Formula prudente: la homepage non è obbligatoria in sé, ma l'accessibilità effettiva sì. Indicativamente non più di 2–3 passaggi dalla homepage; oltre, o con denominazioni non espresse, l'accessibilità del canale può essere contestata.

3. Validazione del contenuto della pagina whistleblowing

Individuare un link «whistleblowing» non basta: verifichiamo che la pagina sia effettivamente la sezione di segnalazione, analizzandone il contenuto (non un semplice match testuale). Metodologia di validazione v1.2 — 2026-06-16

Segnali fondamentali (CORE) — necessari per confermare:

  • Tema esplicito — «whistleblowing», «segnalazione illeciti», «D.Lgs. 24/2023», «tutela del segnalante».
  • Canale di segnalazione reale e utilizzabile (requisito necessario) — un link a una piattaforma (es. GlobaLeaks, segnalazioni.net), una email/PEC dedicata, o un form: un modo concreto per segnalare, non solo testo descrittivo.
  • RPCT / soggetto gestore indicato (chi riceve le segnalazioni).

Segnali di rafforzamento (SUPPORTING) — aumentano la confidenza:

  • Canale aperto anche all'esterno — accessibile non solo al personale interno ma a tutti i segnalanti (collaboratori, fornitori, consulenti, ex dipendenti, ecc.), per policy e per accessibilità (es. senza autenticazione con credenziali dell'ente). Nota: il canale esterno ANAC è sempre disponibile per legge e non viene verificato.
  • Tutele: riservatezza, divieto di ritorsioni, protezione dell'identità.
  • Presupposti: cosa si può segnalare (illeciti, violazioni, corruzione).
  • Distinzione segnalazione ordinaria vs whistleblowing (ANAC 311/2023).
  • Modalità di anonimato.
  • Procedura di gestione delle segnalazioni (descritta in pagina o come PDF).
  • Informativa privacy / trattamento dei dati (GDPR).
  • Riferimenti di legge espliciti (D.Lgs. 24/2023, art. 54-bis, Dir. UE 2019/1937, ecc.).

Segnali negativi — abbassano o escludono:

  • «Segnalazione disservizi/guasti», «segnala un problema» senza contesto anticorruzione.
  • Pagina «contatti» generica; solo un PDF senza informazioni in pagina.

Esiti della validazione:

ConfermataTema esplicito e canale reale utilizzabile presenti.
Informativa (senza canale)Tema e segnali di rafforzamento presenti, ma nessun canale linkato → pagina presente ma incompleta.
Falso positivoSolo keyword (menu/footer) o prevalenza di segnali negativi → non è la sezione whistleblowing.

La validazione è applicata sia dal validatore Claude (legge la pagina e applica i criteri) sia dal detector automatico Python, in modo coerente.

Versione & changelog della metodologia di validazione
  • v1.2 (2026-06-16) — ridefinito il "canale esterno": non più il canale ANAC (sempre disponibile per legge, non verificabile) ma l'apertura del canale anche ai segnalanti esterni (non solo personale interno), per policy e accessibilità.
  • v1.1 (2026-06-16) — su indicazione dell'esperto WBPA aggiunti tre elementi SUPPORTING: informativa privacy, riferimenti di legge espliciti, e procedura riconosciuta anche se descritta in pagina (non solo come PDF). 11 elementi totali.
  • v1.0 (2026-06-16) — prima definizione: CORE (tema + canale reale necessario + RPCT), SUPPORTING, NEGATIVE; tre esiti (confermata / informativa-senza-canale / falso positivo).

4. Metodologia di monitoraggio

Per ogni ente nel registro IndicePA misuriamo, in modo tracciabile e ripetibile:

  1. Pipeline di connessione — dal totale enti al «bucket netto»: con sito indicato → dominio che risolve (DNS) → connessione riuscita → risposta HTTP 200. Il bucket netto è il denominatore di tutte le altre statistiche.
  2. Discovery della sezione WB — strategie concatenate (link diretto, voce di menu, macro-sezioni Compliance/Governance, Amministrazione/Società Trasparente, sitemap, crawl profondo, canale su piattaforma esterna). Ogni tentativo e il suo esito sono registrati per ente.
  3. Click dalla homepage — stima dei click necessari a raggiungere la pagina WB (vedi §2), come indicatore di accessibilità.
  4. Analisi del contenuto — validazione che la sezione trovata sia effettivamente quella whistleblowing (non un semplice match testuale) e, per i siti dove non viene trovata, rielaborazione con discovery più approfondita.
  5. Resilienza — i timeout transienti vengono ritentati con backoff esponenziale (anche da IP/VPN diversi); i motivi di irraggiungibilità sono registrati analiticamente.

5. Cosa misuriamo (sintesi)

Per ogni ente raccogliamo, in modo tracciabile e ripetibile, le seguenti dimensioni.

Raggiungibilità del sito
Sito indicato (IndicePA)l'ente ha un sito istituzionale
Dominio risolve (DNS)il dominio esiste/risponde
Connessione riuscitaTCP/TLS stabilita
Risponde HTTP 200 (bucket netto)denominatore di tutte le altre percentuali
Causa irraggiungibilitàDNS morto / timeout / blocco WAF-IP / errore SSL
Egress + resilienzaIP datacenter/residenziale/VPN; retry con backoff (n. tentativi ed esito)
Discovery e accessibilità della sezione WB
Sezione WB trovata + URLsì/no e link individuato
Metodo di discoverymenu / Amm. Trasparente / Società Trasparente / macro-sezione (Compliance…) / sitemap / piattaforma esterna
Click dalla homepage1 ottimale · 2 ok · 3 borderline · 4+ contestabile
Validazione qualitativa del contenuto (rubrica v1.1 — 11 elementi)
Esitoconfermata · informativa (senza canale) · falso positivo + punteggio /11
Tema (cos'è il WB)spiegazione/riferimento al whistleblowing
Canale utilizzabilepiattaforma / email-PEC / form effettivamente utilizzabile
Canale aperto all'esternoaccessibile a tutti i segnalanti (non solo personale interno): per policy e per accessibilità (es. senza credenziali dell'ente). Il canale ANAC è sempre disponibile e non si verifica.
Riferimenti di leggeD.Lgs. 24/2023, art. 54-bis, Dir. UE 2019/1937…
Procedura gestione segnalazioniin pagina o come PDF
Informativa privacytrattamento dati / GDPR
RPCT / soggetto gestoreindicato
Tutele · Presupposti · Distinzione ord./WB · Anonimatoelementi di completezza
Canale digitale: software, anonimato e autenticazione
Canale digitalepresente / raggiungibile / tipo (piattaforma, email, form)
Softwarepresenza e quale piattaforma (es. GlobaLeaks / WhistleblowingPA), versione e confidenza dell'identificazione
Segnalazione anonimail canale consente di segnalare in forma anonima
Autenticazione richiestase invece occorre autenticarsi, e con quali credenziali: credenziali interne dell'ente, SPID o CIE
Autenticazione forte (SPID/CIE)requisito di credenziali forti = potenziale ostacolo all'accessibilità del canale
RPCT e incrocio con il registro WhistleblowingPA
RPCTnominativo e contatti (da pagina e/o dataset ANAC, con riconciliazione)
Presente in WhistleblowingPAcanale su whistleblowing.it (GlobaLeaks); stato registro (Registrata/Cancellata)
Stato live dei linkcanale piattaforma e pagina pubblica online/offline; anomalie (registrata-ma-offline, cancellata-ma-online)

Trasversalmente, per ogni ente e ogni step registriamo esito (ok/fallito/parziale), metodo usato e motivo del fallimento. Sintesi v1.2 — 2026-06-16

Avvertenza. Le valutazioni di accessibilità qui riportate sono indicative e a fini di monitoraggio civico; non costituiscono un parere legale né un accertamento di (non) conformità, che competono alle autorità preposte (ANAC).
Riferimenti