Qualora venga accertata l’assenza di procedure per l’inoltro e la gestione delle segnalazioni ovvero l’adozione di procedure non conformi a quelle di cui al comma 5, l’ANAC applica al responsabile la sanzione amministrativa pecuniaria da 10.000 a 50.000 euro.
Qualora venga accertato il mancato svolgimento da parte del responsabile di attività di verifica e analisi delle segnalazioni ricevute si applica al responsabile la sanzione amministrativa pecuniaria da 10.000 a 50.000 euro.

L’ANAC determina l’entità della sanzione tenuto conto delle dimensioni dell’amministrazione o dell’ente cui si riferisce la segnalazione.

Dal 4 dicembre 2018 è entrato in vigore il “Regolamento sull’esercizio del potere sanzionatorio in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui all’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)”.

Si tratta del documento, pubblicato nella Gazzetta Ufficiale Serie Generale n. 269 del 19 novembre 2018,  che disciplina il potere sanzionatorio dell’ANAC nei confronti dei soggetti che hanno in qualsiasi modo discriminato i “whistleblowers”, ovvero coloro che hanno segnalato delle irregolarità o reati all’interno di un’amministrazione.

Il c. 5 dell’art. 54 bis del D.Lgs 165/2001 richiama al rispetto delle linee guida dell'ANAC che prevedono l'utilizzo di modalità anche informatiche e promuovono il ricorso a strumenti di crittografia per garantire la riservatezza dell'identità del segnalante e per il contenuto delle segnalazioni e della relativa documentazione.

A sostegno  della necessità di attivare procedure informatiche per la gestione delle segnalazioni di illeciti, in ogni ente, l'ANAC il 15 gennaio 2019 ha comunicato che, in ottemperanza a quanto previsto nelle “Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower)” di cui alla Determinazione n. 6 del 28 aprile 2015, ha pubblicato in modalità open source il software che consente la compilazione, l’invio e la ricezione delle segnalazioni di illecito da parte di dipendenti/utenti interni di una amministrazione.

Per quanto concerne la valutazione tecnica del software open source messo a disposizione da ANAC ne riportiamo le seguenti caratteristiche rilevate su "Forum Italia, lo spazio di discussione sui servizi pubblici digitali"

L’edizione GlobaLeaks rilasciata da ANAC con il nome OpenWhistleblowing presenta le seguenti caratteristiche, dal punto di vista della valutazione tecnica:

  • si basa su una edizione di GlobaLeaks piuttosto vecchia (2.60.144 del 14/03/2016) senza recepire alcuno dei suoi aggiornamenti evolutivi o correttivi;
  • impiega alcune componenti tecnologiche core obsolete, non più mantenute e abbandonate dagli sviluppatori originali, e ciò introduce rischi di sicurezza oltre ad aumentare significativamente i costi di manutenzione;
  • aumenta la complessità e costo di installazione e manutenzione introducendo software terzi come dipendenze funzionali (postgresql, tor2web, apache) andando nella direzione opposta agli obiettivi di design del progetto GlobaLeaks (autocontenimento e semplificazione per installazione, manutenzione e gestione);
  • introduce funzionalità, quali ad esempio la rimozione dei metadati, che vanno a ledere l’integrità dei dati apportati come evidenze documentali dai segnalanti, rendendoli di difficile impiego in giudizio;
    manca della completa pubblicazione dei codici sorgenti;
  • manca della pubblicazione della documentazione in formato editabile;
  • manca della pubblicazione di tutti gli applicativi software menzionati nel manuale installatore;
  • non è stato effettuato un riuso software secondo quanto determinato da AgID, in particolare orientato alla collaborazione e integrazione delle modifiche nel software opensource di terze parti;
  • aumenta i costi di approvvigionamento hardware, con requisiti esagerati (3 server per 72GB di RAM, 10 CPU core e 600GB di dischi) di un ordine di grandezza superiori rispetto all’edizione software GlobaLeaks 3.6 4 (1 server con 2GB di RAM, 20GB di disco e 2 core);
  • aumenta i costi di approvvigionamento software, richiede l’uso di sistemi operativi commerciali, Redhat Enterprise Linux Server 7.x 1, con almeno 3 licenze server per circa 1.000 euro di costi di licenze software;
  • aumenta la superficie di vulnerabilità applicativa, richiede di disabilitare le funzionalità di sicurezza informatica native del sistema operativo.