Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il parere Garante privacy

Luci e ombre nel whistleblowing per le violazioni dell’AI Act: le 4 questioni aperte

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il debutto del sistema di whistleblowing per l’AI Act prevede un canale sicuro e crittografato gestito dall’European AI Office per la segnalazione delle violazioni della normativa sull’intelligenza artificiale. Ecco opportunità e problematiche legate alla protezione legale, attiva dal 2 agosto dell’anno prossimo

Pubblicato il 1 dic 2025
Pasquale Mancino

Internal auditor e Revisore di Organizzazione sindacale

Whistleblowing come leva per la voice e la loyalty organizzativa; Luci e ombre nel whistleblowing europeo sull’AI Act: cosa cambia dal 2 agosto 2026

La rilevanza del whistleblowing emerge da una recente (ulteriore) iniziativa della Commissione europea che, sulla strategica materia dell’intelligenza artificiale, tramite l’European AI Office, ha attivato un proprio canale per ricevere segnalazioni “protette” di illeciti.

In tema di intelligenza artificiale, la norma cardine dell’Ue, il Regolamento Ue 2024/1689, sarà applicabile in buona parte dal 2 agosto 2026.

Fra le disposizioni applicabili, l’art. 87 prevede che la Direttiva Ue 2019/1937 sul whistleblowing si applica anche, nei Paesi membri, alle violazioni dell’AI Act e alla protezione dei whistleblower che le segnalano.

Trattandosi di norma regolamentare, la stessa diventerà direttamente applicabile negli Stati e quindi il D. Lgs. 24/2023, che in Italia ha recepito le norme sul whistleblowing, dovrebbe intendersi aggiornato in tal senso.

Il nuovo strumento di whistleblowing per l’AI Act: cos’è e come funziona

Whistleblowing europeo e AI ACT

La circostanza che la Commissione Ue si adoperi per sollecitare la partecipazione dei soggetti coinvolti nel settore dell’intelligenza artificiale a ricorrere in caso di presunti illeciti a ricorrere al whistleblowing sottolinea il ruolo del whistleblowing come strumento di governance e, nel contempo, human right oriented.

Quindi, come strumento di partecipazione responsabile alla repressione delle violazioni al diritto che possono avere i whistleblower, giustamente tutelati da possibili atti ostili nei loro confronti per aver portato alla luce questioni lesive del diritto.
La questioni da tener presente sono:

  • la Direttiva sul whistleblowing non è direttamente applicabile anche alle Istituzioni comunitarie (ma lo è senz’altro nei principi);
  • a livello di Istituzioni comunitarie, dove pure c’è stato nel tempo un ampio dibattito sulla materia (basti pensare al dibattito che ha accompagnato il Qatargate), non si è andati molto oltre a previsioni, come quella dello Statuto dei Funzionari delle Istituzioni UE prevede (artt. 22 bis, ter, quater), secondo cui gli stessi sono tenuti a segnalare le attività illecite di cui vengano a conoscenza e che siano protetti per tali segnalazioni;
  • è comunque previsto (cfr considerando 69 e art.6) che le persone che segnalino violazioni afferenti al campo di applicazione della Direttiva hanno diritto a beneficiare della
  • protezione previste per chi effettui una segnalazione esterna a organismi competenti dell’UE.

Speculari a quest’ultima previsione sono gli artt. 16 e 6 del D. Lgs. 24/2023, secondo cui possano beneficiare delle misure di protezione i whistleblower che si rivolgano ai competenti organismi dell’Ue, nel caso effettuino segnalazioni riconducibili alle previsioni di quelle esterne.

Il canale di segnalazione esterno

La segnalazione esterna è ammessa quando:

  • non sia stato attivato il canale interno;
  • la segnalazione regolarmente effettuata con il canale interno non abbia avuto esito;
  • quando il segnalante abbia timore che alla segnalazione non venga dato seguito o che dalla stessa possano derivare ritorsioni;
  • nel caso si abbia il fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

Sostanzialmente dovrebbero essere in particolare queste ultime due previsioni a indurre il whistleblower a effettuare la segnalazione all’Ue (o all’Anac, gestore del canale di segnalazione esterno italiano in senso proprio).

Le violazioni dell’AI Act segnalabili

L’iniziativa varata nei giorni scorsi per il whistleblowing con riguardo all’AI Act è di per sé meritevole. Ma bisogna che sia ben impostata per far sì che si riveli fonte di valore aggiunto per l’UE e che i whistleblower siano messi in condizioni di decidere con cognizione se vi siano le condizioni e a chi rivolgersi per la segnalazione esterna: all’Anac o alla competente sede dell’Ue (che potrebbe essere preferita in particolare quando la violazione presenta una dimensione sovranazionale o riguarda obblighi posti da regolamenti UE a diretta applicabilità).

Come viene precisato dal predetto Office, sino al 2 agosto del prossimo anno sono segnalabili solo le violazioni dell’AI Act che riguardino alcune attività relative all’intelligenza artificiale, in particolare per quanto riguarda la sicurezza dei prodotti, la protezione dei consumatori, la privacy e i dati personali e la sicurezza delle informazioni, atteso che sono già previste dalle disposizioni Ue sul whistleblowing recepite negli ordinamenti nazionali (cfr art. 2.3 del D Lgs 24/2023).

Dopo tale data la protezione riguarderà invece l’intero contesto regolato dall’AI Act.

Il ruolo dell’anonimato

Il whistleblower viene invitato a evitare di includere qualsiasi dato che possa identificarlo. Dunque è opportuno specificare che l’anonimato oltre a tutelare il segnalante, evita che all’Office possa essere richiesto, dai segnalati, l’identità dei segnalanti ai sensi del diritto di accesso previsto dall’art. 17 del Regolamento UE 2018/1725 (il GDPR per le Istituzioni europee, il Regolamento generale sulla protezione dei dati).

Per inciso, sull’anonimato, la Direttiva sul whistleblowing lascia liberi gli Stati membri di decidere se nel loro sistema le segnalazioni anonime vadano considerate o meno come segnalazioni whistleblowing e che il segnalante dovrebbe comunque fruire delle tutele previste.

Whistleblowing, il canale anonimo per segnalare violazioni dell’AI Act

L’iniziativa prevede dunque l’utilizzo di un canale anonimo per segnalare all’Ufficio europeo per l’intelligenza artificiale possibili violazioni dell’AI Act.

Le segnalazioni devono essere inviate in forma anonima attraverso “an ISO 27001-certified platform (‘Integrity Line’)”, che non raccoglie dati personali, indirizzi IP o informazioni sul dispositivo.

In particolare l’indicazione recita: “Si prega di non utilizzare alcun dispositivo tecnico fornito dal proprio datore di lavoro, come PC, smartphone o Wi-Fi, per inviare la propria segnalazione”: cautela necessaria per evitare che il segnalante possa essere individuato dalle tracce IT.

Il parere del Garante privacy

Per attinenza si richiama il recente parere (doc web 10184673) del nostro Garante privacy sulle emanande Linee guida Anac sui canali interni di segnalazione in cui si precisa che “il ricorso alla posta elettronica (ordinaria o certificata) sia considerato di per sé non adeguato a garantire la riservatezza dell’identità della persona segnalante, se non accompagnato da specifiche contromisure (…) individuate in sede di definizione della valutazione di impatto sulla protezione dei dati”, ciò in quanto in particolare attraverso i log sarebbe possibile risalire al segnalante.

Il sistema è pensato soprattutto per persone che lavorano o hanno lavorato per fornitori di modelli di IA, perché possono accorgersi per prime di irregolarità.

Si dichiara che le informazioni fornite riceveranno un trattamento con standard molto elevati di sicurezza e riservatezza: tutto è crittografato, conservato solo su dispositivi approvati e accessibile solo al personale autorizzato.

Il segnalante conserva il diritto di controllare l’uso delle informazioni, correggerle, limitare la loro diffusione o opporsi alla divulgazione, salvo necessità legali.

L’iter della trattazione

Quando arriva una segnalazione, l’Ufficio europeo per l’Intelligenza Artificiale, la riceve tramite la piattaforma sicura, la esamina in via preliminare a cura di elementi esperti in settori quali l’apprendimento automatico, la valutazione dei modelli, la sicurezza informatica, la valutazione dei rischi e il diritto d’autore.

Durante la disamina, il segnalante viene tenuto al corrente attraverso la casella di posta anonima.

L’iter della trattazione, sempre tenendo informato il whistleblower, potrà vedere il coinvolgimento di altre Autorità.

Il sistema non prevede al momento una tutela “completa” contro le ritorsioni, ma, dal 2 agosto 2026, le segnalazioni legate all’AI Act saranno coperte dalle vigenti disposizioni sul whistleblowing ove ricorrano le condizioni per il ricorso a segnalazioni esterne.

Forse per incentivare i potenziali whistleblower, nelle FAQ viene detto “potresti essere tra i primi a notare potenziali violazioni della legge”.

Le quattro questioni aperte

Ecco alcune questioni che paiono meritevoli di approfondimento e risposta:

  • trattandosi comunque di un trattamento di dati personali, è stata effettuata una DPIA e definito un apposito trattamento (che dovrebbe confluire nel Registro privacy della Commissione ed essere di norma reso pubblico, ai sensi dell’art. 31 del Regolamento UE 2018/1725)?
  • sebbene l’iniziativa sia evidentemente mirata a evitare derive illecite nell’utilizzo dell’intelligenza artificiale, che valore aggiunto può portare rispetto all’”ordinario” whistleblowing gestito a livello dei Paesi UE?
  • perché il whistleblower dovrebbe rivolgersi a questo canale UE anziché a quello nazionale?
  • che senso ha un canale whistleblowing speciale dedicato al solo AI Act (o ad altre specifiche materie)?

La risposta alla prima domanda

Per quanto ad oggi reperibile nel DPO Public register dei trattamenti della
Commissione UE, ci sono diversi trattamenti afferente al whistleblowing come quelli relativi a: Regolamento UE 2022/2065 sui servizi digitali (DSA), Regolamento UE 2022/1965 sul mercato dei servizi digitali (DMA), violazioni delle sanzioni inflitte dall’UE, in materia antitrust.

Ciò permette di evidenziare che l’iniziativa UE sul whistleblowing per l’AI Act non è la prima e che per ognuna dei citati ambiti risultano attivati canali whistleblowing (confronta i tool per DSA, DMA, sanzioni, antitrust) in alcuni casi prevedendo anche che il segnalante possa comunicare se ritiene le sue generalità.

Per tali canali whistleblowing valgono le considerazioni di questo intervento
per quello inerente all’AI Act. Non si indica se sia preoista l’esecuzione di DPIA.

Seconda domanda

Per quanto attiene al punto 2, l’iniziativa della Commissione può offrire un valore aggiunto su due piani: tecnico e sovranazionale.

Da un lato, il canale dell’AI Office potrebbe concentrare competenze specialistiche – per esempio, su machine learning, sicurezza informatica, valutazione dei modelli – che i gestori nazionali dei canali (interni e esterno) whistleblowing potrebbero non possedere in modo così strutturato, consentendo una lettura più accurata e tempestiva delle segnalazioni relative all’intelligenza artificiale.

Dall’altro lato, il sistema europeo potrebbe meglio gestire violazioni che superano i confini dei singoli Stati, tipiche dei grandi sviluppatori di IA, un contesto in cui i canali nazionali, da soli, rischiano di essere frammentati o non coordinati.

Facendo riferimento agli altri citati ambiti (per esempio AI Act e DSA), un ulteriore motivo può essere intravisto nel fatto che la Commissione ha poteri sanzionatori rispetto alle violazioni delle relative norme.

Di contro, potrebbero verificarsi segnalazioni multiple sulla medesima questione da parte di whistleblower che si rivolgono l’uno all’Office e l’altro ai canali nazionali previsti di segnalazione, generando complessità gestionale e maggiori rischi per i segnalanti.

Il terzo punto

Circa la terza domanda, un whistleblower potrebbe preferire il canale dell’AI Office (e gli altri menzionati) per ragioni legate alla neutralità istituzionale e alla maturità procedurale del sistema europeo, oltre che al totale anonimato con cui è impostata la procedura.

Un canale gestito direttamente dalla Commissione può infatti offrire la percezione di una maggiore distanza da dinamiche locali, da eventuali pressioni organizzative o da rapporti consolidati tra autorità nazionali e operatori economici del settore.

In ambiti altamente innovativi come l’IA, tale neutralità può costituire un elemento rassicurante per chi segnala condotte sensibili o potenzialmente controverse.
Accanto a questo possibile valore aggiunto, esistono tuttavia rischi non trascurabili.

Il primo è quello della ripetuta diversità delle tutele, poiché il canale europeo garantisce l’anonimato, ma non lo stesso livello di protezione giuridica offerto dai sistemi nazionali, se non nei casi dell’articolo 6 (della norma europea come di quella italiana).

Il secondo riguarda la indeterminatezza dovuta alla coesistenza di canali paralleli che può generare incertezza nei potenziali segnalanti circa il percorso
da seguire, con il rischio di ritardi nella segnalazione e nella gestione delle violazioni.

Quarta domanda

Sul punto 4, si può ritenere che un canale di whistleblowing dedicato al solo AI Act può avere senso come strumento di reattività operativa: permette alla Commissione di raccogliere fin da subito informazioni mirate sull’intelligenza artificiale costruendo un osservatorio europeo capace di individuare pattern ricorrenti, rischi sistemici e criticità difficili da cogliere attraverso i soli canali nazionali.

Secondo quanto pubblicato si può intendere che senza attendere il 2 agosto del prossimo anno, si possano fare segnalazioni su tutto l’AI Act, secondo quanto indicato: ”Sono ben accette informazioni relative a eventuali pratiche interne dei fornitori di modelli di IA che potrebbero violare gli obblighi stabiliti nella legge sull’IA, o relative a qualsiasi altra attività che potrebbe mettere a rischio i diritti fondamentali, la salute o la fiducia pubblica”.

Se così è, il sistema europeo si dota in anticipo di una struttura tecnica e procedurale che sarà essenziale quando il regolamento diventerà pienamente applicabile.

La necessità di una scelta più chiara: ecco le 3 opzioni

Occorrerebbe spostare la competenza per il whistleblowing su alcune materie a Bruxelles, intervenendo / chiarendo però anche le tutele per i segnalanti che devono valere automaticamente nell’intera UE (nel senso di una protezione minima comune per i segnalanti alle Istituzioni europee si veda il considerando 69 della Direttiva 2019/1937: “La presente direttiva non dovrebbe pregiudicare le procedure e i canali di segnalazione esterna, ove esistano, ma dovrebbe garantire che le persone che effettuano segnalazioni a istituzioni, organi e organismi dell’Unione beneficino di norme minime comuni di protezione in tutta l’Unione”).

In questa opzione potrebbero inoltre essere eventualmente unificati i centri di
raccolta delle segnalazioni (DSA, DMA eccetera) in un unico centro che poi smisterebbe alle Strutture UE competenti la segnalazione.

Inoltre, in una versione intermedia, bisognerebbe mantenere i due canali, nazionale e UE, da perseguire a seconda della portata delle violazioni (e prevedendo un passaggio delle pratiche fra Commissione e Stato membro e viceversa, nel caso il segnalante non contatti l’Istituzione competente).

Infine, sarebbe necessario evitare il canale parallelo Ue.

In una versione più evoluta e cooperativa mantenere attivi gli Uffici Ue come centri di competenze e di scambio informativo, una sorta di Agenzie che, come in alcune sedi in passato prospettato, siano chiamate a fornire pareri alle autorità nazionali e alle istituzioni europee, nonché a promuovere l’armonizzazione delle best practice in tutto il contesto UE (Istituzioni comunitarie e Stati membri) in materia di whistleblowing.

Centri cui potrebbero far riferimento i gestori dei canali di segnalazione nazionali, che rimarrebbero gli unici competenti a gestire le segnalazioni, nel rispetto delle tutele del whistleblower.

Prospettive future

L’iniziativa della Commissione induce a considerazioni non univoche.
Sull’AI Act, da un lato, essa si presenta come un’anticipazione lungimirante degli strumenti necessari a presidiare un settore ad alto impatto sistemico come l’intelligenza artificiale.

Dall’altro, mostra “fragilità” normative e limiti che dovranno essere affrontati con chiarezza per evitare possibili effetti controproducenti e garantire un’architettura regolatoria realmente coerente, applicabile e stabile, capace di armonizzarsi con la rapida evoluzione tecnologica e di sostenere uno sviluppo dell’IA rispettoso dei diritti e dell’interesse pubblico.

Se si vuole puntare sul whistleblowing come strumento di governance e, nel contempo, human right oriented, occorrerebbe quanto prima sistematizzarne il complessivo assetto normativo nell’ecosistema UE e Paesi membri.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

M
Pasquale Mancino
Internal auditor e Revisore di Organizzazione sindacale

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Chat Control Consiglio UE approvato

  • la riflessione

    La trappola di Chat Control: minori tutelati, cittadini sorvegliati

    28 Nov 2025

    di Tania Orrù

    Condividi
  • black friday truffe

  • i consigli

    Black Friday, la guida completa anti-truffe

    26 Nov 2025

    di Redazione Cybersecurity360.it

    Condividi
  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Gmail data breach

  • la violazione

    2,5 miliardi di account Gmail violati, nessun allarme: ecco cosa è successo davvero

    27 Ago 2025

    di Dario Fadda

    Condividi
0
Lascia un commento, la tua opinione conta.x