Piano triennale anticorruzione (PTPCT): redazione e supporto

Il piano triennale di prevenzione della corruzione e della trasparenza (PTPCT), previsto dalla legge 190/2012, è il documento con cui enti e società pubbliche mappano i rischi corruttivi e individuano le misure per prevenirli. Chi è tenuto ad adottarlo e a predisporlo, le due sezioni di cui si compone — anticorruzione e trasparenza — l'integrazione con il modello 231 e il rapporto con la privacy.

In breve — Il Piano triennale di prevenzione della corruzione e della trasparenza (PTPCT) è il documento, previsto dalla legge 190/2012, con cui enti e società pubbliche individuano i propri rischi corruttivi e definiscono le misure per prevenirli. La sua adozione e il suo aggiornamento sono un obbligo di legge, sanzionabile da ANAC. Per le pubbliche amministrazioni il PTPCT è oggi confluito nel PIAO; le società in controllo pubblico lo integrano con il modello 231. Il piano si compone di due sezioni — una dedicata all’anticorruzione e una alla trasparenza — ed è predisposto dal RPCT e approvato dall’organo di indirizzo.

1. Che cos’è il piano triennale di prevenzione della corruzione

Il PTPCT è lo strumento di programmazione introdotto dalla legge 6 novembre 2012, n. 190 (la “legge anticorruzione”) per prevenire — non reprimere — i fenomeni corruttivi all’interno delle organizzazioni pubbliche.

L’obiettivo del piano è definire un insieme di misure di prevenzione capaci di ridurre il rischio non solo di illeciti di rilievo penale, ma anche di quelle condotte di cattiva amministrazione che possono pregiudicare — o anche solo influenzare potenzialmente — l’imparzialità e il buon andamento della gestione. La nozione di “corruzione” rilevante per la legge 190/2012 è infatti più ampia di quella penalistica: comprende ogni situazione in cui, nel corso dell’attività amministrativa, si riscontri un abuso del potere affidato al fine di ottenere vantaggi privati.

L’adozione e l’aggiornamento del piano costituiscono un obbligo di legge, la cui violazione è sanzionabile dall’Autorità competente. In particolare, ANAC ha chiarito che l’obbligo si considera non ottemperato non solo quando il piano non viene affatto adottato, ma anche nell’ipotesi in cui esso non sia aggiornato alle ultime istruzioni dell’Autorità. Per un quadro d’insieme rimandiamo all’area dedicata all’anticorruzione e trasparenza.

2. Chi è tenuto ad adottare il piano

L’ambito soggettivo della normativa è ampio: il perimetro è quello tracciato dall’art. 2-bis del d.lgs. 33/2013 e ripreso, per le misure anticorruzione, dalle Linee guida ANAC (determinazione n. 1134/2017). In sintesi sono tenuti:

• le pubbliche amministrazioni — che però, dal 2022, non adottano più un PTPCT autonomo: i suoi contenuti sono confluiti nella sezione “Rischi corruttivi e trasparenza” del PIAO (Piano Integrato di Attività e Organizzazione, art. 6 d.l. 80/2021);
• gli enti pubblici economici e gli ordini professionali;
• le società in controllo pubblico (art. 2, c. 1, lett. m, d.lgs. 175/2016), con esclusione delle società quotate e, di regola, delle loro partecipate;
• le associazioni, le fondazioni e gli enti di diritto privato con bilancio superiore a 500.000 €, finanziati in modo maggioritario da pubbliche amministrazioni e con organi di amministrazione o indirizzo designati da PA.

La medesima disciplina si applica inoltre, in quanto compatibile e limitatamente ai dati e ai documenti inerenti all’attività di pubblico interesse, alle società in sola partecipazione pubblica e agli enti di diritto privato (sopra i 500.000 € di bilancio) che esercitano funzioni amministrative, producono beni e servizi a favore delle PA o gestiscono servizi pubblici. Sul perimetro di questi soggetti rimandiamo all’area società pubbliche e partecipate.

3. Chi è tenuto a predisporre il piano

Una cosa è adottare il piano, un’altra è predisporlo. La predisposizione spetta al Responsabile della prevenzione della corruzione e della trasparenza (RPCT), che redige il PTPCT e lo sottopone all’approvazione dell’organo di indirizzo.

Il piano svolge una funzione di raccordo: raccoglie e mette a sistema tutte le informazioni recepite dai singoli uffici in merito ai processi e alle attività svolte. Per questo il RPCT non può lavorare in isolamento — la qualità del piano dipende dalla collaborazione delle strutture dell’ente. Sul ruolo e sui poteri di vigilanza del RPCT, incluse le verifiche su inconferibilità e incompatibilità degli incarichi, abbiamo dedicato un approfondimento specifico.

4. Cosa deve contenere il piano: le due sezioni

Il piano si articola in due sezioni, distinte ma collegate:

• la sezione anticorruzione, che mappa i rischi corruttivi e individua le misure di prevenzione;
• la sezione trasparenza, che programma gli obblighi di pubblicazione e disciplina l’accesso civico.

Le due parti non sono compartimenti stagni: la trasparenza è essa stessa una misura di prevenzione della corruzione. Vediamo cosa deve contenere ciascuna.

5. La sezione anticorruzione: contesto, rischio, misure

Il cuore della sezione è la metodologia di gestione del rischio indicata dalla legge 190/2012 e dal Piano Nazionale Anticorruzione (PNA) di ANAC — attualmente il PNA 2022 e il suo Aggiornamento 2024 (delibera ANAC n. 31 del 30 gennaio 2025). Un piano “fotocopia”, privo di un’analisi calata sulla realtà concreta dell’ente, è il difetto più frequentemente contestato da ANAC. Le componenti essenziali sono tre.

1. Analisi del contesto (esterno e interno)

È il presupposto di tutto. L’analisi del contesto esterno valuta come le caratteristiche del territorio e dell’ambiente di riferimento (dinamiche economiche, sociali, criminali) possano influenzare l’attività dell’ente. L’analisi del contesto interno riguarda invece l’organizzazione: struttura, processi, ruoli, sistema delle responsabilità. È qui che si individuano i processi da sottoporre ad analisi del rischio (la cosiddetta mappatura dei processi).

2. Valutazione e gestione del rischio

Sui processi mappati si svolge la valutazione del rischio corruttivo: identificazione degli eventi rischiosi, analisi (con stima del livello di esposizione secondo l’approccio valutativo indicato dal PNA) e ponderazione, per stabilire le priorità di intervento. L’obiettivo non è formale: è individuare dove l’ente è davvero vulnerabile, così da concentrare le misure dove servono.

3. Le misure di prevenzione

A fronte dei rischi individuati, il piano definisce le misure — generali e specifiche — con indicazione di responsabili, tempi e indicatori di monitoraggio. Tra le misure tipiche:

• la rotazione del personale negli incarichi più esposti;
• i controlli su inconferibilità e incompatibilità e sul rispetto del divieto di pantouflage;
• la gestione del whistleblowing, cioè delle segnalazioni di illeciti;
• l’obbligo di astensione in caso di conflitto di interessi, il codice di comportamento e la formazione del personale.

Una misura “scritta” ma non monitorata è, per ANAC, come non averla prevista: il piano deve indicare come si verifica che ciascuna misura sia effettivamente attuata.

6. La sezione trasparenza e il rapporto con la privacy

La sezione trasparenza programma gli obblighi di pubblicazione previsti dal d.lgs. 33/2013 e disciplina l’accesso civico (semplice e generalizzato). La trasparenza è essa stessa una misura di prevenzione della corruzione: rendere conoscibile l’azione pubblica riduce le zone d’ombra in cui l’illecito prospera.

Qui però si apre un equilibrio delicato, troppo spesso trascurato: quello con la protezione dei dati personali. Pubblicare per obbligo di trasparenza non autorizza a diffondere qualsiasi dato. Valgono alcuni principi fermi:

• si pubblica solo ciò che una norma impone di pubblicare (principio di legalità del trattamento): non esiste una “trasparenza fai-da-te”;
• vanno rispettati i principi di minimizzazione e proporzionalità del GDPR e del Codice privacy, evitando la diffusione di dati eccedenti;
• è vietata la diffusione di dati relativi alla salute e alla vita sessuale, e va prestata particolare cautela per le altre categorie particolari di dati;
• occorre tenere conto delle indicazioni del Garante per la protezione dei dati personali sulla pubblicazione di atti e documenti online.

Una sezione trasparenza redatta senza coordinarsi con la disciplina privacy espone l’ente a un duplice rischio: sanzioni del Garante da un lato, contestazioni per opacità dall’altro. È il motivo per cui questa parte del piano va costruita insieme alla funzione privacy/GDPR dell’ente, non in un silos separato.

7. L’integrazione con il modello 231

Per le società pubbliche il nodo più delicato è il rapporto tra piano anticorruzione e modello 231. I due sistemi nascono da logiche diverse — il 231 tutela la società dalla responsabilità amministrativa da reato nel suo interesse, la 190/2012 tutela l’imparzialità e il buon andamento nell’interesse pubblico — ma operano sugli stessi processi.

Le Linee guida ANAC chiedono di integrare, non di duplicare: la società che ha un modello 231 deve estenderne l’ambito ai rischi corruttivi rilevanti per la legge 190/2012 (compresa la corruzione “passiva” e i fenomeni di cattiva amministrazione che il 231 non copre), evitando però due piani scollegati che si ignorano a vicenda. La soluzione corretta è un sistema integrato, coerente, con un unico flusso di analisi del rischio e misure che dialogano tra loro. È uno dei punti su cui un’impostazione approssimativa espone l’ente a rilievi.

8. Il nostro supporto a enti, società pubbliche e RPCT

La redazione e l’aggiornamento del piano anticorruzione richiedono competenze a cavallo tra diritto amministrativo, disciplina 231 e protezione dei dati: è facile produrre un documento formalmente completo ma sostanzialmente debole — e quindi esposto ai rilievi di ANAC.

Lo Studio Legale Calzoni affianca pubbliche amministrazioni, enti e società in controllo pubblico, e i relativi RPCT e vice-RPCT, nella stesura e nell’aggiornamento del PTPCT e della sezione anticorruzione e trasparenza del PIAO: dall’analisi del contesto e dalla mappatura dei processi alla valutazione del rischio, dalla definizione delle misure all’integrazione con il modello 231, fino alla costruzione della sezione trasparenza nel rispetto della normativa privacy e al monitoraggio con la relazione annuale del RPCT. Per una valutazione del tuo caso puoi richiedere una consulenza.

Domande frequenti

Che cos’è il PTPCT? È il Piano triennale di prevenzione della corruzione e della trasparenza, previsto dalla legge 190/2012: il documento con cui un ente o una società pubblica individua i rischi corruttivi nei propri processi e stabilisce le misure per prevenirli. Per le pubbliche amministrazioni è oggi la sezione “Rischi corruttivi e trasparenza” del PIAO.

Chi deve adottare il piano e chi deve predisporlo? L’adozione spetta all’organo di indirizzo dei soggetti tenuti (PA, enti pubblici economici, ordini professionali, società in controllo pubblico, enti privati con i requisiti dell’art. 2-bis d.lgs. 33/2013). La predisposizione spetta invece al RPCT, che redige il piano e lo sottopone all’approvazione.

Ogni quanto va aggiornato il PTPCT? Ogni anno, di norma entro il 31 gennaio, su proposta del RPCT. L’aggiornamento deve recepire i cambiamenti del contesto, gli esiti del monitoraggio e le ultime istruzioni di ANAC: un piano non aggiornato è considerato inadempiente.

Qual è la differenza tra PTPCT e modello 231? Il modello 231 tutela la società dalla responsabilità da reato nel proprio interesse; il piano anticorruzione tutela l’imparzialità e il buon andamento nell’interesse pubblico. Per le società pubbliche i due sistemi vanno integrati in un impianto coerente, non tenuti separati.

La sezione trasparenza può entrare in conflitto con la privacy? Sì, ed è un punto critico. Si possono pubblicare solo i dati che una norma impone di pubblicare, nel rispetto dei principi di minimizzazione e proporzionalità e dei divieti del GDPR e del Codice privacy. La sezione trasparenza va perciò coordinata con la funzione privacy dell’ente.

Cosa succede se il piano è carente o “fotocopia”? Un piano privo di un’analisi del rischio calata sulla realtà dell’ente è il rilievo più frequente di ANAC. Oltre alle conseguenze in termini di vigilanza, un piano debole non protegge l’organizzazione: non riduce davvero i rischi che dovrebbe presidiare.

I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.