Sito ufficiale di Antonio Chicoli

(04/03/2026) - D.Lgs. 231/2001 e modello organizzativo di “compliance” aziendale.

(04/03/2026) - D.Lgs. 231/2001 e modello organizzativo di “compliance” aziendale.

1. Inquadramento generale

Il D.Lgs. 8 giugno 2001 n. 231 ha introdotto nell’ordinamento italiano la responsabilità “da reato” degli enti per alcuni illeciti commessi, nel loro interesse o vantaggio, da persone fisiche che operano al loro interno.
Si tratta di una responsabilità autonoma rispetto a quella penale della persona fisica, di natura formalmente amministrativa ma con forti connotati penalistici (tipicità dei reati presupposto, sanzioni interdittive, procedimento davanti al giudice penale). 

Il perno del sistema è il modello di organizzazione, gestione e controllo (MOG 231), che svolge una duplice funzione: 

preventiva: riduzione del rischio di commissione dei reati presupposto; 

difensiva: possibile causa di esclusione o attenuazione della responsabilità dell’ente.

In chiave di “compliance”, il modello 231 diventa parte integrante del sistema di controlli interni, della gestione dei rischi e della corporate governance. 

2. Presupposti della responsabilità dell’ente

2.1 Soggetti rilevanti

L’ente può essere chiamato a rispondere quando il reato è commesso: 

da soggetti “apicali” (amministratori, direttori generali, institori, procuratori, responsabili di unità dotate di autonomia finanziaria e funzionale, soggetti che esercitano di fatto poteri di gestione o controllo); 

da soggetti sottoposti alla direzione o vigilanza di un apicale (dipendenti, collaboratori etero‑diretti).

È necessario un rapporto qualificato tra autore del reato ed ente: la condotta deve collocarsi nel perimetro organizzativo della società. 

2.2 Interesse o vantaggio dell’ente

Altro presupposto essenziale è che il reato sia stato commesso “nell’interesse o a vantaggio” dell’ente. 

“Interesse”: finalizzazione soggettiva della condotta al perseguimento di un’utilità per l’ente, anche se poi non conseguita. 

“Vantaggio”: utilità oggettivamente conseguita (es. risparmio di costi, incremento di ricavi, acquisizione di commesse).

Nei reati colposi d’evento (come infortuni sul lavoro), interesse e vantaggio non riguardano l’evento (morte o lesioni), ma la condotta violativa delle regole di prevenzione, dalla quale l’ente trae, ad esempio, un risparmio economico per mancati investimenti in sicurezza o un aumento di produttività. 

2.3 Differenze probatorie tra apicali e sottoposti

Il ruolo dell’autore incide sul regime probatorio: 

se il reato è commesso da un apicale, l’ente è presunto responsabile, salvo che dimostri di avere adottato ed efficacemente attuato un modello idoneo e che il soggetto abbia eluso fraudolentemente il sistema di controllo; 

se il reato è commesso da un sottoposto, è il Pubblico Ministero che deve provare l’omessa o insufficiente vigilanza da parte dell’ente; in questo caso, l’esistenza e l’efficace attuazione del modello dimostrano che la vigilanza è stata adeguata.

3. Il modello organizzativo come strumento di “compliance”

3.1 Funzione esimente e attenuante

Il D.Lgs. 231/2001 prevede che l’ente non risponde se, prima della commissione del reato: 

l’organo dirigente ha adottato ed efficacemente attuato modelli di organizzazione e gestione idonei a prevenire reati della specie di quello verificatosi; 

è stato istituito un Organismo di Vigilanza (OdV) con autonomi poteri di iniziativa e controllo; 

le persone hanno commesso il reato eludendo fraudolentemente il modello; 

non vi è stata omessa o insufficiente vigilanza da parte dell’OdV.

In alcuni ambiti (ad esempio, reati contro la Pubblica Amministrazione dopo la “spazzacorrotti”) l’adozione e l’effettiva attuazione di un modello idoneo, anche successiva al fatto ma prima della sentenza di primo grado, può comportare una significativa attenuazione delle sanzioni. 

3.2 Colpa di organizzazione

La responsabilità dell’ente si fonda, in sostanza, su una “colpa di organizzazione”: 

mancanza di un modello; 

modello solo formale o cartaceo, non attuato; 

modello inidoneo rispetto ai rischi effettivi dell’ente; 

mancato aggiornamento del modello a fronte di mutamenti organizzativi o normativi.

Un modello ben strutturato e dimostrabilmente attuato è, quindi, il principale strumento di prevenzione e di difesa. 

4. Requisiti di idoneità del modello 231

4.1 Contenuti minimi previsti dalla legge

L’art. 6 D.Lgs. 231/2001 individua alcuni requisiti essenziali: 

Mappatura delle attività a rischio: individuazione delle attività nel cui ambito possono essere commessi reati. 

Protocolli decisionali: procedure per programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire. 

Gestione delle risorse finanziarie: modalità idonee a impedire l’uso distorto delle risorse per finalità illecite. 

Obblighi di informazione verso l’OdV: flussi informativi strutturati, periodici e ad hoc. 

Sistema disciplinare: sanzioni proporzionate e applicabili in caso di violazione del modello, rivolte a tutti i destinatari (apicali, dipendenti, collaboratori).

In materia di salute e sicurezza sul lavoro, l’art. 30 D.Lgs. 81/2008 definisce in modo specifico il contenuto del modello idoneo a prevenire i reati di omicidio colposo e lesioni colpose gravi o gravissime commessi con violazione delle norme antinfortunistiche. 

4.2 Adeguatezza e idoneità

L’“adeguatezza” del modello non significa eliminazione totale del rischio, ma riduzione ragionevole e concreta della probabilità di commissione dei reati.
In sintesi, un modello è adeguato se: 

è costruito sui rischi specifici dell’ente, non copiato in modo standard; 

prevede controlli effettivi, anche a sorpresa, nelle aree sensibili; 

è supportato da una formazione reale, periodica, documentata; 

è affidato a un OdV indipendente, competente e dotato di risorse; 

è aggiornato in modo dinamico.

La giurisprudenza più recente ha valorizzato, come indice di idoneità, la presenza di: 

mappature dei rischi dettagliate e aggiornate; 

protocolli concreti e non meramente descrittivi; 

tracciabilità delle attività di controllo e delle segnalazioni; 

un sistema disciplinare effettivamente applicato.

5. Struttura tipica del modello 231

5.1 Parte generale

La parte generale di un MOG 231, di regola, contiene: 

illustrazione del D.Lgs. 231/2001 (presupposti della responsabilità, reati presupposto, sanzioni); 

descrizione dell’ente (assetto organizzativo, organi sociali, funzioni, linee di riporto); 

finalità e principi del modello (prevenzione dei reati, cultura della legalità, trasparenza, tracciabilità); 

individuazione dei destinatari (apicali, dipendenti, collaboratori, partner); 

disciplina dell’Organismo di Vigilanza (nomina, durata, requisiti, poteri, rapporti con gli organi sociali); 

regole di comunicazione, formazione e diffusione del modello; 

criteri e procedure di aggiornamento del modello.

5.2 Parte speciale

La parte speciale è articolata per categorie di reato presupposto (es. reati contro la PA, reati societari, reati in materia di sicurezza sul lavoro, reati informatici, reati ambientali).
Per ciascuna categoria: 

si individuano le attività sensibili e i processi a rischio; 

si descrivono le modalità tipiche di possibile commissione dei reati; 

si definiscono protocolli e controlli specifici (principi di comportamento, livelli di autorizzazione, verifiche, segregazione delle funzioni, tracciabilità delle operazioni).

5.3 Allegati operativi

Sebbene non previsti espressamente dal Decreto, in prassi il modello è corredato da allegati, ad esempio: 

statuto o regolamento interno dell’OdV; 

matrici di risk assessment (mappatura delle aree a rischio e dei controlli); 

piani di formazione; 

procedure e istruzioni operative; 

registro delle segnalazioni e dei flussi informativi verso l’OdV.

Questi documenti rafforzano la concretezza e la dimostrabilità dell’attuazione del modello. 

6. Mappatura delle aree a rischio e gestione del rischio‑reato

6.1 Fasi della mappatura

La mappatura dei rischi‑reato è il cuore del modello e, di solito, segue alcune fasi: 

Analisi dell’organizzazione: studio di organigrammi, funzionigrammi, processi, procedure, deleghe, procure. 

Individuazione delle aree sensibili: identificazione dei processi in cui, per natura delle attività o per controparti coinvolte (es. PA, fornitori critici, intermediari), è più elevato il rischio di reato. 

Valutazione dei controlli esistenti: verifica delle misure già in essere (separazione funzioni, doppi controlli, limiti di spesa, firme congiunte, tracciabilità). 

Analisi delle modalità di possibile commissione dei reati: individuazione di scenari concreti (es. sovrafatturazioni, false consulenze, tangenti, manipolazioni di bilancio, mancata manutenzione di impianti). 

Attribuzione di livelli di rischio: combinazione tra probabilità e impatto, con priorità di intervento sulle aree più critiche. 

Definizione dei presidi: progettazione o rafforzamento di protocolli e controlli per ciascun rischio.

6.2 Integrazione con i sistemi di risk management

Il modello 231 si integra sempre più spesso con i sistemi di Enterprise Risk Management (ERM) e con i framework internazionali (ad es. CoSO ERM, ISO 31000), che considerano il rischio‑reato come una delle componenti del rischio operativo e reputazionale. 

In questa logica, il MOG 231 non è un “corpo estraneo”, ma un sotto‑sistema del più ampio sistema di gestione dei rischi aziendali, con vantaggi in termini di coerenza, efficienza e riduzione dei costi di compliance. 

7. L’Organismo di Vigilanza (OdV)

7.1 Requisiti essenziali

L’OdV è l’organo interno cui il Decreto affida il compito di vigilare sul funzionamento e sull’osservanza del modello e di curarne l’aggiornamento.
La prassi ha individuato quattro requisiti fondamentali: 

autonomia: posizione non subordinata rispetto alle funzioni controllate; 

indipendenza: assenza di interessi che possano condizionare l’imparzialità; 

professionalità: competenze in materia giuridica, organizzativa, di auditing e risk management; 

continuità d’azione: capacità di svolgere attività di controllo in modo costante nel tempo.

Nelle società di capitali, la legge consente che il collegio sindacale, il consiglio di sorveglianza o il comitato per il controllo sulla gestione svolgano le funzioni di OdV, purché dotati in concreto dei requisiti sopra indicati. 

7.2 Attività di vigilanza

L’OdV, in genere, svolge: 

controlli “generali” (sulla diffusione del modello, sulla formazione, sui provvedimenti disciplinari, sui flussi informativi); 

controlli “specifici” su processi a rischio (es. ciclo passivo, rapporti con la PA, gare, sponsorizzazioni, consulenze, salute e sicurezza, ambiente, IT e cybersecurity); 

analisi delle segnalazioni ricevute (anche whistleblowing) e delle anomalie riscontrate; 

verifiche sull’attuazione delle misure correttive proposte.

Per operare efficacemente, l’OdV deve disporre di un budget autonomo, poter accedere a documenti e informazioni, e avere canali di reporting diretto verso l’organo amministrativo. 

7.3 Aggiornamento del modello e formazione

L’OdV: 

monitora l’evoluzione normativa (nuovi reati presupposto, nuove regole di settore); 

segnala all’organo amministrativo la necessità di aggiornare il modello in caso di modifiche organizzative, nuovi business, operazioni straordinarie, criticità emerse nei controlli o a seguito di illeciti; 

contribuisce alla definizione dei piani di formazione e comunicazione, verificandone l’effettiva realizzazione e l’efficacia.

L’aggiornamento non è un’operazione episodica, ma un processo continuo, che rende il modello “vivente” e coerente con la realtà aziendale. 

8. Modello 231 e compliance integrata

8.1 Sicurezza sul lavoro

Nel campo della salute e sicurezza, il modello 231 si intreccia con gli obblighi del D.Lgs. 81/2008: 

DVR, DUVRI e altri documenti di valutazione dei rischi sono elementi fondamentali, ma non equivalgono di per sé a un MOG 231; 

certificazioni (es. ISO 45001) sono utili ma non sostitutive del modello, se non integrate in un sistema che preveda mappatura dei reati, protocolli specifici, OdV, flussi informativi e sistema disciplinare.

Un modello efficace in quest’area deve assicurare: 

chiara attribuzione di ruoli e responsabilità (datore di lavoro, dirigenti, preposti, RSPP); 

procedure per formazione, informazione e addestramento; 

controllo su appalti e subappalti; 

monitoraggio costante dei presidi tecnici e organizzativi.

8.2 Cybersecurity e nuova disciplina (nuova regola applicabile)

Negli ultimi anni il legislatore ha rafforzato la disciplina in materia di sicurezza delle reti e dei sistemi informativi, anche attraverso il recepimento della direttiva NIS 2 e l’ampliamento dei reati informatici rilevanti ai fini del D.Lgs. 231/2001. 

Nuova regola applicabile: con le più recenti modifiche all’art. 24‑bis D.Lgs. 231/2001, è stato ampliato il catalogo dei reati informatici e sono state inasprite le sanzioni per gli enti, con particolare attenzione a fenomeni come l’estorsione informatica e gli attacchi cyber contro infrastrutture critiche. 

Rispetto alla “vecchia” impostazione, in cui i reati informatici avevano un peso più limitato, oggi il modello 231 deve necessariamente includere: 

una mappatura specifica dei rischi cyber (accessi abusivi, data breach, ransomware, manipolazione di dati e sistemi); 

protocolli per la sicurezza logica e fisica (gestione credenziali, segregazione dei sistemi, backup, incident response); 

procedure di notifica degli incidenti alle autorità competenti, ove richiesto; 

chiara integrazione con le funzioni IT, sicurezza informatica, data protection (DPO).

8.3 Soft law, linee guida e governance

Le linee guida di associazioni di categoria (es. Confindustria, ABI, associazioni professionali) e gli standard internazionali di governance e risk management costituiscono un importante riferimento per la costruzione del modello, pur non avendo forza di legge. 

Il modello 231, se correttamente integrato con: 

sistemi di controllo interno; 

funzioni di risk management e internal audit; 

sistemi di gestione certificati (ISO 9001, 14001, 27001, 37301, ecc.);

diventa un tassello centrale della corporate governance, contribuendo alla trasparenza, alla tutela degli stakeholder e alla reputazione dell’impresa. 

9. Conclusioni: il modello 231 come architrave della compliance

Il D.Lgs. 231/2001 ha trasformato la gestione del rischio penale d’impresa da tema “personale” degli amministratori a questione organizzativa e sistemica. 

Il modello di organizzazione, gestione e controllo: 

rappresenta la traduzione operativa dell’obbligo di predisporre assetti organizzativi adeguati; 

consente di prevenire e gestire il rischio‑reato in modo strutturato; 

può escludere o attenuare la responsabilità dell’ente, se effettivamente adottato, attuato e aggiornato; 

è sempre più integrato con gli altri sistemi di compliance (anticorruzione, privacy, sicurezza sul lavoro, cybersecurity, ambiente).

Per essere realmente efficace, il modello deve essere: 

su misura: costruito sulla specifica realtà aziendale; 

documentato: supportato da evidenze di formazione, controlli, flussi informativi, sanzioni applicate; 

dinamico: aggiornato in relazione ai cambiamenti interni ed esterni; 

condiviso: conosciuto e “vissuto” da tutti i livelli dell’organizzazione.

In questa prospettiva, il MOG 231 non è solo un adempimento formale, ma un vero strumento di compliance e di buona governance, capace di ridurre il rischio sanzionatorio, migliorare i processi decisionali e rafforzare la cultura della legalità all’interno dell’ente.

CategorieTutti gli articoliEventiCuriositàSentenze leggiLink utilifilodiritto.comcliens.itdirittoegiustizia.italtalex.comgiustiziacivile.comilcaso.itridare.itordineavvocatitorreannunziata.itpst.giustizia.itpostacertificata.lextel.itcassaforense.it

Antonio Chicoli

Ultimi Post dal Blog

7 Aprile 2026 - CORTE DI CASSAZIONE - Ordinanza n. 7982/2026 del 31-03-2026 (WhatsApp e Licenziamento).

1. Riepilogo discorsivo dell’ordinanza su WhatsApp e licenziamento disciplinare 1.1...

29.03.2026 - NASpI e risoluzioni consensuali in sede protetta: i limiti secondo la Cassazione - ordinanza n. 6988 del 24 marzo 2026.

Il lavoratore non ha diritto alla NASpI in caso di un accordo transattivo di risoluzione...

Tutti i diritti riservati © 2026