In Italia il Decreto Legislativo 231/2001 ha cambiato in profondità il rapporto tra impresa e responsabilità per i reati commessi nell’interesse o a vantaggio dell’ente. Dopo oltre vent’anni, implementare un Modello organizzativo 231 non è più solo un presidio di compliance, ma un fattore competitivo e di credibilità verso mercati, investitori e Pubblica Amministrazione.
Il tema è particolarmente rilevante per imprenditori, amministratori, direttori finanziari, HR e legali d’impresa delle PMI, che oggi si trovano a dover coniugare crescita, digitalizzazione e accesso a bandi pubblici con requisiti stringenti di integrità e controllo interno. Comprendere le fasi operative – dal risk assessment, alla definizione dei controlli, fino all’Organismo di Vigilanza e al codice etico – significa passare da un approccio meramente formale a un sistema di gestione del rischio reato realmente efficace.
Scenario: perché il Modello 231 è diventato centrale per le imprese italiane
Il Decreto 231/2001 ha introdotto la responsabilità amministrativa degli enti per una serie di reati commessi nel loro interesse o vantaggio da soggetti apicali o subordinati. Nel tempo l’elenco dei reati presupposto si è ampliato enormemente: dai reati contro la Pubblica Amministrazione si è passati a includere reati societari, reati in materia di salute e sicurezza sul lavoro, riciclaggio, reati ambientali, cybercrime, fino ai più recenti reati tributari e in materia di frodi in ambito UE.
Secondo i dati del Ministero della Giustizia diffusi negli ultimi anni, i procedimenti a carico di enti ai sensi del D.Lgs. 231 sono in crescita costante, con alcune Procure particolarmente attive su settori come edilizia, logistica, sanità, servizi ambientali e manifattura. Parallelamente, l’adozione del Modello 231 si è progressivamente estesa dalle grandi quotate alle medie imprese e alle realtà che operano con la Pubblica Amministrazione, spinte anche da linee guida di associazioni di categoria e ordini professionali.
Lo scenario competitivo attuale va letto su tre piani:
- Normativo: continuo ampliamento dei reati presupposto e crescente aspettativa di “effettività” del Modello 231 da parte di magistratura e autorità.
- Economico: integrazione di requisiti 231 nelle gare pubbliche, nelle richieste di compliance di grandi clienti e nei rating ESG.
- Reputazionale: maggiore attenzione di media e opinione pubblica ai temi di corruzione, sicurezza, ambiente, con impatti diretti sul brand.
In questo contesto, limitarsi a un modello “di carta” non è più sostenibile. Il focus si sposta su come implementare il Modello 231, rendendolo coerente con la struttura, i processi e la cultura dell’organizzazione.
Le fasi operative per implementare un Modello 231 in modo efficace
Per implementare un Modello organizzativo 231 in maniera coerente e difendibile è utile ragionare in termini di progetto strutturato, articolato in fasi successive ma interconnesse. Ogni fase richiede competenze diverse (legali, organizzative, contabili, di risk management) e un forte coinvolgimento del management.
Mappatura dell’ente e analisi documentale
La prima fase consiste nel fotografare l’organizzazione, per comprenderne dimensioni, struttura e processi critici. In concreto, si analizzano:
organigrammi e funzionigrammi, deleghe e procure, procedure operative e regolamenti interni, sistema di poteri di firma, sistema di controllo interno e audit, documenti di governance (statuto, patti parasociali, regolamenti del CdA). Questa analisi documentale permette di individuare le aree decisionali e operative più esposte a rischio reato e di capire se esistono già controlli formalizzati.
Risk assessment 231: identificazione e valutazione dei rischi reato
Il cuore del progetto è il risk assessment 231, ossia la valutazione sistematica dei rischi reato che possono concretizzarsi nell’ambito delle attività aziendali. Le linee guida delle principali associazioni (ad esempio Confindustria) sottolineano che il modello è efficace solo se parte da un’analisi dei rischi aderente alla realtà dell’ente.
Il risk assessment si articola di norma in tre passaggi:
- Individuazione delle attività sensibili: si mappano processi e fasi operative potenzialmente esposte ai reati presupposto (es. gestione appalti pubblici, rapporti con la PA, emissione fatture, gestione cassa e tesoreria, selezione fornitori, rifiuti e ambiente, salute e sicurezza).
- Analisi delle modalità di commissione dei reati: per ogni attività sensibile si valutano le possibili condotte illecite, considerando prassi operative, eventuali anomalie storiche, flussi informativi e leve di decisione.
- Valutazione del rischio lordo e residuo: si stimano probabilità e impatto dei rischi reato, prima e dopo i controlli già esistenti, per definire le priorità di intervento.
Questa valutazione non è un mero esercizio teorico: richiede interviste ai responsabili di funzione, analisi dei flussi operativi, lettura di contratti e verifiche a campione sui dati contabili. Il risultato è una mappa dei rischi 231 che costituisce il fondamento dell’intero Modello.
Progettazione del sistema di controlli e delle procedure 231
Sulla base del risk assessment, si procede alla definizione o revisione dei controlli, con l’obiettivo di prevenire la commissione dei reati o renderla comunque difficilmente attuabile e facilmente rilevabile. Alcuni presidi sono trasversali a quasi tutti i Modelli 231:
- principio di segregazione delle funzioni (chi autorizza, chi esegue, chi controlla devono essere distinti);
- tracciabilità delle operazioni e dei flussi decisionali (documentazione, registrazioni, autorizzazioni formali);
- sistema di poteri di firma coerente con le responsabilità e adeguato alle soglie di rischio;
- procedure per la selezione e qualificazione di fornitori, consulenti, partner;
- controlli sui flussi finanziari e sulle operazioni atipiche o di importo rilevante.
Per le attività sensibili mappate nel risk assessment si sviluppano o aggiornano procedure specifiche: ad esempio, per la gestione omaggi e sponsorizzazioni, per i rapporti con funzionari pubblici, per l’iter di approvazione delle fatture, per i processi HSE in ambito sicurezza e ambiente. L’attenzione va posta non solo alla forma, ma alla reale applicabilità delle procedure da parte del personale.
L’Organismo di Vigilanza (OdV): ruolo, composizione e funzionamento
L’Organismo di Vigilanza è uno degli elementi qualificanti del Modello 231. Deve essere dotato di autonomi poteri di iniziativa e controllo e avere requisiti di indipendenza, professionalità e continuità d’azione. Nella prassi italiana si sono affermate tre principali configurazioni:
- OdV monocratico (un professionista esterno);
- OdV collegiale misto (interni + esterni);
- OdV interamente interno, di solito in realtà più strutturate, affiancato da funzioni di audit e compliance.
La scelta dipende da dimensioni aziendali, complessità dei rischi, budget e competenze disponibili. In ogni caso, l’OdV deve poter accedere liberamente alla documentazione, incontrare le funzioni, ricevere segnalazioni, proporre aggiornamenti al Modello. È essenziale definire:
regolamento di funzionamento dell’OdV, piano di vigilanza periodico, flussi informativi obbligatori verso l’OdV, reportistica verso il CdA e, nelle società più strutturate, eventuale coordinamento con comitati controlli e rischi.
Codice etico e sistema disciplinare
Il codice etico è il documento che esprime i valori, i principi di comportamento e gli impegni dell’ente verso stakeholder interni ed esterni. Non sostituisce il Modello 231, ma lo integra sul piano culturale e comportamentale. Per essere effettivo, il codice etico deve:
essere chiaro, comprensibile e coerente con l’attività dell’ente; indicare in modo concreto i comportamenti vietati (es. regali oltre una certa soglia, rapporti anomali con fornitori); prevedere modalità di segnalazione di violazioni e tutela dei segnalanti; essere portato a conoscenza di dipendenti, collaboratori, fornitori.
Accanto al codice etico, il sistema disciplinare 231 definisce le sanzioni applicabili in caso di violazione delle regole del Modello: per dipendenti (in coerenza con CCNL), dirigenti, apicali, collaboratori e fornitori. L’assenza di un sistema sanzionatorio effettivo è uno degli elementi che la giurisprudenza valuta negativamente in sede di giudizio sull’idoneità del Modello.
Formazione, comunicazione e whistleblowing
Un Modello 231 resta inapplicato se non è conosciuto. La formazione, tarata per ruoli e livelli di responsabilità, è quindi una fase operativa fondamentale: sessioni di induction per nuovi assunti, corsi specifici per funzioni “a rischio” (acquisti, commerciale, amministrazione, HSE), aggiornamenti periodici alla luce di novità normative o di modifiche organizzative.
Negli ultimi anni è diventato centrale anche il tema del whistleblowing. L’attuazione delle norme europee in materia impone a molte imprese di dotarsi di canali di segnalazione interna, procedure di gestione delle segnalazioni e strumenti di tutela dei segnalanti. L’integrazione di questi meccanismi con l’OdV e con il Modello 231 è un passaggio strategico, che rafforza la capacità di intercettare tempestivamente anomalie e potenziali illeciti.
Dati e statistiche sull’adozione dei Modelli 231 in Italia
Il quadro statistico sui Modelli 231 non è uniforme, ma diversi studi di settore offrono un ordine di grandezza significativo. Secondo rilevazioni di associazioni imprenditoriali e società di consulenza, una quota molto elevata delle grandi imprese italiane ha adottato un Modello 231, mentre tra le PMI la diffusione è nettamente inferiore, sebbene in crescita.
Dalle analisi condotte negli ultimi anni emerge che:
- le società quotate italiane hanno quasi tutte adottato un Modello 231 e istituito un OdV;
- tra le imprese di medie dimensioni, l’adozione cresce significativamente nei settori con forte esposizione a gare pubbliche, sicurezza ed ambiente (costruzioni, servizi, energia, rifiuti, sanità privata);
- nelle micro e piccole imprese, la diffusione rimane più bassa, con una concentrazione soprattutto nelle realtà che fanno parte di filiere controllate da grandi gruppi, oppure che puntano a bandi pubblici o a partnership internazionali.
Sul fronte dei procedimenti, il Ministero della Giustizia ha più volte segnalato un trend di aumento delle contestazioni 231, con un peso consistente dei reati in materia di infortuni sul lavoro, reati ambientali, corruzione e reati fiscali. Pur in assenza di numeri omogenei per tutte le giurisdizioni, emerge con chiarezza come il perimetro applicativo del Decreto non sia più circoscritto a casi eclatanti di corruzione, ma si estenda alla gestione ordinaria di rischi tipici di molti settori produttivi.
A livello internazionale, organismi come l’OCSE evidenziano come i sistemi di responsabilità degli enti per reati economici e di corruzione si stiano diffondendo in numerosi Paesi, spesso con standard sempre più elevati di compliance richiesti alle imprese. Ciò si traduce in pressioni crescenti sulle aziende italiane che operano all’estero o che si confrontano con partner internazionali, per dimostrare l’esistenza di programmi di prevenzione strutturati e credibili.
I rischi e le criticità per chi non adotta o implementa male il Modello 231
Mancare l’appuntamento con la compliance 231 o limitarsi a un modello meramente formale comporta una serie di rischi su più livelli.
Il primo è di natura giuridica. In assenza di un Modello 231 idoneo e efficace, in caso di reato presupposto l’ente può essere destinatario di sanzioni pecuniarie anche molto elevate e di sanzioni interdittive: interdizione dall’esercizio dell’attività, sospensione o revoca di autorizzazioni e concessioni, divieto di contrattare con la Pubblica Amministrazione, esclusione da agevolazioni, finanziamenti o contributi. In determinati casi può essere disposta anche la pubblicazione della sentenza.
Il secondo è di tipo economico e competitivo. Un’impresa priva di Modello 231, o con un modello debolmente implementato, può trovarsi esclusa da bandi, gare o forniture che richiedono standard di compliance elevati; può essere penalizzata nella valutazione ESG; può risultare meno attrattiva per investitori e partner industriali, soprattutto in operazioni di M&A o in aggregazioni di filiera.
Il terzo è reputazionale. Procedimenti penali a carico dell’ente, soprattutto in ambiti sensibili come sicurezza sul lavoro, ambiente o corruzione, possono erodere in poco tempo la fiducia di clienti, dipendenti e comunità locali. In un contesto mediatico attento alle questioni etiche, la mancanza di un sistema di prevenzione credibile diventa un elemento di valutazione negativa da parte di stakeholder interni ed esterni.
Infine, vi sono rischi organizzativi. Senza un’analisi dei rischi strutturata e senza procedure chiare, le imprese tendono a subire una proliferazione informale di prassi e decisioni discrezionali, con aumento del rischio di errore, di conflitti interni e di inefficienze nella gestione dei processi critici.
Le opportunità per chi integra davvero il Modello 231 nella gestione aziendale
Se ben progettato e soprattutto ben implementato, il Modello 231 può diventare un volano per migliorare il governo dell’impresa e non un mero costo di conformità. Le opportunità si manifestano su diversi piani.
Sul piano organizzativo, il lavoro di mappatura dei processi e di definizione delle procedure consente di chiarire responsabilità, ridurre sovrapposizioni, migliorare la tracciabilità delle decisioni. Ciò può portare a maggiore efficienza operativa, minore rischio di errori e maggiore capacità di gestione di situazioni anomale.
Sul piano economico e finanziario, un sistema di controlli sui flussi, sui contratti e sulle operazioni a rischio può contribuire a limitare sprechi, frodi interne, pratiche scorrette nella selezione di fornitori e partner. In occasione di due diligence da parte di investitori o di istituti di credito, la presenza di un Modello 231 solido può rappresentare un elemento favorevole di valutazione.
Sul piano strategico, un buon Modello 231 può fungere da ponte con altri sistemi di gestione (qualità, ambiente, sicurezza, anticorruzione) e con i criteri ESG. Sempre più rating di sostenibilità e di governance considerano presidi di controllo interno, gestione del rischio e integrità aziendale come fattori determinanti. Le imprese che investono per tempo in questi ambiti si trovano meglio posizionate per cogliere opportunità di collaborazione con grandi gruppi, investitori istituzionali e mercati esteri.
Infine, sul piano culturale, la diffusione di un codice etico credibile, la formazione continua e la valorizzazione delle segnalazioni interne possono rafforzare la cultura dell’integrità e della responsabilità diffusa, contribuendo a ridurre comportamenti opportunistici e a migliorare il clima interno.
Profili normativi essenziali del D.Lgs. 231/2001 spiegati in modo operativo
Per impostare correttamente il percorso di implementazione è utile ricordare alcuni punti chiave del Decreto 231, nella prospettiva dell’ente che vuole proteggersi in modo efficace.
In primo luogo, la responsabilità dell’ente sorge quando viene commesso uno dei reati previsti dal Decreto, nell’interesse o a vantaggio dell’ente stesso, da parte di soggetti che rivestono funzioni di rappresentanza, amministrazione o direzione, oppure da persone sottoposte alla loro direzione o vigilanza. L’ente può essere chiamato a rispondere anche se il reato è stato commesso da un soggetto subordinato, quando non sono state adottate misure idonee a prevenire tale reato.
Il Decreto prevede espressamente che l’ente non risponde se ha adottato ed efficacemente attuato, prima della commissione del fatto, un Modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi e se l’OdV ha esercitato efficacemente i propri compiti di vigilanza. Questo è il fondamento dell’efficacia esimente – o quantomeno attenuante – del Modello 231.
La giurisprudenza, nel corso degli anni, ha precisato che il Modello deve essere concreto, aggiornato e attuato. Non è sufficiente un documento generico: occorre una adeguata attività di analisi dei rischi, procedure mirate, formazione, controlli e un OdV effettivamente operante. Anche la prova della “vivenza” del Modello – riunioni, verbali, audit, attività formative, aggiornamenti periodici – assume rilievo in sede processuale.
L’aggiornamento del Modello è un altro aspetto decisivo. Ogni modifica rilevante della struttura organizzativa, dei processi, dei mercati o delle normative (si pensi all’introduzione dei reati tributari o alle evoluzioni del quadro anticorruzione) richiede una verifica del risk assessment e, se necessario, un adeguamento delle procedure e dei controlli.
FAQ: domande frequenti sull’implementazione del Modello 231
Quanto tempo serve, in media, per implementare un Modello 231 in una PMI?
Dipende dalla complessità dell’ente, dal settore e dal livello di strutturazione iniziale. Per una PMI di dimensioni medie, con processi già discretamente formalizzati, il percorso può richiedere alcuni mesi tra analisi, progettazione, approvazione, formazione e avvio operativo dell’OdV. In realtà molto complesse, o con più sedi e linee di business, i tempi possono allungarsi sensibilmente.
Il Modello 231 è obbligatorio per tutte le imprese?
Il Decreto 231 non impone formalmente l’obbligo di adottare un Modello, ma in mancanza l’ente non può beneficiare dell’effetto esimente o attenuante in caso di reato. Inoltre, per molte imprese di settori regolamentati o fortemente esposti verso la PA, la presenza del Modello 231 è di fatto un prerequisito competitivo e di reputazione.
Qual è il ruolo del CdA nell’adozione del Modello 231?
Il consiglio di amministrazione ha la responsabilità ultima di adottare il Modello, nominarne l’Organismo di Vigilanza, assicurare le risorse necessarie e promuoverne l’effettiva attuazione. Un Modello calato dall’alto senza reale coinvolgimento del CdA e del top management difficilmente risulterà credibile agli occhi degli organi inquirenti e, soprattutto, del personale aziendale.
Conclusioni: verso un approccio maturo al Modello 231 nelle PMI
Per molte piccole e medie imprese italiane, l’adozione del Modello 231 rappresenta un passaggio di maturazione organizzativa. Il vero discrimine non è più tra chi ha o non ha il documento, ma tra chi lo integra realmente nella gestione quotidiana e chi lo considera un semplice adempimento formale.
Trattare il Modello 231 come un progetto di medio periodo, che parte da un risk assessment onesto e approfondito, prosegue con la definizione di controlli realmente praticabili, investe nella formazione e dà spazio a un OdV attivo, consente di trasformare un vincolo in una leva di governo d’impresa. In un contesto in cui responsabilità, sostenibilità e integrità stanno diventando elementi strutturali di competitività, questo passaggio appare sempre meno rinviabile.
Per imprese e professionisti che si interrogano su come strutturare o aggiornare il proprio sistema 231, un confronto con consulenti specializzati e con le esperienze maturate in altri settori può offrire indicazioni preziose per costruire un modello concreto, sostenibile e davvero efficace nel tempo.