Il D.Lgs. 231/2001 ha introdotto in Italia una forma di responsabilità "amministrativa" degli enti per i reati commessi, nel loro interesse o a loro vantaggio, da amministratori, dirigenti o dipendenti. È una responsabilità autonoma rispetto a quella penale della persona fisica che ha materialmente commesso il reato, e l'unico modo per l'ente di esonerarsene è dimostrare di aver adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo. Contenuto informativo: la predisposizione di un modello 231 efficace richiede sempre un legale specializzato in compliance e diritto penale d'impresa.
La parola chiave è "efficacemente attuato": un modello che esiste solo su carta, mai realmente seguito nella gestione operativa, non protegge l'ente, e anzi può essere visto dalla magistratura come un tentativo di apparenza piuttosto che di reale prevenzione.
I reati presupposto: un elenco in costante espansione
L'esonero dalla responsabilità riguarda solo i reati espressamente elencati dal decreto, i cosiddetti reati presupposto. L'elenco originario, limitato a corruzione e reati contro la pubblica amministrazione, si è progressivamente ampliato fino a comprendere reati societari, omicidio colposo e lesioni gravi o gravissime per violazione delle norme sulla sicurezza sul lavoro, reati informatici e di criminalità organizzata, riciclaggio e autoriciclaggio, reati ambientali, e dal 2023 anche specifici reati tributari (dichiarazione fraudolenta, emissione di fatture false).
Questa espansione progressiva rende necessario un aggiornamento periodico del modello: un'impresa che ha adottato il modello dieci anni fa e non l'ha mai rivisto rischia di avere protocolli di controllo che non coprono affatto le aree di rischio più recenti.
La mappatura dei rischi e i protocolli di controllo
Il primo passo nella costruzione del modello è la mappatura dei rischi: individuare, per ogni area aziendale (acquisti, gare pubbliche, gestione della cassa, rapporti con la pubblica amministrazione), in quali processi potrebbe astrattamente realizzarsi uno dei reati presupposto, e con quale modalità concreta. Su questa mappatura si costruiscono i protocolli specifici: regole di separazione dei poteri, doppia firma per le operazioni a rischio, tracciabilità delle decisioni, controlli incrociati.
Un modello copiato da un template generico, senza una vera mappatura dei rischi specifici dell'azienda, è uno degli errori più frequenti, e tipicamente uno dei primi elementi che la magistratura usa per dimostrare l'inefficacia del modello in caso di processo.
L'Organismo di Vigilanza
Il modello deve prevedere un Organismo di Vigilanza (OdV) dotato di autonomia, indipendenza, professionalità e continuità d'azione, con il compito di vigilare sul funzionamento e l'osservanza del modello e curarne l'aggiornamento. Può essere un organo collegiale interno, un soggetto esterno, o anche coincidere con il collegio sindacale nelle società di minori dimensioni, ma in ogni caso deve avere poteri ispettivi reali e un accesso diretto e indipendente alle informazioni aziendali.
Un OdV privo di reali poteri, o composto da soggetti che hanno conflitti di interesse rispetto alle aree che dovrebbero controllare, è uno dei punti su cui la giurisprudenza nega più frequentemente l'esonero, perché vanifica la funzione stessa dell'organismo.
Perché un modello solo scritto non basta
La Cassazione ha ribadito più volte che l'esonero richiede un modello effettivamente attuato, non semplicemente adottato: formazione concreta del personale sui contenuti del modello, un sistema disciplinare che sanzioni davvero le violazioni dei protocolli, audit periodici documentati, e un flusso informativo reale verso l'Organismo di Vigilanza. L'ente che dimostra solo l'esistenza del documento, senza prove della sua applicazione operativa, perde quasi sempre la causa di esonero.
Domande frequenti
- Il modello 231 è obbligatorio per tutte le aziende?
No, l'adozione è formalmente facoltativa, ma è l'unico strumento che consente all'ente di non rispondere per un reato presupposto commesso da un dipendente o amministratore nel suo interesse o vantaggio.
- Cosa sono i reati presupposto?
L'elenco taassativo di reati, in costante espansione, per cui l'ente può rispondere se commessi nel suo interesse: corruzione, reati societari, sicurezza sul lavoro, reati informatici, riciclaggio, ambientali e, dal 2023, specifici reati tributari.
- Cosa fa l'Organismo di Vigilanza?
Vigila sul funzionamento e l'osservanza del modello, ne cura l'aggiornamento, e deve avere requisiti di autonomia, indipendenza, professionalità e continuità d'azione.
- Basta avere un modello scritto per essere esonerati?
No, la giurisprudenza richiede che il modello sia effettivamente attuato: protocolli seguiti, formazione reale, sistema disciplinare e un Organismo di Vigilanza realmente operativo.