Il D.lgs. 231/2001 introduce la responsabilità amministrativa degli enti per reati commessi nel loro interesse o vantaggio da soggetti apicali o sottoposti. L’adozione di un Modello Organizzativo e di Gestione (MOG) conforme, corredato da un Organismo di Vigilanza indipendente, costituisce l’unica esimente legale prevista dall’art. 6 del decreto. Con oltre 60 reati presupposto aggiornati al 2024 — inclusi reati tributari, ambientali e di corruzione — la compliance 231 è oggi una priorità operativa per qualsiasi PMI strutturata.
Punti chiave
- Il D.lgs. 231/2001 rende l’ente responsabile dei reati commessi nel suo interesse da apicali o dipendenti.
- L’adozione di un MOG efficace ed effettivo è l’unica esimente dalla responsabilità amministrativa dell’ente.
- I reati presupposto superano oggi 60 fattispecie, includendo corruzione, frodi fiscali e reati ambientali.
- L’Organismo di Vigilanza deve essere autonomo, con poteri di iniziativa e controllo continuo sul MOG.
Cos’è il D.lgs. 231/2001: definizione e quadro normativo
Il Decreto Legislativo 8 giugno 2001, n. 231 — emanato in attuazione della legge delega 29 settembre 2000, n. 300 — ha introdotto nell’ordinamento italiano la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni prive di personalità giuridica. Prima di questo decreto, il principio societas delinquere non potest escludeva qualsiasi forma di responsabilità penale o para-penale degli enti. Con il 231, quell’impostazione è superata.
La responsabilità scatta quando un reato compreso nel catalogo dei «reati presupposto» viene commesso nell’interesse o a vantaggio dell’ente (art. 5, comma 1, D.lgs. 231/2001) da: (a) soggetti in posizione apicale — amministratori, direttori generali, liquidatori — o (b) soggetti sottoposti alla direzione o vigilanza di un apicale. Se il reato è commesso nell’interesse esclusivo del singolo autore, l’ente non risponde (art. 5, comma 2).
Le sanzioni applicabili agli enti sono quattro tipologie distinte: sanzioni pecuniarie (calcolate per quote ex artt. 10-12), sanzioni interdittive (sospensione o revoca di licenze, esclusione da appalti pubblici, divieto di contrattare con la PA fino a 2 anni ex art. 9), confisca del profitto del reato (art. 19) e pubblicazione della sentenza (art. 18). Le sanzioni interdittive sono le più temute dalle imprese perché paralizzano l’operatività concreta.
Il catalogo dei reati presupposto si è espanso progressivamente dal 2001: oggi conta oltre 60 fattispecie, raggruppate in macroaree che comprendono reati contro la PA (artt. 24-25), reati societari (art. 25-ter), reati di omicidio colposo e lesioni gravi con violazione della normativa antinfortunistica (art. 25-septies, introdotto dalla L. 123/2007), reati ambientali (art. 25-undecies, rafforzato dal D.lgs. 121/2011), reati tributari (art. 25-quinquiesdecies, inserito dal D.lgs. 75/2020) e reati di intermediazione illecita e sfruttamento del lavoro (art. 25-quinquies).
Come funziona in pratica
Scenario 1 — Il direttore commerciale che corrompe un funzionario pubblico
Alfa S.r.l., società di costruzioni con 80 dipendenti, ottiene un appalto comunale grazie al pagamento di 30.000 euro a un funzionario della stazione appaltante. L’autore materiale è il direttore commerciale, soggetto apicale. Il reato di corruzione attiva (art. 318 c.p.) rientra nel catalogo dell’art. 25, D.lgs. 231/2001, e la società ha beneficiato dell’appalto: il requisito dell’interesse/vantaggio è integrato.
La Procura contesta all’ente, oltre alla responsabilità del direttore commerciale, la responsabilità amministrativa ex 231. In assenza di un MOG adottato prima del fatto, Alfa S.r.l. non può invocare nessuna esimente. Il giudice applica una sanzione pecuniaria fino a 1.032 quote (art. 25, comma 2) e dispone l’interdizione dagli appalti pubblici per 2 anni — il che significa la paralisi del core business aziendale.
Se Alfa S.r.l. avesse adottato un MOG specifico per l’area «rapporti con la PA», con procedure di autorizzazione delle spese di rappresentanza, registro delle attività lobbistiche e formazione documentata degli apicali, avrebbe potuto dimostrare di aver fatto tutto il possibile per prevenire il reato. Il tribunale avrebbe dovuto valutare se il direttore commerciale aveva eluso fraudolentemente il modello (art. 6, comma 1, lett. c).
Scenario 2 — L’infortunio mortale sul cantiere e la colpa organizzativa
Beta S.p.A., impresa metalmeccanica, subisce un infortunio mortale: un operaio muore per mancato utilizzo dei dispositivi di protezione individuale (DPI) in quota. Il reato è omicidio colposo aggravato dalla violazione dell’art. 115 D.lgs. 81/2008 (Testo Unico Sicurezza). L’art. 25-septies D.lgs. 231/2001 include questo reato tra i presupposti.
La difesa dell’ente prova che Beta S.p.A. aveva un MOG con specifica sezione «salute e sicurezza sul lavoro», procedure operative standard per i lavori in quota, registri delle formazioni aggiornati e audit trimestrali dell’OdV sulla corretta applicazione delle procedure. Il preposto aveva ignorato il protocollo aziendale in modo autonomo e imprevedibile. Il Tribunale di Milano, con sentenza in linea con il precedente Cass. pen. Sez. IV, n. 38343/2013, riconosce l’esonero da responsabilità dell’ente.
Questo scenario mostra un punto critico: il MOG sulla sicurezza non può essere una copia del DVR. Deve contenere protocolli decisionali specifici, sistemi di segnalazione delle non conformità e meccanismi di risposta alle anomalie — elementi che il solo DVR non garantisce.
La struttura operativa del MOG: cosa deve contenere
Ai sensi dell’art. 6, comma 2, D.lgs. 231/2001, il MOG deve: (a) individuare le attività nel cui ambito possono essere commessi i reati presupposto (la cosiddetta «mappatura dei rischi»); (b) prevedere protocolli specifici diretti a programmare la formazione e l’attuazione delle decisioni dell’ente; (c) individuare modalità di gestione delle risorse finanziarie idonee a impedire la commissione dei reati; (d) prevedere obblighi di informazione verso l’Organismo di Vigilanza; (e) introdurre un sistema disciplinare interno che sanzioni le violazioni del modello.
L’Organismo di Vigilanza (OdV) deve possedere tre caratteristiche irrinunciabili stabilite dall’art. 6, comma 1, lett. b): autonomia, indipendenza e professionalità. Nelle società di capitali di medie dimensioni, l’OdV è spesso monocratico o composto da 3 membri — un avvocato esperto in 231, un esperto contabile e un professionista del settore specifico. Nelle società quotate, l’OdV coincide tipicamente con il Collegio Sindacale (art. 6, comma 4-bis, introdotto dalla L. 183/2011).
Gli errori più comuni e come evitarli
-
Adottare un MOG «fotocopia» senza mappatura rischi specifica.
Il problema: molte PMI acquistano modelli standard non personalizzati sul proprio settore e sulla propria struttura organizzativa. Il giudice verifica se il modello era specificamente idoneo a prevenire il reato contestato (Cass. pen. Sez. VI, n. 36083/2009). Un MOG generico non supera questo test.
La soluzione: la mappatura dei rischi deve essere condotta con interviste ai responsabili di funzione, analisi dei processi aziendali critici e assessment documentato delle aree esposte. Ogni protocollo del MOG deve essere tracciabile a uno specifico rischio-reato individuato in quella fase. -
Nominare un OdV privo di reale autonomia.
Il problema: inserire come unico componente dell’OdV l’amministratore delegato, il direttore generale o un soggetto gerarchicamente dipendente dall’apicale annulla l’autonomia dell’organo. La giurisprudenza considera tale nomina inidonea (Trib. Milano, 17 novembre 2009).
La soluzione: l’OdV deve avere accesso diretto al CdA o all’assemblea, un budget autonomo per le proprie attività, e non deve rispondere gerarchicamente all’organo controllato. Nelle S.r.l. unipersonali con un solo amministratore, valutare la nomina di un OdV esterno monocratico con esperienza specifica. -
Non aggiornare il MOG dopo modifiche organizzative o normative.
Il problema: il MOG adottato nel 2015 non copre i reati tributari introdotti dall’art. 25-quinquiesdecies con D.lgs. 75/2020, né i nuovi reati di market abuse inseriti dall’art. 25-sexies. Un modello obsoleto non costituisce esimente per i reati aggiunti successivamente.
La soluzione: prevedere nel testo del MOG stesso una clausola di revisione periodica — almeno annuale — e straordinaria in caso di modifiche legislative, riorganizzazioni aziendali, operazioni straordinarie o violazioni accertate del modello. L’OdV deve formalizzare ogni revisione con verbale. -
Omettere il sistema disciplinare o renderlo inapplicato.
Il problema: l’art. 6, comma 2, lett. e) richiede espressamente un sistema disciplinare. Ma numerosi MOG contengono clausole disciplinari mai applicate concretamente. La Cassazione ha chiarito (Sez. VI, n. 23401/2022) che un sistema disciplinare «sulla carta» non integra l’esimente.
La soluzione: il sistema disciplinare deve essere inserito nel CCNL applicato o nel regolamento aziendale, comunicato a tutti i dipendenti, e — soprattutto — applicato in modo documentato ogni volta che si verifica una violazione del MOG, anche minore. -
Sottovalutare la formazione come elemento probatorio.
Il problema: la formazione sul MOG è spesso un’ora di webinar registrato con attestato automatico. Per il giudice che valuta l’esonero, conta la qualità e la tracciabilità della formazione, non la mera attestazione della sua esistenza.
La soluzione: strutturare sessioni formative differenziate per ruolo (apicali vs. sottoposti), con test di verifica, firme di presenza, e aggiornamenti annuali documentati. Conservare tutta la documentazione per almeno 10 anni, termine allineato alla prescrizione dei reati più gravi. -
Ignorare il 231 nelle operazioni di M&A e due diligence.
Il problema: chi acquisisce una società che ha già commesso reati presupposto rischia di ereditarne la responsabilità amministrativa se la fusione o incorporazione avviene prima della sentenza definitiva (art. 33, D.lgs. 231/2001, che disciplina la vicenda modificativa dell’ente).
La soluzione: inserire sistematicamente nella due diligence pre-acquisizione una specifica sezione di verifica 231: esistenza del MOG, verbali OdV degli ultimi 3 anni, eventuali procedimenti in corso, e prevedere clausole di indennizzo nel SPA (Sale and Purchase Agreement) per le passività 231 non dichiarate.
Riferimenti normativi e giurisprudenziali
| Norma / Fonte | Contenuto rilevante |
|---|---|
| D.lgs. 8 giugno 2001, n. 231 | Testo base della responsabilità amministrativa degli enti. Art. 5: criteri di imputazione. Art. 6: esimente del MOG per apicali. Art. 7: esimente per soggetti sottoposti. Artt. 9-23: sanzioni applicabili. Artt. 24-25-quinquiesdecies: catalogo reati presupposto. |
| D.lgs. 14 luglio 2020, n. 75 | Inserisce l’art. 25-quinquiesdecies nel D.lgs. 231/2001: responsabilità degli enti per reati tributari gravi (dichiarazione fraudolenta ex art. 2 D.lgs. 74/2000, emissione di fatture false, occultamento di documenti contabili). Attuazione della Direttiva PIF 2017/1371/UE. |
| D.lgs. 9 aprile 2008, n. 81 (TU Sicurezza) + art. 25-septies D.lgs. 231/2001 | Introduce la responsabilità 231 per omicidio colposo (art. 589 c.p.) e lesioni gravi (art. 590 c.p.) derivanti da violazioni della normativa antinfortunistica. Sanzione pecuniaria fino a 1.000 quote; sanzioni interdittive fino a 2 anni per i casi più gravi. |
| Cass. pen., Sez. IV, n. 38343 del 17 settembre 2013 | Chiarisce i requisiti di effettività del MOG in materia di sicurezza sul lavoro: il modello deve essere specificamente idoneo a prevenire il reato contestato e non sovrapponibile al solo DVR. Distingue tra colpa organizzativa dell’ente e colpa individuale del preposto. |
| Cass. pen., Sez. VI, n. 23401 del 14 giugno 2022 | Ribadisce che il sistema disciplinare del MOG deve essere effettivamente applicato per integrare l’esimente. Un sistema disciplinare formalmente esistente ma mai azionato non soddisfa il requisito dell’art. 6, comma 2, lett. e), D.lgs. 231/2001. |
| Linee Guida Confindustria (aggiornamento 2021) | Documento di riferimento riconosciuto dalla giurisprudenza per la costruzione del MOG. Illustra la metodologia di risk assessment, i criteri per la nomina e la composizione dell’OdV, e i contenuti minimi del sistema disciplinare. Non hanno valore normativo vincolante ma costituiscono best practice giudizialmente apprezzata. |
Domande frequenti
Quali sono i reati presupposto del D.lgs. 231/2001 aggiornati al 2026?
Al 2026, il catalogo conta oltre 60 fattispecie raggruppate in circa 25 articoli del decreto. Le aree principali includono: reati contro la PA (artt. 24-25), reati societari (art. 25-ter), reati di terrorismo (art. 25-quater), pratiche di mutilazione (art. 25-quater.1), reati contro la personalità individuale (art. 25-quinquies), abusi di mercato (art. 25-sexies), omicidio colposo e lesioni da violazione sicurezza lavoro (art. 25-septies), reati ambientali (art. 25-undecies), autoriciclaggio (art. 25-octies.1) e reati tributari gravi introdotti dal D.lgs. 75/2020 (art. 25-quinquiesdecies).
Il MOG 231 è obbligatorio per legge o è solo volontario?
Il MOG non è obbligatorio: nessuna norma del D.lgs. 231/2001 impone alle imprese di adottarlo. È tuttavia l’unico strumento che permette all’ente di ottenere l’esonero dalla responsabilità amministrativa quando un reato presupposto viene commesso da un soggetto apicale (art. 6) o sottoposto (art. 7). In assenza di MOG, l’ente risponde automaticamente se il reato è commesso nel suo interesse. Dal punto di vista commerciale, molte stazioni appaltanti pubbliche e istituti di credito richiedono la certificazione 231 come requisito di accesso a contratti o finanziamenti.
L’Organismo di Vigilanza può coincidere con il Collegio Sindacale?
Sì. L’art. 6, comma 4-bis, D.lgs. 231/2001 — inserito dalla L. 12 novembre 2011, n. 183 — consente espressamente che nelle società di capitali il Collegio Sindacale, il Consiglio di Sorveglianza o il Comitato per il controllo sulla gestione svolgano le funzioni dell’OdV. La scelta è facoltativa e deve essere valutata in concreto: il Collegio Sindacale ha già competenze contabili e di vigilanza, ma potrebbe non avere la specializzazione penalistica necessaria per valutare i rischi 231 in settori complessi. In quei casi, meglio optare per un OdV dedicato con composizione mista.
Cosa succede se il MOG 231 esiste ma non viene realmente applicato?
L’ente non ottiene l’esimente. La Cassazione, con orientamento consolidato a partire da Sez. VI, n. 36083/2009 e confermato da Sez. VI, n. 23401/2022, distingue tra adozione formale e attuazione effettiva del modello. Il giudice verifica che le procedure siano state concretamente seguite, che l’OdV abbia svolto vigilanza attiva documentata con verbali, e che il sistema disciplinare sia stato applicato alle violazioni accertate. Un MOG «di facciata» aggrava anzi la posizione dell’ente, dimostrando consapevolezza del rischio senza azione conseguente.