Il d.lgs. 231/2001 ha introdotto in Italia la responsabilità amministrativa degli enti collettivi per reati commessi nel loro interesse o vantaggio da soggetti apicali o subordinati. L’ente che adotta e applica efficacemente un Modello Organizzativo e di Gestione (MOG) con Organismo di Vigilanza attivo può ottenere l’esonero dalla responsabilità. Con oltre 60 reati presupposto oggi previsti — dai reati contro la PA alla criminalità informatica, dai reati ambientali alle frodi fiscali — il decreto riguarda pressoché ogni impresa strutturata operante in Italia.
Punti chiave
- Il d.lgs. 231/2001 punisce l’ente con sanzioni pecuniarie fino a 1.549.370 euro e misure interdittive.
- L’esonero dalla responsabilità scatta solo se il MOG è adottato, efficace e realmente applicato prima del reato.
- I reati presupposto superano oggi 60 fattispecie, incluse corruzione, reati tributari e reati ambientali.
- L’Organismo di Vigilanza deve avere autonomia, indipendenza e poteri ispettivi concreti, non formali.
Cos’è il d.lgs. 231/2001: definizione e quadro normativo
Il decreto legislativo 8 giugno 2001, n. 231 — «Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica» — ha rotto con il principio societas delinquere non potest e ha affiancato alla responsabilità penale della persona fisica quella amministrativa dell’ente. La responsabilità sorge quando un soggetto apicale (amministratore, direttore, legale rappresentante) o un sottoposto commette uno dei reati-presupposto tassativamente elencati nel decreto, nell’interesse o a vantaggio dell’ente (art. 5, d.lgs. 231/2001).
Il criterio di imputazione è duplice: non basta il vantaggio oggettivo, occorre anche che il reato sia riconducibile a una carenza organizzativa dell’ente. La Cassazione, Sez. Un. pen., sentenza n. 38343/2014 (caso ThyssenKrupp), ha chiarito che «interesse» e «vantaggio» sono criteri alternativi e autonomi: l’interesse attiene alla finalità soggettiva dell’autore, il vantaggio all’effetto oggettivo conseguito dall’ente.
Le sanzioni previste dall’art. 9 del decreto sono quattro categorie: sanzione pecuniaria (da 25.800 a 1.549.370 euro, calcolata per quote ai sensi degli artt. 10-12), sanzioni interdittive (sospensione o revoca di licenze, divieto di contrattare con la PA, esclusione da agevolazioni, interdizione dall’esercizio dell’attività fino a 2 anni), confisca del profitto del reato e pubblicazione della sentenza. Le sanzioni interdittive si applicano solo per i reati più gravi e in presenza delle condizioni dell’art. 13.
I destinatari sono enti forniti di personalità giuridica, società e associazioni anche prive di personalità giuridica (art. 1, co. 2). Sono esclusi lo Stato, gli enti pubblici territoriali, gli enti pubblici non economici e quelli che svolgono funzioni di rilievo costituzionale (art. 1, co. 3). Le PMI in forma societaria — comprese le SRL unipersonali — rientrano pienamente nell’ambito applicativo.
Come funziona in pratica
Scenario 1 — La società di costruzioni e i reati contro la PA
Una SPA del settore edile partecipa a una gara pubblica per un appalto da 4 milioni di euro. Il direttore commerciale, senza delibera del CDA, corrisponde 80.000 euro in contanti a un funzionario della stazione appaltante per favorire l’aggiudicazione: classica corruzione attiva ex art. 321 c.p., reato-presupposto ai sensi dell’art. 25, d.lgs. 231/2001. La procura indaga la persona fisica, ma contesta all’ente il reato 231 perché il contratto di appalto avrebbe generato ricavi diretti alla società.
Se la società non ha adottato alcun MOG, risponde automaticamente salva la prova contraria di cui all’art. 6. Il tribunale può applicare il divieto di contrattare con la PA per 1 anno (art. 9, co. 2, lett. c) e una sanzione pecuniaria calcolata su 400 quote da 1.032 euro, per un totale di circa 412.800 euro, oltre alla confisca dei 4 milioni di provento. La società rischia la paralisi operativa nel settore pubblico.
Con un MOG adeguato, invece, la difesa può dimostrare — ex art. 6, co. 1 — che l’ente ha adottato ed efficacemente attuato il modello prima del fatto, che l’ODV ha vigilato con continuità e che il reato è stato commesso eludendo fraudolentemente il modello. In questo caso il giudice pronuncia sentenza di non luogo a procedere nei confronti dell’ente.
Scenario 2 — La società manifatturiera e i reati ambientali
Una SRL che gestisce un impianto di verniciatura industriale smaltisce illegalmente rifiuti pericolosi attraverso un trasportatore compiacente, abbattendo i costi di smaltimento autorizzato di circa 60.000 euro l’anno. Il responsabile di stabilimento agisce su indicazione implicita dell’amministratore unico, che ha fissato obiettivi di riduzione costi senza predisporre presidi di controllo. Il fatto integra il reato di traffico illecito di rifiuti ex art. 452-quaterdecies c.p., reato-presupposto ai sensi dell’art. 25-undecies, d.lgs. 231/2001 (introdotto dal d.lgs. 121/2011).
La procura sequestra preventivamente l’impianto ex art. 53, d.lgs. 231/2001, bloccando la produzione. L’assenza di qualsiasi procedura di controllo sui fornitori di smaltimento e di formazione ambientale del personale rende impossibile la prova liberatoria. La sanzione pecuniaria per questo reato oscilla tra 150 e 300 quote (art. 25-undecies, co. 1, lett. b), con ogni quota fino a 1.549 euro: esposizione massima di circa 464.700 euro, più confisca del risparmio di costo (60.000 euro annui per 3 anni = 180.000 euro).
Un MOG con mappatura specifica dei rischi ambientali, procedura di qualificazione dei trasportatori e audit periodici documentati avrebbe consentito all’ente di eccepire l’esimente. La Corte d’appello di Milano, sentenza del 23 marzo 2022, ha confermato che la mera adozione formale del MOG senza prove di applicazione effettiva non integra l’esimente dell’art. 6.
Il meccanismo dell’esimente: art. 6 vs art. 7
Il decreto distingue due regimi di prova a seconda che l’autore sia apicale o subordinato. Per i soggetti apicali (art. 6) l’onere della prova dell’esimente grava sull’ente: deve dimostrare l’adozione del MOG, l’istituzione dell’ODV con poteri autonomi, la vigilanza effettiva e l’elusione fraudolenta del modello da parte del reo. Per i subordinati (art. 7) è la pubblica accusa a dover provare che il reato è stato reso possibile dall’inosservanza degli obblighi di direzione e vigilanza; il MOG adeguato è prova sufficiente dell’adempimento.
Gli errori più comuni e come evitarli
-
Adottare il MOG «fotocopia» senza mappatura dei rischi specifica.
Il problema: molte PMI acquistano modelli standard non calibrati sulla propria attività. Il GUP di Roma, ordinanza del 12 gennaio 2021, ha negato l’esimente a una società che aveva adottato un MOG identico a quello di una consociata operante in un settore diverso, privo di analisi dei processi aziendali concreti.
La soluzione: commissionare una risk assessment documentata che mappi i processi a rischio-reato specifici dell’ente (es. gestione appalti, rapporti con la PA, ciclo attivo e passivo), aggiornata ogni volta che cambiano struttura o attività — con cadenza almeno biennale secondo le Linee Guida di Confindustria, aggiornate al 2021. -
Istituire un ODV privo di reale autonomia.
Il problema: nominare come ODV monocratico il responsabile amministrativo o il CFO crea un conflitto di interessi strutturale. La Cassazione, Sez. VI pen., sentenza n. 4677/2014, ha stabilito che l’ODV deve essere dotato di «autonomia e indipendenza» non meramente formali.
La soluzione: per le PMI, l’ODV monocratico è ammesso (art. 6, co. 4, d.lgs. 231/2001 modificato dalla l. 183/2011), ma il soggetto deve essere esterno o comunque privo di deleghe operative. Per le società medie e grandi, preferire un ODV collegiale con almeno un componente esterno (avvocato o revisore indipendente). -
Non aggiornare il MOG dopo l’introduzione di nuovi reati-presupposto.
Il problema: dal 2001 al 2026 il catalogo dei reati-presupposto si è quasi triplicato. Chi ha adottato il MOG nel 2005 senza aggiornamenti non copre i reati tributari (art. 25-quinquiesdecies, introdotto dal d.lgs. 75/2020), i reati di contrabbando (art. 25-sexiesdecies, introdotto dalla l. 157/2019) né i reati di riciclaggio e autoriciclaggio (art. 25-octies).
La soluzione: prevedere nel regolamento dell’ODV una procedura di aggiornamento automatico del MOG entro 90 giorni dall’entrata in vigore di ogni norma che espanda il catalogo dei reati-presupposto, con verifica dell’impatto sui processi aziendali. -
Trattare la formazione come adempimento burocratico.
Il problema: erogare un corso online da 30 minuti a tutti i dipendenti, senza differenziazione per ruoli e senza verifica dell’apprendimento, non integra la «efficace attuazione» richiesta dall’art. 7, co. 4, lett. b). Il Tribunale di Milano, sentenza del 17 novembre 2020, ha valorizzato negativamente la formazione generica e indifferenziata.
La soluzione: strutturare percorsi formativi distinti per soggetti apicali, middle management e operativi, con test di verifica documentati, frequenza almeno annuale e aggiornamento in caso di modifiche normative o organizzative rilevanti. -
Non attivare un sistema disciplinare effettivo.
Il problema: l’art. 6, co. 2, lett. e) e l’art. 7, co. 4, lett. b) richiedono esplicitamente un sistema disciplinare idoneo a sanzionare il mancato rispetto del MOG. Senza sanzioni reali e applicate, il modello è carta straccia. La Cassazione, Sez. V pen., sentenza n. 23401/2022, ha confermato la responsabilità dell’ente anche in presenza di MOG formalmente adottato, perché nessuna sanzione disciplinare era mai stata irrogata nei 5 anni precedenti al fatto.
La soluzione: integrare il codice disciplinare aziendale (allegato al CCNL di riferimento) con specifiche violazioni del MOG e relative sanzioni, proporzionate alla gravità, e documentare ogni procedimento disciplinare aperto, anche se concluso con archiviazione. -
Sottovalutare il rischio per le società capogruppo.
Il problema: la responsabilità ex d.lgs. 231/2001 è autonoma per ciascun ente del gruppo. La capogruppo che esercita direzione e coordinamento ex art. 2497 c.c. e tollera prassi illecite nelle controllate può rispondere autonomamente se i reati avvantaggiano anche lei. La Procura di Milano ha contestato la responsabilità 231 alla holding in più procedimenti legati a gruppi multinazionali (si vedano i casi ENI/Nigeria e Finmeccanica).
La soluzione: adottare un MOG di gruppo con una parte generale comune e parti speciali per ogni entità, coordinando gli ODV attraverso flussi informativi strutturati e reporting periodico verso la capogruppo.
Riferimenti normativi e giurisprudenziali
| Norma / Sentenza | Contenuto rilevante ai fini del d.lgs. 231/2001 |
|---|---|
| D.lgs. 8 giugno 2001, n. 231 (testo vigente, da ultimo modificato dal d.lgs. 14 luglio 2020, n. 75) | Disciplina organica della responsabilità amministrativa degli enti: criteri di imputazione (artt. 5-7), esimenti (art. 6), catalogo dei reati-presupposto (artt. 24-25-sexiesdecies), sanzioni (artt. 9-23), procedimento (artt. 34-79). |
| D.lgs. 3 luglio 2017, n. 112 (codice del Terzo settore), art. 5 | Precisa che gli enti del Terzo settore non costituiti in forma societaria rientrano nell’ambito del d.lgs. 231/2001 solo se svolgono attività economica; chiarisce l’applicabilità per le imprese sociali. |
| D.lgs. 10 marzo 2023, n. 24 (attuazione della direttiva whistleblowing 2019/1937/UE) | Obbliga gli enti con più di 50 dipendenti a dotarsi di canali di segnalazione interna; il canale di whistleblowing deve essere integrato nel MOG come strumento di flusso informativo verso l’ODV ai sensi dell’art. 6, co. 2, lett. d), d.lgs. 231/2001. |
| Art. 25-quinquiesdecies, d.lgs. 231/2001 (introdotto dal d.lgs. 14 luglio 2020, n. 75) | Estende il catalogo dei reati-presupposto ai reati tributari gravi: dichiarazione fraudolenta (artt. 2 e 3, d.lgs. 74/2000), emissione di fatture false (art. 8), occultamento/distruzione di documenti (art. 10), sottrazione fraudolenta al pagamento (art. 11). Sanzione fino a 500 quote. |
| Cass. pen., Sez. Un., sentenza 24 aprile 2014, n. 38343 (caso ThyssenKrupp) | Definisce i criteri «interesse» e «vantaggio» come alternativi e autonomi; afferma che la colpa di organizzazione è il fondamento della responsabilità dell’ente; conferma la compatibilità del d.lgs. 231/2001 con i principi costituzionali di personalità della responsabilità penale. |
| Cass. pen., Sez. IV, sentenza 22 gennaio 2015, n. 2spurgo (caso Impregilo) | Prima pronuncia della Cassazione che riconosce l’esimente del MOG ex art. 6: il modello deve essere «specifico» e «concreto», non un «generico documento di principi»; l’ODV deve aver svolto attività ispettiva documentata. |
| Linee Guida Confindustria per la costruzione dei modelli di organizzazione (edizione aggiornata 2021, approvate dal Ministero della Giustizia) | Documento di riferimento metodologico per la risk assessment e la struttura del MOG; sebbene non vincolanti, i giudici le utilizzano come parametro di adeguatezza del modello ex art. 6, co. 3, d.lgs. 231/2001. |
Domande frequenti
Quando scatta la responsabilità dell’ente ex d.lgs. 231/2001 e chi può essere imputato?
La responsabilità dell’ente scatta quando un soggetto apicale (amministratore, direttore generale, liquidatore) o un subordinato commette uno dei reati-presupposto elencati negli artt. 24-25-sexiesdecies del decreto, nell’interesse o a vantaggio dell’ente (art. 5, d.lgs. 231/2001). L’ente risponde in sede penale con il proprio difensore nominato ex art. 39, ma la responsabilità è formalmente amministrativa. Persona fisica ed ente sono imputati nello stesso procedimento, con la possibilità di sentenze distinte se l’autore del reato rimane ignoto o non imputabile.
Il modello organizzativo 231 è obbligatorio per le PMI?
No, il MOG non è obbligatorio per legge: il d.lgs. 231/2001 non impone alle imprese di adottarlo. Tuttavia, senza MOG adeguato l’ente non può beneficiare dell’esimente prevista dall’art. 6 e risponde automaticamente dei reati-presupposto commessi da soggetti apicali nel proprio interesse. Per le PMI con meno di 250 dipendenti, l’art. 6, co. 4 ammette un ODV monocratico, abbattendo i costi di compliance. La convenienza economica del MOG emerge chiaramente confrontando il costo di adozione (spesso tra 5.000 e 30.000 euro) con le sanzioni massime applicabili (oltre 1,5 milioni di euro).
Quali sono i reati tributari che fanno scattare la responsabilità 231 dell’azienda?
Dal 2020, l’art. 25-quinquiesdecies del d.lgs. 231/2001 — introdotto dal d.lgs. 75/2020 in attuazione della Direttiva PIF — include tra i reati-presupposto: dichiarazione fraudolenta mediante uso di fatture false (art. 2, d.lgs. 74/2000), dichiarazione fraudolenta mediante altri artifici (art. 3), emissione di fatture per operazioni inesistenti (art. 8), occultamento o distruzione di documenti contabili (art. 10) e sottrazione fraudolenta al pagamento delle imposte (art. 11). La soglia minima di imposta evasa rilevante è 100.000 euro per i reati di dichiarazione (art. 2) e 200.000 euro per il reato di cui all’art. 3.
L’Organismo di Vigilanza 231 può coincidere con il collegio sindacale?
Sì. L’art. 6, co. 4-bis del d.lgs. 231/2001 — introdotto dal d.lgs. 39/2010 — consente espressamente che nelle società soggette a revisione legale con collegio sindacale, le funzioni dell’ODV siano attribuite al collegio sindacale stesso. Questa soluzione è praticabile se il collegio possiede i requisiti di autonomia e indipendenza richiesti, e se vengono formalizzati i poteri ispettivi specifici previsti dall’art. 6, co. 2, lett. d). La Cassazione, Sez. VI pen., sentenza n. 4677/2014, ha però ricordato che l’attribuzione formale non basta: il collegio deve documentare un’attività di vigilanza effettiva sul MOG, distinta dai controlli contabili ordinari.
Leggi anche:
- Bilancio semplificato enti locali sotto 60mila euro 2026