da Redazione | Feb 17, 2025 | Diritto Penale
L’impiego dell’IA in ambito medico sta determinando una trasformazione profonda nel settore sanitario, in particolare nel campo della diagnostica medica. La capacità di analizzare grandi quantità di dati clinici, individuare schemi e formulare ipotesi diagnostiche ha reso l’intelligenza artificiale uno strumento “di frontiera” per il miglioramento delle prestazioni sanitarie, incidendo significativamente sul rapporto tra medico e paziente.
L’IA non si limita a supportare il medico, ma può apprendere e modificare il proprio funzionamento nel tempo, rendendo ancora più complessa l’individuazione delle responsabilità in caso di errore diagnostico. Tale evoluzione pone questioni giuridiche di rilevante spessore, in particolare in relazione alla responsabilità penale derivante dall’utilizzo di sistemi automatizzati nella pratica medica. Il problema della corretta imputazione dell’errore diagnostico, infatti, dipende dal ruolo attribuito all’IA, che può essere impiegata come strumento di supporto o come vero e proprio sostituto della decisione medica.
In quest’ultimo caso, l’attribuzione della responsabilità non riguarderebbe più esclusivamente il medico, ma si estenderebbe ai produttori e sviluppatori di tali sistemi, con il conseguente interrogativo sull’applicabilità delle attuali norme penali a scenari di crescente automazione nella sanità.
Il presente contributo rappresenta una versione estesa dell’approfondimento già pubblicato su HealthTech360.
IA in ambito medico e il ruolo della diagnostica automatizzata
L’introduzione dell’IA in ambito medico ha determinato un mutamento significativo nella metodologia diagnostica, incidendo sia sulla raccolta e interpretazione dei dati clinici sia sul processo decisionale del medico.
Tradizionalmente, l’attività diagnostica si articola in una serie di fasi ben definite che includono la raccolta delle informazioni cliniche rilevanti, la formulazione di una diagnosi differenziale, l’approfondimento del quadro clinico e, infine, l’individuazione della diagnosi definitiva.
L’avvento di strumenti basati su intelligenza artificiale ha reso possibile un potenziamento dell’intero processo, superando il tradizionale utilizzo della tecnologia quale mero supporto alla raccolta dati e consentendo invece l’autonoma elaborazione di ipotesi diagnostiche da parte di sistemi avanzati.
Il funzionamento di questi strumenti si basa su modelli matematici capaci di analizzare enormi quantità di dati clinici, individuando correlazioni e schemi non immediatamente percepibili dall’occhio umano. L’IA in ambito medico consente così di identificare con maggiore precisione patologie complesse, migliorando l’accuratezza e la tempestività della diagnosi, in particolare nei settori della diagnostica per immagini, della medicina predittiva e della personalizzazione dei trattamenti terapeutici.
Tuttavia, il passaggio da un modello in cui l’IA rappresenta uno strumento di supporto a uno in cui assume un ruolo preponderante nel processo diagnostico solleva delicate questioni giuridiche. La capacità degli algoritmi di adattarsi autonomamente all’esperienza clinica, modificando nel tempo il proprio comportamento sulla base dei dati raccolti, introduce un ulteriore elemento di complessità, poiché rende più difficile prevedere e controllare l’esito delle decisioni generate dal sistema.
IA in ambito medico: il quadro normativo e gli obblighi cautelari
A livello normativo, i sistemi di intelligenza artificiale utilizzati nella sanità rientrano nella categoria dei dispositivi medici, come stabilito dalla Direttiva 85/374/CEE e dal Regolamento (UE) 2017/745, che disciplinano la sicurezza e l’immissione in commercio di prodotti medici.
Sul piano civilistico, l’inserimento degli strumenti IA-based tra i dispositivi medici implica l’applicazione della disciplina sulla responsabilità da prodotto difettoso, attribuendo ai fabbricanti l’onere di garantire che il sistema non presenti difetti che possano causare danni ai pazienti.
Un ulteriore riferimento normativo – oggi di centrale importanza – è il Regolamento sull’Intelligenza Artificiale (AI Act), recentemente approvato dal Parlamento europeo, che disciplina gli obblighi specifici per i fornitori di sistemi di IA ad alto rischio. In virtù dell’articolo 6, i sistemi IA impiegati nella diagnostica medica rientrano tra quelli sottoposti a requisiti più stringenti in termini di trasparenza, gestione del rischio e conformità alle normative di sicurezza.
Il Regolamento impone ai produttori di adottare misure di controllo rigorose per garantire che i sistemi rispettino standard elevati di qualità e sicurezza, attraverso la gestione del rischio, la sorveglianza post-commercializzazione e l’implementazione di procedure di verifica periodica delle prestazioni del software.
Particolare attenzione è riservata alla trasparenza del processo decisionale dell’IA, che rappresenta una delle criticità più rilevanti nel settore sanitario. I sistemi basati su reti neurali profonde e machine learning possono infatti operare in modalità black box, rendendo difficile per il medico e per le autorità di controllo comprendere il percorso logico attraverso cui l’algoritmo è giunto a una determinata conclusione diagnostica.
L’AI Act stabilisce pertanto che i produttori devono garantire tracciabilità e spiegabilità degli output generati dall’IA, affinché il professionista sanitario possa valutare in modo consapevole le informazioni fornite e prendere decisioni in linea con le migliori pratiche mediche.
Parallelamente agli obblighi gravanti sui produttori, la normativa prevede doveri specifici per le strutture sanitarie e per i professionisti medici che utilizzano sistemi IA nella loro attività. La giurisprudenza, in particolare, riconosce che il medico conserva una posizione di garanzia nei confronti del paziente, con il dovere di verificare l’attendibilità dello strumento diagnostico e di valutarne criticamente i risultati. Questo principio comporta che, anche in presenza di un sistema IA certificato, il sanitario non possa affidarsi passivamente alle indicazioni fornite dall’algoritmo, ma debba sempre esercitare un controllo attivo e responsabile.
L’inosservanza di tali obblighi potrebbe determinare l’insorgere di responsabilità penale in caso di errore diagnostico, soprattutto laddove il medico abbia omesso di valutare con diligenza l’affidabilità del sistema o abbia adottato una diagnosi automatizzata senza sottoporla a una verifica clinica adeguata.
IA in ambito medico: focus sui profili di responsabilità
L’utilizzo dell’IA in ambito medico solleva rilevanti questioni circa la responsabilità penale del personale sanitario, soprattutto nei casi in cui l’impiego di tali tecnologie comporti errori diagnostici con conseguenze dannose per il paziente. La responsabilità può riguardare diverse figure, tra cui il medico, la struttura sanitaria e il produttore del sistema IA, a seconda delle circostanze in cui si verifica l’evento lesivo.
Uno dei principali riferimenti normativi in questo ambito è rappresentato dall’articolo 590-sexies, comma 1, c.p., che disciplina la responsabilità colposa per morte o lesioni personali in ambito sanitario. Come noto, tale disposizione prevede che il medico possa andare esente da responsabilità se ha rispettato le linee guida e le buone pratiche clinico-assistenziali, ma l’applicazione di questa norma ai sistemi IA risulta problematica, in quanto le best practice in materia di intelligenza artificiale sono in continua evoluzione e spesso non codificate in modo uniforme (o non codificate affatto).
Ciò crea un’incertezza giuridica che potrebbe tradursi in un aumento del contenzioso penale nei confronti dei professionisti sanitari che decidono di avvalersi di strumenti basati sull’IA in ambito medico per formulare diagnosi o definire percorsi terapeutici.
Peraltro, individuare con certezza il nesso di causalità tra il difetto del sistema IA e l’evento lesivo rappresenta un aspetto particolarmente complesso, soprattutto in presenza di dispositivi che operano in maniera autonoma e il cui comportamento può variare nel tempo in funzione dell’apprendimento automatico.
Un ulteriore profilo di responsabilità coinvolge la struttura sanitaria, che è tenuta a garantire un utilizzo appropriato delle tecnologie IA e a predisporre adeguati protocolli di verifica e sorveglianza. La struttura può essere chiamata a rispondere per responsabilità contrattuale, con l’onere della prova liberatoria a proprio carico, mentre il medico risponde in termini di responsabilità extracontrattuale, con la necessità per il paziente di dimostrare il nesso causale tra l’errore diagnostico e il danno subito.
Sul piano penale, la colpa professionale del medico potrebbe configurarsi qualora venga dimostrato che l’adozione del sistema IA sia avvenuta con negligenza, imperizia o imprudenza, ad esempio utilizzando un algoritmo privo delle necessarie certificazioni o facendo affidamento su un software che presenta limiti tecnici non adeguatamente considerati.
Le problematiche connesse alla responsabilità penale per l’uso dell’IA in ambito medico sono acuite dalla natura stessa di questi sistemi, che spesso operano in modo opaco e difficilmente comprensibile persino per gli stessi sviluppatori. La crescente diffusione di tecniche di deep learning ha accentuato il problema della black box AI, ossia l’incapacità di spiegare con precisione il ragionamento seguito dall’algoritmo per giungere a una determinata diagnosi. Questa caratteristica rende estremamente complesso per il medico controllare e verificare la correttezza delle informazioni fornite dal sistema, con il rischio di attribuire erroneamente la responsabilità dell’errore diagnostico al professionista sanitario, pur in assenza di una reale possibilità di intervento correttivo da parte di quest’ultimo.
In questo scenario, appare evidente che la responsabilità penale in ambito sanitario sta affrontando una fase di profonda trasformazione, in cui l’attribuzione della colpa non può più basarsi esclusivamente sui criteri tradizionali della colpa medica o della responsabilità da prodotto.
IA in ambito medico e la complessità dell’accertamento della responsabilità
L’accertamento della responsabilità penale per errore diagnostico, in caso di utilizzo dell’IA in ambito medico, rimane in assoluto la questione più spinosa e controversa. Essa coinvolge una pluralità di soggetti e impone un’analisi approfondita delle dinamiche che hanno portato all’evento lesivo. A differenza dei modelli tradizionali di imputazione della colpa in ambito sanitario, nei quali il nesso di causalità tra condotta del medico ed evento dannoso può essere ricostruito con criteri consolidati, l’introduzione dell’intelligenza artificiale potrebbe richiedere una revisione delle categorie giuridiche applicabili, a causa dell’autonomia e dell’evoluzione continua degli algoritmi.
Uno dei principali problemi riguarda la difficoltà di individuare il soggetto responsabile nel caso in cui un sistema IA diagnostico generi un errore con conseguenze dannose per il paziente. L’architettura di questi dispositivi prevede la partecipazione di diversi attori, tra cui i programmatori e sviluppatori dell’algoritmo, i produttori del dispositivo medico, i responsabili della manutenzione e degli aggiornamenti, nonché il personale sanitario che utilizza il sistema nella pratica clinica.
Tale frammentazione dei ruoli rende arduo stabilire in quale fase del processo si sia verificata la disfunzione che ha determinato l’errore diagnostico e, di conseguenza, attribuire la responsabilità penale a un determinato soggetto.
Inoltre, la capacità dei sistemi IA in ambito medico di apprendere autonomamente dall’esperienza clinica introduce un ulteriore elemento di incertezza nell’attribuzione della colpa. Le reti neurali e i modelli di machine learning non funzionano attraverso un insieme statico di regole prestabilite, bensì modificano il proprio comportamento nel tempo in base ai dati raccolti e alle interazioni con il contesto operativo.
Questo meccanismo, pur migliorando l’efficacia diagnostica nel lungo periodo, determina una crescente difficoltà nell’identificare le cause di un eventuale errore e nel comprendere se esso sia dovuto a un difetto originario del software, a un problema di addestramento dell’algoritmo o a un utilizzo non conforme da parte del medico.
In un simile contesto, il tradizionale approccio basato sull’imputazione della colpa per imperizia, imprudenza o negligenza rischia di risultare inadeguato, poiché il medico potrebbe non avere alcun controllo diretto sul processo decisionale dell’algoritmo e, al tempo stesso, il produttore potrebbe non essere in grado di prevedere con esattezza il comportamento futuro del sistema.
Un ulteriore fattore di complessità è rappresentato dalla combinazione dell’IA in ambito medico con altri strumenti digitali, come dispositivi di monitoraggio remoto o strumenti di imaging medico avanzato, che possono influenzare l’esito delle diagnosi attraverso l’integrazione di dati provenienti da fonti multiple. In questi casi, la ricostruzione del nesso di causalità tra il malfunzionamento del sistema e l’evento dannoso si complica ulteriormente, poiché la responsabilità potrebbe derivare non da un singolo errore, ma da un’interazione tra più fattori tecnologici.
Alla luce di queste problematiche, risulta evidente che i criteri tradizionali di attribuzione della responsabilità penale in ambito medico necessitano di un adeguamento per poter rispondere alle nuove sfide poste dall’intelligenza artificiale. Il diritto penale, fondato su principi di certezza e prevedibilità, si trova di fronte alla necessità di bilanciare la tutela dei pazienti con il rischio di creare un sistema di responsabilità eccessivamente gravoso per i medici e le strutture sanitarie.
In questo scenario, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di garantire un equo riparto delle responsabilità tra i soggetti coinvolti, evitando di generare una criminalizzazione eccessiva dei professionisti sanitari per eventi che, di fatto, potrebbero dipendere da variabili difficilmente controllabili.
IA in ambito medico e la collaborazione uomo-macchina: un nuovo modello di responsabilità
L’integrazione dell’IA in ambito medico nella pratica diagnostica ha determinato una ridefinizione dei rapporti tra il medico e gli strumenti tecnologici, sollevando interrogativi non solo in merito alla responsabilità individuale, ma anche riguardo alla possibile configurazione di una forma di responsabilità condivisa tra uomo e macchina.
Tradizionalmente, gli strumenti diagnostici erano considerati meri ausili del medico, il quale conservava un ruolo preminente nella valutazione delle informazioni cliniche e nella formulazione della diagnosi. Con l’avvento dei sistemi IA in ambito medico, in grado di elaborare autonomamente ipotesi diagnostiche e suggerire percorsi terapeutici, si sta delineando un nuovo paradigma in cui la decisione medica non è più il risultato esclusivo del ragionamento umano, ma deriva da una cooperazione tra professionista sanitario e algoritmo.
In questa prospettiva, l’IA in ambito medico non può essere considerata alla stregua di un semplice strumento consultivo, bensì deve essere interpretata come un elemento attivo nel processo decisionale. Tale cambiamento incide direttamente sull’imputazione della responsabilità penale, poiché il medico potrebbe essere chiamato a rispondere non solo per le proprie scelte, ma anche per gli errori derivanti dall’adozione delle indicazioni fornite dall’intelligenza artificiale. La questione diviene ancora più complessa nei casi in cui il sistema diagnostico abbia operato in modo non trasparente, fornendo risultati basati su correlazioni statistiche di difficile interpretazione.
Dal punto di vista giuridico, si aprono due possibili scenari. Nel primo, il sanitario conserva un ruolo di supervisione e controllo sul sistema IA in ambito medico, assumendo la piena responsabilità delle decisioni adottate sulla base delle analisi algoritmiche. In questo caso, la colpa del professionista potrebbe essere configurata qualora si dimostrasse che ha fatto affidamento in modo acritico su un sistema IA senza verificarne l’attendibilità o senza adottare ulteriori accertamenti clinici.
Nel secondo scenario, il medico e il sistema IA operano in una relazione di cooperazione decisionale, in cui il professionista segue le indicazioni dell’algoritmo in quanto ritenute altamente affidabili sulla base di dati oggettivi e standardizzati. In questa ipotesi, la responsabilità potrebbe essere distribuita tra il medico, il produttore del sistema IA e la struttura sanitaria, configurando un modello di cooperazione colposa.
La distinzione tra cooperazione colposa e concorso di cause indipendenti assume qui un rilievo fondamentale, poiché nel primo caso i soggetti coinvolti sono consapevoli di operare in un contesto di responsabilità condivisa, mentre nel secondo le condotte colpose restano autonome e non riconducibili a una collaborazione consapevole.
Un altro aspetto di particolare interesse riguarda l’eventuale responsabilità dei programmatori e degli sviluppatori del sistema IA, qualora il software utilizzato dal medico presenti difetti strutturali che abbiano influito sulla formulazione della diagnosi. In tal caso, si potrebbe configurare una responsabilità diretta dei produttori per prodotto difettoso, ai sensi delle normative europee in materia di dispositivi medici. Tuttavia, l’assenza di un criterio chiaro per stabilire il grado di autonomia dell’algoritmo rende incerta l’applicabilità delle norme tradizionali, poiché le attuali disposizioni sulla colpa professionale si basano su un modello di responsabilità che presuppone l’intervento umano come elemento centrale.
Il dibattito sulla responsabilità penale per l’uso dell’IA in ambito medico impone una riflessione sulla necessità di un aggiornamento normativo che tenga conto delle nuove dinamiche collaborative tra uomo e macchina. Il diritto penale tradizionale, fondato su categorie statiche di colpa e dolo, si trova a dover affrontare una realtà in cui le decisioni cliniche non sono più frutto della volontà esclusiva del medico, ma derivano dall’interazione con sistemi tecnologici sempre più avanzati.
L’assenza di una disciplina specifica su questi aspetti potrebbe portare a una distribuzione irrazionale della responsabilità, penalizzando eccessivamente il medico o, al contrario, lasciando impuniti gli errori derivanti da un utilizzo improprio dei sistemi IA. In tale contesto, diviene necessario individuare modelli di imputazione della colpa che siano in grado di bilanciare l’esigenza di tutela del paziente con il progresso tecnologico, evitando di ostacolare l’innovazione per il timore di un’eccessiva esposizione al rischio penale.
Conclusioni: prospettive future e scelte di politica criminale
L’evoluzione dell’IA in ambito medico sta modificando profondamente i parametri tradizionali della responsabilità penale in ambito sanitario, rendendo sempre più evidente la necessità di un adeguamento normativo. L’impiego di sistemi di intelligenza artificiale nella diagnostica e nella formulazione delle scelte terapeutiche ha sollevato questioni complesse che riguardano l’attribuzione della colpa, il rapporto tra medico e macchina e la necessità di garantire un livello adeguato di sicurezza per il paziente senza scoraggiare l’innovazione tecnologica.
Una delle principali criticità emerse riguarda il vuoto normativo in materia di responsabilità derivante dall’utilizzo di dispositivi IA in ambito medico. Se da un lato il diritto penale tradizionale impone che l’imputazione della colpa si basi su criteri di prevedibilità ed evitabilità dell’evento, dall’altro l’autonomia e l’evoluzione continua degli algoritmi complicano l’applicazione di tali principi, determinando il fenomeno del responsibility gap.
L’assenza di un controllo diretto da parte del medico sulle decisioni dell’algoritmo e l’impossibilità di prevedere con assoluta certezza il comportamento futuro del sistema IA potrebbero determinare situazioni in cui nessun soggetto possa essere chiamato a rispondere penalmente, oppure, al contrario, portare a una responsabilità generalizzata che rischierebbe di penalizzare ingiustamente i professionisti sanitari.
Si dovrebbe al riguardo meditare su un modello di responsabilità plurisoggettiva che riconosca il ruolo attivo di tutti i soggetti coinvolti nella progettazione, nello sviluppo e nell’utilizzo dell’IA in ambito medico. In questa prospettiva, la responsabilità penale non ricadrebbe esclusivamente sul medico, ma sarebbe distribuita tra le diverse figure professionali coinvolte nella creazione e gestione del sistema IA, compresi i programmatori, i produttori di software e i responsabili della manutenzione degli algoritmi. Questo modello permetterebbe di superare le rigidità del sistema attuale, attribuendo la colpa in maniera proporzionata rispetto al grado di influenza che ciascun soggetto ha esercitato nella determinazione dell’errore diagnostico.
Sotto il profilo della politica criminale, la tendenza più ragionevole sembra essere quella di evitare una criminalizzazione generalizzata dell’uso dell’IA nella sanità, limitando l’intervento punitivo alle ipotesi di colpa grave e dolo, e rafforzando invece i meccanismi di compliance e controllo preventivo.
L’adozione di protocolli chiari sull’uso dell’IA, l’obbligo di trasparenza nell’addestramento degli algoritmi e l’istituzione di un sistema di certificazione per i dispositivi IA in ambito medico potrebbero costituire strumenti più efficaci per garantire la sicurezza dei pazienti rispetto a un’applicazione indiscriminata delle sanzioni penali.
Alla luce di queste considerazioni, è evidente che l’IA in ambito medico pone sfide inedite per il diritto penale, che non può più limitarsi a interpretare l’intelligenza artificiale come un semplice strumento, ma deve riconoscere il ruolo attivo che essa gioca nel processo diagnostico e terapeutico. La transizione verso un modello di responsabilità condivisa e l’adozione di nuovi criteri di imputazione della colpa rappresentano passi fondamentali per garantire un equilibrio tra l’innovazione tecnologica e la tutela dei diritti fondamentali dei pazienti.
In questo scenario in continua evoluzione, il legislatore e la giurisprudenza saranno chiamati a individuare soluzioni capaci di coniugare le esigenze della scienza medica con i principi fondamentali del diritto penale, evitando sia la deresponsabilizzazione totale dei soggetti coinvolti, sia l’imposizione di oneri eccessivi che potrebbero ostacolare il progresso della medicina digitale.
Il nostro studio legale, da sempre attento alle evoluzioni normative e tecnologiche, offre consulenza specializzata in compliance nel settore delle nuove tecnologie, con particolare attenzione all’integrazione dell’IA nei processi aziendali. Attraverso un approccio multidisciplinare, supportiamo aziende, sviluppatori e strutture sanitarie nell’adozione di disruptive technologies in conformità con la normativa vigente, minimizzando i rischi giuridici e promuovendo un utilizzo responsabile dell’intelligenza artificiale.
La prevenzione è il fulcro della nostra attività: affianchiamo i nostri clienti nella definizione di protocolli operativi, nell’adeguamento ai requisiti normativi e nella predisposizione di modelli organizzativi che assicurino un impiego dell’IA quanto più possibile immune da rischi e orientato alla sicurezza e alla tutela dei diritti fondamentali.
da Redazione | Feb 14, 2025 | Diritto d'Impresa
La clausola di salvaguardia NIS 2 permette un’applicazione più proporzionata della normativa. Al riguardo, il Decreto legislativo 4 settembre 2024, n. 138 (c.d. Decreto NIS 2) ammette la possibilità per le imprese di una esenzione soggettiva con deroga ai criteri di commisurazione delle medie e grandi imprese.
Più precisamente, il combinato disposto dei commi 4 e 12 dell’art. 3 del decreto NIS prevede che: «Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce […]L’Autorità nazionale competente NIS applica la clausola di salvaguardia di cui al comma 4, secondo i criteri per la determinazione individuati con le modalità di cui all’articolo 40, comma 1».
Con la pubblicazione del Decreto del Presidente del Consiglio dei Ministri 9 dicembre 2024, n. 221 sulla Gazzetta Ufficiale del 10 febbraio 2025, sono stati definiti i criteri e le modalità con cui determinati soggetti possono richiedere l’esenzione dagli obblighi previsti dal Decreto NIS 2, qualora l’inclusione nel perimetro di applicazione della normativa risulti sproporzionata rispetto alla loro effettiva operatività in ambito di cybersicurezza.
L’introduzione della Clausola di salvaguardia NIS 2 si inserisce nel quadro delle misure adottate per l’attuazione della Direttiva (UE) 2022/2555 (NIS 2), finalizzate a garantire un livello elevato e uniforme di sicurezza informatica all’interno dell’Unione Europea.
Il legislatore ha riconosciuto la necessità di prevedere meccanismi di esenzione per quei soggetti che, pur rientrando nel perimetro di applicazione della normativa, presentano caratteristiche tali da giustificare una deroga agli obblighi previsti. Il DPCM 221/2024 stabilisce quindi i criteri per accedere alla clausola di salvaguardia NIS 2, individuando specifici requisiti di indipendenza operativa che devono essere soddisfatti affinché un’impresa possa richiedere l’esclusione dal regime di compliance previsto dal Decreto NIS 2.
L’esenzione mira a evitare che le imprese con un impatto marginale nel contesto della cybersicurezza nazionale o che presentano un’elevata autonomia operativa rispetto al gruppo di appartenenza siano gravate da obblighi sproporzionati rispetto al loro ruolo effettivo nel sistema informatico e di rete nazionale. La possibilità di ottenere tale esenzione è però subordinata alla verifica di rigorosi criteri di indipendenza, i quali saranno analizzati nei paragrafi successivi.
Criteri di applicazione della clausola di salvaguardia NIS 2
Il DPCM 221/2024, all’articolo 3, definisce i criteri specifici per la richiesta di applicazione della Clausola di salvaguardia NIS 2, stabilendo le condizioni che un soggetto deve soddisfare per essere escluso dagli obblighi previsti dal Decreto NIS 2. In particolare, la normativa individua come elemento essenziale la totale indipendenza operativa e informatica del soggetto richiedente rispetto alle altre imprese collegate.
Affinché un’impresa possa beneficiare della clausola di salvaguardia NIS 2, essa deve attestare la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate. Ciò significa che i sistemi informativi e le infrastrutture di rete utilizzati dal soggetto richiedente devono essere completamente autonomi e non devono dipendere, in alcun modo, dalle infrastrutture informatiche delle altre aziende appartenenti al medesimo gruppo.
L’indipendenza deve riguardare non solo le componenti hardware e software, ma anche i flussi di dati e le interconnessioni, evitando qualsiasi forma di interdipendenza tecnologica che potrebbe compromettere la separazione operativa.
Parallelamente, la normativa richiede che il soggetto dimostri la totale indipendenza delle proprie attività e dei propri servizi NIS rispetto alle imprese collegate. In altri termini, le attività e i servizi che rientrano nell’ambito di applicazione del Decreto NIS 2 non devono essere in alcun modo influenzati da altre realtà societarie appartenenti allo stesso gruppo. La separazione deve essere assoluta, senza alcuna condivisione di risorse operative, tecniche o di personale che possa compromettere l’autonomia della gestione dei servizi NIS.
Non tutti i soggetti rientranti nel perimetro di applicazione della normativa possono richiedere l’attivazione della clausola di salvaguardia NIS 2. L’articolo 3, comma 10, del Decreto NIS 2 stabilisce infatti che determinati enti e organizzazioni, in ragione della loro natura e delle funzioni svolte, non possono beneficiare di tale esenzione.
Pertanto, prima di presentare la richiesta, è necessario verificare con attenzione l’effettiva sussistenza dei requisiti di indipendenza operativa e tecnologica, al fine di evitare il rigetto dell’istanza da parte dell’Autorità nazionale competente NIS.
L’individuazione di criteri così stringenti evidenzia come il legislatore abbia voluto limitare l’accesso alla Clausola di salvaguardia NIS 2 ai soli soggetti che, per caratteristiche oggettive, risultano realmente estranei ai rischi sistemici connessi alla cybersicurezza nazionale.
Procedura per richiedere e applicare la clausola di salvaguardia NIS 2
Il DPCM 221/2024 stabilisce che la richiesta di applicazione della clausola di salvaguardia NIS 2 debba essere presentata attraverso un’apposita procedura. In particolare, l’articolo 4 del DPCM disciplina le modalità con cui i soggetti che ritengano di possedere i requisiti di indipendenza operativa e tecnologica possono ottenere l’esenzione dagli obblighi previsti dalla normativa.
Il procedimento ha inizio con la registrazione del soggetto richiedente sulla piattaforma digitale prevista dall’articolo 7, comma 1, del Decreto NIS 2. Nel corso di tale registrazione, il soggetto deve esplicitamente dichiarare di soddisfare i requisiti previsti dall’articolo 3 del DPCM 221/2024, attestando la totale indipendenza dei propri sistemi informativi e di rete e la totale indipendenza delle proprie attività e servizi NIS rispetto alle imprese collegate.
La dichiarazione deve essere resa in modo veritiero e completo, in quanto le informazioni fornite saranno oggetto di verifica da parte dell’Autorità nazionale competente NIS.
La scadenza per la presentazione della richiesta è fissata al 28 febbraio 2025, termine entro il quale tutti i soggetti interessati dovranno aver completato la procedura di registrazione e trasmissione dell’istanza. Una volta inoltrata la richiesta, l’Autorità nazionale competente NIS procederà alla valutazione delle dichiarazioni rese, verificando la sussistenza effettiva delle condizioni per l’applicazione della clausola di salvaguardia NIS 2.
L’esito del procedimento verrà comunicato al soggetto richiedente attraverso la stessa piattaforma digitale utilizzata per la registrazione. Qualora l’Autorità nazionale competente NIS accolga la richiesta, il soggetto sarà esonerato dagli obblighi previsti dalla normativa. In caso di rigetto, invece, il soggetto dovrà conformarsi pienamente alla normativa, implementando tutte le misure di cybersicurezza previste per la propria categoria di appartenenza.
È importante sottolineare che la richiesta di esenzione è soggetta a responsabilità dichiarativa, in quanto l’articolo 76 del DPR 445/2000 prevede sanzioni per le dichiarazioni mendaci rese nell’ambito di procedimenti amministrativi. Di conseguenza, la compilazione della richiesta deve essere effettuata con la massima attenzione, evitando inesattezze o omissioni che potrebbero pregiudicare l’accoglimento dell’istanza o determinare conseguenze sanzionatorie per il soggetto richiedente.
Clausola di salvaguardia NIS 2: attenzione alla corretta gestione degli adempimenti
Il DPCM 221/2024 ha chiarito con precisione i criteri di applicazione della clausola, evidenziando la necessità di un’indipendenza assoluta sia dal punto di vista informatico che gestionale. La normativa ha introdotto requisiti stringenti, proprio per evitare che l’esenzione possa essere richiesta in assenza di reali presupposti.
La procedura per ottenere l’applicazione della Clausola di salvaguardia NIS 2 deve essere gestita con particolare attenzione, poiché prevede la presentazione di una dichiarazione formale da parte del soggetto richiedente, il quale è tenuto ad attestare, sotto la propria responsabilità, la totale indipendenza dei propri sistemi informativi e di rete e delle proprie attività e servizi NIS rispetto alle imprese collegate. Inoltre, l’Autorità nazionale competente effettuerà verifiche sulle istanze presentate, valutando caso per caso la fondatezza delle dichiarazioni rese.
Considerata la complessità della disciplina e la necessità di garantire la piena conformità alle disposizioni del Decreto NIS 2, è opportuno che le imprese valutino con attenzione la propria posizione prima di procedere con la richiesta di esenzione. Un’analisi accurata dei requisiti e una gestione scrupolosa della procedura possono ridurre il rischio di errori o dichiarazioni inesatte, che potrebbero comportare il rigetto dell’istanza o altre conseguenze sul piano amministrativo.
In questo contesto, il supporto di figure specializzate in compliance normativa e cybersicurezza può risultare di particolare utilità, sia nella fase di valutazione preliminare sia nella predisposizione della documentazione necessaria, assicurando un approccio metodico e conforme alle prescrizioni della normativa vigente.
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2. Applicazione della clausola di salvaguardia NIS 2
da Redazione | Feb 7, 2025 | Diritto d'Impresa
La disciplina della start up innovativa è stata introdotta con il Decreto Legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla Legge 17 dicembre 2012, n. 221, per sostenere la nascita e lo sviluppo di imprese ad alto contenuto tecnologico, favorire l’occupazione giovanile e incentivare la crescita del tessuto economico nazionale.
Una start up innovativa deve soddisfare precisi requisiti giuridici, economici e tecnologici, al fine di beneficiare delle misure di agevolazione previste dalla legge. In primis, la società dovrà completare la registrazione nella sezione speciale del Registro delle Imprese, un passaggio ineludibile per poter accedere agli incentivi societari e fiscali.
Il presente articolo ha l’obiettivo di fornire una guida sintetica sui requisiti per la start up innovativa e sulle modalità di iscrizione nella sezione speciale del Registro delle Imprese, in conformità alla normativa vigente. Nel prosieguo dell’articolo, verranno dunque illustrati i criteri di ammissibilità per ottenere la qualifica di start up innovativa, le caratteristiche richieste dalla legge, le modalità di iscrizione e gli obblighi di aggiornamento delle informazioni.
Verrà, inoltre, analizzata la disciplina specifica per le start up innovative a vocazione sociale, nonché il passaggio a PMI innovativa nel caso in cui l’impresa perda i requisiti per il mantenimento dello status.
Start up innovativa: i requisiti generali
La qualificazione come start up innovativa è subordinata al rispetto di una serie di requisiti normativi, delineati dall’art. 25 del D.L. 179/2012, che ne definisce le caratteristiche fondamentali. L’obiettivo del legislatore è quello di individuare un modello imprenditoriale altamente specializzato, caratterizzato da una significativa componente tecnologica e innovativa.
Ai fini della sua costituzione e del mantenimento della qualifica, una start up innovativa deve assumere la forma di società di capitali, anche in forma cooperativa, e non deve avere azioni o quote rappresentative del capitale sociale quotate su un mercato regolamentato o su un sistema multilaterale di negoziazione. Inoltre, deve essere costituita e operativa da non più di sessanta mesi, requisito che mira a garantire il sostegno alle sole imprese di recente formazione, coerentemente con la ratio della normativa.
Dal punto di vista territoriale, la start up innovativa deve essere residente in Italia, ai sensi dell’art. 73 del D.P.R. 22 dicembre 1986, n. 917, o avere sede in uno Stato membro dell’Unione Europea o dello Spazio Economico Europeo, a condizione che disponga di almeno una sede operativa o una filiale sul territorio italiano. Tale vincolo è volto a incentivare l’attrazione di investimenti e competenze nel contesto nazionale, assicurando che l’attività imprenditoriale generi effetti diretti sull’economia italiana.
Sul piano economico, il legislatore ha introdotto ulteriori vincoli per qualificare un’impresa come start up innovativa. In particolare, il valore della produzione annua, a decorrere dal secondo anno di attività, non può eccedere la soglia di 5 milioni di euro, come risultante dall’ultimo bilancio approvato entro sei mesi dalla chiusura dell’esercizio.
Inoltre, la società non deve aver distribuito utili sin dalla sua costituzione e deve mantenere tale vincolo per l’intera durata del periodo in cui beneficia delle agevolazioni previste dalla normativa di riferimento.
Elemento essenziale per la qualificazione di start up innovativa è la finalità dell’attività d’impresa. La società deve avere quale oggetto sociale esclusivo o prevalente lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico.
Infine, per prevenire abusi e garantire l’effettiva innovatività del progetto imprenditoriale, è previsto il divieto di costituire una start up innovativa a seguito di fusioni, scissioni societarie o cessioni d’azienda o di ramo d’azienda. Questa disposizione mira a evitare che soggetti già operativi nel mercato si avvalgano in modo improprio delle agevolazioni previste dalla normativa, riservandole esclusivamente alle realtà di nuova o recente costituzione.
Start up innovativa: i requisiti tecnologici e di ricerca
Oltre ai requisiti di carattere giuridico ed economico, la normativa vigente impone alle imprese che intendano qualificarsi come start up innovativa il rispetto di specifici criteri volti a garantire l’effettivo carattere innovativo della loro attività. Tali criteri sono espressamente disciplinati dall’art. 25, comma 2 del D.L. 179/2012, e si riferiscono alla capacità dell’impresa di sviluppare prodotti o servizi a elevato contenuto tecnologico e alla presenza di un significativo investimento in ricerca e sviluppo.
Più precisamente, affinché un’impresa possa ottenere e mantenere lo status di start up innovativa, è necessario che rispetti almeno uno dei seguenti tre requisiti:
1) Investimenti in ricerca e sviluppo
La società deve destinare alle attività di ricerca e sviluppo almeno il 15% del maggiore valore tra costo e valore totale della produzione. Tale parametro è determinabile sulla base del bilancio annuale della società e, in assenza di bilancio nel primo anno di attività, può essere autocertificato dal legale rappresentante. Ai fini del calcolo di questa soglia minima, la normativa considera ammissibili diverse voci di spesa, tra cui:
- costi relativi a sperimentazione, prototipazione e sviluppo del business plan;
- spese per servizi di incubazione forniti da incubatori certificati;
- costi lordi del personale impiegato in attività di ricerca e sviluppo, inclusi soci e amministratori con funzioni tecniche;
- spese legali e amministrative per la registrazione e protezione della proprietà intellettuale.
2) Personale altamente qualificato
L’impresa deve impiegare, come dipendenti o collaboratori a qualsiasi titolo, una percentuale significativa di personale con una qualificazione accademica elevata. In particolare, è richiesto che almeno:
- un terzo della forza lavoro complessiva sia costituito da soggetti in possesso di titolo di dottorato di ricerca, o che stiano svolgendo un dottorato presso un’università italiana o estera, o che abbiano svolto per almeno tre anni attività di ricerca certificata presso istituti pubblici o privati in Italia o all’estero; oppure
- due terzi della forza lavoro complessiva siano in possesso di una laurea magistrale.
Un tale requisito mira a garantire che l’impresa disponga di un capitale umano altamente qualificato, in grado di sviluppare soluzioni tecnologiche avanzate e di contribuire all’innovazione nei settori di riferimento.
3) Tutela della proprietà intellettuale e industriale
La start up innovativa deve essere titolare, depositaria o licenziataria di almeno una privativa industriale afferente alla propria attività, come:
- un brevetto per invenzione industriale o biotecnologica;
- una topografia di prodotto a semiconduttori;
- una nuova varietà vegetale;
- un diritto d’autore su software registrato presso il Registro pubblico speciale per i programmi per elaboratore.
Questa disposizione è volta a incentivare lo sviluppo di nuove tecnologie e a rafforzare la competitività delle imprese innovative attraverso la tutela giuridica delle loro creazioni.
L’adempimento di almeno uno di questi tre criteri è condizione imprescindibile per ottenere e mantenere la qualifica di start up innovativa. La verifica del rispetto di tali requisiti avviene annualmente attraverso il deposito della dichiarazione di mantenimento dei requisiti presso il Registro delle Imprese.
Start up innovativa: le modalità di iscrizione nella sezione speciale del Registro delle Imprese
Con l’iscrizione nella sezione speciale del Registro delle Imprese la start up innovativa potrà accedere alle agevolazioni previste dalla normativa di riferimento. L’art. 25 del D.L. 179/2012 stabilisce che tale iscrizione si affianca alla registrazione nella sezione ordinaria.
La procedura di registrazione varia a seconda che si tratti di una società di nuova costituzione o di una società già esistente che intenda ottenere la qualifica di start up innovativa.
A. Iscrizione della start up innovativa di nuova costituzione
Nel caso di una società di nuova costituzione, la richiesta di iscrizione nella sezione speciale deve avvenire contestualmente alla registrazione dell’atto costitutivo presso il Registro delle Imprese.
La domanda di iscrizione deve essere presentata in forma telematica mediante Comunicazione Unica, trasmessa alla Camera di Commercio territorialmente competente. Tale comunicazione ha validità anche ai fini fiscali e previdenziali, in quanto viene automaticamente trasmessa anche all’Agenzia delle Entrate, all’INPS e all’INAIL.
L’iscrizione nella sezione speciale del Registro delle Imprese avviene in parallelo alla registrazione nella sezione ordinaria, costituendo una condizione essenziale per beneficiare delle deroghe al diritto societario e delle agevolazioni previste.
È prevista l’esenzione dal pagamento dell’imposta di bollo e dei diritti di segreteria per gli adempimenti legati all’iscrizione della società nel Registro delle Imprese, nonché l’esenzione dal pagamento del diritto annuale dovuto alle Camere di Commercio. Tuttavia, tale beneficio ha una durata limitata e non si estende oltre il quinto anno di iscrizione.
L’impresa deve avviare l’attività contestualmente alla sua costituzione. Qualora la start up innovativa non comunichi l’inizio attività al momento della registrazione, non potrà richiedere l’iscrizione nella sezione speciale e sarà soggetta ai normali obblighi fiscali e amministrativi previsti per le società di capitali.
Un ulteriore requisito imposto dal legislatore è l’obbligo di trasparenza. L’art. 25, comma 11 del D.L. 179/2012 impone infatti alla start up innovativa di rendere pubblicamente disponibili sul proprio Sito Internet una serie di informazioni, tra cui:
- data e luogo di costituzione, nome e indirizzo del notaio rogante;
- sede principale e sedi secondarie;
- oggetto sociale, con una descrizione chiara dell’attività svolta;
- spese in ricerca e sviluppo, con una previsione dettagliata per il primo anno di attività;
- elenco dei soci in equity, garantendo trasparenza rispetto a eventuali partecipazioni fiduciarie o holding;
- elenco delle società partecipate;
- titoli di studio e qualifiche professionali dei soci e dei dipendenti;
- relazioni con incubatori certificati, investitori istituzionali o università;
- bilancio annuale, in formato XBRL, depositato presso il Registro delle Imprese;
- diritti di proprietà industriale e intellettuale eventualmente detenuti.
B. Iscrizione della start up innovativa per società già costituite
Per le società già costituite che intendano acquisire lo status di start up innovativa, la normativa prevede una procedura di registrazione differente. In questo caso, l’iscrizione alla sezione speciale del Registro delle Imprese avviene successivamente alla costituzione, e la domanda deve essere trasmessa in via telematica tramite Comunicazione Unica, con l’utilizzo del modello informatico S2.
Anche in questo caso, l’iscrizione nella sezione speciale non sostituisce l’iscrizione già avvenuta nella sezione ordinaria del Registro delle Imprese, ma si aggiunge ad essa.
Sia per le società di nuova costituzione, sia per quelle già operative, il completamento della registrazione nella sezione speciale consente alla start up innovativa di accedere alle deroghe previste dal diritto societario, nonché ai benefici fiscali e previdenziali correlati.
Start up innovativa: obblighi di aggiornamento e dichiarazione di mantenimento dei requisiti
L’iscrizione nella sezione speciale del Registro delle Imprese impone alla start up innovativa specifici obblighi di aggiornamento e comunicazione periodica, volti a garantire il costante monitoraggio dei requisiti richiesti dalla normativa. La disciplina di riferimento, delineata dall’art. 25 del D.L. 179/2012, prevede che le imprese beneficiarie delle agevolazioni debbano periodicamente confermare il possesso delle condizioni necessarie per il mantenimento dello status speciale.
A) Aggiornamento periodico delle informazioni
L’art. 25, comma 17-bis del D.L. 179/2012, introdotto con il D.L. 135/2018, stabilisce che la start up innovativa sia tenuta ad aggiornare almeno una volta all’anno le informazioni fornite al momento della richiesta di iscrizione nella sezione speciale. Tale aggiornamento è fondamentale per garantire la trasparenza verso il mercato e per consentire agli operatori economici e agli investitori di verificare la solidità e l’innovatività del progetto imprenditoriale.
L’aggiornamento deve essere effettuato attraverso la piattaforma digitale startup.registroimprese.it e riguarda i seguenti dati:
- composizione della compagine sociale, con indicazione delle eventuali modifiche intervenute;
- oggetto sociale, con particolare riferimento all’attività innovativa svolta;
- sede legale e operativa, inclusa l’eventuale apertura di nuove unità locali;
- bilancio annuale, con evidenza delle spese sostenute per ricerca e sviluppo;
- variazioni nelle partecipazioni societarie e nei rapporti con investitori o incubatori certificati;
- nuove privative industriali, brevetti o diritti di proprietà intellettuale acquisiti.
L’omessa comunicazione dell’aggiornamento può comportare difficoltà nell’accesso ai benefici previsti dalla normativa e rappresenta un indice di inattendibilità nei confronti degli investitori e delle istituzioni finanziarie.
B) Dichiarazione annuale di mantenimento dei requisiti
L’art. 25, comma 15 del D.L. 179/2012, come modificato dal D.L. 135/2018, impone inoltre l’obbligo di depositare annualmente una dichiarazione di mantenimento dei requisiti, da presentare entro 30 giorni dall’approvazione del bilancio e comunque entro sei mesi dalla chiusura dell’esercizio. In caso di adozione del termine lungo previsto dall’art. 2364 del Codice Civile, il deposito deve avvenire entro sette mesi dalla chiusura dell’esercizio sociale.
La dichiarazione, firmata digitalmente dal legale rappresentante della società, deve attestare il rispetto dei requisiti di ammissibilità e deve essere depositata presso il Registro delle Imprese attraverso il modello informatico S2.
La mancata presentazione della dichiarazione annuale ha conseguenze rilevanti: l’art. 25, comma 16 equipara l’omesso deposito alla perdita dei requisiti di start up innovativa, con conseguente cancellazione automatica dalla sezione speciale del Registro delle Imprese.
La normativa prevede un sistema di raccordo automatico tra l’aggiornamento annuale delle informazioni e la dichiarazione di mantenimento dei requisiti. In particolare, la piattaforma digitale del Registro delle Imprese impedisce il deposito della dichiarazione di mantenimento qualora la società non abbia prima provveduto ad aggiornare i propri dati.
Il rispetto di questi obblighi è dunque essenziale per preservare lo status di start up innovativa e continuare a beneficiare delle deroghe al diritto societario, delle agevolazioni fiscali e delle misure di sostegno previste dalla legge.
Start up innovativa e passaggio a PMI innovativa
Nel corso della sua evoluzione, una start up innovativa può perdere i requisiti previsti dalla normativa vigente e cessare di rientrare nella categoria di imprese soggette al regime agevolato. Il legislatore, tuttavia, ha previsto un meccanismo di transizione agevolata che consente alle società che abbiano superato i limiti stabiliti per le start up innovative di accedere alla disciplina delle PMI innovative, garantendo la continuità delle misure di sostegno e degli incentivi normativi.
La normativa stabilisce che una start up innovativa perde automaticamente il proprio status al decorso del termine massimo di sessanta mesi dalla costituzione, termine che rappresenta il limite temporale imposto dal legislatore per l’accesso alle agevolazioni riservate alle imprese emergenti. Lo stesso effetto si verifica qualora l’impresa superi il valore annuo della produzione di cinque milioni di euro, a partire dal secondo anno di attività, o distribuisca utili ai soci in violazione del divieto imposto dalla disciplina di riferimento.
Il venir meno dei requisiti può inoltre derivare dalla modifica dell’oggetto sociale, qualora la società cessi di operare nello sviluppo, nella produzione e nella commercializzazione di prodotti o servizi ad alto valore tecnologico, nonché dal mancato rispetto degli obblighi periodici di aggiornamento e dalla mancata presentazione della dichiarazione annuale di mantenimento dei requisiti.
In tali circostanze, l’impresa viene cancellata d’ufficio dalla sezione speciale del Registro delle Imprese, cessando di beneficiare delle deroghe al diritto societario e delle agevolazioni fiscali e amministrative previste per le start up innovative.
Al fine di evitare che il superamento dei limiti imposti dalla normativa determini una brusca interruzione delle misure di sostegno, il legislatore ha introdotto la possibilità per le start up innovative di effettuare il passaggio alla sezione speciale delle PMI innovative senza soluzione di continuità. Affinché ciò sia possibile, è necessario che l’impresa rientri nella definizione di piccola e media impresa, così come delineata dal Regolamento (UE) n. 651/2014, e che permangano i presupposti di innovatività richiesti per l’accesso alla categoria delle start up innovative.
In particolare, l’impresa deve continuare a destinare una quota significativa della propria attività alla ricerca e sviluppo, impiegare personale altamente qualificato oppure detenere privative industriali e diritti di proprietà intellettuale afferenti all’oggetto sociale. La società interessata al passaggio deve presentare un’apposita istanza di iscrizione nella sezione speciale delle PMI innovative, indicando le motivazioni della richiesta e attestando il mantenimento delle condizioni di innovatività.
L’iscrizione alla sezione speciale delle PMI innovative permette all’impresa di proseguire nel proprio percorso di crescita senza rinunciare ai benefici fiscali e normativi compatibili con la nuova categoria giuridica. In particolare, le PMI innovative possono continuare a beneficiare di agevolazioni fiscali sugli investimenti in capitale di rischio, semplificazioni amministrative in materia di deposito degli atti societari presso il Registro delle Imprese, facilitazioni nell’accesso al credito attraverso il Fondo di Garanzia per le PMI, nonché condizioni di favore per la partecipazione agli appalti pubblici e ai programmi di finanziamento europei dedicati all’innovazione.
Start up innovativa a vocazione sociale: requisiti e peculiarità
La disciplina delle start up innovative si applica anche a quelle imprese che, oltre a soddisfare i requisiti previsti dalla normativa generale, operano in via esclusiva in settori di rilevante interesse sociale. Il legislatore ha infatti introdotto la categoria delle start up innovative a vocazione sociale, disciplinata dall’art. 25, comma 4 del D.L. 179/2012, con l’intento di incentivare lo sviluppo di imprese che, pur conservando il carattere innovativo e tecnologico richiesto dalla normativa, perseguano finalità di impatto sociale in settori strategici per il benessere collettivo.
Ai fini del riconoscimento di tale qualifica, la società deve operare esclusivamente in uno o più settori individuati dall’art. 2, comma 1 del D.Lgs. 24 marzo 2006, n. 155, tra i quali rientrano: l’assistenza sociale e sanitaria, l’educazione e la formazione, la tutela dell’ambiente e dell’ecosistema, la valorizzazione del patrimonio culturale, il turismo sociale, la ricerca e l’erogazione di servizi culturali, nonché l’erogazione di servizi strumentali alle imprese sociali.
Il riconoscimento della qualifica di start up innovativa a vocazione sociale non richiede l’iscrizione nella sezione speciale del Registro delle Imprese dedicata alle imprese sociali, ma è subordinato alla presentazione di un’apposita autocertificazione da parte del legale rappresentante della società.
L’iter di riconoscimento prevede che l’impresa, in fase di iscrizione alla sezione speciale delle start up innovativa, indichi espressamente il settore di attività e attesti di realizzare, operando in tale ambito, una finalità di interesse generale.
Tale dichiarazione deve essere trasmessa attraverso la piattaforma digitale del Registro delle Imprese e deve essere accompagnata dall’impegno a dare evidenza dell’impatto sociale prodotto dall’attività aziendale. A tal fine, il legislatore ha imposto l’obbligo di redigere annualmente un Documento di Descrizione dell’Impatto Sociale, in cui l’impresa deve illustrare i risultati conseguiti in termini di beneficio per la collettività. Il documento, elaborato secondo le indicazioni fornite dal Ministero dello Sviluppo Economico, deve essere trasmesso alla Camera di Commercio territorialmente competente, a conferma della persistenza delle finalità di interesse generale dichiarate in sede di registrazione.
L’accesso alla qualifica di start up innovativa a vocazione sociale consente di beneficiare di un regime fiscale agevolato, con una maggiorazione degli incentivi per gli investimenti in capitale di rischio rispetto a quanto previsto per le start up innovative tradizionali. Tale misura mira a favorire l’afflusso di capitali privati verso imprese che, oltre a introdurre soluzioni innovative e tecnologicamente avanzate, si propongono di generare un impatto positivo sulla società e sull’ambiente.
Costituzione di una start up innovativa: assistenza legale dedicata
La start up innovativa è uno strumento che permette ai soci e ai promotori del progetto di poter beneficiare delle numerose misure di sostegno previste dal legislatore.
Il quadro normativo delineato dal D.L. 179/2012 e dalle successive modifiche impone alle start up precisi obblighi non solo in fase di prima registrazione, ma anche per il mantenimento dell’iscrizione nella sezione speciale del Registro delle Imprese.
In un quadro normativo complesso, la corretta gestione degli adempimenti e il rispetto delle condizioni richieste dalla legge risultano fondamentali per massimizzare i benefici derivanti dalla qualifica di start up innovativa.
L’esperienza che abbiamo maturato nell’ambito della corporate compliance e del diritto delle nuove tecnologie consente di fornire un supporto qualificato per affrontare le complesse dinamiche normative del settore, garantendo alle imprese innovative un’assistenza strategica finalizzata a una crescita sostenibile e conforme al quadro normativo vigente.
Per ricevere una consulenza personalizzata, lo Studio Legale D’Agostino è a disposizione per affiancare soci e promotori di una start-up innovativa nella crescita sicura e sostenibile del business.
Assistenza legale per start-up innovativa. Patti parasociali, costituzione Srl, iscrizione nel registro, protezione IP con lo Studio Legale D’Agostino.
da Redazione | Feb 4, 2025 | Diritto d'Impresa, Diritto Penale
La nomina dell’Organismo di Vigilanza garantisce l’effettività del Modello organizzativo 231, nell’ambito delle strategie aziendali di prevenzione dei reati all’interno dell’ente. L’Organismo di Vigilanza (OdV) è un organo di controllo indipendente, previsto dal D.lgs. 231/2001, con il compito di vigilare sull’efficace attuazione e aggiornamento del modello, segnalando eventuali irregolarità e proponendo misure correttive.
L’introduzione della responsabilità amministrativa degli enti ha determinato la necessità, per le imprese e le organizzazioni, di adottare strumenti di compliance aziendale in grado di ridurre il rischio di coinvolgimento in procedimenti sanzionatori.
Il modello organizzativo 231, se adeguatamente implementato e aggiornato, può costituire una causa esimente dalla responsabilità dell’ente, ma solo a condizione che sia stata la nomina dell’Organismo di Vigilanza, dotato dei requisiti di autonomia, indipendenza e professionalità.
L’OdV svolge quindi un ruolo chiave nel garantire che il modello non si riduca a un mero apparato formale, ma sia concretamente applicato nella gestione aziendale. La sua istituzione e il suo funzionamento devono essere regolati da criteri rigorosi, in modo da assicurare una vigilanza efficace sui processi interni e sugli obblighi di prevenzione dei reati.
Nei paragrafi successivi verranno approfonditi i criteri di nomina dell’Organismo di Vigilanza 231, i requisiti necessari per i suoi componenti, le sue principali funzioni e l’importanza dei flussi informativi come strumento essenziale per il corretto svolgimento della sua attività di controllo.
Nomina dell’Organismo di Vigilanza 231: criteri e modalità
La Nomina dell’Organismo di Vigilanza è un atto di fondamentale importanza per l’efficace attuazione del Modello organizzativo 231. Solitamente essa viene deliberata dal Consiglio di Amministrazione, sentito il Collegio Sindacale, con l’obiettivo di garantire che il soggetto o i soggetti designati abbiano i requisiti di autonomia, indipendenza e competenza richiesti dalla normativa. L’OdV può avere una composizione monocratica o collegiale, a seconda delle dimensioni e della complessità organizzativa dell’ente.
Per le imprese di piccole dimensioni e per le start-up, l’art. 6, comma 4 del D.lgs. 231/2001 prevede che i compiti dell’OdV possano essere svolti direttamente dall’organo dirigente, senza la necessità di un organismo separato. Questa soluzione, sebbene legittima, solleva criticità in termini di indipendenza e obiettività del controllo, motivo per cui molte aziende, anche di ridotte dimensioni, preferiscono istituire un OdV autonomo. Abbiamo trattato il tema in un precedente articolo, al quale facciamo rinvio.
Per le imprese di medie e grandi dimensioni, invece, la composizione collegiale è generalmente preferibile, in quanto consente una maggiore distribuzione delle competenze e una più efficace gestione dei controlli.
L’OdV può essere composto sia da componenti interni all’ente (ad esempio il responsabile dell’internal audit o della funzione legale) sia da esperti esterni con competenze specifiche in diritto penale d’impresa, sistemi di controllo e compliance aziendale. La scelta tra un modello monocratico o collegiale dipende dalla necessità di assicurare l’effettività e l’efficacia del controllo, evitando qualsiasi interferenza con le attività operative dell’ente.
Una particolare attenzione deve essere posta nella definizione dei criteri di nomina. Per garantire l’autonomia dell’OdV, è necessario che i componenti non abbiano conflitti di interesse, vincoli di subordinazione o ruoli operativi che potrebbero comprometterne l’imparzialità. Inoltre, il loro mandato deve essere stabilito per un periodo di tempo definito, con possibilità di rinnovo, e deve essere prevista una procedura di revoca solo per giusta causa, evitando la possibilità di pressioni o interferenze indebite.
La nomina dell’Organismo di Vigilanza rappresenta, dunque, una fase delicata che incide direttamente sull’efficacia del modello organizzativo. Un OdV correttamente selezionato, e dotato dei requisiti richiesti dalla normativa, permette di garantire la corretta funzionalità del sistema di prevenzione dei reati e per conferire all’ente un’effettiva protezione dalla responsabilità amministrativa dipendente da reato.
Requisiti per la Nomina dell’Organismo di Vigilanza 231
Guardano alla prassi e alle best practices di settore, i principali requisiti per la Nomina dell’Organismo di Vigilanza sono tre: autonomia e indipendenza, professionalità e continuità di azione. Tali caratteristiche non solo assicurano il corretto funzionamento dell’OdV, ma sono anche decisive per dimostrare l’effettività del modello 231, evitando che esso venga considerato un mero strumento formale privo di reale applicazione.
a) Autonomia e indipendenza
Il principio di autonomia e indipendenza dell’OdV è essenziale affinché l’organismo possa esercitare il proprio ruolo senza subire pressioni o interferenze da parte degli organi di gestione dell’ente. Il D.lgs. 231/2001 non fornisce una definizione puntuale di tali requisiti, ma la prassi e la giurisprudenza hanno chiarito che l’OdV deve essere dotato di autonomi poteri di iniziativa e controllo, senza essere soggetto a vincoli di subordinazione gerarchica o funzionale.
Affinché sia garantita l’autonomia decisionale, la nomina dell’Organismo di Vigilanza deve riguardare soggetti che non siano coinvolti nelle attività operative dell’ente e che non abbiano interessi economici rilevanti nell’organizzazione. Questo significa, ad esempio, che un dirigente con poteri esecutivi o un membro del Consiglio di Amministrazione non può essere nominato come OdV, in quanto la sua funzione di controllo potrebbe risultare compromessa dalla partecipazione alle decisioni gestionali.
L’indipendenza dell’OdV deve essere valutata sia a livello oggettivo che soggettivo. Sul piano oggettivo, l’OdV deve essere collocato in una posizione di livello, ma senza essere sottoposto a direttive o condizionamenti operativi.
Sul piano oggettivo, i componenti dell’OdV devono essere privi di conflitti di interesse con l’ente e con le società collegate o controllate. Non devono inoltre esistere vincoli di parentela o affinità con i vertici aziendali, né partecipazioni azionarie o interessi economici significativi nell’ente.
L’atto di nomina dell’Organismo di Vigilanza deve inoltre prevedere garanzie di stabilità e protezione nei confronti dei componenti, evitando che possano essere rimossi o sostituiti senza una giusta causa. Il loro incarico deve avere una durata definita e la revoca deve essere giustificata esclusivamente in presenza di comprovate inadempienze o conflitti di interesse sopravvenuti.
b) Professionalità
La competenza professionale dei componenti dell’OdV è un requisito essenziale per la sua efficacia. La nomina dell’Organismo di Vigilanza deve riguardare soggetti con un elevato livello di specializzazione, in grado di effettuare verifiche ispettive, analizzare i processi aziendali e individuare eventuali criticità nei sistemi di prevenzione dei reati.
Le Linee Guida di Confindustria raccomandano che i componenti dell’OdV abbiano conoscenze approfondite in materia giuridica, economica e gestionale, con particolare attenzione al diritto penale d’impresa, ai sistemi di controllo interno, alla corporate governance e ai meccanismi di compliance aziendale.
Le principali competenze richieste per la nomina dell’Organismo di Vigilanza riguardano:
- Diritto penale e amministrativo, con particolare riferimento ai reati previsti dal D.lgs. 231/2001 e ai criteri di imputazione della responsabilità amministrativa dell’ente.
- Attività ispettiva e di audit, con capacità di condurre verifiche, ispezioni interne e analisi documentali per garantire il rispetto del Modello organizzativo 231.
- Analisi dei processi aziendali, attraverso la mappatura delle aree sensibili e la valutazione dei rischi connessi alla possibile commissione di reati.
- Metodologie di risk assessment, per individuare e monitorare le criticità nel sistema di gestione e controllo dell’ente.
Per assicurare un adeguato livello di competenza, la nomina dell’Organismo di Vigilanza può prevedere una composizione collegiale, includendo soggetti con professionalità complementari, come avvocati esperti di diritto penale, revisori contabili, esperti di compliance aziendale e specialisti di risk management.
c) Continuità di azione
La continuità operativa dell’OdV è fondamentale affinché il controllo sulla corretta attuazione del modello organizzativo 231 non si riduca a un’attività episodica o meramente formale. La nomina dell’Organismo di Vigilanza deve quindi cadere su soggetti in grado di garantire un impegno costante nell’attività di vigilanza, con un programma di verifiche periodiche e un monitoraggio sistematico dei processi aziendali.
L’OdV deve disporre di un budget autonomo, approvato dal Consiglio di Amministrazione, per svolgere le proprie attività in maniera indipendente, avvalendosi, se necessario, di consulenti esterni per approfondimenti specialistici. È inoltre essenziale che l’OdV abbia accesso a tutta la documentazione aziendale rilevante per l’esercizio delle sue funzioni, senza restrizioni o vincoli operativi.
Un ulteriore aspetto che incide sulla continuità d’azione è la previsione di flussi informativi costanti tra l’OdV e le funzioni aziendali sensibili, al fine di garantire che tutte le segnalazioni di eventuali irregolarità vengano tempestivamente analizzate e gestite. L’OdV deve inoltre redigere report periodici, da trasmettere agli organi apicali dell’ente, nei quali riferire sulle attività svolte, sulle criticità riscontrate e sulle eventuali misure correttive da adottare.
Atto di nomina dell’Organismo di Vigilanza: compiti e poteri
I compiti dell’Organismo di Vigilanza possono essere distinti in tre aree principali: verifica dell’efficacia del modello, controllo sull’osservanza delle procedure e aggiornamento continuo del sistema di prevenzione. Tali attività sono disciplinate dall’art. 6 del D.lgs. 231/2001 e dalle Linee Guida di Confindustria, che hanno delineato una serie di funzioni essenziali per il corretto funzionamento dell’OdV.
1) Vigilanza sull’effettività del modello organizzativo: l’OdV verifica della coerenza tra i comportamenti aziendali e le prescrizioni del modello, attraverso un’analisi costante delle procedure adottate e un controllo sulle aree sensibili individuate nella mappatura dei rischi. L’atto di nomina dell’Organismo di Vigilanza deve prevedere che le misure preventive siano concretamente attuate e che non si verifichi un rispetto soltanto “cartolare” del modello.
2) Analisi dell’adeguatezza del modello: l’OdV deve verificare che il modello organizzativo sia idoneo a prevenire i reati presupposto previsti dal D.lgs. 231/2001, individuando eventuali criticità e proponendo azioni correttive. Questo richiede un’analisi approfondita della struttura organizzativa dell’ente, con particolare attenzione ai meccanismi di controllo interni, alle deleghe di poteri e ai protocolli decisionali adottati dall’azienda.
3) Monitoraggio del mantenimento nel tempo dei requisiti di solidità e funzionalità del modello: l’OdV non può limitarsi a un’analisi statica, ma deve garantire che il modello organizzativo venga costantemente aggiornato in base alle evoluzioni normative, ai cambiamenti organizzativi e agli esiti delle verifiche interne. La sua funzione è quindi dinamica e proattiva, orientata a migliorare costantemente il sistema di prevenzione dei rischi.
Per assolvere ai propri compiti, l’OdV deve essere dotato di poteri autonomi di iniziativa e controllo. Ai sensi dell’art. 6 del D.lgs. 231/2001 l’OdV dovrebbe accedere senza restrizioni a tutti i documenti aziendali rilevanti, effettuare verifiche ispettive e condurre indagini interne per accertare eventuali violazioni del modello.
Inoltre, l’OdV deve avere la possibilità di raccogliere informazioni da tutte le funzioni aziendali, interagendo con i responsabili delle aree più sensibili e richiedendo chiarimenti su operazioni o decisioni rilevanti ai fini della compliance.
L’autonomia di spesa è un altro aspetto essenziale per garantire l’indipendenza dell’OdV. La nomina dell’Organismo di Vigilanza deve prevedere l’assegnazione di un budget autonomo, che consenta all’OdV di avvalersi, se necessario, di consulenti esterni per approfondimenti specialistici e di condurre verifiche indipendenti senza interferenze da parte del management aziendale.
Infine, un ulteriore compito dell’OdV è la promozione della cultura della compliance aziendale. Ciò significa che l’Organismo di Vigilanza deve diffondere la conoscenza del modello 231 attraverso attività formative rivolte a dipendenti e dirigenti, al fine di sensibilizzare tutto il personale sull’importanza delle regole di prevenzione e sulle conseguenze della violazione delle normative di riferimento.
Nomina dell’Organismo di Vigilanza e flussi informativi
Nel trattare della nomina dell’Organismo di Vigilanza, non potrebbe tacersi l’importanza che rivestono i flussi informativi nell’effettività dei controlli demandati a quest’ultimo. Il D.lgs. 231/2001, all’art. 6, comma 2, lettera d), stabilisce che il modello di organizzazione e gestione deve prevedere obblighi di informazione nei confronti dell’OdV, al fine di consentire un controllo costante e approfondito sulle aree aziendali più esposte al rischio di commissione di reati.
I flussi informativi si articolano in due direzioni: da un lato, vi sono le comunicazioni che l’Organismo di Vigilanza deve ricevere, ossia i report periodici, le segnalazioni di anomalie e le informazioni riguardanti eventi di rilievo; dall’altro, vi sono i flussi in uscita, ovvero le relazioni che l’OdV trasmette agli organi societari, in particolare al Consiglio di Amministrazione e al Collegio Sindacale, per evidenziare criticità e proporre eventuali aggiornamenti del modello.
Le informazioni trasmesse all’OdV devono riguardare tutti gli aspetti rilevanti per la vigilanza sull’effettività e sull’adeguatezza del modello, compresi gli esiti delle attività di audit interno, le verifiche sugli strumenti di controllo e il rispetto dei protocolli aziendali. È essenziale che i responsabili delle funzioni aziendali più esposte ai rischi 231 trasmettano con regolarità report dettagliati all’OdV, segnalando eventuali situazioni anomale o potenzialmente critiche.
In questo contesto, assume particolare rilievo la gestione delle segnalazioni whistleblowing, che consente ai dipendenti e ai collaboratori di riferire eventuali violazioni delle procedure senza timore di ritorsioni, garantendo l’anonimato e la riservatezza.
Oltre ai flussi informativi interni, la nomina dell’Organismo di Vigilanza implica anche l’istituzione di un sistema di reporting periodico verso il Consiglio di Amministrazione e il Collegio Sindacale. L’OdV deve redigere relazioni periodiche – solitamente su base semestrale o annuale – in cui illustra le attività svolte, evidenzia eventuali violazioni e propone misure correttive. Questo meccanismo consente alla governance aziendale di monitorare l’efficacia del sistema di controllo interno e di intervenire tempestivamente in caso di necessità.
Un aspetto critico per l’effettività dei flussi informativi è la qualità e la tempestività delle comunicazioni. È fondamentale che le informazioni trasmesse all’OdV siano chiare, complete e tempestive, affinché l’Organismo possa intervenire con tempestività e adottare le misure necessarie per prevenire situazioni di rischio.
Per questo motivo, molte aziende formalizzano le modalità di comunicazione attraverso procedure interne e regolamenti specifici, che disciplinano la periodicità, i contenuti e i canali attraverso cui devono essere trasmesse le informazioni.
Infine, la nomina dell’Organismo di Vigilanza deve prevedere una specifica disciplina delle responsabilità in caso di omissione dei flussi informativi. L’omessa trasmissione di dati rilevanti all’OdV può costituire una grave violazione del modello e comportare conseguenze disciplinari per i soggetti responsabili.
L’efficacia dell’OdV dipende in gran parte dalla collaborazione dell’intera struttura aziendale, motivo per cui è fondamentale che i vertici societari – dopo la nomina dell’Organismo di Vigilanza – promuovano una cultura della trasparenza e della comunicazione interna, al fine di garantire il corretto funzionamento del sistema di prevenzione dei rischi previsto dal D.lgs. 231/2001.
Segnalazioni e whistleblowing: dalla nomina dell’Organismo di Vigilanza alle attività operative
La sola nomina dell’Organismo di Vigilanza può non essere sufficiente ad assicurare l’emersione di condotte illecite all’interno della società. La possibilità di segnalare violazioni del modello 231 e di eventuali condotte illecite costituisce un pilastro della corporate compliance e rappresenta un elemento imprescindibile per garantire l’effettività del controllo esercitato dall’OdV.
Il D.lgs. 231/2001, integrato dalle disposizioni del D.lgs. 24/2023 in attuazione della Direttiva (UE) 2019/1937, ha rafforzato il ruolo del whistleblowing, introducendo specifiche disposizioni a tutela dei segnalanti. La normativa impone agli enti di adottare canali di segnalazione riservati e sicuri, in grado di garantire la riservatezza dell’identità del whistleblower, nonché di predisporre misure di protezione nei confronti di chi denuncia condotte illecite, al fine di evitare ritorsioni o discriminazioni.
Nell’ambito della nomina dell’Organismo di Vigilanza, risulta quindi essenziale disciplinare in modo chiaro i flussi informativi relativi alle segnalazioni, definendo procedure interne che consentano di ricevere, analizzare e gestire le comunicazioni pervenute.
L’OdV deve essere in grado di valutare le segnalazioni con piena autonomia e indipendenza, adottando le misure necessarie per approfondire le anomalie riscontrate ed eventualmente attivare i meccanismi sanzionatori previsti dal modello.
Le aziende devono istituire canali di segnalazione adeguati, che possano includere piattaforme digitali protette, indirizzi e-mail riservati, cassette postali fisiche o altre modalità che garantiscano l’anonimato del segnalante. La nomina dell’Organismo di Vigilanza prevede che l’OdV abbia accesso diretto a queste segnalazioni, senza interferenze da parte della direzione aziendale, e che possa gestirle con criteri di trasparenza, imparzialità e riservatezza.
Si dovrebbe prevedere un sistema di verifica e monitoraggio delle segnalazioni ricevute, in modo da poter tracciare le attività di indagine svolte e le eventuali azioni correttive adottate. La registrazione e l’archiviazione delle segnalazioni devono avvenire nel rispetto della normativa sulla protezione dei dati personali, garantendo che le informazioni siano trattate con il massimo livello di riservatezza e che i principi di proporzionalità e necessità siano rispettati in ogni fase della gestione delle segnalazioni.
Supporto legale specialistico nella nomina dell’Organismo di Vigilanza
La nomina dell’Organismo di Vigilanza rappresenta un passaggio obbligato per l’attuazione di un modello 231 efficace, capace di ridurre i rischi di responsabilità amministrativa e rafforzare il sistema di corporate compliance.
Il nostro Studio vanta una pluriennale esperienza nella gestione degli adempimenti connessi alla responsabilità 231, offrendo supporto specialistico in tutte le fasi di elaborazione, implementazione e aggiornamento del modello.
Svolgiamo direttamente il ruolo di Organismo di Vigilanza esterno, sia in forma monocratica che come membri di OdV collegiali, garantendo un controllo indipendente e altamente qualificato.
Affianchiamo le imprese nella costruzione di un sistema di compliance efficace, in linea con le migliori best practice e con l’evoluzione normativa in materia di corporate governance.
Compliance 231 e nomina dell’Organismo di Vigilanza. Un avvocato specialista in diritto penale per una strategia di corporate compliance integrata.
da Redazione | Feb 2, 2025 | Diritto Penale, Diritto d'Impresa
Il Modello organizzativo 231 è lo strumento cardine per le imprese che vogliano conformarsi alla disciplina sulla responsabilità amministrativa degli enti, prevista dal D.lgs. 8 giugno 2001, n. 231. Come noto, tale normativa prevede una responsabilità diretta delle persone giuridiche per determinati reati commessi, nell’interesse o a vantaggio dell’ente, da soggetti in posizione apicale o sottoposti alla loro direzione e vigilanza. L’adozione di un Modello organizzativo 231 idoneo consente all’impresa di prevenire tali reati e di escludere (o, in certi casi, attenuare) la propria responsabilità. Abbiamo trattato dell’argomento anche in precedenti articoli, con focus specifico su alcune categorie di reati e sulla compliance per enti di ridotte dimensioni o in fase di start-up.
Con questo articolo intendiamo fornire ai lettori una guida sui principi normativi, la struttura del modello, i reati presupposto, le fasi di elaborazione e gli allegati fondamentali per la costruzione di un sistema di gestione della compliance conforme al D.lgs. 231/2001.
Il Decreto 231 si inserisce in un più ampio quadro normativo volto a rafforzare la legalità e la trasparenza nelle attività economiche, recependo obblighi derivanti da convenzioni internazionali, tra cui la Convenzione OCSE sulla lotta alla corruzione e la Convenzione di Bruxelles sulla tutela degli interessi finanziari della Comunità Europea. L’obiettivo del legislatore non è solo repressivo, ma fortemente preventivo, imponendo alle imprese l’adozione di un sistema di regole e procedure interne per ridurre il rischio di commissione di reati.
Un Modello organizzativo 231 adeguato e ben strutturato consente all’ente di dimostrare la propria estraneità alla condotta illecita, a condizione che siano rispettati alcuni requisiti fondamentali, tra cui:
- la mappatura delle attività a rischio reato, identificando le aree aziendali più esposte;
- l’adozione di protocolli interni per regolamentare i processi decisionali e di gestione;
- la predisposizione di un sistema disciplinare che sanzioni eventuali violazioni del modello;
- l’istituzione di un Organismo di Vigilanza (OdV) indipendente, con poteri di iniziativa e controllo;
- l’implementazione di un sistema di formazione e comunicazione volto a diffondere la cultura della compliance aziendale.
La mancata adozione di un Modello organizzativo 231, ove si verifichi la commissione di un reato presupposto, può comportare per l’ente l’applicazione di sanzioni pecuniarie, interdittive, la confisca dei beni e persino la pubblicazione della sentenza di condanna. Risulta, pertanto, imprescindibile che le imprese adottino un Modello organizzativo 231 idoneo ed efficace, personalizzato in base alla propria struttura e alle proprie attività.
Modello organizzativo 231 e esonero da responsabilità
Il Modello organizzativo 231 trova la sua principale ragion d’essere nella prevenzione dei reati che possono determinare la responsabilità amministrativa dell’ente. Il legislatore, attraverso il D.lgs. 231/2001, ha progressivamente ampliato l’elenco dei reati presupposto, includendo fattispecie sempre più eterogenee che spaziano dai delitti contro la pubblica amministrazione, ai reati societari, ai delitti ambientali e tributari, fino alle più recenti incriminazioni in materia di cybercrime e riciclaggio.
Il decreto non si limita ad introdurre e disciplinare il regime di responsabilità a carico delle persone giuridiche ed il relativo apparato sanzionatorio, ma consente alle stesse di esserne esentate nel caso in cui provino:
- di aver adottato ed attuato in modo efficace un modello organizzativo 231, idoneo a prevenire il reato della specie di quello commesso;
- di aver affidato il compito di vigilare sul funzionamento e l’osservanza del modello, sul suo aggiornamento ad un organismo dotato di autonomi poteri di iniziativa e controllo (Organismo di Vigilanza);
- che il reato è stato commesso eludendo fraudolentemente il modello di organizzazione e gestione
- che non vi è stata omessa o insufficiente vigilanza da parte dell’Organismo di Vigilanza.
Nucleo della disciplina, pertanto, è proprio la predisposizione e l’attuazione di detto modello, finalizzato ad impedire la commissione di certi reati nell’ambito dell’impresa da cui può dipendere la responsabilità dell’ente, il cui accertamento è demandato alla competenza del giudice penale.
In altre parole, la responsabilità per illeciti amministrativi dipendenti da reato viene quindi imputata all’ente in presenza delle seguenti condizioni:
- commissione dei reati presupposto nell’interesse o a vantaggio dell’ente (anche se non esclusivo). La valutazione dell’interesse va compiuta ex ante, mentre la sussistenza di un vantaggio concreto va accertata ex post;
- mancata adozione, prima della commissione del reato, da parte dell’ente di un adeguato ed efficace modello di organizzazione finalizzato a prevenire reati della stessa specie di quello verificatosi, ovvero mancata attuazione dello stesso ove esistente;
- mancata istituzione dell’organismo di vigilanza (OdV) e omessa o insufficiente vigilanza, da parte dello stesso, sul funzionamento e l’osservanza del modello organizzativo e sui comportamenti dei dipendenti.
Struttura e contenuti del Modello organizzativo 231
Il Modello organizzativo 231 è un sistema strutturato di misure, procedure e controlli volto a prevenire la commissione dei reati presupposto previsti dal D.lgs. 231/2001. La sua efficacia dipende dalla corretta implementazione e personalizzazione in base alle caratteristiche specifiche dell’ente.
La struttura del modello, secondo le best practices di settore, si articola in due sezioni principali:
Parte Generale: definisce i principi fondamentali, le finalità del modello e il funzionamento degli strumenti di prevenzione e controllo;
Parte Speciale: disciplina in modo dettagliato i protocolli operativi relativi alle attività aziendali esposte a rischio reato.
Nella Parte Generale, vengono delineati gli elementi essenziali del Modello organizzativo 231, tra cui:
- Mappatura delle attività a rischio: l’ente deve identificare le aree aziendali esposte al rischio di commissione di reati, adottando strumenti di analisi per valutare i processi interni.
- Principi e protocolli di prevenzione: devono essere predisposte regole generali volte a ridurre il rischio di illeciti, improntando quali sono i processi decisionali e le attività operative a rischio reato.
- Sistema disciplinare: è necessario introdurre sanzioni nei confronti di chi non rispetta le misure previste dal modello, garantendo un’effettiva deterrenza.
- Ruolo dell’Organismo di Vigilanza (OdV): il modello deve prevedere un OdV autonomo e indipendente, con il compito di monitorare l’effettiva applicazione delle misure preventive e proporne l’aggiornamento.
La Parte Speciale del Modello organizzativo 231 è dedicata alla regolamentazione delle singole aree aziendali a rischio e alla predisposizione di procedure operative specifiche. Essa include:
- l’analisi dettagliata dei processi presidiati in base ai reati presupposto rilevanti per l’ente;
- l’individuazione dei protocolli operativi e delle misure di controllo per ciascun processo aziendale esposto al rischio di illecito;
- Le modalità di segnalazione delle violazioni e le misure di intervento in caso di non conformità.
L’efficacia del Modello organizzativo 231 dipende dalla sua concreta attuazione e dal monitoraggio continuo da parte dell’ente. Un modello formalmente corretto, ma non applicato in modo effettivo, non ha alcun valore ai fini dell’esonero da responsabilità. Pertanto, la formazione del personale, la diffusione delle procedure e l’attività di controllo dell’OdV risultano essenziali per garantirne la validità e l’aggiornamento costante.
Le fasi di elaborazione del Modello organizzativo 231
L’elaborazione di un Modello organizzativo 231 efficace richiede un processo strutturato e metodologico che garantisca la sua adeguatezza rispetto alle specificità dell’ente. Tale processo – come suggerito dallo standard comunemente osservato – si articola in diverse fasi, ciascuna delle quali è funzionale alla creazione di un sistema di prevenzione realmente efficace.
La prima fase consiste nell’analisi del contesto aziendale, attraverso un’indagine approfondita delle attività svolte dall’ente, della sua struttura organizzativa e dei processi operativi. Questo passaggio è essenziale per comprendere le dinamiche decisionali interne e individuare le aree potenzialmente esposte al rischio di commissione di reati presupposto.
Successivamente, si procede – in via preliminare rispetto alla concreta elaborazione del modello organizzativo 231 – con la mappatura delle attività a rischio (risk assessment), che consente di identificare le funzioni aziendali maggiormente vulnerabili e di delineare gli scenari in cui potrebbero verificarsi condotte illecite. Tale analisi deve essere condotta con un approccio sistematico e basato su criteri oggettivi, al fine di individuare le criticità e predisporre misure preventive adeguate.
L’ente deve quindi definire una serie di protocolli e procedure interne volte a regolamentare i processi decisionali e operativi (risk management), in modo da ridurre al minimo la possibilità che vengano commessi reati. Questi protocolli devono essere costruiti in modo tale da garantire la tracciabilità delle operazioni, il controllo incrociato delle decisioni e l’individuazione di eventuali anomalie.
Un ulteriore passaggio fondamentale è la nomina dell’Organismo di Vigilanza (OdV), organo indipendente deputato al controllo sull’effettiva applicazione del modello e sul rispetto delle misure di prevenzione adottate. L’OdV deve essere dotato di autonomia e poteri di iniziativa e controllo, affinché possa esercitare le proprie funzioni in modo efficace e imparziale. La definizione di flussi informativi obbligatori nei confronti dell’OdV è altresì cruciale, poiché consente all’organo di monitorare le attività sensibili e di intervenire tempestivamente in caso di irregolarità.
L’implementazione del Modello organizzativo 231 non si esaurisce con la sua adozione formale, ma richiede un’attività costante di formazione e sensibilizzazione del personale. Tutti i soggetti coinvolti nei processi aziendali devono essere adeguatamente informati sui principi del modello e sulle relative misure di prevenzione, affinché ne comprendano l’importanza e ne rispettino le prescrizioni. La formazione deve essere continua e adattata alle esigenze dell’ente, prevedendo sessioni periodiche di aggiornamento in funzione dell’evoluzione normativa e organizzativa.
Infine, per garantire l’idoneità del modello, è necessario un monitoraggio costante e un processo di revisione periodica. L’ente deve prevedere meccanismi di verifica e audit finalizzati a valutare l’effettiva applicazione del modello e la sua capacità di prevenire i reati. L’efficacia del Modello organizzativo 231 dipende dunque dalla sua capacità di adattarsi alle dinamiche aziendali e di rispondere in modo tempestivo alle nuove sfide in materia di compliance e gestione del rischio penale.
Focus sulla mappatura dei rischi nel Modello organizzativo 231
L’identificazione dei reati rilevanti per ciascun ente dipende dalla natura delle sue attività e dal contesto operativo in cui esso si inserisce, rendendo indispensabile un’analisi approfondita delle aree di rischio.
La costruzione di un Modello organizzativo 231 efficace presuppone la preliminare individuazione delle attività aziendali potenzialmente esposte al rischio di commissione dei reati presupposto. La cosiddetta mappatura dei rischi rappresenta un passaggio imprescindibile nella predisposizione del modello, poiché consente di definire con precisione le aree operative maggiormente vulnerabili e di calibrare le misure di prevenzione in modo mirato ed efficace.
Tale analisi deve essere condotta con un approccio metodologico rigoroso, attraverso un’indagine dettagliata dei processi interni e delle dinamiche decisionali che caratterizzano l’attività dell’ente.
L’individuazione delle attività sensibili implica uno studio approfondito della struttura aziendale, delle relazioni con terzi, della gestione delle risorse finanziarie e dei rapporti con la pubblica amministrazione.
È necessario esaminare il sistema dei poteri e delle deleghe, le procedure di controllo interno e i protocolli operativi esistenti, al fine di individuare eventuali vulnerabilità che potrebbero agevolare la commissione di reati. La mappatura deve essere aggiornata periodicamente, tenendo conto delle evoluzioni normative e organizzative, nonché dell’emergere di nuove tipologie di rischio connesse ai mutamenti del contesto economico e regolatorio.
Un’adeguata attività di risk assessment costituisce il presupposto essenziale per la definizione delle misure di prevenzione e per l’efficacia complessiva del modello. La mera predisposizione di un documento formale, privo di un’effettiva analisi delle criticità aziendali, non è sufficiente ad escludere la responsabilità dell’ente in sede giudiziaria.
Affinché il modello possa essere ritenuto idoneo a prevenire la commissione dei reati, è indispensabile che la mappatura dei rischi sia integrata da un sistema di controlli interni coerente e proporzionato rispetto alle specificità dell’ente.
Allegati del Modello organizzativo 231: quali documenti sono fondamentali?
L’efficacia del Modello organizzativo 231 dipende non solo dalla corretta strutturazione della sua parte generale e speciale, ma dal corredo degli allegati che valgono a dimostrare che l’ente ha correttamente svolto le attività di risk-assessment e risk-management. Gli allegati completano il quadro per l’applicazione concreta del modello e agevolano il compiti dell’Organismo di Vigilanza (OdV).
Uno degli allegati principali è l’elenco dei reati presupposto, che riporta tutte le fattispecie di reato che possono determinare la responsabilità dell’ente ai sensi del D.lgs. 231/2001. Questo documento deve essere costantemente aggiornato alla luce delle modifiche normative e delle nuove disposizioni legislative, in modo da garantire che il modello sia sempre conforme alla normativa vigente.
Un altro documento essenziale è la mappatura delle attività a rischio, che individua le aree aziendali potenzialmente esposte alla commissione di reati e ne analizza le vulnerabilità. La mappatura consente di stabilire le misure di prevenzione più adeguate e di implementare controlli efficaci per minimizzare il rischio, contenuti nella parte speciale. Essa deve essere redatta con criteri metodologici rigorosi e basarsi su un’analisi dettagliata dei processi aziendali, tenendo conto della struttura organizzativa dell’ente e delle sue dinamiche operative.
Non di minore importanza è il Codice etico e di comportamento, che definisce i valori e i principi fondamentali ai quali l’ente e i suoi collaboratori devono attenersi nello svolgimento delle attività aziendali. Il codice etico costituisce il riferimento primario per la costruzione della cultura aziendale in materia di compliance e legalità, fornendo indicazioni chiare sui comportamenti da adottare e sulle condotte da evitare per prevenire illeciti e situazioni di rischio.
Last but not least, il sistema disciplinare che prevede le misure sanzionatorie applicabili in caso di violazione delle disposizioni del modello. Il sistema disciplinare deve essere strutturato in modo da garantire un’efficace deterrenza e deve prevedere sanzioni proporzionate alla gravità delle infrazioni commesse. Esso deve inoltre essere coerente con la normativa giuslavoristica e con il contratto collettivo applicato dall’ente, al fine di assicurarne la legittimità e l’effettiva applicabilità.
Al sistema disciplinare fa spesso da pendant la procedura di whistleblowing, strumento essenziale per garantire la segnalazione di condotte illecite o irregolarità all’interno dell’ente. Tale procedura consente ai dipendenti e ai collaboratori di segnalare, in modo riservato e protetto, eventuali violazioni del modello o della normativa, senza il timore di subire ritorsioni.
La gestione delle segnalazioni deve essere conforme alla normativa vigente e prevedere meccanismi che assicurino l’anonimato del segnalante, nonché un sistema di verifica e gestione delle segnalazioni da parte dell’Organismo di Vigilanza (OdV). L’inserimento di una procedura di whistleblowing tra gli allegati del modello organizzativo 231 rafforza il sistema di controllo interno, incentivando la cultura della compliance e contribuendo alla tempestiva individuazione di comportamenti a rischio.
L’insieme degli allegati costituisce dunque un complemento essenziale al modello e ne determina l’efficacia pratica. La loro corretta predisposizione e il loro costante aggiornamento consentono di rafforzare il sistema di prevenzione del rischio penale e di dimostrare, in caso di contestazioni, che l’ente ha adottato tutte le misure necessarie per prevenire la commissione di reati nell’ambito della propria attività.
La nostra esperienza al tuo servizio per elaborare un Modello organizzativo 231 efficace
L’adozione di un Modello organizzativo 231 non rappresenta un mero adempimento formale, ma costituisce uno strumento strategico per la tutela dell’ente e per il rafforzamento della sua governance. La predisposizione di un modello adeguato ed efficace consente di ridurre significativamente il rischio di commissione di reati, garantendo un sistema di prevenzione, controllo e responsabilizzazione interna.
Affinché il modello assolva alla sua funzione esimente, è indispensabile che venga attuato in modo concreto e costante, evitando che si riduca a una documentazione priva di applicazione pratica. La sua efficacia dipende dall’integrazione con le attività aziendali, dalla formazione del personale e dall’attività di verifica e aggiornamento da parte dell’Organismo di Vigilanza (OdV).
In un contesto normativo in continua evoluzione, adottare e aggiornare un Modello organizzativo 231 risulta essenziale per le imprese che intendono operare in conformità alla legge e proteggere il proprio assetto organizzativo.
Per questo motivo, è consigliabile affidarsi ad avvocati specialisti in diritto penale ed esperti in diritto d’impresa e compliance, in grado di garantire un’implementazione personalizzata ed efficace del modello. Siamo a vostra disposizione per un confronto sulle strategie di compliance aziendale.
Responsabilità amministrativa degli enti e D.Lgs. 231/2001. Lo Studio Legale D’Agostino offre supporto alle aziende per adottare un modello organizzativo 231 idoneo e supportare l’Organismo di Vigilanza.
