Il Modello organizzativo 231 è lo strumento cardine per le imprese che vogliano conformarsi alla disciplina sulla responsabilità amministrativa degli enti, prevista dal D.lgs. 8 giugno 2001, n. 231. Come noto, tale normativa prevede una responsabilità diretta delle persone giuridiche per determinati reati commessi, nell’interesse o a vantaggio dell’ente, da soggetti in posizione apicale o sottoposti alla loro direzione e vigilanza. L’adozione di un Modello organizzativo 231 idoneo consente all’impresa di prevenire tali reati e di escludere (o, in certi casi, attenuare) la propria responsabilità. Abbiamo trattato dell’argomento anche in precedenti articoli, con focus specifico su alcune categorie di reati e sulla compliance per enti di ridotte dimensioni o in fase di start-up.

Con questo articolo intendiamo fornire ai lettori una guida sui principi normativi, la struttura del modello, i reati presupposto, le fasi di elaborazione e gli allegati fondamentali per la costruzione di un sistema di gestione della compliance conforme al D.lgs. 231/2001.

Il Decreto 231 si inserisce in un più ampio quadro normativo volto a rafforzare la legalità e la trasparenza nelle attività economiche, recependo obblighi derivanti da convenzioni internazionali, tra cui la Convenzione OCSE sulla lotta alla corruzione e la Convenzione di Bruxelles sulla tutela degli interessi finanziari della Comunità Europea. L’obiettivo del legislatore non è solo repressivo, ma fortemente preventivo, imponendo alle imprese l’adozione di un sistema di regole e procedure interne per ridurre il rischio di commissione di reati.

Un Modello organizzativo 231 adeguato e ben strutturato consente all’ente di dimostrare la propria estraneità alla condotta illecita, a condizione che siano rispettati alcuni requisiti fondamentali, tra cui:

• la mappatura delle attività a rischio reato, identificando le aree aziendali più esposte;
• l’adozione di protocolli interni per regolamentare i processi decisionali e di gestione;
• la predisposizione di un sistema disciplinare che sanzioni eventuali violazioni del modello;
• l’istituzione di un Organismo di Vigilanza (OdV) indipendente, con poteri di iniziativa e controllo;
• l’implementazione di un sistema di formazione e comunicazione volto a diffondere la cultura della compliance aziendale.

La mancata adozione di un Modello organizzativo 231, ove si verifichi la commissione di un reato presupposto, può comportare per l’ente l’applicazione di sanzioni pecuniarie, interdittive, la confisca dei beni e persino la pubblicazione della sentenza di condanna. Risulta, pertanto, imprescindibile che le imprese adottino un Modello organizzativo 231 idoneo ed efficace, personalizzato in base alla propria struttura e alle proprie attività.

Modello organizzativo 231 e esonero da responsabilità

Il Modello organizzativo 231 trova la sua principale ragion d’essere nella prevenzione dei reati che possono determinare la responsabilità amministrativa dell’ente. Il legislatore, attraverso il D.lgs. 231/2001, ha progressivamente ampliato l’elenco dei reati presupposto, includendo fattispecie sempre più eterogenee che spaziano dai delitti contro la pubblica amministrazione, ai reati societari, ai delitti ambientali e tributari, fino alle più recenti incriminazioni in materia di cybercrime e riciclaggio.

Il decreto non si limita ad introdurre e disciplinare il regime di responsabilità a carico delle persone giuridiche ed il relativo apparato sanzionatorio, ma consente alle stesse di esserne esentate nel caso in cui provino:

• di aver adottato ed attuato in modo efficace un modello organizzativo 231, idoneo a prevenire il reato della specie di quello commesso;
• di aver affidato il compito di vigilare sul funzionamento e l’osservanza del modello, sul suo aggiornamento ad un organismo dotato di autonomi poteri di iniziativa e controllo (Organismo di Vigilanza);
• che il reato è stato commesso eludendo fraudolentemente il modello di organizzazione e gestione
• che non vi è stata omessa o insufficiente vigilanza da parte dell’Organismo di Vigilanza.

Nucleo della disciplina, pertanto, è proprio la predisposizione e l’attuazione di detto modello, finalizzato ad impedire la commissione di certi reati nell’ambito dell’impresa da cui può dipendere la responsabilità dell’ente, il cui accertamento è demandato alla competenza del giudice penale.

In altre parole, la responsabilità per illeciti amministrativi dipendenti da reato viene quindi imputata all’ente in presenza delle seguenti condizioni:

1. commissione dei reati presupposto nell’interesse o a vantaggio dell’ente (anche se non esclusivo). La valutazione dell’interesse va compiuta ex ante, mentre la sussistenza di un vantaggio concreto va accertata ex post;
2. mancata adozione, prima della commissione del reato, da parte dell’ente di un adeguato ed efficace modello di organizzazione finalizzato a prevenire reati della stessa specie di quello verificatosi, ovvero mancata attuazione dello stesso ove esistente;
3. mancata istituzione dell’organismo di vigilanza (OdV) e omessa o insufficiente vigilanza, da parte dello stesso, sul funzionamento e l’osservanza del modello organizzativo e sui comportamenti dei dipendenti.

Struttura e contenuti del Modello organizzativo 231

Il Modello organizzativo 231 è un sistema strutturato di misure, procedure e controlli volto a prevenire la commissione dei reati presupposto previsti dal D.lgs. 231/2001. La sua efficacia dipende dalla corretta implementazione e personalizzazione in base alle caratteristiche specifiche dell’ente.

La struttura del modello, secondo le best practices di settore, si articola in due sezioni principali:

Parte Generale: definisce i principi fondamentali, le finalità del modello e il funzionamento degli strumenti di prevenzione e controllo;

Parte Speciale: disciplina in modo dettagliato i protocolli operativi relativi alle attività aziendali esposte a rischio reato.

Nella Parte Generale, vengono delineati gli elementi essenziali del Modello organizzativo 231, tra cui:

• Mappatura delle attività a rischio: l’ente deve identificare le aree aziendali esposte al rischio di commissione di reati, adottando strumenti di analisi per valutare i processi interni.
• Principi e protocolli di prevenzione: devono essere predisposte regole generali volte a ridurre il rischio di illeciti, improntando quali sono i processi decisionali e le attività operative a rischio reato.
• Sistema disciplinare: è necessario introdurre sanzioni nei confronti di chi non rispetta le misure previste dal modello, garantendo un’effettiva deterrenza.
• Ruolo dell’Organismo di Vigilanza (OdV): il modello deve prevedere un OdV autonomo e indipendente, con il compito di monitorare l’effettiva applicazione delle misure preventive e proporne l’aggiornamento.

La Parte Speciale del Modello organizzativo 231 è dedicata alla regolamentazione delle singole aree aziendali a rischio e alla predisposizione di procedure operative specifiche. Essa include:

• l’analisi dettagliata dei processi presidiati in base ai reati presupposto rilevanti per l’ente;
• l’individuazione dei protocolli operativi e delle misure di controllo per ciascun processo aziendale esposto al rischio di illecito;
• Le modalità di segnalazione delle violazioni e le misure di intervento in caso di non conformità.

L’efficacia del Modello organizzativo 231 dipende dalla sua concreta attuazione e dal monitoraggio continuo da parte dell’ente. Un modello formalmente corretto, ma non applicato in modo effettivo, non ha alcun valore ai fini dell’esonero da responsabilità. Pertanto, la formazione del personale, la diffusione delle procedure e l’attività di controllo dell’OdV risultano essenziali per garantirne la validità e l’aggiornamento costante.

Le fasi di elaborazione del Modello organizzativo 231

L’elaborazione di un Modello organizzativo 231 efficace richiede un processo strutturato e metodologico che garantisca la sua adeguatezza rispetto alle specificità dell’ente. Tale processo – come suggerito dallo standard comunemente osservato – si articola in diverse fasi, ciascuna delle quali è funzionale alla creazione di un sistema di prevenzione realmente efficace.

La prima fase consiste nell’analisi del contesto aziendale, attraverso un’indagine approfondita delle attività svolte dall’ente, della sua struttura organizzativa e dei processi operativi. Questo passaggio è essenziale per comprendere le dinamiche decisionali interne e individuare le aree potenzialmente esposte al rischio di commissione di reati presupposto.

Successivamente, si procede – in via preliminare rispetto alla concreta elaborazione del modello organizzativo 231 – con la mappatura delle attività a rischio (risk assessment), che consente di identificare le funzioni aziendali maggiormente vulnerabili e di delineare gli scenari in cui potrebbero verificarsi condotte illecite. Tale analisi deve essere condotta con un approccio sistematico e basato su criteri oggettivi, al fine di individuare le criticità e predisporre misure preventive adeguate.

L’ente deve quindi definire una serie di protocolli e procedure interne volte a regolamentare i processi decisionali e operativi (risk management), in modo da ridurre al minimo la possibilità che vengano commessi reati. Questi protocolli devono essere costruiti in modo tale da garantire la tracciabilità delle operazioni, il controllo incrociato delle decisioni e l’individuazione di eventuali anomalie.

Un ulteriore passaggio fondamentale è la nomina dell’Organismo di Vigilanza (OdV), organo indipendente deputato al controllo sull’effettiva applicazione del modello e sul rispetto delle misure di prevenzione adottate. L’OdV deve essere dotato di autonomia e poteri di iniziativa e controllo, affinché possa esercitare le proprie funzioni in modo efficace e imparziale. La definizione di flussi informativi obbligatori nei confronti dell’OdV è altresì cruciale, poiché consente all’organo di monitorare le attività sensibili e di intervenire tempestivamente in caso di irregolarità.

L’implementazione del Modello organizzativo 231 non si esaurisce con la sua adozione formale, ma richiede un’attività costante di formazione e sensibilizzazione del personale. Tutti i soggetti coinvolti nei processi aziendali devono essere adeguatamente informati sui principi del modello e sulle relative misure di prevenzione, affinché ne comprendano l’importanza e ne rispettino le prescrizioni. La formazione deve essere continua e adattata alle esigenze dell’ente, prevedendo sessioni periodiche di aggiornamento in funzione dell’evoluzione normativa e organizzativa.

Infine, per garantire l’idoneità del modello, è necessario un monitoraggio costante e un processo di revisione periodica. L’ente deve prevedere meccanismi di verifica e audit finalizzati a valutare l’effettiva applicazione del modello e la sua capacità di prevenire i reati. L’efficacia del Modello organizzativo 231 dipende dunque dalla sua capacità di adattarsi alle dinamiche aziendali e di rispondere in modo tempestivo alle nuove sfide in materia di compliance e gestione del rischio penale.

Focus sulla mappatura dei rischi nel Modello organizzativo 231

L’identificazione dei reati rilevanti per ciascun ente dipende dalla natura delle sue attività e dal contesto operativo in cui esso si inserisce, rendendo indispensabile un’analisi approfondita delle aree di rischio.
La costruzione di un Modello organizzativo 231 efficace presuppone la preliminare individuazione delle attività aziendali potenzialmente esposte al rischio di commissione dei reati presupposto. La cosiddetta mappatura dei rischi rappresenta un passaggio imprescindibile nella predisposizione del modello, poiché consente di definire con precisione le aree operative maggiormente vulnerabili e di calibrare le misure di prevenzione in modo mirato ed efficace.

Tale analisi deve essere condotta con un approccio metodologico rigoroso, attraverso un’indagine dettagliata dei processi interni e delle dinamiche decisionali che caratterizzano l’attività dell’ente.

L’individuazione delle attività sensibili implica uno studio approfondito della struttura aziendale, delle relazioni con terzi, della gestione delle risorse finanziarie e dei rapporti con la pubblica amministrazione.

È necessario esaminare il sistema dei poteri e delle deleghe, le procedure di controllo interno e i protocolli operativi esistenti, al fine di individuare eventuali vulnerabilità che potrebbero agevolare la commissione di reati. La mappatura deve essere aggiornata periodicamente, tenendo conto delle evoluzioni normative e organizzative, nonché dell’emergere di nuove tipologie di rischio connesse ai mutamenti del contesto economico e regolatorio.
Un’adeguata attività di risk assessment costituisce il presupposto essenziale per la definizione delle misure di prevenzione e per l’efficacia complessiva del modello. La mera predisposizione di un documento formale, privo di un’effettiva analisi delle criticità aziendali, non è sufficiente ad escludere la responsabilità dell’ente in sede giudiziaria.

Affinché il modello possa essere ritenuto idoneo a prevenire la commissione dei reati, è indispensabile che la mappatura dei rischi sia integrata da un sistema di controlli interni coerente e proporzionato rispetto alle specificità dell’ente.

Allegati del Modello organizzativo 231: quali documenti sono fondamentali?

L’efficacia del Modello organizzativo 231 dipende non solo dalla corretta strutturazione della sua parte generale e speciale, ma dal corredo degli allegati che valgono a dimostrare che l’ente ha correttamente svolto le attività di risk-assessment e risk-management. Gli allegati completano il quadro per l’applicazione concreta del modello e agevolano il compiti dell’Organismo di Vigilanza (OdV).

Uno degli allegati principali è l’elenco dei reati presupposto, che riporta tutte le fattispecie di reato che possono determinare la responsabilità dell’ente ai sensi del D.lgs. 231/2001. Questo documento deve essere costantemente aggiornato alla luce delle modifiche normative e delle nuove disposizioni legislative, in modo da garantire che il modello sia sempre conforme alla normativa vigente.

Un altro documento essenziale è la mappatura delle attività a rischio, che individua le aree aziendali potenzialmente esposte alla commissione di reati e ne analizza le vulnerabilità. La mappatura consente di stabilire le misure di prevenzione più adeguate e di implementare controlli efficaci per minimizzare il rischio, contenuti nella parte speciale. Essa deve essere redatta con criteri metodologici rigorosi e basarsi su un’analisi dettagliata dei processi aziendali, tenendo conto della struttura organizzativa dell’ente e delle sue dinamiche operative.

Non di minore importanza è il Codice etico e di comportamento, che definisce i valori e i principi fondamentali ai quali l’ente e i suoi collaboratori devono attenersi nello svolgimento delle attività aziendali. Il codice etico costituisce il riferimento primario per la costruzione della cultura aziendale in materia di compliance e legalità, fornendo indicazioni chiare sui comportamenti da adottare e sulle condotte da evitare per prevenire illeciti e situazioni di rischio.

Last but not least, il sistema disciplinare che prevede le misure sanzionatorie applicabili in caso di violazione delle disposizioni del modello. Il sistema disciplinare deve essere strutturato in modo da garantire un’efficace deterrenza e deve prevedere sanzioni proporzionate alla gravità delle infrazioni commesse. Esso deve inoltre essere coerente con la normativa giuslavoristica e con il contratto collettivo applicato dall’ente, al fine di assicurarne la legittimità e l’effettiva applicabilità.

Al sistema disciplinare fa spesso da pendant la procedura di whistleblowing, strumento essenziale per garantire la segnalazione di condotte illecite o irregolarità all’interno dell’ente. Tale procedura consente ai dipendenti e ai collaboratori di segnalare, in modo riservato e protetto, eventuali violazioni del modello o della normativa, senza il timore di subire ritorsioni.

La gestione delle segnalazioni deve essere conforme alla normativa vigente e prevedere meccanismi che assicurino l’anonimato del segnalante, nonché un sistema di verifica e gestione delle segnalazioni da parte dell’Organismo di Vigilanza (OdV). L’inserimento di una procedura di whistleblowing tra gli allegati del modello organizzativo 231 rafforza il sistema di controllo interno, incentivando la cultura della compliance e contribuendo alla tempestiva individuazione di comportamenti a rischio.

L’insieme degli allegati costituisce dunque un complemento essenziale al modello e ne determina l’efficacia pratica. La loro corretta predisposizione e il loro costante aggiornamento consentono di rafforzare il sistema di prevenzione del rischio penale e di dimostrare, in caso di contestazioni, che l’ente ha adottato tutte le misure necessarie per prevenire la commissione di reati nell’ambito della propria attività.

La nostra esperienza al tuo servizio per elaborare un Modello organizzativo 231 efficace

L’adozione di un Modello organizzativo 231 non rappresenta un mero adempimento formale, ma costituisce uno strumento strategico per la tutela dell’ente e per il rafforzamento della sua governance. La predisposizione di un modello adeguato ed efficace consente di ridurre significativamente il rischio di commissione di reati, garantendo un sistema di prevenzione, controllo e responsabilizzazione interna.

Affinché il modello assolva alla sua funzione esimente, è indispensabile che venga attuato in modo concreto e costante, evitando che si riduca a una documentazione priva di applicazione pratica. La sua efficacia dipende dall’integrazione con le attività aziendali, dalla formazione del personale e dall’attività di verifica e aggiornamento da parte dell’Organismo di Vigilanza (OdV).

In un contesto normativo in continua evoluzione, adottare e aggiornare un Modello organizzativo 231 risulta essenziale per le imprese che intendono operare in conformità alla legge e proteggere il proprio assetto organizzativo.

Per questo motivo, è consigliabile affidarsi ad avvocati specialisti in diritto penale ed esperti in diritto d’impresa e compliance, in grado di garantire un’implementazione personalizzata ed efficace del modello. Siamo a vostra disposizione per un confronto sulle strategie di compliance aziendale.