L'audit interno del sistema di compliance non è più una verifica episodica affidata a un singolo soggetto: è diventato il momento cruciale in cui si dimostra — o non si dimostra — che l'impresa ha davvero presidiato i propri rischi. Con la convergenza di D.Lgs. 231/2001, obblighi ESG, Direttiva NIS2 (D.Lgs. 138/2024), AI Act (Reg. UE 2024/1689) e GDPR, ogni audit deve oggi abbracciare domini normativi profondamente diversi ma strettamente interconnessi. La giurisprudenza di legittimità più recente ha chiarito che un modello solo formalmente adottato non vale nulla: ciò che conta è la sua attuazione effettiva, documentata, dinamica. E l'audit interno è esattamente il luogo in cui questa effettività si misura e si prova.
Nel diritto romano si diceva verba volant, scripta manent: le parole volano, gli scritti restano. Vale oggi più che mai per la compliance aziendale. Non basta avere un modello 231 adottato, un registro dei trattamenti compilato, una policy NIS2 firmata dall'amministratore delegato. Ciò che rimane — ciò che conta davanti a un giudice penale, a un ispettore ACN o a una sanzione del Garante — è la traccia documentale di ciò che l'impresa ha concretamente fatto. E quella traccia nasce, e vive, nell'audit interno.
La stratificazione regolatoria che caratterizza il panorama normativo attuale, se non affrontata con una logica di sistema, rischia di generare inefficienze, ridondanze di controllo e confusione nei ruoli e nelle responsabilità. Eppure molte imprese continuano a gestire la compliance per silos separati: un referente per il 231, un DPO per il GDPR, un responsabile IT per la NIS2, un ufficio sustainability per l'ESG. Chi si occupa di GDPR, AI Act e NIS2 opera spesso in ambiti separati, con poco tempo e pochi strumenti per un confronto efficace. Le conseguenze sono tutt'altro che marginali: decisioni incoerenti, rallentamenti operativi e una distribuzione poco chiara delle responsabilità.
Il punto critico non è teorico. È processuale. La mancata realizzazione di audit, l'assenza di tracciabilità nei processi di formazione e vigilanza, la sottovalutazione dei rischi specifici sono tutti elementi che possono dimostrare la colpa organizzativa e dunque fondare la responsabilità ai sensi del decreto 231. Il sistema di controllo, dunque, non è un adempimento burocratico: è il cuore della difesa dell'ente.
La colpa di organizzazione come parametro giurisprudenziale dell'audit
La Corte di Cassazione, Sez. IV pen., con la sentenza del 28 gennaio 2026, n. 8397, è tornata a pronunciarsi sui criteri di imputazione della responsabilità degli enti ex D.Lgs. 231/2001, chiarendo aspetti di rilievo pratico immediato per chi si occupa di audit integrato. La Corte ha stabilito che, in presenza congiunta di risarcimento integrale del danno e adozione di un modello organizzativo idoneo, la riduzione della sanzione pecuniaria ex art. 12 D.Lgs. 231/2001 deve essere applicata nella misura da metà a due terzi e non nella misura inferiore. Il passaggio è rilevante: l'adozione postuma ma sostanziale di un modello adeguato incide direttamente sulla quantificazione della sanzione. La sentenza chiarisce inoltre che il vantaggio dell'ente può consistere anche nel risparmio di costi e tempi, senza necessità di una precisa quantificazione economica. È ribadita la centralità della "colpa di organizzazione" quale elemento costitutivo dell'illecito, distinta dalla colpa della persona fisica.
In coerenza con questo indirizzo, Cass. pen., Sez. IV, 15 maggio 2025, n. 18410 (NB: sentenza anteriore al periodo richiesto) aveva già fissato un principio destinato a orientare ogni verifica interna: l'adozione formale di un modello organizzativo non è sufficiente a escludere la responsabilità dell'ente se non ne siano provate l'effettiva attuazione e l'idoneità concreta a prevenire i reati. La pronuncia è particolarmente incisiva sul punto dell'audit: nonostante la presenza di un modello organizzativo adottato sulla carta, la documentazione dimostrava una sostanziale inoperatività del sistema: l'Organismo di Vigilanza non aveva emesso segnalazioni, i protocolli erano stati aggiornati solo formalmente, e la prassi aziendale risultava lontana dalle procedure descritte nel modello.
Il terzo riferimento giurisprudenziale è offerto da Cass. pen., Sez. IV, 1 settembre 2025, n. 30039 (NB: sentenza anteriore al periodo novembre 2025–maggio 2026). La Corte ribadisce che il fondamento della responsabilità dell'ente è la colpa di organizzazione, intesa come inottemperanza all'obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire i reati. Questo elemento è ontologicamente distinto dalla colpa delle persone fisiche autrici del reato presupposto. La colpa di organizzazione deve essere specificamente provata dall'accusa: non è sufficiente dimostrare che il reato presupposto è stato commesso da un soggetto apicale nell'interesse dell'ente. In questa sentenza emerge poi un profilo di assoluto rilievo pratico per l'attività dell'OdV: l'Organismo di Vigilanza deve essere consapevole che il proprio lavoro è destinato a diventare materiale probatorio. Ogni verbale, ogni accesso ispettivo, ogni flusso informativo gestito, ogni attività formativa erogata è un tassello della difesa dell'ente in caso di procedimento 231.
Ne consegue che l'audit interno non produce soltanto informazioni gestionali. Produce prove. E va progettato e documentato con questa consapevolezza.
Struttura dell'audit integrato: il modello a matrice normativa
Come scriveva Franz Kafka ne Il processo, la colpa può essere affermata anche senza che l'imputato comprenda mai di quale regola ha violato il preciso perimetro. Per le imprese oggi esposte a cinque regimi normativi sovrapposti, il rischio è analogo: essere sanzionati non per una condotta illecita deliberata, ma per l'incapacità di dimostrare di aver vigilato. L'audit integrato è lo strumento che trasforma questa opacità in trasparenza dimostrabile.
Si sta delineando una vera e propria "gerarchia delle fonti del diritto interno" all'ente, dove la compliance tecnica (GDPR, NIS2, ISO) alimenta e sostiene la compliance strategica (231 e governance ESG). Questa gerarchia deve riflettersi nella struttura dell'audit. Non si tratta di cinque verifiche parallele, ma di un unico processo articolato su più livelli di rischio.
Sul piano del 231, l'audit deve verificare che il MOGC sia aggiornato alla luce degli ampliamenti normativi più recenti. Le riforme approvate tra il 2025 e l'inizio del 2026 hanno ampliato il catalogo dei reati presupposto; a gennaio 2026 è entrato in vigore il D.Lgs. 211/2025 con l'inclusione dei reati in materia di violazioni delle misure restrittive UE. Questo significa che ogni audit del modello 231 condotto nel corso del 2026 deve necessariamente includere la verifica dei processi esposti al rischio sanzionatorio europeo: contratti con controparti internazionali, flussi finanziari, approvvigionamenti da aree a rischio.
Sul piano NIS2, la situazione è particolarmente critica. Il 2026 segna il passaggio dalla compliance formale alla compliance sostanziale della Direttiva (UE) 2022/2555, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138. L'audit interno deve ora verificare l'effettiva implementazione delle misure, non solo la loro enunciazione formale. Da ottobre 2026 sono previste le attività ispettive ACN: entro quella data è prevista la completa implementazione delle misure di sicurezza di base, e da quella data l'ACN transita dalla "fase di accompagnamento" alla fase di verifica e ispezione formale. L'audit interno è quindi l'unico strumento di autovalutazione prima che l'ispezione esterna renda pubblici eventuali deficit.
I soggetti importanti devono aver adottato le 37 misure e 87 requisiti di cui all'Allegato 1; i soggetti essenziali devono aver adottato le 43 misure e 116 requisiti di cui all'Allegato 2. La checklist di audit deve mapparsi su questi requisiti con evidenza documentale di ciascuna misura implementata, non limitarsi a una dichiarazione di conformità.
Sul piano AI Act, il Regolamento (UE) 2024/1689 ha definito un impianto normativo fondato su un approccio risk-based implicante una classificazione dei sistemi in base al livello di rischio, collegando a ciascuna categoria obblighi specifici in termini di governance, tracciabilità e controllo. Un simile metodo comporta una supervisione estesa all'intero ciclo di vita delle applicazioni, dalla fase di progettazione fino all'impiego concreto nei processi aziendali. Nell'audit integrato, questo si traduce nella necessità di includere una specifica sezione dedicata ai sistemi IA in uso: per ciascuno, occorre verificare la classificazione del rischio, la documentazione tecnica, i log di monitoraggio e l'eventuale nomina del responsabile umano per la supervisione. Il 2026 sarà il primo anno in cui molte aziende dovranno dimostrare di aver implementato politiche chiare sull'AI, in linea con rischi 231 correlati (frodi, discriminazioni, decisioni automatizzate non controllate, cybersecurity, trattamento dati) e procedure interne su sviluppo, utilizzo, manutenzione e audit dei sistemi IA.
Sul piano ESG, la dimensione auditiva si intreccia con la rendicontazione non finanziaria e con la gestione della supply chain. Nella rendicontazione non finanziaria e nella governance ESG, la capacità di presidiare i rischi digitali e normativi, anche con riferimento alla supply chain, è sempre più centrale. L'audit ESG integrato deve quindi includere anche la valutazione dei fornitori critici rispetto ai criteri di compliance normativa, non solo rispetto agli indicatori ambientali o sociali.
Un aspetto operativo spesso sottovalutato riguarda i flussi informativi tra i diversi presidi. Accountability, privacy by design, adozione di misure tecniche e organizzative adeguate, approccio risk-based, obbligo di notifica degli incidenti, importanza della formazione aziendale devono essere letti come principi strutturali condivisi tra le diverse architetture regolatorie, fondamentali per coltivare un terreno favorevole all'adozione di un approccio multi-compliance. Nell'audit integrato, questo significa verificare che il flusso di notifica di un incidente informatico sia progettato in modo da soddisfare contemporaneamente l'obbligo di notifica ex art. 33 GDPR (72 ore), l'obbligo di notifica NIS2 (24 ore pre-notifica, 72 ore notifica formale, un mese relazione finale) e l'informativa all'Organismo di Vigilanza. Tre canali, un unico evento, tre scadenze diverse: senza un processo unificato e verificato dall'audit, il rischio di inadempienza è elevato.
Il sistema di prevenzione deve essere dinamico, aggiornato, integrato nella vita dell'ente e dotato di veri strumenti di controllo. La mancata realizzazione di audit, l'assenza di tracciabilità nei processi di formazione e vigilanza, la sottovalutazione dei rischi specifici sono tutti elementi che possono dimostrare la colpa organizzativa e dunque fondare la responsabilità ai sensi del decreto 231. Non è pertanto sufficiente che l'audit esista sulla carta. Deve essere pianificato con cadenza definita, condotto con metodologia strutturata, documentato in un report che evidenzi le non conformità rilevate e le azioni correttive intraprese.
Sul piano pratico, una delle criticità più frequenti che emerge nelle verifiche riguarda la dissociazione tra documentazione e prassi. Il riesame e l'eventuale modifica devono essere adottati quando siano scoperte violazioni significative o in occasione di mutamenti nell'organizzazione e nel progresso scientifico e tecnologico. È il meccanismo del PDCA (Plan-Do-Check-Act) applicato alla compliance 231: un modello che non viene aggiornato diventa progressivamente inadeguato e perde la propria efficacia esimente. Il PDCA non è uno standard volontario: nella logica del sistema integrato, è l'unico meccanismo che assicura che l'audit non fotografi una realtà statica ma monitori una realtà che si trasforma.
AI Act, NIS2 e GDPR non operano più come obblighi isolati: la loro applicazione dipende da criteri dimensionali, dal settore di appartenenza e, sempre più spesso, dal ruolo svolto dall'impresa all'interno delle catene di fornitura. Anche le PMI non direttamente soggette agli obblighi formali si trovano oggi coinvolte per effetto di richieste contrattuali, controlli a cascata e aspettative di conformità da parte di clienti e partner strutturati. Questo implica che l'audit integrato non possa essere considerato un tema riservato alle grandi imprese. Per la PMI del Nord-Est che lavora come fornitore di un soggetto NIS2 essenziale, l'assenza di un sistema di audit documentato può tradursi nella perdita del contratto ancora prima che arrivino le sanzioni regolatorie.
La progettazione dell'audit integrato deve tener conto anche delle responsabilità degli organi di governance. La NIS2 va intesa come un accompagnamento che sposta strutturalmente la cybersecurity dal dominio tecnico-operativo a quello strategico-manageriale, collocandola sullo stesso piano dei rischi finanziari e reputazionali nella governance aziendale. Questo significa che i risultati dell'audit devono essere portati al Consiglio di Amministrazione con una reportistica leggibile dal management, non solo dai tecnici. L'organo amministrativo che non riceve evidenza degli esiti dell'audit e non adotta delibere conseguenti si espone a una responsabilità propria, distinta da quella dei singoli preposti.
Redazione - Staff Studio Legale MP
