Immaginate un'azienda manifatturiera di medie dimensioni. Ha adottato il Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. 231/2001, ha nominato il DPO, ha implementato le misure tecniche richieste dal GDPR, ha avviato il percorso di adeguamento alla Direttiva NIS2. I documenti ci sono tutti: policy, registro dei trattamenti, codice etico, procedure operative, verbali dell'Organismo di Vigilanza. E tuttavia, quando il reato si verifica e il Pubblico Ministero apre il fascicolo a carico dell'ente, il castello crolla. Perché? Perché nessuno aveva mai verificato, davvero, che quelle regole fossero rispettate. L'audit interno non era mai stato fatto — o era stato fatto male.
Questa non è una storia di fantasia. È il profilo ricorrente in quasi tutte le pronunce recenti in materia di responsabilità amministrativa degli enti. E comprenderne le implicazioni è oggi più urgente che mai, perché il quadro normativo si è stratificato fino a creare un sistema di compliance che va ben oltre il solo perimetro 231.
Il sistema integrato e la sua fragilità strutturale
Il punto di partenza è una constatazione ormai condivisa da dottrina e giurisprudenza: le norme europee sulla protezione dei dati (Regolamento UE 2016/679 - GDPR), sulla cybersicurezza (Direttiva NIS2, recepita in Italia con D.Lgs. 4 settembre 2024 e i cui obblighi di notifica degli incidenti sono operativi dal gennaio 2026), sull'intelligenza artificiale (Reg. UE 2024/1689 - AI Act) e il Modello 231 non sono silos separati. Come efficacemente sintetizza la letteratura più recente, si sta delineando una gerarchia delle fonti del diritto interno all'ente, dove la compliance tecnica alimenta e sostiene quella strategica, con il Modello 231 come architrave dell'intero sistema.
Questa integrazione, se mal gestita, produce un effetto paradossale: moltiplicare i documenti senza moltiplicare i controlli. Il risultato è una compliance puramente formale, che la Cassazione ha imparato a smontare con crescente sistematicità.
La Corte di Cassazione, Sez. IV penale, con la sentenza 1° settembre 2025 n. 30039 — tra le pronunce più organiche sul tema — ha ribadito con fermezza che il fondamento della responsabilità dell'ente è la colpa di organizzazione, intesa come inottemperanza all'obbligo di adottare cautele organizzative e gestionali necessarie a prevenire i reati, e che tale colpa deve essere distinta ontologicamente dalla colpa delle persone fisiche che commettono il reato presupposto. Soprattutto, la Corte ha precisato che la certificazione del sistema — di per sé — non è sufficiente: un modello certificato che non viene applicato nella pratica quotidiana perde ogni efficacia esimente.
Pochi mesi dopo, la Cass. pen., Sez. IV, con sentenza 10 febbraio 2026 n. 5357 ha ulteriormente chiarito che la rimozione sistematica di presidi di controllo — anche se impartita dal solo livello dei preposti e non dai vertici — è sufficiente a integrare l'interesse dell'ente ex art. 5 D.Lgs. 231/2001, quando quella scelta risponde a una logica organizzativa di incremento della produttività o di riduzione dei costi. La frammentazione delle decisioni operative non scherma l'ente: la responsabilità si radica nella complessiva strategia gestionale adottata.
E ancora, la Cass. pen., Sez. IV, 25 febbraio 2026 n. 7563 — che ha confermato la responsabilità di un ente per illecito amministrativo ex art. 25-septies D.Lgs. 231/2001 — ha ribadito il principio per cui il giudice penale è tenuto a compiere un giudizio di natura fattuale sull'effettività del sistema di controllo, al di là dell'accertamento degli adempimenti documentali da parte della governance.
Il filo rosso che unisce queste tre pronunce è uno solo: ciò che conta è che le regole fossero rispettate, e che qualcuno lo abbia verificato e documentato. L'audit interno è lo strumento attraverso cui quella verifica avviene — e diventa prova.
L'audit come atto giuridico, non come procedura gestionale
Il principale errore concettuale che si riscontra nelle PMI — e non solo — è trattare l'audit interno come una procedura di miglioramento gestionale, analoga a quella prevista dalle certificazioni ISO. L'audit di compliance ha invece una dimensione giuridica precisa: produce traccia documentale dell'attività di vigilanza dell'Organismo di Vigilanza ai sensi dell'art. 6, co. 1, lett. b), D.Lgs. 231/2001, nonché dell'attività di monitoraggio periodico richiesta dall'art. 32 del GDPR in materia di sicurezza del trattamento, dalle misure di gestione del rischio imposte dall'art. 21 della Direttiva NIS2 e, con l'entrata progressiva a regime dell'AI Act, dai meccanismi di supervisione umana sui sistemi ad alto rischio.
Vigilantibus iura subveniunt: il diritto assiste chi vigila. Il principio non è solo un brocardo elegante — è la filosofia sottostante all'intero sistema della responsabilità degli enti. L'ente che ha vigilato — che ha pianificato le verifiche, le ha eseguite, le ha documentate, ha dato seguito alle criticità emerse — si trova in una posizione difensiva strutturalmente diversa dall'ente che ha semplicemente adottato il Modello.
Come ebbe a scrivere Luigi Einaudi, nella sua riflessione sul rapporto tra regole e prassi istituzionali: le norme scritte non bastano, occorre che esse siano animate da chi le deve far vivere. Applicato al sistema di compliance integrata, questo significa che l'OdV, il DPO, il CISO e — con l'AI Act — il responsabile della supervisione dei sistemi di intelligenza artificiale non sono figure decorative: sono i presidi vivi del sistema, e il loro lavoro deve lasciare traccia.
Concretamente, un audit interno efficace sul sistema integrato dovrebbe articolarsi su almeno quattro livelli. Il primo è la verifica documentale: esistono le procedure? Sono aggiornate? Coprono le aree di rischio mappate? Questo livello, da solo, non è sufficiente. Il secondo è la verifica sul campo: le procedure sono effettivamente conosciute e applicate dai destinatari? Le interviste ai responsabili di processo, le ispezioni a campione — anche a sorpresa — nelle aree sensibili, l'analisi dei log informatici e dei registri di accesso alle banche dati costituiscono il cuore dell'audit sostanziale. Il terzo livello riguarda la coerenza cross-normativa: le misure adottate ai sensi del GDPR sono coerenti con le politiche di sicurezza richieste dalla NIS2? Le procedure di incident response rispettano sia le 72 ore per la notifica al Garante Privacy che le 24 ore per la notifica al CSIRT nazionale? I sistemi di AI eventualmente adottati sono stati classificati correttamente per classe di rischio e sono stati predisposti i presidi di supervisione umana previsti dall'AI Act? Il quarto livello è il follow-up: le non conformità rilevate nei cicli di audit precedenti sono state effettivamente risolte?
È su quest'ultimo punto che le organizzazioni più spesso falliscono. Un audit che rileva criticità e non produce azioni correttive verificate è peggio di nessun audit: dimostra che l'ente sapeva del problema e non ha agito, aggravando il profilo di colpa organizzativa.
Sul piano procedurale, alcune indicazioni pratiche meritano attenzione. I verbali di audit devono avere data certa — anche mediante la protocollazione interna, l'uso di strumenti digitali con marcatura temporale o la trasmissione a mezzo PEC all'OdV. Il piano annuale delle verifiche deve essere approvato formalmente dall'Organismo di Vigilanza e comunicato agli organi di vertice. Le risultanze degli audit devono fluire attraverso i canali informativi previsti dal Modello 231, integrando così la funzione di vigilanza con quella di aggiornamento del modello stesso. Con riferimento specifico alla NIS2, occorre considerare che l'Agenzia per la Cybersicurezza Nazionale ha già pubblicato — con determinazione del 24 aprile 2026 — il modello ufficiale per la categorizzazione delle attività e dei servizi dei soggetti NIS, definendo i criteri su cui si costruirà l'intero sistema di gestione del rischio cyber: le organizzazioni che non si sono ancora dotate di un piano di audit strutturato su questa base rischiano di trovarsi impreparate alle ispezioni dell'Autorità entro il 31 ottobre 2026, data di scadenza per l'implementazione delle misure di base.
Un profilo particolarmente trascurato riguarda la supply chain. La NIS2 impone la gestione del rischio della catena di fornitura; il Modello 231 richiede requisiti contrattuali minimi verso i fornitori; il GDPR esige che i responsabili del trattamento siano contrattualmente vincolati e periodicamente verificati. L'audit interno deve quindi estendersi — almeno per campione — ai fornitori critici, con specifici questionari di autovalutazione e, nei casi di maggiore rilevanza, con audit congiunti o di terza parte.
Quali sono gli errori più frequenti che neutralizzano l'efficacia di un audit? Il primo è la delega integrale all'esterno: un audit condotto esclusivamente da un consulente esterno, senza alcun coinvolgimento delle funzioni interne di controllo, rischia di essere percepito dal giudice come una mera copertura formale, non come espressione di un controllo organicamente integrato. Il secondo errore è la periodicità eccessivamente rarefatta: un solo audit annuale, su una realtà aziendale complessa, non è sufficiente a dimostrare la continuità d'azione richiesta dall'OdV. Il terzo è l'assenza di un sistema disciplinare effettivo: la Cassazione ha precisato più volte che un modello privo di un apparato sanzionatorio realmente applicato è un modello non idoneo, indipendentemente dalla sua struttura formale.
La questione, in definitiva, non è se fare l'audit: è come farlo, con quale frequenza, con quali strumenti di documentazione, e con quale capacità di incidere realmente sui comportamenti organizzativi. Il sistema integrato di compliance — 231, GDPR, NIS2, AI Act — è oggi il termometro della salute legale dell'impresa. L'audit interno ne misura la temperatura. Ignorarlo, o simularlo, non è una scelta neutrale: è una scelta che, al momento del procedimento, si trasforma in prova a carico.
Redazione - Staff Studio Legale MP
