Una società di medie dimensioni subisce un data breach. L'Organismo di Vigilanza accerta che il responsabile IT aveva seguito le istruzioni del proprio superiore, convinto che la prassi fosse tollerata. Il codice etico vigente vietava la corruzione e la concorrenza sleale, ma non diceva nulla sul trattamento dei dati personali né sull'uso dei sistemi informatici. Nessuno aveva aggiornato quel documento da quattro anni. Il risultato: procedimento ex D.Lgs. 231/2001, sanzione GDPR e, con ogni probabilità, contestazione NIS2. Tre fronti aperti, un unico punto d'origine.
Il codice etico aggiornato come documento di sintesi normativa
Il codice etico aziendale aggiornamento è oggi un'operazione che va ben oltre la revisione dei valori fondanti: è la ricognizione sistematica di tutti gli obblighi di condotta imposti da un quadro regolatorio che, nel biennio 2025-2026, si è trasformato in modo strutturale. Comprendere come questi livelli si sovrappongono è il primo passo per non trattarli come silos separati.
Sul versante della responsabilità degli enti, il D.Lgs. 30 dicembre 2025, n. 211 ha introdotto nel D.Lgs. 231/2001 il nuovo art. 25-octies.2, ampliando il catalogo dei reati presupposto con le condotte di violazione delle misure restrittive dell'Unione Europea. Il codice etico deve ora contenere un divieto esplicito di operare con soggetti, beni e transazioni colpiti da sanzioni UE, accompagnato da una procedura interna di sanctions due diligence nelle fasi precontrattuali. Non è sufficiente rimandare genericamente al rispetto delle leggi: la norma richiede un presidio documentato.
La stessa logica vale per il versante digitale. Il D.Lgs. 4 settembre 2024, n. 138, che recepisce la Direttiva NIS2, introduce all'art. 23 una responsabilità diretta degli organi di amministrazione sulla gestione dei rischi cyber, con obbligo di approvare formalmente le politiche di sicurezza informatica. Dal 15 gennaio 2026 è operativo il regime pieno di notifica degli incidenti significativi al CSIRT Italia, e da ottobre 2026 l'Agenzia per la Cybersicurezza Nazionale potrà avviare le attività ispettive. Tutto ciò deve riflettersi nel codice etico non come rinvio esterno, ma come standard di condotta individuale: il dipendente deve sapere cosa fare — e soprattutto cosa non fare — di fronte a un evento di sicurezza, ben prima che intervenga il responsabile IT.
Sul fronte dell'AI Act, dal 2 febbraio 2025 sono in vigore i divieti per le pratiche di intelligenza artificiale a rischio inaccettabile, mentre dall'agosto 2025 sono scattati gli obblighi per i modelli di IA di portata generale. Un'azienda che utilizza strumenti di IA nella selezione del personale, nel credit scoring o nella profilazione dei clienti deve includere nel codice etico una clausola sull'uso etico e trasparente dell'intelligenza artificiale, con divieto di sistemi discriminatori e obbligo di supervisione umana sui processi decisionali automatizzati. L'assenza di questa clausola non è solo una lacuna etica: è un difetto di governance documentale.
Cosa dice la giurisprudenza recente: la sostanza batte la forma
La Corte di Cassazione ha prodotto, nel primo semestre del 2026, un corpus di pronunce che ridefinisce il rapporto tra documento scritto ed efficacia esimente. Il messaggio è univoco: un codice etico esistente ma non attuato è peggio di nessun codice etico, perché crea l'apparenza della conformità senza la sua sostanza.
La Cass. pen., Sez. IV, sentenza 28 gennaio 2026, n. 8397 ha ribadito con chiarezza che la responsabilità dell'ente ex D.Lgs. 231/2001 richiede l'accertamento positivo della colpa di organizzazione: la mera assenza o inadeguatezza del modello non è ex se sufficiente a fondare la responsabilità, ma costituisce un elemento probatorio rilevante. In positivo, la Corte ha statuito che il vantaggio dell'ente — uno dei presupposti dell'illecito — può consistere anche nel risparmio di costi e tempi derivante dalla violazione delle norme, senza necessità di una precisa quantificazione economica. Ciò significa che ogni risparmio organizzativo ottenuto eludendo le procedure del codice etico può configurare il requisito del vantaggio.
Poche settimane dopo, la Cass. pen., sentenza n. 5923/2026 è tornata sulle nozioni di interesse e vantaggio ex art. 5 D.Lgs. 231/2001, ribadendo che l'interesse esprime una valutazione teleologica apprezzabile ex ante, mentre il vantaggio ha connotazione oggettiva ed è valutabile ex post. Questa distinzione è cruciale per il codice etico: le clausole sui conflitti di interesse devono intercettare le condotte già nella fase intenzionale, prima che si producano effetti patrimoniali. Un codice etico privo di una disciplina puntuale sui conflitti di interesse e sulle operazioni con parti correlate lascia scoperto proprio il segmento più esposto.
Sul piano della costruzione del modello, merita attenzione la sentenza della Cass. pen., Sez. IV, 1 settembre 2025, n. 30039, che ha assunto valore guida nell'interpretare i modelli organizzativi nel nuovo contesto normativo. La pronuncia ha chiarito che il codice etico e il sistema disciplinare sono componenti tipiche e necessarie del modello 231, non accessorie: per essere considerato efficace, un modello organizzativo deve includere il codice etico, un sistema disciplinare e un organismo di vigilanza autonomo dotato di poteri effettivi. La certificazione secondo standard internazionali crea una presunzione relativa di adeguatezza, ma questa decade immediatamente se il codice non viene applicato nella pratica quotidiana.
Il brocardo «vigilantibus iura subveniunt» coglie con precisione l'impostazione di questa giurisprudenza: il diritto protegge chi veglia, non chi lascia il codice etico in un cassetto. L'Organismo di Vigilanza che non verifica periodicamente l'attuazione concreta del codice, attraverso audit di conformità e campionamenti sui comportamenti effettivi, priva l'ente della propria principale linea difensiva.
Come ha scritto Luigi Ferrajoli, il diritto è un sistema di garanzie che vale solo se effettivo: un documento privo di applicazione non è una garanzia, è una promessa non mantenuta. Questa intuizione, sviluppata nel contesto del garantismo penale, si trasferisce integralmente al diritto di impresa: il codice etico che non produce conseguenze disciplinari per chi lo viola non è un presidio, è una finzione.
Gli errori più frequenti e come evitarli
L'aggiornamento del codice etico fallisce quasi sempre per le stesse ragioni. La prima è strutturale: il codice viene redatto come documento a sé stante, senza coordinamento con il registro dei trattamenti GDPR, con la politica di sicurezza NIS2 e con le procedure del modello 231. Il risultato è che le stesse situazioni ricevono trattamento diverso nei diversi documenti, con il rischio che in sede di ispezione o di procedimento penale si evidenzino contraddizioni che l'accusa utilizzerà per dimostrare l'incoerenza del sistema.
Il secondo errore riguarda il perimetro soggettivo. Il codice etico deve applicarsi non solo ai dipendenti e agli organi sociali, ma anche ai fornitori, ai subappaltatori e ai consulenti esterni. Il D.Lgs. 138/2024 (NIS2) estende esplicitamente gli obblighi di sicurezza alla catena di fornitura, e la giurisprudenza 231 ha consolidato l'orientamento secondo cui il modello deve presidiare anche i rischi derivanti da terzi che operano nell'interesse dell'ente. Le clausole contrattuali di conformità al codice etico non bastano: occorrono meccanismi di verifica e conseguenze operative in caso di violazione.
Il terzo errore è l'assenza di aggiornamento periodico formalizzato. Non è sufficiente che il Consiglio di Amministrazione approvi il codice una volta: occorre che l'aggiornamento sia deliberato, motivato e tracciato ogni volta che interviene una modifica normativa rilevante. L'introduzione del D.Lgs. 211/2025 sulle sanzioni UE, l'operatività della NIS2 e l'entrata in vigore progressiva dell'AI Act sono tre eventi che, tra il 2025 e il 2026, impongono una revisione documentata.
Il quarto errore è la formazione insufficiente. Un codice etico aggiornato che non viene comunicato e spiegato al personale non produce cultura dell'integrità: produce soltanto un documento aggiuntivo nella cartella compliance. La formazione sul codice etico deve essere differenziata per ruolo — il dipendente operativo, il responsabile di funzione, il membro dell'OdV e il dirigente hanno profili di rischio diversi e necessitano di contenuti formativi specifici.
Il nodo centrale, alla fine, non è tecnico ma strategico. Il codice etico aggiornato non è il frutto di un lavoro di copy-paste normativo: è il risultato di una scelta dell'ente su quale tipo di organizzazione vuole essere. La convergenza tra 231, GDPR, NIS2 e AI Act rende oggi questa scelta non più rinviabile, perché ogni regolatore — il giudice penale, il Garante Privacy, l'ACN, l'autorità di vigilanza AI — guarderà al codice etico come alla prima evidenza della serietà del sistema di compliance aziendale. Un documento coerente, aggiornato e concretamente applicato è, in questa fase, la forma più efficace di prevenzione del rischio di impresa.
Redazione - Staff Studio Legale MP
