Il cuore del sistema: la colpa di organizzazione non si presume
Il principio fondamentale che governa il D.Lgs. 8 giugno 2001 n. 231 è di straordinaria semplicità enunciativa e di notevole complessità applicativa: un ente può essere ritenuto responsabile di un illecito amministrativo dipendente da reato solo se in esso è riscontrabile una colpa di organizzazione, cioè la mancata predisposizione di un sistema di cautele organizzative e gestionali idoneo a prevenire la commissione del reato che si è effettivamente verificato. Non basta che un soggetto apicale o un dipendente abbia commesso un illecito nell'interesse dell'ente: occorre che quell'illecito sia stato reso possibile da un deficit strutturale dell'organizzazione aziendale.
Come ricordava già Cicerone, ubi lex non distinguit, nec nos distinguere debemus: ma in questo caso la legge distingue eccome, e lo fa con precisione chirurgica all'art. 6 del Decreto, stabilendo che l'ente non risponde se ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello organizzativo idoneo a prevenire reati della specie di quello realizzato. La giurisprudenza ha tradotto questa disposizione in un sistema di regole processuali e sostanziali di grande raffinatezza.
La Suprema Corte ha ribadito con forza, nel solco tracciato dalla storica sentenza Impregilo bis (Cass. pen., Sez. VI, 11 novembre 2021, n. 23401, Pres. Fidelbo, Rel. Rosati), che la mancata adozione o l'inefficace attuazione del Modello di Organizzazione, Gestione e Controllo non integra di per sé il fatto tipico dell'illecito dell'ente, ma costituisce un elemento indiziario della colpa di organizzazione, che l'accusa è comunque tenuta a provare in modo specifico. La colpa organizzativa, in altri termini, non si presume e non deriva automaticamente dalla commissione del reato presupposto.
Questo principio è stato ulteriormente ribadito dalla Cass. pen., Sez. IV, 10 febbraio 2026, n. 5357, che si è pronunciata in materia di responsabilità dell'ente per un infortunio sul lavoro aggravato ai sensi dell'art. 590, comma 3, c.p. La pronuncia ha chiarito con nitidezza i criteri di imputazione fondati sull'interesse o sul vantaggio di cui all'art. 5 del Decreto, ribadendo la loro alternatività: non è necessario che entrambi concorrano ai fini dell'affermazione di responsabilità. È sufficiente che il reato sia stato commesso nell'interesse dell'ente o che abbia procurato a quest'ultimo un vantaggio, anche solo potenziale. La Corte ha precisato inoltre che, in caso di pluralità di imputati per il medesimo fatto, non occorre accertare per ciascuno di essi la connessione con l'interesse o vantaggio dell'ente: è sufficiente che tale relazione sussista con riguardo ad almeno uno degli autori del reato presupposto.
Di particolare rilievo è il chiarimento relativo al vantaggio dell'ente: esso può consistere anche nel risparmio di spesa o di tempo derivante dalla violazione delle norme prevenzionistiche, senza necessità di una sua puntuale quantificazione economica. La disattivazione di un meccanismo di sicurezza per evitare l'interruzione della produzione, il mancato investimento in dispositivi di protezione, la rinuncia a formare i lavoratori per contenere i costi: queste scelte operative, quotidianamente adottate in molte PMI con la migliore buona fede, costituiscono — nella prospettiva del giudice — indici di interesse e vantaggio dell'ente idonei a fondare l'illecito 231.
Il Modello Organizzativo: tra adozione formale e attuazione concreta
Uno degli equivoci più pericolosi che circola nel mondo delle imprese è quello di ritenere sufficiente la mera adozione documentale del Modello Organizzativo. I giudici hanno da tempo smontato questa convinzione, ma le pronunce più recenti lo hanno fatto con una chiarezza che non lascia margini di ambiguità.
Come insegnava Franz Kafka nel suo Il Processo, il rischio più grande per chi si trova di fronte alla macchina giudiziaria è affidarsi a formalismi svuotati di sostanza. Nello stesso spirito, la Corte di Cassazione ha ribadito con la sentenza Cass. pen., Sez. IV, 28 gennaio 2026, n. 8397 — resa nell'ambito di una vicenda relativa a un infortunio sul lavoro con violazione dell'art. 25-septies D.Lgs. 231/2001 — che la colpa di organizzazione dev'essere intesa in senso normativo, come inottemperanza a una specifica regola cautelare rimproverabile all'ente, distinta e autonoma rispetto alla colpa delle persone fisiche autrici del reato presupposto. La stessa pronuncia ha chiarito che, quando concorrono entrambe le condizioni previste dall'art. 12, comma 2 del Decreto (risarcimento integrale del danno e adozione di un modello organizzativo idoneo), la riduzione della sanzione pecuniaria deve obbligatoriamente avvenire nella misura prevista dal comma 3 — da metà a due terzi — e non in quella inferiore: una regola chiara, spesso violata dai giudici di merito, che la Cassazione ha sanzionato.
Sul piano dell'efficacia esimente, è di fondamentale importanza la Cass. pen., Sez. IV, 1 settembre 2025, n. 30039, che ha esteso specificamente ai Modelli conformi allo standard internazionale UNI ISO 45001:2018 la presunzione relativa di adeguatezza: la certificazione crea un parametro qualificato con cui il giudice è tenuto a confrontarsi in modo puntuale, e, laddove ritenga comunque sussistente una colpa di organizzazione, è tenuto a motivare analiticamente le ragioni per cui, nonostante la conformità agli standard, il modello risulti in concreto inadeguato o inefficace. La pronuncia precisa tuttavia con fermezza che la certificazione non è sufficiente da sola: il modello deve essere efficacemente attuato nella pratica quotidiana, altrimenti perde ogni valenza esimente.
Sul versante del Pubblico Ministero, è intervenuta la Cass. pen., Sez. VI, n. 143/2026, che ha compiuto un passo decisivo nella ricostruzione del procedimento 231: quando il rischio di reiterazione del reato è di natura aziendale, la risposta cautelare deve essere aziendale e non personale. La Corte ha affermato un principio di notevole forza sistematica: quando si procede per reati che costituiscono presupposto della responsabilità degli enti, il Pubblico Ministero ha l'obbligo di attivarsi anche nei confronti dell'ente. Non si tratta di una scelta discrezionale. Colpire il solo prestanome, lasciando intatta l'organizzazione che ha prodotto il reato, è una misura inefficace e sproporzionata. Il Modello Organizzativo 231, viceversa, incide direttamente sulla concessione o revoca delle misure cautelari interdittive: la sua adozione tempestiva e la sua concreta implementazione costituiscono argomenti difensivi di primaria importanza già nella fase delle indagini preliminari.
Un ulteriore e recentissimo sviluppo normativo riguarda l'espansione del catalogo dei reati presupposto. Con il Decreto Legislativo 30 dicembre 2025, n. 211 — entrato in vigore il 24 gennaio 2026 — l'Italia ha recepito la direttiva europea 2024/1226/UE, introducendo nell'art. 25-octies.2 del Decreto i reati connessi alla violazione delle misure restrittive dell'Unione europea. Questa riforma, che ha profondamente aggiornato il testo consolidato del D.Lgs. 231/2001, comporta per le imprese — incluse le PMI con rapporti commerciali internazionali — l'obbligo di aggiornare immediatamente la mappatura dei rischi e i protocolli del proprio Modello Organizzativo. Un Modello redatto sul catalogo previgente non produce più effetto esimente per le nuove fattispecie: la lacuna di copertura equivale, dal punto di vista processuale, a un deficit organizzativo.
La Cassazione Penale, Sez. 4, 25 febbraio 2026, n. 7563 ha poi confermato la responsabilità dell'ente per l'illecito amministrativo derivante da reato di cui all'art. 25-septies del Decreto, in un contesto di infortuni sul lavoro, ribadendo che la concreta applicazione delle regole di sicurezza — e non la loro sola formalizzazione documentale — costituisce il discrimine tra colpa organizzativa e assenza di essa.
Le conseguenze operative di questo orientamento giurisprudenziale sono nette: il Modello deve essere un documento vivente, aggiornato periodicamente, presidiato da un Organismo di Vigilanza che non si limiti a verifiche formali ma monitori concretamente i processi aziendali. Ogni verbale dell'OdV, ogni accesso ispettivo, ogni flusso informativo gestito, ogni attività formativa erogata è un tassello della difesa dell'ente in caso di procedimento 231. Al contempo, il Tavolo tecnico istituito presso il Ministero della Giustizia, presieduto dal Presidente Fidelbo, ha concluso a dicembre 2025 i propri lavori consegnando al Ministero la proposta di riforma organica del Decreto: un cantiere normativo aperto che le imprese devono tenere sotto osservazione, poiché i mutamenti prospettati incideranno sulla struttura stessa della responsabilità degli enti.
Per le imprese del Nord-Est — che operano spesso in filiere manifatturiere, edili, logistiche e agroalimentari, settori ad alta intensità di rischio 231 — il quadro appena delineato richiede un approccio non burocratico ma strategico alla compliance. Un Modello 231 non è un documento da produrre in caso di ispezione: è un sistema di presidio del rischio penale d'impresa che, se ben costruito e realmente applicato, può fare la differenza tra la condanna e l'assoluzione dell'ente.
Redazione - Staff Studio Legale MP
