Vigilare per prevenire: ogni omissione organizzativa ha oggi un prezzo che il bilancio aziendale potrebbe non reggere.
Il primo trimestre del nuovo anno ha consegnato alle imprese italiane un panorama della compliance 231 radicalmente mutato. Il recepimento della normativa europea con il decreto legislativo 211 del 30 dicembre 2025, in vigore a partire dal 24 gennaio 2026, segna una svolta perché l'Unione europea ha imposto nuove regole che l'Italia ha tradotto in diritto interno. Ciò che era stato per anni un catalogo di reati presupposto relativamente stabile ha subito un'accelerazione normativa inedita: l'Organismo di Vigilanza che non abbia già aggiornato il Modello si trova oggi a operare su un perimetro di rischio scoperto.
Il D.Lgs. 211/2025 e il nuovo art. 25-octies.2: cosa cambia davvero per il MOG
Le modifiche al decreto 231 sono state introdotte dal Decreto Legislativo n. 211 del 30 dicembre 2025 e consistono nell'introduzione del nuovo articolo 25-octies.2, che ha ampliato il novero dei reati presupposto includendo i "Reati in materia di violazione di misure restrittive dell'Unione Europea", definendo anche una modalità di calcolo delle sanzioni pecuniarie basata su percentuali del fatturato anziché su quote.
Il legislatore ha costruito un sistema sanzionatorio del tutto nuovo. Il nuovo art. 25-octies.2 del D.Lgs. 231/2001 prevede sanzioni pecuniarie calcolate in percentuale sul fatturato globale (fino al 5%), allontanandosi dal sistema basato sulle "quote"; in alternativa, sanzioni fino a 40 milioni di euro quando il fatturato non è determinabile; sanzioni interdittive fino a sei anni nei casi più gravi o in caso di reiterazione della condotta. La scelta di ancorare le sanzioni al fatturato globale — modalità già consolidata nell'ambito del diritto europeo della concorrenza — avvicina il sistema 231 italiano ai modelli sanzionatori europei, con l'obiettivo di rafforzare l'effetto deterrente del corpo normativo.
Sul piano delle fattispecie incriminatrici, il decreto introduce nel codice penale gli articoli da 275-bis a 275-decies c.p., delineando nuove fattispecie delittuose, tra cui la violazione delle misure restrittive dell'Unione europea (art. 275-bis c.p.) e la violazione degli obblighi informativi imposti da una misura restrittiva UE. È importante notare che è prevista anche la violazione colposa di misure restrittive dell'Unione europea, nei casi in cui taluno dei fatti sia commesso per colpa grave e abbia ad oggetto prodotti inclusi nell'elenco comune delle attrezzature militari UE o prodotti a duplice uso.
Il profilo operativo dell'aggiornamento del MOG è immediato. L'ampliamento del perimetro dei reati presupposto comporta una conseguenza immediata: i Modelli di Organizzazione, Gestione e Controllo devono essere riesaminati. Non si tratta semplicemente di aggiornare un elenco. L'inserimento di nuove fattispecie richiede una revisione della mappatura dei processi aziendali esposti al rischio di violazione delle sanzioni UE, l'analisi delle controparti commerciali e delle filiere di approvvigionamento, l'eventuale introduzione di protocolli specifici su export control, due diligence e screening delle controparti.
Il rischio riguarda in modo trasversale settori molto diversi. Il rischio 231 viene così ad ampliarsi sensibilmente per tutte le imprese operanti sui mercati esteri, posto che la relativa responsabilità attecchisce ora con maggiore pregnanza sulle operazioni commerciali internazionali: il MOG dovrà prevedere misure adeguate in punto di processi import/export, vendite estere ed operazioni transfrontaliere.
Un profilo spesso sottovalutato dalle PMI è che, contrariamente a quanto si potrebbe pensare, il rischio non riguarda solo le grandi multinazionali. Questa novità normativa rappresenta un passaggio significativo per le PMI, che sono chiamate a verificare l'adeguatezza dei propri Modelli 231 e dei sistemi di controllo interno. L'estensione dei reati comporta un potenziale incremento del rischio di responsabilità per le imprese che non dispongono di presìdi organizzativi adeguati e aggiornati.
Il decreto ha inciso anche sulla disciplina del whistleblowing, creando un obbligo di coordinamento con l'Organismo di Vigilanza. L'articolo 7 del D.Lgs. 211/2025 estende espressamente l'ambito applicativo del D.Lgs. 10 marzo 2023, n. 24 alle segnalazioni aventi ad oggetto violazioni delle misure restrittive dell'Unione europea. Ciò comporta la necessità di aggiornare le procedure di whistleblowing, garantendo la tutela dei segnalanti in conformità agli articoli 3 e 4 del D.Lgs. 24/2023, nonché il coordinamento con l'OdV 231. Le sanzioni pecuniarie possono arrivare fino al 5% del fatturato globale o a un massimo di 40 milioni di euro, con possibili sanzioni interdittive.
Come ha scritto Franz Kafka in Il Processo: "Qualcuno doveva aver calunniato Josef K., perché, senza che egli avesse fatto alcunché di male, una mattina fu arrestato." Il parallelo è impietoso ma pertinente: l'impresa che non aggiorna il proprio MOG non necessariamente ha commesso un illecito, ma si trova esposta a una responsabilità strutturata che può travolgerla nel momento in cui un singolo soggetto apicale o sottoposto commetta un reato presupposto nell'interesse dell'ente. Vigilantibus non dormientibus iura succurrunt: il diritto assiste chi vigila, non chi dorme.
La giurisprudenza recente: tre pronunce decisive per chi aggiorna il MOG
Il 2026 ha già prodotto sentenze di assoluta rilevanza sistematica, che le imprese devono conoscere prima di procedere all'aggiornamento del proprio Modello.
La prima e più rilevante è la Cass. pen., Sez. IV, sentenza 28 gennaio 2026, n. 8397. Con questa pronuncia, la Quarta Sezione Penale della Corte di Cassazione si è espressa sulla responsabilità amministrativa dell'ente ex D.Lgs. 231/2001 in relazione a un infortunio sul lavoro occorso a un tirocinante. La pronuncia fissa due principi di grandissima portata pratica. Sul piano del vantaggio dell'ente, la Cassazione chiarisce che, nei reati colposi sul lavoro, il vantaggio dell'ente ex D.Lgs. 231/2001 non richiede una precisa quantificazione economica, ma deve essere concreto e collegato alla condotta organizzativa. Sul piano della colpa di organizzazione, la Corte puntualizza che la mera assenza o inadeguatezza del modello organizzativo non è di per sé sufficiente a fondare la responsabilità dell'ente: occorre dimostrare la colpa di organizzazione come elemento costitutivo autonomo del fatto tipico, distinto dalla colpa degli autori del reato. La stessa sentenza chiarisce poi le conseguenze sanzionatorie: la Corte di Cassazione ha stabilito che, in presenza congiunta di risarcimento integrale del danno e adozione di un modello organizzativo idoneo, la riduzione della sanzione pecuniaria ex art. 12 D.Lgs. 231/2001 deve essere applicata nella misura da metà a due terzi e non nella misura inferiore, e che il vantaggio dell'ente può consistere anche nel risparmio di costi e tempi, senza necessità di una precisa quantificazione economica.
La seconda pronuncia da segnalare è la Cass. pen., Sez. IV, sentenza 1 settembre 2025, n. 30039, che ha assunto un valore guida nell'interpretazione dei MOG anche nel nuovo contesto normativo del 2026. La sentenza ribadisce con nitidezza la distinzione tra il modello organizzativo 231 e i documenti antinfortunistici, in particolare il DVR. Sono strumenti distinti e non sovrapponibili: il DVR individua i rischi lavorativi e determina le misure atte a eliminarli o ridurli, rivolgendosi ai lavoratori; il modello 231 è strumento di governo del rischio di commissione di reati, si rivolge a chi è esposto al rischio di commetterli, e presuppone la nomina di un Organismo di Vigilanza e un sistema disciplinare specifico. Confondere i due strumenti — come talvolta fanno i giudici di merito — è un errore di diritto che giustifica l'annullamento della sentenza.
La terza pronuncia di sicuro interesse è quella segnalata nell'ambito della Rassegna di Giurisprudenza n. 1/2026 di Assonime, che consolida l'orientamento giurisprudenziale di merito in materia di filiera e MOG. Le recenti pronunce in materia di responsabilità amministrativa degli enti consolidano e rafforzano l'orientamento giurisprudenziale che individua nella colpa di organizzazione il fondamento della responsabilità da reato dell'impresa, attribuendo all'efficace attuazione del modello organizzativo un ruolo centrale ai fini dell'esonero da responsabilità dell'ente. È affrontato altresì il tema del ruolo del modello organizzativo quale strumento di garanzia della trasparenza dei processi e della legalità non solo all'interno dell'impresa, ma anche lungo l'intera filiera produttiva.
Da queste tre pronunce emerge un orientamento netto: il MOG è un documento vivo, non una polizza assicurativa da rinnovare automaticamente. Il riesame e l'eventuale modifica devono essere adottati quando siano scoperte violazioni significative o in occasione di mutamenti nell'organizzazione e nel progresso scientifico e tecnologico. È il meccanismo del PDCA (Plan-Do-Check-Act) applicato alla compliance 231: un modello che non viene aggiornato diventa progressivamente inadeguato e perde la propria efficacia esimente.
Sul ruolo dell'OdV nel contesto aggiornato, la giurisprudenza è altrettanto chiara. L'Organismo di Vigilanza assume un ruolo ancora più centrale: deve verificare che l'azienda integri le nuove fattispecie nel modello, pretendendo controlli più stringenti. L'OdV non può limitarsi a verifiche formali, ma deve monitorare concretamente i processi aziendali. L'Organismo di Vigilanza deve avere accesso a flussi informativi strutturati e tempestivi, al fine di esercitare un controllo effettivo sulle operazioni a rischio sanzioni UE.
Quanto alle conseguenze del mancato adeguamento, molti Modelli 231 oggi non coprono i nuovi reati presupposto, poiché le aziende li avevano redatti su un catalogo più ristretto. Le imprese devono aggiornare la mappatura dei rischi, le procedure e i flussi informativi, oltre a rafforzare la formazione. Altrimenti, il modello non protegge più l'ente.
Il quadro normativo e giurisprudenziale che emerge da questi mesi impone alle imprese una scelta strategica, non solo giuridica. Nel 2026 il modello è sempre più interpretato come uno strumento di governance, non solo difensivo ma strategico, capace di rafforzare l'organizzazione interna e ridurre l'esposizione al rischio legale. La nuova disciplina unionale esige che l'ente dimostri di aver implementato presìdi dinamici, capaci di stanare tentativi di triangolazione verso mercati geopoliticamente instabili.
L'impresa che oggi non ha ancora avviato la revisione del proprio Modello Organizzativo non può più contare sulla linearità del sistema previgente: si trova invece di fronte a un rischio reale, misurabile in percentuale del proprio fatturato e suscettibile di produrre sanzioni interdittive capaci di paralizzare l'attività. Adeguare il MOG non è più un atto di prudenza: è una necessità operativa che non ammette dilazioni.
Redazione - Staff Studio Legale MP
