Immaginate un imprenditore veronese, titolare di una società manifatturiera di medie dimensioni. Cinque anni fa ha adottato il Modello 231 su consiglio di un consulente: un documento di centosettanta pagine, ordinato negli scaffali della sede, mai letto dai dipendenti, mai aggiornato dopo il primo anno. L'Organismo di Vigilanza? Un commercialista di fiducia, convocato due volte l'anno, senza budget autonomo e senza accesso ai flussi informativi dell'azienda. Un giorno arriva un infortunio sul lavoro. Poi l'iscrizione nel registro degli indagati. E il modello, che avrebbe dovuto essere lo scudo, si rivela carta straccia.
Questo scenario non è un'ipotesi accademica: è il profilo ricorrente nei procedimenti a carico degli enti. La giurisprudenza più recente lo documenta con una precisione impietosa, e le riforme normative intervenute tra la seconda metà del 2025 e i primi mesi del 2026 hanno ulteriormente alzato la posta in gioco. Comprendere perché un MOG fallisce — ancor prima di chiedersi come aggiornarlo — è oggi la priorità strategica per ogni PMI.
La colpa di organizzazione non si presume: il punto che le PMI fraintendono
Il fondamento della responsabilità dell'ente ex D.Lgs. 231/2001 è la cosiddetta colpa di organizzazione: l'impresa risponde non per il fatto commesso dalla singola persona fisica, ma perché la propria struttura organizzativa non era adeguata a prevenire quel fatto. Questo principio, consolidato dalla giurisprudenza, ha conosciuto una significativa messa a punto nella pronuncia Cass. pen., Sez. IV, sentenza 28 gennaio 2026, n. 8397.
Con questa decisione, la Quarta Sezione Penale si è occupata della responsabilità di un ente in relazione a un infortunio sul lavoro occorso a un tirocinante. La Corte ha chiarito due principi di grandissima rilevanza pratica per le PMI. Sul versante del vantaggio dell'ente, ha precisato che nei reati colposi il vantaggio non richiede una precisa quantificazione economica: è sufficiente che sia concreto e collegato alla condotta organizzativa — anche un semplice risparmio sui costi di sicurezza o un incremento di produttività può integrarlo. Sul versante della colpa di organizzazione, la Corte ha però puntualizzato che la mera assenza o inadeguatezza del modello organizzativo non è di per sé sufficiente a fondare la responsabilità dell'ente: la colpa di organizzazione rimane un elemento autonomo del fatto tipico che l'accusa deve dimostrare specificamente, distinto dalla colpa delle persone fisiche che hanno commesso il reato.
Questo passaggio è cruciale e spesso mal compreso. Significa che un'impresa priva di MOG non è automaticamente condannata, ma si espone a una posizione processuale enormemente più debole. Al contrario, un'impresa con un MOG realmente attuato dispone di uno strumento difensivo concreto che il pubblico ministero deve vincere con prove specifiche.
La medesima logica è confermata dalla Cass. pen., Sez. IV, sentenza 1 settembre 2025, n. 30039, che ha ribadito come la colpa di organizzazione debba essere provata dall'accusa specificamente: non è sufficiente dimostrare che il reato presupposto è stato commesso da un soggetto apicale nell'interesse dell'ente. La pronuncia ha inoltre chiarito con nettezza che il Modello 231 e il Documento di Valutazione dei Rischi (DVR) sono strumenti distinti e non sovrapponibili: il DVR individua i rischi lavorativi e delinea le misure per ridurli, rivolgendosi ai lavoratori; il modello 231 governa il rischio di commissione di reati, si rivolge a chi è esposto al rischio di commetterli, e presuppone un Organismo di Vigilanza autonomo e un sistema disciplinare specifico. Confondere i due strumenti — errore frequente nelle PMI che pensano che il DVR «faccia anche da 231» — è, secondo la Cassazione, un errore di diritto che può condurre all'annullamento della sentenza, ma non certo a scagionare l'ente in sede processuale.
Il terzo elemento giurisprudenziale da tenere presente è la sentenza Cass. pen., Sez. V, n. 5923/2026, segnalata su Altalex, con cui la Suprema Corte è tornata sulle nozioni di interesse e vantaggio dell'ente di cui all'art. 5 D.Lgs. 231/2001. La Corte ha ribadito la distinzione: l'interesse esprime una valutazione teleologica e soggettiva del reato, apprezzabile ex ante; il vantaggio ha connotazione oggettiva ed è valutabile ex post. La pronuncia ha anche confermato che la responsabilità amministrativa dell'ente sopravvive all'eventuale prescrizione del reato a carico della persona fisica, in applicazione dell'art. 8 D.Lgs. 231/2001. Un dettaglio che molte PMI ignorano: anche se il procedimento penale nei confronti dell'amministratore si estingue per prescrizione, l'ente può comunque essere chiamato a rispondere dell'illecito amministrativo.
Gli errori strutturali del MOG nelle PMI: un catalogo pratico
L'esperienza nei procedimenti 231 e l'analisi della giurisprudenza più recente consentono di identificare i vizi più ricorrenti che rendono un modello privo di efficacia esimente. Non si tratta di mancanze formali, ma di carenze strutturali che il giudice smaschera con relativa facilità.
Il primo vizio è il modello standard o copiato. La giurisprudenza ha più volte ribadito che i modelli standardizzati, applicati senza adattamento alla realtà concreta dell'impresa, sono privi di efficacia esimente. Un'analisi dei rischi generica, non tarata sui processi effettivi dell'azienda, non convince nessun tribunale. Il rischio deve essere mappato in modo specifico, calato sulle aree sensibili dell'ente, aggiornato ogni volta che cambia l'organizzazione o il catalogo dei reati-presupposto.
E su quest'ultimo punto il legislatore ha agito con inusitata intensità: tra luglio 2025 e gennaio 2026, il catalogo dei reati presupposto ha subito almeno due interventi rilevanti. La L. 6 giugno 2025, n. 82 ha introdotto il nuovo art. 25-undevicies D.Lgs. 231/2001, dedicato ai delitti contro gli animali, e ha modificato alcune fattispecie ambientali già contenute nell'art. 25-undecies. Il D.Lgs. 30 dicembre 2025, n. 211, in vigore dal 24 gennaio 2026 e adottato in attuazione della Direttiva UE 2024/1226, ha invece introdotto il nuovo art. 25-octies.2, relativo alla violazione delle misure restrittive dell'Unione Europea: una novità che per la prima volta coinvolge direttamente le PMI inserite in filiere internazionali, quelle che operano con controparti in Paesi soggetti a embargo, gli operatori logistici, gli intermediari finanziari e chiunque gestisca flussi economici con l'estero. Per queste fattispecie, il sistema sanzionatorio rompe con la tradizione delle quote fisse: le sanzioni pecuniarie possono raggiungere dall'1 al 5% del fatturato globale annuo dell'ente, con massimali alternativi fino a 40 milioni di euro. Un modello adottato prima del 24 gennaio 2026 che non sia stato aggiornato per includere questi nuovi reati-presupposto non produce più alcuna esimente per queste fattispecie: è un modello scoperto.
Il secondo vizio ricorrente riguarda l'Organismo di Vigilanza. La giurisprudenza ha censito con puntualità le patologie più diffuse. L'OdV di facciata — nominato tra consulenti storici dell'azienda, senza budget autonomo, senza accesso strutturato ai flussi informativi, con riunioni puramente formali — non supera il vaglio processuale. Parallelamente, l'OdV ipercoinvolto nella gestione — che approva decisioni aziendali, redige o aggiorna il modello, interviene nelle scelte operative — compromette la propria indipendenza e perde efficacia. La giurisprudenza di merito ha segnalato una tendenza a preferire organismi in composizione collegiale rispetto a quelli monocratici, soprattutto quando la complessità dell'ente o la situazione di rischio concreta lo richiedano: un OdV monocratico in un'azienda di medie dimensioni con esposizione a rischi significativi può essere ritenuto strutturalmente inadeguato. Il compito dell'OdV non è gestire l'azienda, ma sorvegliare il funzionamento e l'osservanza del modello, segnalare le criticità e promuoverne l'aggiornamento. Ogni verbale redatto, ogni accesso ispettivo documentato, ogni flusso informativo ricevuto è materiale probatorio: la tracciabilità dell'attività dell'OdV è la prova, in sede processuale, che il modello non era soltanto formalmente adottato.
Il terzo vizio è l'assenza o la superficialità del sistema disciplinare. Un modello senza un apparato sanzionatorio interno credibile e concretamente applicato è privo di capacità dissuasiva. Il sistema disciplinare deve essere calibrato sui diversi livelli gerarchici — dipendenti, dirigenti, collaboratori esterni — e deve prevedere sanzioni proporzionate. Non può essere un elenco di principi: deve essere un meccanismo operativo, integrato nel contratto collettivo o nei contratti individuali, azionabile in concreto.
Il quarto vizio è l'assenza di formazione documentata. Il Modello deve essere comunicato, spiegato, compreso. L'impresa che non riesce a dimostrare di aver erogato formazione ai propri dipendenti sulle procedure del MOG — con registri, firme, date, contenuti — si trova in una posizione di debolezza processuale analoga a quella di chi non ha alcun modello.
Sul piano operativo, la sequenza corretta per un aggiornamento efficace del MOG prevede: una nuova mappatura dei rischi che includa i reati-presupposto introdotti nel 2025-2026; la revisione delle procedure operative sui nuovi ambiti di rischio; la verifica della composizione e dei poteri effettivi dell'OdV; l'aggiornamento delle procedure di whistleblowing in coordinamento con l'OdV, come richiesto dall'art. 7 D.Lgs. 211/2025; un piano di formazione aziendale con documentazione delle attività svolte. Tutto questo non è un adempimento una tantum: il meccanismo PDCA (Plan-Do-Check-Act) applicato alla compliance 231 impone un ciclo continuo di verifica e aggiornamento, perché un modello che non viene adattato all'evoluzione normativa e organizzativa perde progressivamente la propria efficacia esimente.
Summum ius summa iniuria: il diritto portato all'estremo rigore formale si trasforma nella sua stessa negazione. Un modello 231 perfetto nella forma ma vuoto nella sostanza incarna questo paradosso con precisione. Il giurista e filosofo del diritto Luigi Ferrajoli ha efficacemente distinto tra la dimensione formale e quella sostanziale della legalità: il rispetto delle forme senza il rispetto dei contenuti non produce legittimità, ma simulacro di essa. La compliance 231 segue la stessa logica: la forma del documento non vale nulla senza la sostanza organizzativa che lo sorregge.
Il quadro che emerge è quello di una normativa che premia le imprese che investono davvero nella cultura della prevenzione e penalizza duramente chi confonde l'adempimento con la tutela. Per una PMI veronese — come per qualsiasi ente che operi nel mercato italiano — la domanda non è più se adottare un modello, ma se il modello adottato sia davvero in grado di reggere sotto il peso di un'indagine penale. È una domanda tecnica e strategica insieme, che merita risposte concrete, non documenti in uno scaffale.
Redazione - Staff Studio Legale MP
