La Legge 147/2025 ha riscritto in profondità l'art. 25-undecies del D.Lgs. 231/2001, ampliando il catalogo dei reati ambientali presupposto e inasprendo le sanzioni per gli enti. In parallelo, la Corte di Cassazione ha emesso pronunce decisive sul tema della colpa di organizzazione, dell'efficacia esimente del Modello Organizzativo e del requisito dell'interesse o vantaggio nei reati ambientali. Il risultato è un quadro normativo e giurisprudenziale che non lascia margini di approssimazione: avere un MOG 231 "sulla carta" non protegge più. Ecco cosa sta cambiando e cosa devono fare concretamente le imprese per non restare esposte.
"Qualcuno doveva aver calunniato Josef K., poiché senza aver fatto nulla di male, una mattina fu arrestato." — Franz Kafka, Il Processo
Questa celebre apertura di Kafka, che descrive la condizione di chi si trova a rispondere senza aver compreso pienamente la portata del proprio inadempimento, fotografa con precisione inquietante la posizione in cui si trovano oggi molte imprese italiane di fronte al sistema della responsabilità amministrativa da reato. Non perché siano malintenzionate, ma perché hanno sottovalutato la profondità dell'obbligo organizzativo che la legge impone. Il diritto penale d'impresa non perdona l'ingenuità.
La riforma dell'art. 25-undecies: un catalogo che si allunga
Il Decreto Legge 116 dell'8 agosto 2025, convertito con modificazioni nella Legge 147 del 3 ottobre 2025 — noto come "Decreto Terra dei Fuochi" — ha introdotto un'espansione significativa del perimetro dei reati ambientali presupposto ai sensi del D.Lgs. 231/2001. L'art. 25-undecies, già oggetto di precedenti interventi legislativi, è stato ulteriormente modificato per includere nuove fattispecie: l'art. 452-septies c.p. (impedimento del controllo), introdotto proprio dal citato decreto; l'art. 452-terdecies c.p. (omessa bonifica), anch'esso di nuova introduzione; la versione modificata dell'art. 452-sexies c.p. relativa al traffico e abbandono di materiale ad alta radioattività; le nuove norme in materia di abbandono di rifiuti non pericolosi in casi particolari (art. 255-bis D.Lgs. 152/2006) e di abbandono di rifiuti pericolosi (art. 255-ter D.Lgs. 152/2006); nonché le modifiche all'art. 256 del Testo Unico Ambientale in tema di attività di gestione dei rifiuti non autorizzata, norma che rimane il perno delle contestazioni 231 in campo ambientale.
Il denominatore comune di queste modifiche è il rafforzamento dell'apparato repressivo nei confronti degli enti che operano in settori con rilevante impatto sull'ambiente: trasporti, logistica, costruzioni, agricoltura industriale, trattamento rifiuti, industria chimica e manifatturiera. Ma l'effetto più dirompente non è quello formale — l'aggiunta di nuove fattispecie — bensì quello sostanziale: la nuova normativa costringe le imprese a rivedere da zero il proprio risk assessment ambientale e ad aggiornare i protocolli del Modello Organizzativo 231. Chi non lo fa in tempi rapidi rischia di presentarsi in giudizio con un MOG che non copre più i rischi realmente esistenti, trasformando lo strumento difensivo in una prova a carico.
Va ricordato, come principio fondante del sistema, il brocardo latino qui non obstat quod obstare potest, facere videtur: chi non impedisce ciò che avrebbe potuto impedire è considerato come se avesse agito. È questa la logica sottostante all'intera disciplina della colpa di organizzazione: l'ente risponde non perché abbia voluto il reato, ma perché non ha fatto abbastanza per evitarlo.
La Cassazione riscrive le regole del gioco: tre pronunce decisive
Accanto alla riforma legislativa, la giurisprudenza di legittimità ha contribuito a ridefinire gli equilibri del sistema con una serie di pronunce recenti di straordinaria rilevanza pratica, che ogni compliance officer e ogni consulente aziendale dovrebbe conoscere nel dettaglio.
La Corte di Cassazione, Sezione IV Penale, con la sentenza n. 30039 depositata il 1° settembre 2025, ha affrontato in modo organico e sistematico il tema del rapporto tra colpa di organizzazione, Modello Organizzativo certificato e responsabilità ex D.Lgs. 231/2001. La pronuncia chiarisce in modo definitivo che il fondamento della responsabilità dell'ente è la colpa di organizzazione, intesa come inosservanza dell'obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire i reati, e che questo elemento è ontologicamente distinto dalla colpa delle persone fisiche autrici del reato presupposto. La colpa di organizzazione deve essere specificamente provata dall'accusa: non è sufficiente dimostrare che il reato è stato commesso da un soggetto apicale nell'interesse dell'ente. Il passaggio più innovativo della sentenza n. 30039/2025 riguarda tuttavia i modelli certificati secondo standard internazionali: la Corte censura i giudici di merito per aver liquidato la rilevanza della certificazione ISO/OHSAS con la semplice affermazione che "poco conta in questo contesto che il modello fosse certificato", ritenendo tale approccio giuridicamente errato e lesivo della portata dell'art. 30, comma 5, D.Lgs. 81/2008. Il MOG certificato, dunque, non è un elemento neutro: va valutato con il peso che la legge gli attribuisce. Questa pronuncia segna un punto fermo: la certificazione del modello non è un optional ma un argomento difensivo di primo piano, che i giudici di merito non possono disattendere senza adeguata motivazione.
La Corte di Cassazione, Sezione III Penale, con la sentenza n. 39458 depositata il 9 dicembre 2025, è intervenuta in un caso di gestione illecita di rifiuti, ribadendo con nettezza che la sentenza di condanna dell'ente non può fondarsi su automatismi. In particolare, la Cassazione ha censurato la motivazione della Corte d'Appello di Genova che aveva confermato la responsabilità amministrativa di un ente per reato di cui all'art. 25-undecies, comma 2, lett. b), D.Lgs. 231/2001 senza accertare adeguatamente se la condotta illecita del legale rappresentante — una gestione non autorizzata di rifiuti speciali pericolosi e non pericolosi — rientrasse effettivamente nell'ambito di operatività dell'ente e fosse stata compiuta nel suo interesse o a suo vantaggio. La Suprema Corte ha ribadito che "il profilo del vantaggio o dell'interesse dell'ente è un presupposto per l'affermazione della responsabilità amministrativa a norma del D.Lgs. 231/2001" e deve essere oggetto di specifica motivazione da parte dei giudici di merito. Questa pronuncia apre spazi difensivi tutt'altro che irrilevanti: ogni procedimento 231 per reati ambientali deve confrontarsi con la prova concreta dell'interesse o vantaggio, elemento che non si presume.
La Corte di Cassazione, Sezione IV Penale, con la sentenza n. 8397 del 28 gennaio 2026, ha chiarito un profilo di diritto sanzionatorio particolarmente rilevante sul piano pratico. La decisione stabilisce che, in presenza di entrambe le condizioni previste dall'art. 12, comma 2, D.Lgs. 231/2001 — ossia il risarcimento integrale del danno e l'adozione di un modello organizzativo idoneo a prevenire reati della stessa specie — la riduzione della sanzione pecuniaria deve essere applicata nella misura da metà a due terzi prevista dal comma 3 e non in quella inferiore. Inoltre, la sentenza chiarisce che il vantaggio dell'ente può consistere anche nel risparmio di spesa o di tempo derivante dalla violazione delle norme prevenzionistiche, senza che sia necessaria una sua puntuale quantificazione economica. L'implicazione è doppia: da un lato, il perimetro del vantaggio rilevante ai fini dell'imputazione si amplia sensibilmente; dall'altro, chi adotta un MOG idoneo dopo la commissione del fatto, risarcisce il danno e collabora con la magistratura, ha il diritto — non la semplice aspettativa — a una riduzione significativa della sanzione.
Il MOG ambientale: cosa deve contenere e cosa non deve essere
La giurisprudenza più recente consente di delineare con precisione i confini di un Modello Organizzativo efficace in ambito ambientale, distinguendolo da ciò che invece non protegge. Il punto di partenza è che il MOG non è e non può essere un documento generico, né uno strumento puramente formale: deve essere tailored, costruito cioè sulla specifica realtà dell'ente, sulle sue attività concrete, sui processi a rischio effettivo.
La Cassazione ha chiarito in più occasioni — confermando l'orientamento già espresso con la sentenza n. 27148/2023 — che il Modello adottato risulta inidoneo quando i suoi contenuti sono generici e lacunosi, quando l'organigramma omette di indicare le persone che rivestono le qualifiche menzionate, quando i flussi informativi verso l'Organismo di Vigilanza non sono formalizzati, o quando l'OdV è nominato ma non realmente operativo. Queste carenze non sono vizi formali: sono la prova della colpa di organizzazione.
Al tempo stesso, la sentenza n. 30039/2025 ha precisato che il MOG 231 non deve e non può scendere nel dettaglio operativo specifico: la sua funzione è quella di un sistema di governance e controllo dei processi decisionali, non di un manuale tecnico. La specificità operativa spetta ai documenti di valutazione dei rischi, alle istruzioni operative e alle procedure tecniche di dettaglio, che sono strumenti distinti e complementari. Confondere i due livelli — come talvolta accade in sede di giudizio di merito — è un errore di diritto. Il MOG definisce il chi, il come e il quando dei controlli; i documenti tecnici definiscono il cosa. La distinzione non è accademica: è la linea di confine tra un ente che può difendersi e uno che resta esposto.
In ambito ambientale, il rischio è strutturalmente più complesso rispetto ad altri settori, perché l'adeguatezza del MOG non può essere valutata in modo statico: le autorizzazioni ambientali cambiano, i provvedimenti delle autorità di controllo si aggiornano, la disciplina tecnica evolve. Il Modello deve quindi prevedere un meccanismo di aggiornamento continuo che recepisca le novità normative e amministrative, pena l'obsolescenza dello strumento difensivo nel momento in cui viene messo alla prova. Con l'entrata in vigore della Legge 147/2025, ogni ente che operi in settori con impatto ambientale deve procedere a un gap analysis immediata per verificare se i protocolli in essere coprono le nuove fattispecie introdotte, adeguare il sistema disciplinare, aggiornare la risk map e i flussi informativi verso l'OdV, e verificare la composizione e l'effettiva operatività dell'Organismo di Vigilanza.
Un'ultima riflessione operativa riguarda le catene di fornitura. La riforma del 2025 ha intensificato l'attenzione sulle responsabilità che derivano dalla gestione dei rifiuti prodotti o trattati da terzi per conto dell'ente. Il MOG deve includere protocolli di controllo sugli appaltatori e sui fornitori di servizi ambientali, con clausole contrattuali di compliance, verifiche periodiche delle autorizzazioni e tracciabilità documentale. Il mancato controllo sui terzisti è oggi uno dei profili di rischio più contestati dalla Procura nei procedimenti ex D.Lgs. 231/2001 in ambito ambientale.
Redazione - Staff Studio Legale MP
