Un direttore commerciale stipula un contratto di fornitura con un partner uzbeko che compare in un elenco di soggetti designati dalle misure restrittive UE. L'ufficio legale non lo sa. Il MOG aziendale è stato redatto nel 2022 e non è mai stato aggiornato. Il reato è stato commesso nell'interesse dell'ente, che ha risparmiato costi e accelerato la commessa. Questa scena — tutt'altro che teorica — è oggi sufficiente a radicare la responsabilità amministrativa della società ai sensi del D.Lgs. 231/2001, con sanzioni calcolate non in quote fisse ma in percentuale sul fatturato globale. La domanda che ogni imprenditore dovrebbe porsi non è "abbiamo un Modello?", ma "il nostro Modello copre i reati che esistono oggi?".
Il catalogo a geometria variabile: quattro ondate in meno di dodici mesi
Negli ultimi mesi, in particolare tra dicembre 2025 e gennaio 2026, il legislatore ha modificato in modo rilevante il quadro dei reati presupposto del D.Lgs. 231/2001. Ma la sequenza normativa inizia prima e non si è ancora esaurita.
La prima ondata risale al giugno 2025. La Legge 6 giugno 2025, n. 82, recante modifiche al codice penale in materia di reati contro gli animali, ha inserito nell'art. 25-undevicies del D.Lgs. 231/2001 i "Delitti contro gli animali", estendendo la responsabilità degli enti anche a condotte di maltrattamento, uccisione, combattimento e spettacoli vietati. L'impatto immediato tocca in particolare le filiere zootecniche, agroalimentari e le aziende che gestiscono allevamenti o strutture di ricerca che utilizzano animali. Per molti imprenditori del settore, la novità è passata quasi inosservata.
La seconda ondata, altrettanto trascurata, arriva con il Decreto Sicurezza. Dal 10 giugno 2025 è entrata in vigore la Legge n. 80/2025, che ha incluso nel catalogo dei reati presupposto dell'art. 25-quater del D.Lgs. 231/2001 le fattispecie di cui all'art. 270-quinquies.3 c.p., "Detenzione di materiale con finalità di terrorismo". Una norma che può sembrare distante dalla quotidianità aziendale, ma che intercetta chiunque gestisca logistica di materiali sensibili o controllo degli accessi a siti produttivi.
La terza ondata — e la più rilevante per ampiezza e regime sanzionatorio — è il D.Lgs. 211/2025, entrato in vigore il 24 gennaio 2026, che attua la Direttiva UE 2024/1226 relativa alla definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell'Unione. Il decreto, al suo art. 6, introduce nel D.Lgs. 231/2001 il nuovo art. 25-octies.2, che amplia il novero dei reati presupposto includendo i reati in materia di violazione di misure restrittive dell'Unione europea. Le fattispecie penali di riferimento, inserite nel nuovo Capo I-bis del Codice penale, includono: l'art. 275-bis c.p. (Violazione delle misure restrittive), l'art. 275-ter c.p. (Violazione degli obblighi informativi) e l'art. 275-quater c.p. (Violazione delle condizioni dell'autorizzazione allo svolgimento di attività).
Il profilo sanzionatorio di questa terza ondata è, come si dirà, radicalmente diverso dal sistema tradizionale.
La quarta ondata è recentissima. Il D.Lgs. 81/2026, in vigore dal 2 giugno 2026, modifica l'art. 25-undecies del D.Lgs. 231/2001 introducendo nuovi reati presupposto ambientali — commercio di prodotti inquinanti, sostanze ozono-lesive, gas a effetto serra — e inasprendo le pene per le ipotesi aggravate. Il decreto istituisce inoltre presso la Procura Generale della Corte di Cassazione un Sistema di coordinamento nazionale per il contrasto alla criminalità ambientale, segnale inequivocabile che la pressione investigativa e giudiziaria sul fronte degli eco-reati è destinata ad aumentare.
Il principio latino tempus regit actum — per cui ogni condotta è retta dalla legge vigente al momento del suo compimento — rende cruciale la dimensione temporale: un fatto commesso il 23 gennaio 2026 non è reato presupposto ai sensi del nuovo art. 25-octies.2, mentre lo stesso fatto compiuto il giorno successivo lo è pienamente. La mappatura del rischio deve dunque fotografare non il catalogo storico ma quello attuale.
La vera novità: sanzioni sul fatturato e responsabilità della catena di fornitura
Fino all'entrata in vigore del D.Lgs. 211/2025, le sanzioni pecuniarie del sistema 231 erano calcolate in quote. Il decreto ha introdotto un meccanismo sanzionatorio innovativo, in linea con le indicazioni europee: le sanzioni pecuniarie non sono più calcolate con il tradizionale sistema per quote, ma come percentuale del fatturato globale dell'ente. Per le violazioni più gravi, come l'elusione delle sanzioni o l'inosservanza delle autorizzazioni, la sanzione può variare dall'1% al 5% del fatturato. In alternativa, qualora non sia possibile calcolare il fatturato globale, le sanzioni sono predeterminate e prevedono degli scaglioni sino a un massimo di 40 milioni di euro.
Per un'impresa manifatturiera con 50 milioni di euro di fatturato, il 5% significa 2,5 milioni di euro di sanzione pecuniaria, cui si aggiungono eventuali sanzioni interdittive. Le sanzioni interdittive includono l'interdizione dall'esercizio dell'attività, la sospensione o revoca di autorizzazioni, licenze o concessioni, il divieto di contrattare con la pubblica amministrazione. Per un'azienda che opera nel commercio internazionale, subire una di queste sanzioni può significare il blocco completo dell'operatività.
L'aspetto forse più sottovalutato è l'estensione del rischio all'intera catena di fornitura. Non è ammessa la difesa "non sapevamo": l'ignoranza della norma non esclude la responsabilità. Chi svolge attività commerciale deve dotarsi degli strumenti per verificare continuamente l'esposizione delle proprie controparti alle misure restrittive — fornitori, clienti, agenti, subappaltatori. Sono da considerarsi particolarmente esposte al rischio le società che operano nei settori del commercio internazionale, logistica e trasporti, bancario e assicurativo, export di beni dual use e appalti con dimensione transfrontaliera, con specifico riguardo alle attività di gestione dei pagamenti verso soggetti esteri, selezione di fornitori e valutazione di subforniture.
La giurisprudenza più recente della Cassazione chiarisce tre punti che ogni impresa dovrebbe conoscere prima di decidere se aggiornare il proprio Modello.
Il primo riguarda il fondamento stesso della responsabilità. La Cass. pen., Sez. IV, 1 settembre 2025, n. 30039 — pronuncia di straordinaria importanza sistematica — ribadisce con fermezza che il fondamento della responsabilità dell'ente è la colpa di organizzazione, intesa come inottemperanza all'obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire i reati. Questo elemento è ontologicamente distinto dalla colpa delle persone fisiche autrici del reato presupposto. La colpa di organizzazione deve essere specificamente provata dall'accusa: non è sufficiente dimostrare che il reato presupposto è stato commesso da un soggetto apicale nell'interesse dell'ente.
Il secondo punto è il regime delle attenuanti sanzionatorie e la nozione di vantaggio. Con la sentenza n. 8397 depositata il 28 gennaio 2026, la Corte di Cassazione, Sez. IV, ha stabilito che, in presenza congiunta di risarcimento integrale del danno e adozione di un modello organizzativo idoneo, la riduzione della sanzione pecuniaria ex art. 12 D.Lgs. 231/2001 deve essere applicata nella misura da metà a due terzi. La sentenza chiarisce inoltre che il vantaggio dell'ente può consistere anche nel risparmio di costi e tempi, senza necessità di una precisa quantificazione economica. È ribadita la centralità della colpa di organizzazione quale elemento costitutivo dell'illecito, distinta dalla colpa della persona fisica. In termini pratici: il risparmio ottenuto non avviando una procedura di screening delle controparti è sufficiente a integrare il "vantaggio" rilevante ai fini della responsabilità dell'ente, anche senza che emerga un profitto economico direttamente riconducibile al reato.
Il terzo punto attiene alle misure cautelari. Con la sentenza n. 13414 del 2026, la Cassazione ha sottolineato che la responsabilità amministrativa dell'ente ai sensi del D.Lgs. 231/2001 non costituisce una conseguenza automatica o riflessa del reato presupposto: essa richiede un accertamento autonomo e specifico in ordine alla sussistenza del criterio di imputazione oggettiva — l'interesse o il vantaggio dell'ente — e alla colpa di organizzazione. Ne discende che il sequestro preventivo disposto nei confronti dell'ente deve essere sorretto da una motivazione autonoma e concreta del fumus dell'illecito amministrativo, distinto rispetto alla valutazione del reato delle persone fisiche. Questa pronuncia ha rilevanza pratica immediata: significa che la mera apertura di un procedimento penale a carico di un soggetto apicale non implica automaticamente il rischio di sequestro per l'ente, ma che il difetto di motivazione del GIP può essere eccepito in sede di riesame.
Sul piano operativo, l'errore più frequente che si osserva nella prassi aziendale è trattare il Modello 231 come un documento statico, aggiornato una volta per tutte e poi "messo in cassaforte". Disporre di un elenco aggiornato, ordinato e correttamente classificato dei reati presupposto è fondamentale per costruire, aggiornare e verificare un Modello di Organizzazione, Gestione e Controllo realmente efficace. Ma non basta il catalogo: la mappatura deve essere collegata ai processi aziendali reali, non a quelli astrattamente ipotizzabili. Errori nella gestione dei rifiuti, nei controlli sulla filiera o nella tracciabilità possono trasformarsi in responsabilità penale per l'ente azienda; il MOG deve estendere il presidio alla supply chain anche dal punto di vista ambientale.
Il secondo errore frequente è affidarsi alla buona fede soggettiva nel rapporto con le controparti estere. Come ha scritto Rudolf von Jhering in "La lotta per il diritto" (1872), il diritto non si conquista una volta per tutte: richiede una vigilanza continua e un impegno attivo. La stessa logica vale per la compliance 231: il Modello non protegge chi lo ha adottato in passato, ma chi lo aggiorna e lo attua concretamente oggi.
Il terzo errore è sottovalutare il ruolo dell'Organismo di Vigilanza nei confronti della nuova area di rischio. Il compito dell'OdV è sorvegliare il funzionamento e l'osservanza del modello, individuare le criticità e segnalarle. Ciò che il giudice valuterà — secondo la metodologia della prognosi postuma — è se le regole cautelari presenti nel modello, se rispettate, avrebbero impedito o ridotto significativamente il rischio di verificazione del reato presupposto. Il lavoro dell'OdV documenta proprio questo: che le regole c'erano, che erano adeguate, e che qualcuno le ha violate.
Il catalogo dei reati presupposto del D.Lgs. 231/2001 non è mai stato, nella sua storia, oggetto di così tante modifiche in un arco temporale così compresso. Il fatto che ogni intervento legislativo abbia provenienza europea — sanzioni internazionali, tutela degli animali, ambiente, intelligenza artificiale — segnala che la traiettoria è irreversibile: il legislatore dell'Unione continuerà a produrre direttive che si tradurranno in nuovi reati presupposto, e le imprese che tratteranno il Modello come uno strumento burocratico fisso, anziché come un presidio dinamico di governance, si troveranno strutturalmente esposte a una responsabilità che avrebbero potuto prevenire.
Redazione - Staff Studio Legale MP
