Un cambio di paradigma: dalla colpa di organizzazione al rischio sanzionatorio globale
Il sistema della responsabilità amministrativa degli enti, costruito sul principio cardine della cosiddetta colpa di organizzazione, ha subito con il D.Lgs. 211/2025 una metamorfosi che non riguarda solo l'ampliamento del catalogo dei reati presupposto, ma investe la struttura stessa del meccanismo sanzionatorio. Vale la pena comprendere bene cosa cambia, perché le implicazioni per la governance d'impresa sono radicalmente diverse da ogni precedente novella legislativa.
Il D.Lgs. 211/2025 attua la Direttiva (UE) 2024/1226/UE del Parlamento europeo e del Consiglio del 24 aprile 2024, relativa alla definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell'Unione europea. Il recepimento italiano ha introdotto nel Codice penale, al Libro II, Titolo I, il nuovo Capo I-bis contenente le seguenti fattispecie: art. 275-bis (Violazione delle misure restrittive dell'Unione europea), art. 275-ter (Violazione di obblighi informativi imposti da una misura restrittiva UE), art. 275-quater (Violazione delle condizioni dell'autorizzazione allo svolgimento di attività), art. 275-quinquies (violazioni in materia di materiali d'armamento o prodotti a duplice uso, punibile anche a titolo di colpa grave). Tutte queste fattispecie sono ora inserite nel catalogo 231 tramite il nuovo art. 25-octies.2.
Le misure restrittive UE rilevanti ai fini di questa norma includono il congelamento di fondi e risorse economiche, i divieti di ingresso o transito nel territorio degli Stati membri, le restrizioni commerciali su specifici beni e servizi — compresi beni dual use e tecnologie sensibili —, nonché le misure economico-finanziarie settoriali e gli embarghi sulle armi. Il profilo di rischio che ne deriva non è dunque circoscritto alle grandi imprese che operano nei settori della difesa o dell'energia: coinvolge direttamente qualsiasi azienda che intrattenga rapporti commerciali, finanziari o contrattuali con soggetti designati ovvero con entità operanti in Paesi o aree geografiche soggette a regime di sanzioni UE.
La rottura sistemica più significativa riguarda però il meccanismo sanzionatorio. Il tradizionale sistema per quote, fondato su un numero di quote (da 100 a 1.000) moltiplicato per un valore monetario per quota (da 258 a 1.549 euro), viene abbandonato. Il nuovo art. 25-octies.2 prevede sanzioni pecuniarie calcolate in percentuale sul fatturato globale dell'ente, fino al 5%. Qualora non sia possibile determinare il fatturato globale, si applicano sanzioni predeterminate per scaglioni fino a un massimo di quaranta milioni di euro. Accanto alle sanzioni pecuniarie, sono previste sanzioni interdittive fino a sei anni nei casi più gravi e in caso di reiterazione. Questo avvicinamento al modello sanzionatorio tipico del diritto europeo della concorrenza — dove l'importo si calcola in percentuale del fatturato per garantire un reale effetto deterrente — è inedito nel panorama 231 italiano.
"Lex vigilat, dormientibus non succurrit": il diritto presidia chi è sveglio e attivo, non chi aspetta che la norma produca le sue conseguenze senza prepararsi. Le imprese che non aggiornano tempestivamente il proprio Modello 231 alla luce del nuovo art. 25-octies.2 si espongono a un rischio sanzionatorio che, per la prima volta, può assumere dimensioni proporzionali alla loro effettiva capacità economica.
I protocolli da rivedere: obblighi pratici per l'Organismo di Vigilanza
Sul piano operativo, il nuovo quadro normativo impone una ricognizione puntuale delle aree di rischio aziendali potenzialmente investite dalle misure restrittive UE. Si tratta di un esercizio di risk assessment che non può essere delegato a una generica revisione annuale del Modello, ma richiede un'analisi settoriale approfondita. Quattro sono i macro-ambiti che ogni Organismo di Vigilanza deve esaminare con priorità.
Il primo riguarda la mappatura delle controparti. L'ente deve dotarsi di una procedura strutturata di due diligence sui clienti, fornitori e partner commerciali, verificando sistematicamente se le controparti — persone fisiche o giuridiche — compaiano nelle liste di soggetti designati aggiornate dall'Unione europea (Consolidated List of Sanctioned Persons). Questa verifica non può essere svolta una tantum in fase contrattuale: deve essere continua, perché le liste vengono aggiornate con frequenza e un soggetto non designato al momento della stipula del contratto potrebbe esserlo nella fase esecutiva. I protocolli del Modello 231 devono prevedere chi effettua questa verifica, con quale cadenza e mediante quali strumenti, nonché le misure da adottare in caso di positività.
Il secondo attiene ai flussi finanziari. La messa a disposizione di fondi o risorse economiche a favore di soggetti designati è una delle fattispecie centrali della nuova norma penale. L'ente deve quindi implementare controlli sui pagamenti in entrata e in uscita, soprattutto nelle operazioni internazionali, con particolare attenzione ai flussi verso Paesi terzi soggetti a regime di sanzioni settoriali. La responsabilità dell'ente può emergere anche per condotte omissive: l'art. 275-ter, che punisce la violazione degli obblighi informativi, richiede che l'azienda si doti di procedure per identificare e segnalare all'autorità competente i fondi o le risorse economiche riconducibili a soggetti sanzionati di cui venga a conoscenza.
Il terzo ambito riguarda le esportazioni di beni dual use e materiali a tecnologia sensibile. Per queste categorie, il D.Lgs. 211/2025 ha introdotto la punibilità anche a titolo di colpa grave (art. 275-quinquies c.p.), un elemento di straordinaria importanza pratica: non è necessaria la consapevolezza della violazione, è sufficiente che l'impresa avrebbe potuto e dovuto verificare la natura del soggetto destinatario o la classificazione del bene esportato. Il Modello 231 deve prevedere specifici presidi autorizzativi interni per le operazioni di esportazione che ricadano in questa categoria.
Il quarto riguarda la formazione del personale. Le violazioni delle misure restrittive UE avvengono frequentemente per ignoranza della normativa applicabile, in particolare nei settori che non erano mai stati interessati da obblighi di compliance di matrice europea. Il codice di comportamento aziendale e i piani di formazione obbligatoria devono essere aggiornati con riferimento esplicito alle nuove fattispecie penali, alle procedure di verifica delle controparti e agli obblighi informativi verso le autorità competenti.
Un elemento cruciale per la costruzione di una difesa efficace in sede processuale è la tenuta documentale. Come ha ricordato la Corte di Cassazione, Sez. IV, con la sentenza n. 30039 del 1° settembre 2025, il Modello Organizzativo ex D.Lgs. 231/2001 ha una funzione di governance e controllo dei processi decisionali e non di dettaglio tecnico-operativo: deve pertanto contenere procedure di carattere generale e sistematico, rimandando ad altri documenti la definizione degli aspetti di dettaglio. Il lavoro dell'Organismo di Vigilanza — verbali, accessi ispettivi, flussi informativi gestiti, attività formative erogate — è materiale probatorio destinato a diventare centrale in ogni procedimento 231. Ogni azione dell'OdV deve quindi essere documentata in modo tale da dimostrare la concreta attuazione del Modello, non la sua mera esistenza formale.
Su quest'ultimo punto si è espressa con nettezza anche la Corte di Cassazione, Sez. VI, con la sentenza n. 4535 del 2025, che ha chiarito come il Modello Organizzativo risultato inidoneo allo standard normativo — a prescindere dal momento della sua adozione — non possa produrre l'effetto di sospendere le misure cautelari interdittive nei confronti dell'ente. L'inidoneità sostanziale del Modello, intesa come mancanza della capacità preventiva richiesta dalla legge, ha effetti diretti sia sulla responsabilità che sulle misure applicabili nel corso del procedimento.
Sul versante della colpa organizzativa come elemento autonomo dell'illecito 231, merita menzione la sentenza della Corte di Cassazione, Sez. II, n. 12023 del 26 marzo 2025, che, nel contesto di un procedimento per truffa ai danni della pubblica amministrazione, ha ribadito come l'assenza di qualsiasi Modello Organizzativo e di un Organismo di Vigilanza attivo renda inevitabile la contestazione della responsabilità dell'ente, essendo impossibile per lo stesso dimostrare l'assenza di colpa organizzativa.
Come ricordava Kafka ne Il Processo: «C'è una possibilità infinita, ma solo per chi è innocente». Nel diritto 231, si potrebbe parafrasare: esiste una possibilità concreta di esimente, ma solo per chi ha costruito un sistema di controllo reale, aggiornato e documentato.
Implicazioni per le PMI e per le imprese esportatrici del Nord-Est
Un profilo di particolare rilevanza riguarda le piccole e medie imprese del tessuto produttivo del Nord-Est italiano — Veneto, Friuli-Venezia Giulia, Trentino — storicamente vocate all'export e attive in settori come la meccanica, la componentistica, l'agroalimentare, il tessile e le tecnologie industriali. Molte di queste imprese intrattengono rapporti commerciali con controparti in aree geografiche soggette a misure restrittive UE: Russia, Belarus, Iran, Siria, Myanmar, Sudan, oltre ai soggetti designati individualmente. Il rischio che una singola transazione commerciale — la cessione di un macchinario, la fornitura di componenti elettronici, il trasferimento di tecnologia produttiva — configuri una violazione dell'art. 275-bis c.p. e, per connessione, un illecito 231, non è più teorico.
Il problema operativo più critico per queste imprese non è la malafede, ma la lacuna organizzativa. La verifica delle controparti, quando avviene, è spesso sporadica e affidata a procedure informali. L'assenza di un'istruzione operativa scritta, di una procedura di screening sistematico e di un meccanismo di escalation interna in caso di allerta trasforma una violazione normativa — magari colposa — in una potenziale responsabilità 231 con sanzioni calibrate sull'intero fatturato dell'azienda.
Vale la pena sottolineare che la norma prevede anche un sistema di circostanze aggravanti, tra cui l'esercizio di attività professionale o bancaria, e consente l'applicazione di sanzioni interdittive di durata fino a sei anni nelle fattispecie più gravi o in caso di recidiva. Per una PMI operativa, la misura interdittiva è spesso più devastante della sanzione pecuniaria: il divieto di contrattare con la pubblica amministrazione, la sospensione o revoca di autorizzazioni e licenze, l'esclusione da finanziamenti pubblici e agevolazioni PNRR possono compromettere la stessa continuità aziendale.
La risposta difensiva consiste nell'aggiornare il Modello 231 con un protocollo specificamente dedicato alla sanctions compliance: un documento autonomo, strutturato, integrato nel sistema di governance dell'ente, che preveda obblighi documentali, responsabilità specifiche, procedure di verifica e reportistica verso l'OdV. Non si tratta di un adempimento burocratico: si tratta della costruzione di uno scudo processuale che, in sede di contestazione, permetterà all'ente di dimostrare l'assenza di colpa organizzativa.
Redazione - Staff Studio Legale MP
