L'articolo 6 disciplina il regime di esonero da responsabilità nel caso in cui il reato sia commesso da un soggetto «apicale» (art. 5 comma 1 lett. a). Si tratta della disposizione strategicamente più importante per chi gestisce un'impresa, perché disegna il «modello organizzativo» (MOG) come unico strumento che consente all'ente di sottrarsi a sanzioni potenzialmente devastanti.
Il meccanismo è eccezionale: contrariamente alla regola generale che pone l'onere della prova sull'accusa, qui l'ente deve dimostrare quattro elementi cumulativi (comma 1). Primo: l'organo dirigente ha adottato ed efficacemente attuato, «prima» della commissione del fatto, un modello idoneo a prevenire reati della specie di quello verificatosi. Secondo: la vigilanza sul modello è affidata a un organismo dotato di autonomi poteri di iniziativa e controllo (l'Organismo di Vigilanza, OdV). Terzo: l'apicale ha commesso il reato «eludendo fraudolentemente» il modello. Quarto: l'OdV non è incorso in omessa o insufficiente vigilanza.
Il comma 2 elenca i requisiti minimi del modello: mappatura delle aree a rischio reato, protocolli decisionali specifici, gestione delle risorse finanziarie a prova di abuso, flussi informativi verso l'OdV, sistema disciplinare. Il comma 2-bis, introdotto dal D.Lgs. 24/2023 di attuazione della direttiva UE 2019/1937, impone l'integrazione del modello con i canali di segnalazione interna (whistleblowing), il divieto di ritorsione e la sanzione disciplinare per chi viola la protezione del segnalante.
Il comma 3 consente di adottare modelli costruiti sulla base di «codici di comportamento» predisposti dalle associazioni rappresentative (le Linee Guida Confindustria sono lo standard di mercato, accanto a quelle ABI per le banche, Federchimica, Assosim, Assosicurezza, ANIA): tali codici sono comunicati al Ministero della Giustizia, che può formulare osservazioni entro trenta giorni.
Il comma 4 prevede una deroga per gli enti di piccole dimensioni, nei quali le funzioni dell'OdV possono essere svolte direttamente dall'organo dirigente: è una semplificazione importante per le micro-imprese, ma di difficile applicazione perché richiede una struttura comunque adeguata e crea il paradosso del «controllore controllato». Il comma 4-bis (introdotto dalla legge 183/2011) consente alle società di capitali di affidare le funzioni dell'OdV al collegio sindacale, al consiglio di sorveglianza o al comitato per il controllo della gestione.
L'idoneità del modello è valutata dal giudice penale ex post, con un giudizio prognostico ex ante: il modello «come era costruito al momento del fatto» sarebbe stato idoneo a prevenire reati della specie? Il riferimento sistematico è agli artt. 2381 e 2403 c.c. (assetti adeguati e funzioni di controllo nelle SpA), all'art. 2086 c.c. (assetti organizzativi, amministrativi e contabili adeguati per tutte le imprese, introdotto dal Codice della Crisi) e al D.Lgs. 24/2023 (whistleblowing). Una sentenza di «idoneità» del modello (rara nella prassi: caso Impregilo Cass. SU 23401/2022) è il «santo Graal» della compliance 231.
Testo dell'articoloVigente
Art. 6 D.Lgs. 231/2001 Responsabilita Enti — Soggetti in posizione apicale e modelli di organizzazione dell’ente
In vigore dal 04/07/2001
1. Se il reato è stato commesso dalle persone indicate nell'articolo 5, comma 1, lettera a), l'ente non risponde se prova che: a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla lettera b).
2. In relazione all'estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze: a) individuare le attività nel cui ambito possono essere commessi reati; b) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; d) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli; e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
2-bis. I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 , i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e). (48)
2-ter. ((COMMA ABROGATO DAL D.LGS. 10 MARZO 2023, N. 24 )) .
2-quater. ((COMMA ABROGATO DAL D.LGS. 10 MARZO 2023, N. 24 )) .
3. I modelli di organizzazione e di gestione possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati. (6)
4. Negli enti di piccole dimensioni i compiti indicati nella lettera b), del comma 1, possono essere svolti direttamente dall'organo dirigente.
4-bis. Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell'organismo di vigilanza di cui al comma 1, lettera b).
5. È comunque disposta la confisca del profitto che l'ente ha tratto dal reato, anche nella forma per equivalente.
Commento
L'art. 6 è il cuore difensivo del sistema 231 e contemporaneamente il suo punto più controverso. Quando un apicale commette un reato presupposto, scatta una presunzione di colpa organizzativa che l'ente può rovesciare solo provando «tutti e quattro» gli elementi indicati al comma 1. Si tratta di una vera inversione dell'onere probatorio, eccezionale rispetto ai canoni del processo penale, che la dottrina ha più volte sospettato di tensione con l'art. 27 Cost. e con la presunzione di innocenza ex art. 6 CEDU. La Corte di Cassazione e la Corte costituzionale hanno tuttavia confermato la legittimità del meccanismo, ritenendo che si tratti di onere probatorio «attenuato», bastando l'allegazione di elementi seri e verosimili che l'accusa dovrà confutare.
Le Linee Guida Confindustria (versione consolidata 2014, aggiornata nel 2021), approvate dal Ministero della Giustizia, costituiscono lo standard di riferimento per la costruzione del MOG nelle imprese industriali. Esse strutturano il modello su tre architravi: la «parte generale» (governance, principi etici, sistema sanzionatorio, OdV, flussi informativi, formazione), le «parti speciali» (una per ciascuna famiglia di reati presupposto applicabili: corruzione, reati societari, sicurezza sul lavoro, ambiente, reati tributari, riciclaggio, cybercrime), e i «protocolli» operativi (procedure specifiche per le attività sensibili). Per le banche valgono le linee guida ABI; per le società quotate il riferimento è anche al Codice di Corporate Governance e alle Disposizioni Consob. La giurisprudenza guarda con favore l'adesione a tali standard, pur non riconoscendo un'idoneità «automatica»: il modello deve essere «calzante» sulla singola realtà aziendale, non un mero copia-incolla.
L'Organismo di Vigilanza è la figura più delicata. La norma richiede «autonomi poteri di iniziativa e controllo»: ciò impone indipendenza (non subordinazione gerarchica all'organo gestorio), professionalità (competenze in materia di compliance, diritto penale dell'impresa, audit, organizzazione aziendale) e continuità di azione. La composizione può essere monocratica (frequente nelle PMI) o collegiale (consigliabile nelle medie e grandi imprese, con presenza di almeno un membro esterno indipendente). I poteri tipici: accesso illimitato alle informazioni aziendali, audit indipendenti, riporto diretto al CdA e al collegio sindacale, budget autonomo. La Cassazione (sent. n. 4677/2014 caso Impregilo, poi confermata dalle SU 23401/2022) ha individuato indicatori concreti di efficace funzionamento: numero e qualità delle riunioni, audit periodici nelle aree a rischio, gestione delle segnalazioni, reportistica.
Il D.Lgs. 24/2023, in attuazione della direttiva UE 2019/1937, ha imposto l'integrazione del modello con un sistema di whistleblowing strutturato: canali interni che garantiscano riservatezza dell'identità del segnalante e del contenuto della segnalazione, protezione assoluta da ritorsioni (licenziamento, demansionamento, sanzioni), tracciabilità dei riscontri, gestione delle segnalazioni in tempi definiti (avviso di ricezione entro 7 giorni, riscontro entro 3 mesi). Per le imprese con almeno 50 dipendenti la conformità è obbligatoria; per chi è soggetto al D.Lgs. 231/2001 la mancata integrazione del MOG vizia di per sé l'idoneità del modello. ANAC ha emanato linee guida specifiche per il settore pubblico e privato. L'OdV, in genere, è destinatario delle segnalazioni unitamente o in alternativa al gestore dedicato. Per chi pianifica un MOG dal 2024 in poi, lo standard minimo include un sistema di whistleblowing certificato e una formazione anti-ritorsione documentata.
Quando un MOG può dirsi «idoneo» secondo l'art. 6?
L'idoneità è valutata ex post dal giudice penale con giudizio prognostico ex ante. I criteri consolidati sono: mappatura completa e aggiornata delle aree a rischio reato; protocolli specifici e operativi (non meri principi); sistema di gestione finanziaria con segregazione di funzioni e doppia firma per importi rilevanti; flussi informativi obbligatori verso l'OdV (sia periodici sia ad hoc); sistema disciplinare effettivo e applicato; formazione del personale documentata; canale di whistleblowing conforme al D.Lgs. 24/2023. Decisivo è il «calzo» sulla singola realtà aziendale: non bastano linee guida generiche, occorrono protocolli specifici per il business e periodicamente testati. La giurisprudenza dichiara idoneo il MOG raramente: caso Impregilo (Cass. SU 23401/2022) è il leading case favorevole.
L'OdV può essere monocratico o deve essere collegiale?
Entrambe le soluzioni sono legittime. La Cassazione e le Linee Guida Confindustria considerano il modello monocratico adeguato per le PMI con limitata complessità: il professionista unico (avvocato esperto o internal auditor) garantisce snellezza e basso costo. Per le medie e grandi imprese, la composizione collegiale (3-5 membri, di cui almeno uno esterno indipendente con competenze legali, uno interno con competenze di controllo, eventualmente un esperto di settore) garantisce maggiore pluralità di sguardi e maggiore credibilità in sede giudiziaria. Il comma 4-bis consente di affidare le funzioni al collegio sindacale (soluzione economica per le SpA medio-piccole) o al consiglio di sorveglianza/comitato controllo. Decisivo è che l'organismo sia indipendente, professionale e dotato di poteri reali.
Cosa significa che l'apicale ha eluso «fraudolentemente» il modello?
La frode richiesta dall'art. 6 comma 1 lett. c) è la condotta artificiosa e ingannatoria con cui l'apicale aggira procedure e controlli pur efficacemente operanti. Non basta la semplice violazione, occorre una condotta «attiva» di occultamento: alterazione di documenti, falsificazione di firme, doppia contabilità parallela, manovre per neutralizzare l'OdV. La Cassazione (sent. n. 30133/2014 e succ.) richiede un quid pluris rispetto alla mera trasgressione: il modello, dall'esterno e dall'OdV, doveva apparire rispettato. Se invece la violazione era manifesta o l'OdV avrebbe potuto rilevarla con ordinaria diligenza, l'esonero non opera e l'ente risponde.
Le PMI possono semplificare il modello ex comma 4?
Sì: negli enti di piccole dimensioni le funzioni dell'OdV possono essere svolte direttamente dall'organo dirigente (amministratore unico o CdA). La «piccola dimensione» non è definita dal decreto; la prassi si rifà ai criteri della raccomandazione UE 2003/361 (microimpresa: meno di 10 addetti e fatturato/attivo inferiore a 2 milioni; piccola: meno di 50 addetti e 10 milioni). La semplificazione presenta però due limiti pratici: il paradosso del «controllore-controllato», che indebolisce la credibilità del modello in sede giudiziaria; e l'esigenza di un sistema minimo di tracciatura e segregazione che, in strutture micro, è oggettivamente difficile da implementare. Spesso, in queste realtà, si preferisce un OdV monocratico esterno (un professionista convenzionato) a costo contenuto.
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
Commento
L'art. 6 è il cuore difensivo del sistema 231 e contemporaneamente il suo punto più controverso. Quando un apicale commette un reato presupposto, scatta una presunzione di colpa organizzativa che l'ente può rovesciare solo provando «tutti e quattro» gli elementi indicati al comma 1. Si tratta di una vera inversione dell'onere probatorio, eccezionale rispetto ai canoni del processo penale, che la dottrina ha più volte sospettato di tensione con l'art. 27 Cost. e con la presunzione di innocenza ex art. 6 CEDU. La Corte di Cassazione e la Corte costituzionale hanno tuttavia confermato la legittimità del meccanismo, ritenendo che si tratti di onere probatorio «attenuato», bastando l'allegazione di elementi seri e verosimili che l'accusa dovrà confutare.
Le Linee Guida Confindustria (versione consolidata 2014, aggiornata nel 2021), approvate dal Ministero della Giustizia, costituiscono lo standard di riferimento per la costruzione del MOG nelle imprese industriali. Esse strutturano il modello su tre architravi: la «parte generale» (governance, principi etici, sistema sanzionatorio, OdV, flussi informativi, formazione), le «parti speciali» (una per ciascuna famiglia di reati presupposto applicabili: corruzione, reati societari, sicurezza sul lavoro, ambiente, reati tributari, riciclaggio, cybercrime), e i «protocolli» operativi (procedure specifiche per le attività sensibili). Per le banche valgono le linee guida ABI; per le società quotate il riferimento è anche al Codice di Corporate Governance e alle Disposizioni Consob. La giurisprudenza guarda con favore l'adesione a tali standard, pur non riconoscendo un'idoneità «automatica»: il modello deve essere «calzante» sulla singola realtà aziendale, non un mero copia-incolla.
L'Organismo di Vigilanza è la figura più delicata. La norma richiede «autonomi poteri di iniziativa e controllo»: ciò impone indipendenza (non subordinazione gerarchica all'organo gestorio), professionalità (competenze in materia di compliance, diritto penale dell'impresa, audit, organizzazione aziendale) e continuità di azione. La composizione può essere monocratica (frequente nelle PMI) o collegiale (consigliabile nelle medie e grandi imprese, con presenza di almeno un membro esterno indipendente). I poteri tipici: accesso illimitato alle informazioni aziendali, audit indipendenti, riporto diretto al CdA e al collegio sindacale, budget autonomo. La Cassazione (sent. n. 4677/2014 caso Impregilo, poi confermata dalle SU 23401/2022) ha individuato indicatori concreti di efficace funzionamento: numero e qualità delle riunioni, audit periodici nelle aree a rischio, gestione delle segnalazioni, reportistica.
Il D.Lgs. 24/2023, in attuazione della direttiva UE 2019/1937, ha imposto l'integrazione del modello con un sistema di whistleblowing strutturato: canali interni che garantiscano riservatezza dell'identità del segnalante e del contenuto della segnalazione, protezione assoluta da ritorsioni (licenziamento, demansionamento, sanzioni), tracciabilità dei riscontri, gestione delle segnalazioni in tempi definiti (avviso di ricezione entro 7 giorni, riscontro entro 3 mesi). Per le imprese con almeno 50 dipendenti la conformità è obbligatoria; per chi è soggetto al D.Lgs. 231/2001 la mancata integrazione del MOG vizia di per sé l'idoneità del modello. ANAC ha emanato linee guida specifiche per il settore pubblico e privato. L'OdV, in genere, è destinatario delle segnalazioni unitamente o in alternativa al gestore dedicato. Per chi pianifica un MOG dal 2024 in poi, lo standard minimo include un sistema di whistleblowing certificato e una formazione anti-ritorsione documentata.
Pronunce della Corte Costituzionale
Sentenza n. /
Consulta la pronuncia su www.cortecostituzionale.itDomande frequenti
Quando un MOG può dirsi «idoneo» secondo l'art. 6?
L'idoneità è valutata ex post dal giudice penale con giudizio prognostico ex ante. I criteri consolidati sono: mappatura completa e aggiornata delle aree a rischio reato; protocolli specifici e operativi (non meri principi); sistema di gestione finanziaria con segregazione di funzioni e doppia firma per importi rilevanti; flussi informativi obbligatori verso l'OdV (sia periodici sia ad hoc); sistema disciplinare effettivo e applicato; formazione del personale documentata; canale di whistleblowing conforme al D.Lgs. 24/2023. Decisivo è il «calzo» sulla singola realtà aziendale: non bastano linee guida generiche, occorrono protocolli specifici per il business e periodicamente testati. La giurisprudenza dichiara idoneo il MOG raramente: caso Impregilo (Cass. SU 23401/2022) è il leading case favorevole.
L'OdV può essere monocratico o deve essere collegiale?
Entrambe le soluzioni sono legittime. La Cassazione e le Linee Guida Confindustria considerano il modello monocratico adeguato per le PMI con limitata complessità: il professionista unico (avvocato esperto o internal auditor) garantisce snellezza e basso costo. Per le medie e grandi imprese, la composizione collegiale (3-5 membri, di cui almeno uno esterno indipendente con competenze legali, uno interno con competenze di controllo, eventualmente un esperto di settore) garantisce maggiore pluralità di sguardi e maggiore credibilità in sede giudiziaria. Il comma 4-bis consente di affidare le funzioni al collegio sindacale (soluzione economica per le SpA medio-piccole) o al consiglio di sorveglianza/comitato controllo. Decisivo è che l'organismo sia indipendente, professionale e dotato di poteri reali.
Cosa significa che l'apicale ha eluso «fraudolentemente» il modello?
La frode richiesta dall'art. 6 comma 1 lett. c) è la condotta artificiosa e ingannatoria con cui l'apicale aggira procedure e controlli pur efficacemente operanti. Non basta la semplice violazione, occorre una condotta «attiva» di occultamento: alterazione di documenti, falsificazione di firme, doppia contabilità parallela, manovre per neutralizzare l'OdV. La Cassazione (sent. n. 30133/2014 e succ.) richiede un quid pluris rispetto alla mera trasgressione: il modello, dall'esterno e dall'OdV, doveva apparire rispettato. Se invece la violazione era manifesta o l'OdV avrebbe potuto rilevarla con ordinaria diligenza, l'esonero non opera e l'ente risponde.
Le PMI possono semplificare il modello ex comma 4?
Sì: negli enti di piccole dimensioni le funzioni dell'OdV possono essere svolte direttamente dall'organo dirigente (amministratore unico o CdA). La «piccola dimensione» non è definita dal decreto; la prassi si rifà ai criteri della raccomandazione UE 2003/361 (microimpresa: meno di 10 addetti e fatturato/attivo inferiore a 2 milioni; piccola: meno di 50 addetti e 10 milioni). La semplificazione presenta però due limiti pratici: il paradosso del «controllore-controllato», che indebolisce la credibilità del modello in sede giudiziaria; e l'esigenza di un sistema minimo di tracciatura e segregazione che, in strutture micro, è oggettivamente difficile da implementare. Spesso, in queste realtà, si preferisce un OdV monocratico esterno (un professionista convenzionato) a costo contenuto.
Vedi anche