← Torna a Responsabilità Amministrativa Enti (D.Lgs. 231/2001)
Ultimo aggiornamento: 27 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Pronunce Corte Costituzionale
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
L'articolo 7 è il «gemello» dell'art. 6 ma riferito ai reati commessi da soggetti «sottoposti» alla direzione o vigilanza degli apicali (art. 5 comma 1 lett. b): dipendenti, collaboratori inseriti nell'organizzazione, fornitori stabili privi di autonomia decisionale. Il regime probatorio è invertito rispetto all'art. 6: qui è la pubblica accusa a dover dimostrare la «colpa di organizzazione» dell'ente, cioè che la commissione del reato è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza. Il comma 1 contiene la regola: l'ente risponde se il reato del sottoposto è derivato da carenze di direzione o vigilanza. Il comma 2 esclude tale inosservanza se l'ente ha adottato ed efficacemente attuato, prima del fatto, un modello idoneo a prevenire reati della specie di quello verificatosi: il MOG funziona qui non come prova liberatoria a carico dell'ente (come nell'art. 6) ma come elemento che impedisce all'accusa di provare la colpa di organizzazione. Il comma 3 chiarisce che il modello deve prevedere misure idonee, proporzionate alla natura, dimensione e attività dell'ente, a garantire lo svolgimento nel rispetto della legge e a scoprire/eliminare tempestivamente le situazioni di rischio. Il comma 4 specifica i requisiti di efficace attuazione: verifica periodica e aggiornamento del modello in caso di violazioni significative o mutamenti organizzativi; sistema disciplinare idoneo a sanzionare le inosservanze. La differenza di regime fra apicali e sottoposti riflette una scelta di politica criminale: quando agisce il vertice, l'ente «pensa» con la mente del vertice e quindi la presunzione è di immedesimazione organica; quando agisce il sottoposto, l'ente risponde solo se ha mal vigilato. Sul piano operativo, però, le esigenze costruttive del MOG sono sovrapponibili: stesso impianto di mappatura, protocolli, sistema sanzionatorio, OdV, formazione, whistleblowing. La parte speciale «sottoposti» tende ad arricchirsi di procedure di delega di funzioni, di profilatura dei poteri di firma e di tracciatura delle autorizzazioni, perché lì si gioca il «come» l'apicale dirige e vigila. Il coordinamento con il Codice civile riguarda l'art. 2049 c.c. (responsabilità dei padroni e committenti per i fatti illeciti dei sottoposti) e gli artt. 2086, 2381 e 2403 c.c. (assetti adeguati e funzioni di controllo). Con il D.Lgs. 81/2008 e l'art. 16 sulla delega di funzioni il legame è strettissimo: una delega ben strutturata (con autonomia di spesa e competenze tecniche) sposta verso il delegato l'onere di vigilanza e protegge l'apicale, ma non l'ente, che risponde sempre se manca un MOG efficace. La giurisprudenza ha applicato l'art. 7 con frequenza nei reati di sicurezza sul lavoro (art. 25-septies), ambientali (art. 25-undecies) e tributari (art. 25-quinquiesdecies).

Testo dell'articoloVigente

Art. 7 D.Lgs. 231/2001 Responsabilita Enti — Soggetti sottoposti all’altrui direzione e modelli di organizzazione dell’ente

In vigore dal 04/07/2001

1. Nel caso previsto dall'articolo 5, comma 1, lettera b), l'ente è responsabile se la commissione del reato è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza.

2. In ogni caso, è esclusa l'inosservanza degli obblighi di direzione o vigilanza se l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

3. Il modello prevede, in relazione alla natura e alla dimensione dell'organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell'attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio.

4. L'efficace attuazione del modello richiede: a) una verifica periodica e l'eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell'organizzazione o nell'attività; b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Commento

L'art. 7 disegna il regime «ordinario» di responsabilità dell'ente per fatti dei sottoposti, in cui torna applicabile il principio costituzionale di personalità della responsabilità (art. 27 Cost.) declinato in chiave di «colpa di organizzazione». La nozione è elaborata dalla dottrina italiana sulla scia della Organisationsverschulden tedesca: l'ente è rimproverabile non per il fatto del singolo dipendente, ma per non aver predisposto le strutture e i controlli che avrebbero evitato il fatto. Si tratta di una colpevolezza «strutturale», che si misura sul piano organizzativo e procedurale prima ancora che individuale.

L'onere probatorio gravante sull'accusa è duplice. Primo: occorre individuare l'obbligo di direzione o vigilanza violato e dimostrare che la sua osservanza avrebbe verosimilmente impedito il reato. Secondo: occorre provare il nesso causale fra la carenza organizzativa e il fatto reato. La difesa dell'ente, simmetricamente, può contrastare la prova accusatoria su due fronti: documentare l'esistenza di un MOG efficacemente attuato (comma 2, che opera in funzione esimente automatica); oppure, se il MOG manca o è inadeguato, contestare il nesso causale fra la carenza e il fatto, dimostrando che il reato sarebbe stato comunque commesso anche con un'organizzazione perfetta (frequente nei reati dolosi del sottoposto che agisce contro le procedure).

L'art. 7 è il terreno principale dei reati di sicurezza sul lavoro ex art. 25-septies, perché le condotte rilevanti (omissione di presidi, mancata manutenzione, formazione carente) sono tipicamente del datore di lavoro, dirigente, preposto: tutti soggetti che, salvo i casi del datore di lavoro coincidente con il legale rappresentante, operano come «sottoposti» nel senso del 231 o sono in posizione intermedia. La doppia incidenza dell'art. 30 D.Lgs. 81/2008 (che richiede un sistema di gestione SSL idoneo a fini esimenti 231) e dell'art. 7 stesso impone alle imprese di costruire un modello SSL che soddisfi entrambi gli standard: l'OdV deve ricevere flussi informativi dal sistema SSL, e il sistema disciplinare deve sanzionare specificamente le inosservanze in materia di sicurezza. Analoghe esigenze valgono per i reati ambientali (art. 25-undecies, in coordinamento con i sistemi di gestione ISO 14001 e EMAS) e per i reati informatici (art. 24-bis, coordinato con il GDPR e il NIS 2).

Sul piano della delega di funzioni (art. 16 D.Lgs. 81/2008 per la sicurezza, principi generali di diritto penale per gli altri ambiti), la giurisprudenza richiede requisiti rigorosi: atto scritto e data certa, accettazione del delegato, autonomia decisionale e di spesa, competenza tecnica adeguata, pubblicità della delega. Una delega ben fatta non esonera l'ente, ma sposta i confini della «colpa di organizzazione»: l'omessa vigilanza si misura sul delegato (e sulle sue performance), non sull'attività delegata. La sub-delega è ammessa solo se prevista espressamente. Il datore di lavoro mantiene comunque obblighi non delegabili: valutazione dei rischi e designazione del RSPP (art. 17 D.Lgs. 81/2008). Per un'organizzazione complessa, l'architettura ottimale combina deleghe formali, procuratori speciali, codice etico, MOG 231, sistema SSL ex art. 30 D.Lgs. 81/2008 e procedure di whistleblowing in un unico framework di compliance integrata, sotto la supervisione di un OdV con poteri reali. Solo così l'art. 7 funziona come scudo e non come arma a doppio taglio.

Pronunce della Corte Costituzionale

Sentenza n. /

Consulta la pronuncia su www.cortecostituzionale.it

Domande frequenti

Qual è la differenza pratica fra art. 6 e art. 7?

La differenza centrale è l'onere probatorio. Nell'art. 6 (reato dell'apicale) l'ente «deve provare» quattro elementi cumulativi per evitare la condanna: adozione e attuazione del MOG, vigilanza dell'OdV, elusione fraudolenta del modello, assenza di omessa vigilanza. È un'inversione probatoria gravosa. Nell'art. 7 (reato del sottoposto), invece, l'accusa «deve provare» la colpa di organizzazione dell'ente, cioè l'inosservanza degli obblighi di direzione o vigilanza che ha reso possibile il reato. L'esistenza di un MOG idoneo e attuato (comma 2) opera come prova liberatoria automatica. Sul piano costruttivo, peraltro, il MOG che funziona per gli apicali funziona anche per i sottoposti: l'investimento difensivo si concentra in entrambi i casi sulla qualità del modello e dell'OdV.

Una delega di funzioni esonera l'ente da responsabilità 231?

No. La delega di funzioni ex art. 16 D.Lgs. 81/2008 (in materia di sicurezza, ma il principio è generale) trasferisce responsabilità penale sul delegato e protegge l'apicale-delegante; non incide sulla responsabilità dell'ente, che continua a rispondere ex art. 7 se il reato presupposto è commesso. Ciò che cambia è la «misura» della colpa di organizzazione: l'ente deve dimostrare di aver scelto un delegato competente, di averlo dotato di poteri e risorse adeguate, di averlo vigilato in modo proporzionato. Una delega «di facciata» (senza autonomia decisionale, senza budget, senza competenze) non solo non protegge l'apicale, ma aggrava la posizione dell'ente perché documenta un'organizzazione superficiale.

Cosa significa «efficacemente attuato» secondo il comma 4?

L'efficace attuazione richiede due elementi concreti: la verifica periodica con eventuale modifica del modello quando emergono violazioni significative o cambiano l'organizzazione/attività; un sistema disciplinare idoneo e «applicato». L'aggiornamento dinamico è essenziale: un MOG fermo a tre anni fa, in un settore evoluto (cyber, ESG, IA), è per definizione inadeguato. Il sistema disciplinare deve essere graduato, proporzionato, formalmente irrogato (provvedimenti documentati anche per sanzioni minori); la prassi giudiziaria penalizza i modelli che prevedono sanzioni rigorose ma poi mostrano «zero applicazioni» in anni di attività: segnale chiaro di modello «di carta». L'OdV deve documentare riunioni, audit, segnalazioni gestite, raccomandazioni al CdA.

L'art. 7 si applica anche ai consulenti esterni?

Sì, se il consulente è stabilmente inserito nell'organizzazione e privo di reale autonomia decisionale, agendo di fatto come un dipendente sottoposto alla direzione dell'ente. La giurisprudenza guarda al rapporto sostanziale, non al contratto formale: il consulente IT che opera da anni con badge aziendale, presenza quotidiana e gerarchia di riferimento è «sottoposto» ex art. 5 lett. b); il professionista esterno che riceve un incarico autonomo, lavora dal proprio studio e mantiene indipendenza tecnica non lo è. Per i fornitori della catena di subappalto valgono criteri analoghi: il MOG dovrebbe includere clausole 231 nei contratti, codice etico esteso, monitoraggio della catena, audit, in particolare nei settori a rischio corruzione, ambientale e SSL.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.