Testo dell'articoloVigente

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

In sintesi: il D.Lgs. 231/2001 ha introdotto in Italia la responsabilità amministrativa (di fatto para-penale) delle società e degli enti per una serie di reati commessi nel loro interesse o vantaggio da soggetti apicali o sottoposti. L’ente può andare esente da responsabilità solo se dimostra di aver adottato ed efficacemente attuato, prima della commissione del reato, un Modello di Organizzazione, Gestione e Controllo (MOG) idoneo a prevenire reati di quella specie, vigilato da un Organismo di Vigilanza (OdV) autonomo. Le sanzioni vanno da quelle pecuniarie “per quote” (da 100 a 1.000 quote, con valore della singola quota da circa 258 a 1.549 euro) fino alle sanzioni interdittive, alla confisca e alla pubblicazione della sentenza. Il Modello 231 non è formalmente obbligatorio per legge generale, ma è diventato un obbligo di fatto per chi partecipa ad appalti pubblici, punta al rating di legalità o deve gestire il whistleblowing.

Cos’è la responsabilità amministrativa degli enti

Il Decreto Legislativo 8 giugno 2001, n. 231 ha rotto con un principio storico del diritto penale italiano, riassunto nel brocardo societas delinquere non potest (la società non può commettere reati). Prima del 2001 rispondeva penalmente solo la persona fisica autrice materiale del fatto; l’ente, al massimo, subiva conseguenze civili o sanzioni amministrative minori. Con il D.Lgs. 231/2001 lo Stato ha creato un sistema in cui anche la società risponde in proprio quando il reato è stato commesso nel suo interesse o a suo vantaggio.

La natura di questa responsabilità è discussa: il legislatore l’ha chiamata “amministrativa”, ma l’accertamento avviene davanti al giudice penale, nello stesso procedimento in cui si giudica la persona fisica, con le garanzie del processo penale. Per questo la dottrina la definisce comunemente para-penale o “tertium genus”: formalmente amministrativa, sostanzialmente penale. La conseguenza pratica per l’imprenditore è pesante: l’azienda diventa essa stessa imputata.

A chi si applica

Il decreto si applica agli enti forniti di personalità giuridica e alle società e associazioni anche prive di personalità giuridica. Rientrano quindi le S.p.A., le S.r.l. (comprese le S.r.l.s. e le PMI), le società di persone, le cooperative, i consorzi, le fondazioni e le associazioni. Sono espressamente esclusi lo Stato, gli enti pubblici territoriali, gli altri enti pubblici non economici e gli enti che svolgono funzioni di rilievo costituzionale.

Un equivoco diffuso è che la 231 riguardi solo le grandi imprese: non è così. La responsabilità sorge a prescindere dalle dimensioni. Una piccola S.r.l. risponde esattamente come una multinazionale; cambia solo la complessità del Modello, che va calibrato sulla realtà concreta dell’azienda.

I reati presupposto: quali reati “attivano” la 231

L’ente non risponde per qualsiasi reato, ma solo per quelli espressamente elencati nel decreto, i cosiddetti reati presupposto. Il catalogo nasce ristretto nel 2001 (reati contro la Pubblica Amministrazione e frodi ai danni dello Stato) e si è progressivamente ampliato con decine di interventi, diventando un elenco molto esteso. Le famiglie principali oggi sono:

Reati contro la Pubblica Amministrazione (artt. 24 e 25): corruzione, concussione, indebita percezione di erogazioni, peculato, traffico di influenze, turbata libertà degli incanti. Sono il nucleo storico del decreto.
Reati societari (art. 25-ter): false comunicazioni sociali (falso in bilancio), illecite operazioni sul capitale, corruzione tra privati, ostacolo alle funzioni di vigilanza.
Sicurezza sul lavoro (art. 25-septies): omicidio colposo e lesioni gravi o gravissime commessi con violazione delle norme antinfortunistiche e di tutela della salute. È una delle aree più rilevanti per l’impresa manifatturiera ed edile.
Reati ambientali (art. 25-undecies): inquinamento e disastro ambientale, gestione illecita di rifiuti, scarichi non autorizzati.
Reati tributari (art. 25-quinquiesdecies): introdotti dalla L. 157/2019 (di conversione del D.L. 124/2019) e poi ampliati. Comprendono ad esempio la dichiarazione fraudolenta mediante fatture per operazioni inesistenti e l’emissione di tali fatture.
Ricettazione, riciclaggio e autoriciclaggio (art. 25-octies).
Delitti informatici e trattamento illecito di dati (art. 24-bis): accesso abusivo a sistemi, frode informatica, danneggiamento di dati — l’area “cyber” sempre più centrale.
Altre famiglie: delitti di criminalità organizzata, falsità in monete e strumenti di pagamento, reati con finalità di terrorismo, market abuse, ricettazione di prodotti con segni falsi, delitti contro la personalità individuale, impiego di cittadini di Paesi terzi irregolari.

Focus: i reati tributari (verificato)

L’ingresso dei reati tributari nel catalogo è una delle novità più importanti degli ultimi anni e va conosciuta con precisione. L’art. 25-quinquiesdecies è stato inserito nel D.Lgs. 231/2001 dal D.L. 26 ottobre 2019 n. 124, convertito con la Legge 19 dicembre 2019 n. 157. La versione originaria copriva alcuni reati del D.Lgs. 74/2000 (in particolare dichiarazione fraudolenta mediante fatture per operazioni inesistenti, dichiarazione fraudolenta mediante altri artifici, emissione di fatture per operazioni inesistenti, occultamento o distruzione di scritture contabili, sottrazione fraudolenta al pagamento di imposte).

La disciplina è stata poi ritoccata due volte: il D.Lgs. 75/2020 (attuazione della direttiva PIF) ne ha esteso e inasprito la portata; un successivo intervento del 2022 ha aggiunto ulteriori fattispecie, ampliando ancora il perimetro fino a coprire quasi tutte le previsioni del D.Lgs. 74/2000, con poche eccezioni (tipicamente l’omesso versamento di ritenute e di IVA). La lezione operativa: un Modello 231 redatto prima del 2020 che non contempli la parte speciale “reati tributari” è oggi obsoleto e va aggiornato.

Il Modello di Organizzazione, Gestione e Controllo (MOG)

Il MOG è il cuore del sistema 231: è l’insieme di regole, procedure e controlli che l’ente adotta per prevenire i reati presupposto. Non è un documento standard scaricabile e firmato: un Modello “copia-incolla”, non calato sulla realtà aziendale, è sistematicamente bocciato dai giudici come inidoneo. L’art. 6 del decreto indica i requisiti che il Modello deve possedere:

Risk assessment (mappatura dei rischi): individuare le attività aziendali nel cui ambito possono essere commessi i reati. È il passo preliminare e più delicato: senza una mappatura seria dei processi a rischio, il Modello è cieco.
Protocolli decisionali: definire procedure specifiche per la formazione e l’attuazione delle decisioni dell’ente nelle aree a rischio (chi autorizza, chi controlla, con quali soglie).
Gestione delle risorse finanziarie: individuare modalità di gestione dei flussi idonee a impedire la commissione dei reati (separazione dei poteri, tracciabilità).
Codice etico: il documento che enuncia i valori e i principi di comportamento dell’ente, base “costituzionale” del Modello.
Sistema disciplinare: sanzioni interne idonee a punire il mancato rispetto delle misure del Modello. È un requisito esplicito: senza sistema disciplinare il Modello non è “attuato”.
Obblighi informativi verso l’OdV e formazione del personale.

La differenza decisiva, ribadita dalla giurisprudenza, è tra Modello adottato (esiste sulla carta) e Modello efficacemente attuato (vive nell’azienda, con formazione, controlli reali, aggiornamenti). Solo il secondo ha valore esimente.

L’Organismo di Vigilanza (OdV)

Il Modello, da solo, non basta: l’art. 6 richiede che la vigilanza sul suo funzionamento e l’aggiornamento sia affidata a un Organismo di Vigilanza dotato di autonomi poteri di iniziativa e controllo.

Composizione e requisiti

L’OdV può essere monocratico o collegiale. I requisiti irrinunciabili, elaborati dalla prassi e dalle linee guida di categoria, sono tre:

Autonomia e indipendenza: l’OdV non deve essere in posizione subordinata rispetto al management che deve controllare; va collocato in posizione di staff ai vertici, senza compiti operativi.
Professionalità: deve possedere competenze tecniche (giuridiche, contabili, di organizzazione aziendale, di sicurezza) adeguate ai rischi dell’ente.
Continuità di azione: deve vigilare in modo costante, non episodico.

Nelle società di piccole dimensioni l’art. 6 consente che i compiti dell’OdV siano svolti direttamente dall’organo dirigente; nelle società di capitali il collegio sindacale, il consiglio di sorveglianza o il comitato per il controllo della gestione possono svolgere le funzioni dell’OdV.

Poteri e flussi informativi

L’OdV verifica l’adeguatezza e l’effettiva attuazione del Modello, ne propone l’aggiornamento, svolge audit e riceve i flussi informativi: comunicazioni periodiche dalle funzioni aziendali e segnalazioni su anomalie o violazioni. Con la riforma del whistleblowing, l’OdV è spesso individuato come destinatario o gestore del canale di segnalazione interna.

L’efficacia esimente: quando il Modello salva l’ente

Qui sta il senso economico dell’intera 231: il Modello idoneo ed efficacemente attuato può esonerare l’ente dalla responsabilità. Il decreto distingue però due regimi in base a chi commette il reato, e la differenza sull’onere della prova è cruciale.

Reati commessi da soggetti apicali (art. 6)

Quando il reato è commesso da chi riveste posizioni di vertice (amministratori, direttori, chi esercita di fatto gestione e controllo), scatta una sostanziale inversione dell’onere della prova a carico dell’ente. Per andare esente, è la società a dover provare che:

l’organo dirigente aveva adottato ed efficacemente attuato, prima del fatto, un Modello idoneo a prevenire reati della specie verificatasi;
la vigilanza era affidata a un OdV con autonomi poteri di iniziativa e controllo;
le persone hanno commesso il reato eludendo fraudolentemente il Modello;
non vi è stata omessa o insufficiente vigilanza da parte dell’OdV.

Tutti e quattro i requisiti devono ricorrere: è una prova difficile, perché l’ente deve dimostrare che il vertice ha “aggirato con frode” un presidio per il resto funzionante.

Reati commessi da sottoposti (art. 7)

Quando il reato è commesso da soggetti sottoposti all’altrui direzione, il regime è più favorevole all’ente: la responsabilità sorge solo se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza. E tale inosservanza è esclusa se l’ente, prima del fatto, ha adottato ed efficacemente attuato un Modello idoneo. Qui, in sostanza, l’onere di provare il deficit organizzativo grava sull’accusa.

La colpa di organizzazione

Il concetto che tiene insieme il sistema è la colpa di organizzazione: l’ente non è punito per il fatto altrui in sé, ma per non essersi dato un’organizzazione idonea a prevenirlo. Il Modello è lo strumento con cui l’ente dimostra di non essere in colpa organizzativa.

Le sanzioni (dati verificati)

Il sistema sanzionatorio della 231 è articolato su quattro tipi di misure.

Sanzioni pecuniarie “per quote” (art. 10)

Si applicano sempre, in caso di condanna. Il meccanismo è a due fattori: il giudice fissa prima il numero di quote (da un minimo di 100 a un massimo di 1.000), in base alla gravità del fatto e al grado di responsabilità dell’ente; poi fissa il valore della singola quota (da un minimo di circa 258 euro a un massimo di circa 1.549 euro), in base alle condizioni economiche e patrimoniali dell’ente. La sanzione è il prodotto dei due. Ne deriva, in linea teorica, un range che parte da circa 25.800 euro e può superare 1,5 milioni di euro. Per i casi di riduzione previsti dall’art. 12 il valore della quota è ridotto. Il doppio binario consente al giudice di calibrare la sanzione sia sulla gravità del reato sia sulla capacità economica della società.

Sanzioni interdittive (art. 9)

Sono le più temute perché colpiscono l’operatività. Comprendono: l’interdizione dall’esercizio dell’attività; la sospensione o revoca di autorizzazioni, licenze o concessioni; il divieto di contrattare con la Pubblica Amministrazione; l’esclusione da agevolazioni, finanziamenti e contributi e l’eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni o servizi. Si applicano solo per i reati per cui sono espressamente previste e al ricorrere di presupposti specifici. A titolo di esempio verificato, per l’omicidio colposo aggravato di cui all’art. 25-septies, in caso di condanna le interdittive dell’art. 9 comma 2 si applicano per una durata non inferiore a tre mesi e non superiore a un anno.

Confisca (art. 19) e pubblicazione della sentenza (art. 18)

La confisca del prezzo o del profitto del reato è sempre disposta con la sentenza di condanna ed è particolarmente insidiosa: secondo la ricostruzione consolidata consegue alla condanna anche quando l’ente avesse evitato la sanzione pecuniaria, ed è ammessa per equivalente. La pubblicazione della sentenza di condanna può essere disposta quando è applicata una sanzione interdittiva, con un evidente danno reputazionale.

Quando conviene (o “serve”) adottare il Modello

Non esiste un obbligo generale di legge di dotarsi del Modello 231: chi non lo adotta non commette di per sé un illecito. Esiste però un fortissimo obbligo di fatto, perché in moltissime situazioni il Modello è il presupposto per operare o per evitare conseguenze gravi:

Appalti e contratti con la PA: i committenti pubblici (e molti privati nei capitolati) richiedono o premiano l’adozione del Modello 231; la sua assenza può precludere la partecipazione o penalizzare il punteggio.
Rating di legalità: l’adozione del Modello e dell’OdV concorre all’attribuzione del rating gestito dall’Autorità Garante della Concorrenza e del Mercato, che dà vantaggi su accesso al credito e contributi pubblici.
Whistleblowing (verificato): il D.Lgs. 24/2023, attuativo della direttiva UE 2019/1937, collega strettamente i canali di segnalazione al Modello 231. I MOG di cui all’art. 6, comma 1, lett. a) del D.Lgs. 231/2001 devono prevedere i canali di segnalazione interna, il divieto di ritorsione e un sistema disciplinare. Avere già un Modello 231 facilita enormemente l’adempimento.
Difesa dell’azienda: è l’unico strumento che può esonerare l’ente dalla responsabilità e che, anche quando non esonera, mitiga le sanzioni e dimostra la diligenza dell’organo amministrativo (riducendo i profili di responsabilità degli amministratori verso la società).

Casi pratici

Caso 1 — corruzione del responsabile commerciale. Tizio, direttore commerciale di Alfa S.r.l., per aggiudicarsi una commessa pubblica corrompe un funzionario. Alfa aveva adottato un Modello 231 idoneo, con procedure stringenti sui rapporti con la PA, un OdV attivo e un sistema disciplinare reale. In dibattimento Alfa dimostra che Tizio ha aggirato con frode i protocolli (ad esempio falsificando i flussi autorizzativi) e che l’OdV aveva vigilato. Ricorrendo tutti i requisiti dell’art. 6, l’ente può andare esente, mentre Tizio risponde personalmente.

Caso 2 — Modello solo sulla carta. Beta S.p.A. ha un Modello scaricato da un fac-simile, mai aggiornato dopo l’ingresso dei reati tributari del 2019-2020, con un OdV che non si è mai riunito. Caio, dipendente amministrativo, registra fatture per operazioni inesistenti. Qui il Modello non è “efficacemente attuato”: manca la parte speciale tributaria, l’OdV è inerte. Beta non beneficia dell’esimente e rischia sanzione pecuniaria per quote, eventuali interdittive e confisca del profitto.

Dubbi specifici e ricorrenti

Se il reato non porta vantaggio all’azienda, l’ente risponde lo stesso?

Il presupposto è che il reato sia commesso nell’interesse o a vantaggio dell’ente. Se l’autore ha agito nell’interesse esclusivo proprio o di terzi, la responsabilità dell’ente è esclusa. Attenzione però: nei reati colposi (es. sicurezza sul lavoro) l’interesse/vantaggio si individua tipicamente nel risparmio di costi o di tempo ottenuto violando le norme, non nell’evento dannoso in sé.

L’OdV può coincidere con il collegio sindacale?

Sì: l’art. 6 prevede espressamente che nelle società di capitali le funzioni dell’OdV possano essere svolte dal collegio sindacale, dal consiglio di sorveglianza o dal comitato per il controllo della gestione. Resta il nodo pratico dell’indipendenza e della disponibilità di tempo e competenze specifiche 231.

Adottare il Modello dopo che il reato è già stato commesso serve a qualcosa?

Ai fini dell’esimente conta il Modello adottato prima del fatto. Tuttavia il decreto valorizza le condotte riparatorie post-fatto: l’adozione e attuazione di un Modello idoneo prima dell’apertura del dibattimento, unita al risarcimento del danno e all’eliminazione delle conseguenze, può evitare l’applicazione delle sanzioni interdittive e ridurre quelle pecuniarie.

Una holding risponde per il reato commesso nella controllata?

La responsabilità è dell’ente nel cui interesse/vantaggio il reato è commesso. La capogruppo può rispondere quando il reato sia stato commesso anche nel suo interesse concreto e vi sia un coinvolgimento qualificato di soggetti della holding; non basta il mero rapporto di controllo societario. È una delle aree più delicate e va valutata caso per caso.

In conclusione

La responsabilità 231 ha trasformato la compliance da costo “facoltativo” a presidio strategico: il Modello idoneo ed efficacemente attuato è insieme scudo difensivo, requisito di mercato (appalti, rating, whistleblowing) e strumento di tutela degli amministratori. La sua efficacia dipende dalla qualità della mappatura dei rischi, dalla vitalità dell’OdV e dall’aggiornamento costante del catalogo dei reati presupposto, che continua a crescere. Per ogni decisione concreta — soprattutto in presenza di un procedimento in corso — resta indispensabile il supporto di un professionista specializzato.

Hai un caso concreto?

Questa guida spiega la regola.
Per applicarla alla tua situazione, scrivici.

Richiedi una consulenza →

Serve un parere sul tuo caso concreto?

Questa guida spiega la regola generale, ma ogni situazione ha le sue specificità. Per un controllo sul tuo caso puoi trovare un professionista tramite Legge in Chiaro.

A cura di

Andrea Marton — Dottore in Economia e Finanza, praticante commercialista

Fondatore e responsabile editoriale di Legge in Chiaro, portale di divulgazione giuridica e fiscale gratuita su 101 testi e codici italiani. I contenuti sono curati e rivisti da un team di laureati in economia; hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →

Informazione giuridica di carattere generale. Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.

Modello 231 e responsabilità degli enti: guida operativa