Responsabilità 231: il Modello Organizzativo non deve essere solo conforme, ma realmente efficace
Nel sistema della responsabilità amministrativa degli enti previsto dal D.Lgs. 231/2001, il Modello di Organizzazione, Gestione e Controllo rappresenta uno degli strumenti centrali per prevenire la commissione dei reati presupposto e per dimostrare l’impegno dell’azienda nella costruzione di un assetto organizzativo adeguato.
Tuttavia, la recente attenzione della giurisprudenza conferma un principio ormai sempre più chiaro: non è sufficiente adottare un Modello 231 formalmente corretto, se quel modello non è concretamente attuato, aggiornato, conosciuto e capace di prevenire i rischi specifici dell’ente.
In altri termini, il Modello 231 non può essere trattato come un semplice documento da conservare in azienda, né come un adempimento “di facciata” utile solo a dimostrare una generica attenzione alla compliance. Deve invece essere uno strumento vivo, operativo, verificabile e integrato nei processi aziendali.
Il principio: la forma non basta
Il D.Lgs. 231/2001 prevede che l’ente possa essere chiamato a rispondere per determinati reati commessi nel suo interesse o a suo vantaggio da soggetti apicali o da persone sottoposte alla loro direzione o vigilanza.
Il modello organizzativo può avere un ruolo decisivo nella difesa dell’ente, ma solo a determinate condizioni. In particolare, deve essere stato adottato ed efficacemente attuato prima della commissione del fatto, deve essere idoneo a prevenire reati della stessa specie di quello verificatosi, deve prevedere protocolli decisionali chiari, obblighi informativi verso l’Organismo di Vigilanza, un sistema disciplinare effettivo e strumenti di controllo realmente funzionanti.
Il punto centrale è proprio questo: l’idoneità del modello non si misura solo sulla carta, ma nella realtà aziendale.
Un modello può apparire completo dal punto di vista formale, contenere procedure, organigrammi, protocolli, richiami normativi e sistemi di controllo, ma risultare comunque inefficace se non viene applicato concretamente.
Il Modello 231 deve prevenire il rischio specifico
Uno degli aspetti più importanti riguarda la capacità del modello di intercettare il rischio specifico dell’organizzazione.
Ogni azienda ha una propria struttura, una propria attività, propri processi decisionali, propri fornitori, propri flussi finanziari, propri rapporti con la pubblica amministrazione, propri rischi in materia di sicurezza, ambiente, corruzione, riciclaggio, privacy, gestione del personale o rapporti commerciali.
Per questo motivo, un Modello 231 realmente efficace non può essere generico. Deve partire da una corretta analisi dei rischi e individuare le aree aziendali nelle quali potrebbero essere commessi i reati presupposto.
Un modello copiato, standardizzato o non aggiornato rispetto alla realtà dell’ente rischia di non offrire alcuna reale protezione. La giurisprudenza guarda sempre più alla sostanza: il modello esisteva davvero come sistema di prevenzione? Era conosciuto dai destinatari? Era applicato? L’Organismo di Vigilanza riceveva flussi informativi? Le anomalie venivano segnalate? Le procedure erano controllate? Le violazioni venivano sanzionate?
Se la risposta a queste domande è negativa, la sola presenza del documento potrebbe non essere sufficiente.
L’efficacia concreta come parametro di valutazione
Il concetto di efficacia concreta è fondamentale.
Un Modello 231 efficace deve dimostrare di incidere realmente sull’organizzazione aziendale. Questo significa che le procedure devono essere operative, i controlli devono essere tracciabili, le responsabilità devono essere definite, le segnalazioni devono essere gestite, gli aggiornamenti devono essere periodici e l’Organismo di Vigilanza deve poter svolgere una funzione effettiva, autonoma e documentata.
Non basta quindi affermare che l’azienda ha adottato un modello. Occorre dimostrare che quel modello ha prodotto comportamenti organizzativi coerenti.
Ad esempio, in materia di antiriciclaggio, non sarebbe sufficiente avere procedure formalmente conformi se poi non esistono controlli effettivi sui clienti, sui flussi finanziari, sulle operazioni sospette o sui soggetti coinvolti. Allo stesso modo, in materia di sicurezza sul lavoro, non basta richiamare procedure preventive se poi non vengono eseguite manutenzioni, controlli, formazione e verifiche sui rischi concreti.
La conformità normativa è il punto di partenza. L’efficacia concreta è il vero elemento decisivo.
Il ruolo dell’Organismo di Vigilanza
Un altro elemento essenziale riguarda l’Organismo di Vigilanza.
L’OdV non deve essere una figura meramente nominale. Deve avere autonomi poteri di iniziativa e controllo, ricevere informazioni, svolgere verifiche, verbalizzare le attività, segnalare criticità e stimolare l’aggiornamento del modello quando emergono nuove esigenze.
Un Organismo di Vigilanza inattivo, privo di flussi informativi o non coinvolto nei processi sensibili rischia di indebolire l’intero sistema 231.
Anche in questo caso, ciò che conta è la dimostrazione documentale dell’attività svolta. Verbali, audit, richieste di chiarimento, report, segnalazioni, piani di miglioramento e aggiornamenti periodici rappresentano elementi utili per dimostrare che il modello non è rimasto fermo, ma è stato effettivamente presidiato.
La colpa di organizzazione
Nel sistema 231 assume particolare importanza il concetto di “colpa di organizzazione”.
L’ente non risponde automaticamente per il solo fatto che sia stato commesso un reato da una persona fisica collegata all’organizzazione. È necessario verificare se quel reato sia stato reso possibile o agevolato da una carenza organizzativa rimproverabile all’ente.
Questa carenza può consistere, ad esempio, nella mancanza di controlli, nell’assenza di procedure, nella mancata formazione, nella tolleranza di prassi scorrette, nell’inerzia dell’Organismo di Vigilanza, nell’assenza di un sistema disciplinare o nella mancata valutazione di rischi specifici.
Il Modello 231 serve proprio a prevenire questa contestazione, ma per farlo deve essere effettivo. Un documento formalmente corretto ma non applicato potrebbe non essere sufficiente a escludere la colpa di organizzazione.
MOG 231 e whistleblowing: un sistema sempre più integrato
Dopo l’attuazione della normativa whistleblowing, i modelli organizzativi devono dialogare sempre di più con i canali di segnalazione interna, il divieto di ritorsione e i sistemi disciplinari.
Questo aspetto è molto rilevante perché il canale di segnalazione può diventare uno strumento concreto di prevenzione. Attraverso le segnalazioni interne, l’ente può intercettare anomalie, condotte irregolari, violazioni procedurali o rischi prima che si traducano in eventi più gravi.
Anche qui, però, vale lo stesso principio: non basta avere un canale formalmente attivato. Occorre che sia accessibile, riservato, correttamente gestito e conosciuto dai destinatari. Devono essere chiari i ruoli, le responsabilità, i tempi di gestione, le tutele del segnalante e i rapporti con l’Organismo di Vigilanza o con gli altri soggetti preposti.
Un sistema whistleblowing ben strutturato può rafforzare il Modello 231, perché contribuisce a rendere effettivo il presidio sui rischi organizzativi.
Cosa dovrebbero fare concretamente le aziende
Alla luce di questi principi, le aziende dovrebbero evitare di considerare il Modello 231 come un documento statico.
È opportuno verificare periodicamente alcuni aspetti fondamentali:
- il modello è aggiornato rispetto alla struttura aziendale attuale?
- l’analisi dei rischi tiene conto delle attività realmente svolte?
- i protocolli sono applicati nella pratica?
- i dipendenti e i collaboratori conoscono le procedure?
- l’Organismo di Vigilanza riceve informazioni adeguate?
- le attività di controllo vengono documentate?
- le violazioni del modello vengono effettivamente sanzionate?
- il canale whistleblowing è integrato nel sistema di controllo interno?
- sono previsti momenti di formazione periodica?
- esiste una tracciabilità delle decisioni nelle aree a rischio?
Queste domande aiutano a comprendere se il sistema 231 sia solo formale oppure realmente operativo.
Conclusione
Il messaggio che emerge con sempre maggiore chiarezza è che il Modello 231 non può essere ridotto a un adempimento documentale.
Per essere utile, deve vivere dentro l’organizzazione. Deve essere costruito sulla realtà dell’ente, aggiornato nel tempo, conosciuto dai destinatari, controllato dall’Organismo di Vigilanza e collegato a procedure effettive.
La responsabilità 231 non si previene con un fascicolo ben scritto, ma con un sistema organizzativo capace di individuare i rischi, governare i processi e reagire alle anomalie.
Per le imprese, questo significa passare da una logica di conformità apparente a una logica di prevenzione sostanziale. Il Modello 231 deve poter dimostrare, nei fatti, di essere uno strumento concreto di controllo, prevenzione e contrasto delle condotte illecite.
Il presente articolo ha finalità informative e divulgative e non costituisce parere legale. La valutazione dell’idoneità di un Modello 231, della corretta gestione dei canali whistleblowing e della responsabilità dell’ente richiede sempre un’analisi specifica del caso concreto da parte di professionisti qualificati.



Commento all'articolo