Con ciò che segue intendiamo insistere sulla necessità per micro, piccole imprese e società professionali di affrontare in modo organico tutto quello che concerne la gestione del rischio. La gestione del rischio è l’unico strumento che può salvare l’attività, migliorare la performance e creare valore. BSI Cunsulting.
Modelli 231 non aggiornati, generici e poco conosciuti: le prassi bocciate dai giudici
Senza valutazioni del rischio specifiche e adeguate non sono idonei a prevenire i reati
Le sentenze censurano anche la mancanza di formazione del personale
«Ce l’abbiamo la certificazione 231?»: questa, nelle piccole aziende, è la classica domanda posta dall’amministratore incalzato sul tema della compliance. Il Modello di organizzazione, gestione e controllo previsto dal Dlgs 231/2001 dovrebbe essere il principale presidio di mitigazione del rischio reato, ma nella realtà di molte imprese italiane, soprattutto Pmi, si mostra piuttosto come un adempimento statico, autoreferenziale, più utile a esibire che a prevenire. Sono molte le prassi seguite nella compliance 231 e sanzionate dai giudici, che non solo vanificano gli effetti esimenti del Modello, ma spesso diventano esse stesse un fattore di rischio. Il Modello organizzativo, in molte aziende italiane, viene adottato perché «serve per partecipare a gare pubbliche» o «perché ce l’ha chiunque». Ma senza contenuto un sostanziale esso è non solo inutile, ma pericoloso, perché crea disorganizzazione e confusione. L’obiettivo non è quello di moltiplicare i documenti, ma di rendere il Modello vivo, integrato, conosciuto, operativo, con la stessa lucidità con cui l’impresa si preoccupa del bilancio o del marketing. La “cultura 231”, quella vera, comincia proprio dove finiscono le “worst practice” [peggiore pratica].
I modelli Redatto copiando da altri settori o da documenti rinvenuti online, il Modello “copia & incolla” resta immutato per anni: nessuna personalizzazione, nessun riferimento all’attività concreta dell’ente. Spesso contiene reati non pertinenti e ignora quelli realmente rilevanti. Il risk assesment è generico, formale o del tutto assente, manca una mappatura dei processi e il coinvolgimento delle funzioni operative. La Cassazione ha invece chiarito che è necessario identificare i processi a rischio e personalizzare il modello su rischi specifici (sentenza 21704/2023).
Spesso, protocolli e procedure si riducono inoltre a un vacuo elenco di principi generali, senza responsabilità definite, senza tracciabilità, senza integrazione con i processi realmente esistenti. E soprattutto senza individuazione dei compiti: i protocolli sembrano così più linee guida educative che strumenti di prevenzione (Tribunale di Milano, sentenza 10748/2021).
Altro problema frequente è la mancata previsione di audit di verifica sull’attuazione del modello e sulla sua attualità (va aggiornato dopo mutamenti organizzativi, innovazione di processi o prodotti). Oppure le verifiche, seppur previste, rimangono sulla carta e non vengono effettuati controlli, azione correttive e relazioni ai vertici. Capita inoltre che il Modello sia totalmente scollegato dai sistemi di gestione (ad esempio qualità, sicurezza, ambiente) implementati all’interno dell’impresa e dalle procedure e istruzioni operative che lo compendiano e che a volte risultano in contrasto con le prescrizioni del Modello stesso.
C’è poi la questione della formazione del personale. Il Modello è spesso sconosciuto dall’organico, che non sa della sua esistenza e non ha ricevuto alcuna informazione e formazione. I protocolli non sono divulgati e conosciuti fra tutti i soggetti che ne sono destinatari (Tribunale di Milano, sentenza 1070/2024).
Gli organi di vigilanza
Nel mondo delle worst practice esistono poi due tipologie di organismi di vigilanza censurati entrambi dalla Cassazione. Da un lato quelli di “comodo” o “di facciata”, nominati tra i consulenti storici, amici e parenti, privi di autonomia e budget, con compensi risibili e nessun accesso ai flussi informativi, magari con la medesima composizione per tutte le società del gruppo. Dall’altro quelli “iperattivi”, chiamati a esprimere pareri, concedere autorizzazioni e rilasciare approvazioni (talvolta persino del Modello) e, perché no, ad aggiornare direttamente il Modello stesso.
Articolo di Sandro Guerra – Il Sole 24 Ore 25 agosto 2025