Il D.Lgs. 231/2001 è probabilmente la norma italiana più citata nei consigli di amministrazione e meno compresa nella sua applicazione pratica. Chi lavora sulla compliance conosce il meccanismo: l'azienda risponde — con sanzioni anche molto pesanti — per i reati commessi nel suo interesse da persone al suo interno. Ma trasformare questa consapevolezza in un sistema di prevenzione efficace è un'altra storia. Quello che ho osservato lavorando con aziende di varie dimensioni è che il Modello 231 e i sistemi di gestione ISO sono molto più complementari di quanto si pensi: condividono logiche, strumenti e obiettivi. Integrarli riduce i costi, evita duplicazioni e produce un sistema di controllo che funziona davvero.
Il D.Lgs. 231/2001 in 5 minuti: responsabilità amministrativa degli enti
Il decreto, entrato in vigore il 4 luglio 2001, ha introdotto un principio rivoluzionario per il sistema giuridico italiano: anche le persone giuridiche — società, associazioni, enti pubblici economici — possono rispondere degli illeciti commessi nel loro interesse da chi le dirige, le controlla o è sottoposto alla loro vigilanza. Prima del 231 il principio "societas delinquere non potest" era intoccabile: solo le persone fisiche potevano essere imputate.
Le sanzioni sono di due tipi. Le sanzioni pecuniarie si calcolano per quote (da 100 a 1.000 quote, con ogni quota tra 258 e 1.549 euro): possono superare 1,5 milioni di euro. Le sanzioni interdittive sono potenzialmente ancora più gravi: sospensione o revoca di autorizzazioni, divieto di contrattare con la pubblica amministrazione, esclusione da contributi pubblici, divieto di pubblicizzare beni o servizi. In alcuni casi il giudice può applicare l'amministrazione giudiziaria — il commissariamento dell'azienda. Per una PMI, queste conseguenze possono essere letali.
L'unica via per escludere o ridurre la responsabilità dell'ente è l'adozione e l'efficace attuazione di un Modello di Organizzazione, Gestione e Controllo (MOG) idoneo a prevenire i reati della specie di quello verificatosi. Non basta adottarlo formalmente: deve essere realmente efficace.
Modello organizzativo 231 e sistemi ISO: dove si incontrano
Il MOG si articola in una Parte Generale — che descrive il framework complessivo, il Codice Etico, il ruolo dell'OdV e il sistema disciplinare — e in Parti Speciali, ciascuna dedicata a una categoria di reati presupposto. Ogni Parte Speciale descrive i reati rilevanti, le attività aziendali a rischio, i protocolli preventivi e i controlli implementati.
Qui emerge la prima e più importante sinergia con le certificazioni ISO: ISO 14001, ISO 45001, ISO 37001 e ISO 27001 sono sistemi di gestione strutturati che definiscono politiche, processi, controlli e registrazioni esattamente per quelle aree che il MOG deve presidiare nelle sue Parti Speciali. Invece di costruire da zero i protocolli della Parte Speciale ambiente, sicurezza o anticorruzione, un'azienda certificata ISO può integrare i controlli già implementati e verificati nel proprio sistema di gestione.
I punti di contatto strutturali sono evidenti: entrambi i sistemi richiedono un'analisi dei rischi, la definizione di controlli proporzionati al rischio, la formazione del personale, il monitoraggio continuo e la verifica periodica attraverso audit. Il sistema di audit interno ISO fornisce all'OdV uno strumento di verifica indipendente sull'effettivo funzionamento dei controlli. I risultati degli audit, le non conformità rilevate e le azioni correttive sono informazioni preziose per l'OdV nella sua attività di vigilanza.
ISO 37001 (anticorruzione) e reati presupposto 231
ISO 37001:2016 — "Sistemi di gestione per la prevenzione della corruzione" — è la norma specifica per la prevenzione della corruzione. Nella struttura del MOG è il riferimento per la Parte Speciale sui reati contro la pubblica amministrazione (artt. 24 e 25 del D.Lgs. 231/2001): corruzione attiva e passiva, concussione, induzione indebita, corruzione tra privati, traffico di influenze internazionale.
ISO 37001 richiede: una valutazione del rischio corruttivo specifica per l'organizzazione; controlli anticorruzione proporzionati al rischio; procedure di due diligence sui soggetti terzi (agenti, consulenti, partner); politiche per doni, ospitalità e contributi; canali di segnalazione (whistleblowing); formazione specifica per il personale esposto. Tutti elementi che una Parte Speciale ben costruita del MOG deve contemplare.
La certificazione ISO 37001 di terza parte fornisce all'OdV e ai terzi interessati — magistratura, autorità di vigilanza, clienti — la prova che il sistema anticorruzione è stato verificato da un organismo indipendente e accreditato. In diversi procedimenti giudiziari italiani, la presenza di un sistema certificato ISO 37001 è stata considerata un elemento di valutazione positiva dell'adeguatezza del MOG, pur non costituendo automaticamente un'esimente.
ISO 45001 (sicurezza) e reati di omicidio colposo / lesioni
L'art. 25-septies del D.Lgs. 231/2001 prevede la responsabilità dell'ente per i reati di omicidio colposo e lesioni personali colpose gravi o gravissime commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro. È una delle norme più applicate nella giurisprudenza 231, con sentenze di grande rilievo che hanno coinvolto aziende di ogni settore.
ISO 45001:2018 è il riferimento naturale per la Parte Speciale "Reati in materia di sicurezza sul lavoro". Il sistema prevede: l'identificazione dei pericoli e la valutazione dei rischi (il DVR previsto dal D.Lgs. 81/2008 si integra naturalmente con il risk assessment ISO 45001); la definizione di controlli operativi per i rischi non eliminabili; la gestione delle emergenze; la formazione e la consapevolezza del personale; l'analisi di infortuni e quasi-infortuni; l'audit interno periodico.
La sinergia con il D.Lgs. 81/2008 è particolarmente forte: molti requisiti ISO 45001 coincidono con gli obblighi del Testo Unico Sicurezza. Un'azienda che ha implementato ISO 45001 ha già ottemperato a molti obblighi di legge e questi adempimenti costituiscono la base dei protocolli della Parte Speciale 231 sulla sicurezza. La giurisprudenza 231 ha riconosciuto che un sistema di gestione della sicurezza strutturato e verificato da terzi è un elemento rilevante nel valutare l'adeguatezza del MOG.
ISO 14001 (ambiente) e reati ambientali
Il D.Lgs. 121/2011 ha esteso il catalogo dei reati presupposto 231 ai reati ambientali, successivamente ampliati dalla legge n. 68/2015. I reati rilevanti comprendono: inquinamento ambientale (art. 452-bis c.p.), disastro ambientale (art. 452-quater c.p.), delitti colposi contro l'ambiente (art. 452-quinquies c.p.), omessa bonifica (art. 452-terdecies c.p.) e alcune violazioni del Testo Unico Ambiente.
ISO 14001:2015 è il riferimento naturale per la Parte Speciale "Reati Ambientali" del MOG. Il sistema prevede: l'identificazione degli aspetti ambientali significativi; la valutazione del rispetto delle prescrizioni legali applicabili; la gestione operativa dei processi con impatto ambientale; il monitoraggio dei parametri ambientali critici; la gestione delle emergenze ambientali; l'audit interno periodico.
Un'azienda che ha implementato e certificato ISO 14001 ha già costruito la struttura di base della propria Parte Speciale ambiente. Il lavoro residuo per il MOG consiste nell'analizzare se i controlli ISO 14001 sono adeguati anche rispetto ai reati presupposto 231 specifici — non solo agli impatti ambientali in senso lato — e nell'aggiungere eventuali controlli specifici dove necessario.
ISO 27001 (cyber) e reati informatici
Il D.Lgs. 231/2001 include nel catalogo dei reati presupposto anche i reati informatici (art. 24-bis): accesso abusivo a sistemi informatici, intercettazione di comunicazioni, danneggiamento di sistemi informatici, frodi informatiche. Con la crescente digitalizzazione e la moltiplicazione degli attacchi cyber, questa Parte Speciale ha acquisito rilevanza crescente.
ISO/IEC 27001 fornisce per la Parte Speciale "Reati Informatici" il framework di controllo più completo disponibile. Il sistema richiede: l'identificazione degli asset informativi critici; la valutazione dei rischi per la sicurezza delle informazioni; l'implementazione di controlli di sicurezza proporzionati al rischio (l'Annex A elenca 93 controlli organizzati in 4 temi); la gestione degli incidenti di sicurezza; la verifica periodica attraverso audit interni.
I controlli relativi alla gestione degli accessi, alla crittografia, alla sicurezza fisica e logica dei sistemi, al monitoraggio delle attività e alla gestione degli incidenti sono direttamente rilevanti per la prevenzione dei reati informatici presupposto 231. Da non trascurare: ISO 27001 si applica anche alla supply chain — i rischi informatici derivanti da fornitori cloud, partner con accesso ai propri sistemi, outsourcer IT — una prospettiva coerente con la logica 231 che valuta il sistema di controllo in modo olistico.
L'OdV (Organismo di Vigilanza) e i sistemi ISO: sinergie operative
L'Organismo di Vigilanza ha il compito di vigilare sull'effettivo funzionamento del MOG, verificarne l'adeguatezza e proporne l'aggiornamento. Deve avere autonomia, indipendenza, professionalità e continuità d'azione. Per le PMI, il legislatore ha previsto una semplificazione: le funzioni dell'OdV possono essere svolte direttamente dall'organo dirigente, purché non abbia commesso il reato né ne abbia tratto vantaggio.
Il rapporto tra OdV e sistemi di gestione ISO è di mutuo supporto. L'OdV può mandatare audit interni specifici su processi o aree a rischio particolari, arricchendo il programma di audit del sistema integrato. Una OdV consapevole richiede che il programma di audit interno copra le aree identificate come critiche nella mappatura dei rischi 231: la mappatura informa il programma di audit; i risultati degli audit alimentano il riesame del MOG.
La distinzione cruciale che la giurisprudenza fa è tra MOG formalmente adottato e MOG efficacemente attuato. Un certificato ISO appeso alla parete non è sufficiente: il giudice guarderà se il sistema funziona davvero, se gli audit vengono fatti e i risultati presi in carico, se le non conformità portano ad azioni correttive reali, se la formazione è effettuata e documentata. La certificazione ISO, proprio perché comporta verifiche periodiche da parte di auditor indipendenti, è uno degli strumenti più efficaci per dimostrare che il sistema non è solo sulla carta.
FAQ
Tutte le aziende devono adottare il MOG 231? No. Il decreto non impone l'adozione del MOG: è facoltativa. L'obbligo scatta solo quando un reato presupposto viene effettivamente commesso: in quel caso, l'assenza del MOG — o un MOG inadeguato — comporta la responsabilità dell'ente. L'adozione è una scelta preventiva di gestione del rischio.
Una PMI può adottare un MOG semplificato? Sì. La giurisprudenza riconosce che il MOG di una piccola impresa può essere proporzionato alla complessità dell'organizzazione. Confindustria e altre associazioni hanno sviluppato linee guida semplificate. L'importante è che il MOG sia realmente calato sulla realtà dell'azienda, non un documento standard adattato superficialmente.
ISO 37001 da sola è sufficiente per il MOG 231? No. ISO 37001 copre il rischio corruttivo, ma il catalogo dei reati presupposto 231 è molto più ampio: include reati societari, informatici, ambientali, tributari e molti altri. Un MOG completo deve coprire tutti i reati presupposto applicabili all'azienda.
Come si integra il MOG con i sistemi ISO nella documentazione? La soluzione più efficiente è il sistema di gestione integrato: un manuale di sistema che descrive la struttura complessiva, con procedure che coprono contemporaneamente i requisiti ISO e i protocolli 231. L'OdV viene coinvolto nella definizione del programma di audit, e i risultati vengono sistematicamente condivisi. Si evita così la duplicazione documentale e si costruisce un sistema coerente e mantenibile.