Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Dopo aver iniziato il nostro esame delle worst practices 231 con il classico caso del Modello “Copia&Incolla”, nel presente articolo andiamo ad analizzare una delle componenti più critiche da realizzare, nonché la più difficile da gestire nel tempo nell’ambito dei programmi di conformità 231: un adeguato Risk Assessment.
È noto che l’output caratteristico del Risk Assessment 231 è comunemente denominato “Mappa delle Attività Sensibili 231” e rappresenta la base di tutto il Modello e delle misure di prevenzione dei rischi-reato che esso contiene. Considerata la sua importanza e difficoltà di realizzazione e gestione nel tempo, non stupisce che l’assenza di un adeguato Risk Assessment sia una delle cattive pratiche più diffuse tra i Modelli 231 che in sede giudiziaria non riescono a proteggere le aziende dalle pesanti sanzioni previste dal Decreto 231.
Nel caso in esame, la Suprema Corte (Cassazione Penale sentenza n. 2768/2025) ribadisce l’importanza e centralità del Risk Assessment censurando il comportamento (o meglio l’omissione) di un’azienda che pur dotata formalmente di un Modello 231, non ha identificato (né evidentemente analizzato) i rischi specifici della propria attività di business, e (perciò stesso) non ha conseguentemente predisposto adeguate misure di prevenzione rispetto a quegli specifici rischi.
Figura 1 – il Risk Assessment come base del Modello 231
Ma quali sono allora i limiti, difficoltà e problemi che rendono così complesso realizzare un Risk Assessment adeguato in un Modello 231, mantenerlo aggiornato nel tempo e, in sede giudiziaria, dimostrarne poi l’effettiva adeguatezza?
Per rispondere a questa domanda vi invitiamo a fare un po’ di mente locale e ricordare cosa vi disse il consulente quando la vostra azienda decise di predisporre per la prima volta il vostro Modello 231:
“Dobbiamo anzitutto mappare le c.d. attività sensibili ossia le attività dell’azienda che sono a rischio, in quanto possono astrattamente configurare o essere una premessa per la configurazione di una o più fattispecie di reato tra quelle richiamate dal Decreto 231”.
Noi di Compet-e siamo soliti dire che in quel momento, insieme alla società di consulenza, stavate scattando una foto: stavate cioè facendo una fotografia dei processi e delle attività in essere a quel tempo presso la vostra azienda, utilizzando la lente del catalogo dei rischi-reato 231 in quel momento in vigore. Fate attenzione: in quel momento in essere (le attività aziendali) e in quel momento in vigore (il catalogo dei rischi-reato 231).
Ed esattamente come una fotografia, la Mappa delle Attività Sensibili così “scattata” (e conseguentemente – essendone la base – il Modello tutto) è e rimane inevitabilmente statica! Ma l’organizzazione, i processi e le attività di un’azienda cambiano continuamente nel tempo, così come il catalogo dei rischi-reato viene aggiornato con discreta frequenza dal legislatore.
Figura 2 – Il problema del Modello Statico
Inoltre, se la Mappa delle Attività Sensibili è alla base del Modello, costituendone cioè le fondamenta – in quanto le misure preventive racchiuse nel Modello devono essere predisposte in funzione degli specifici rischi a cui si è esposti – un intervento sulle fondamenta per (cercare di) dare seguito ad una modifica di contesto (es. modifica delle attività aziendali o nuovo reato 231), è tutt’altro che semplice, richiede alta perizia ed è generalmente assai oneroso per le aziende. Tralasciando la popolazione delle aziende scoraggiate (che da tempo cioè non aggiornano più realmente il loro Modello 231), la maggior parte si ritroverà per l’ennesima volta in una di queste due situazioni:
- se il consulente ingaggiato sarà lo stesso della versione precedente, generalmente il nuovo Modello – rigorosamente su Word® ed Excel® – si troverà arricchito con una nuova Parte Speciale (sfidando l’elenco finito delle lettere dell’alfabeto) e/o qualche ritocco qua e là con la funzione del “track changes” attivata;
- se il consulente ingaggiato sarà nuovo rispetto a quello della versione precedente, il Modello 231 si troverà in un nuovo set di documenti Word® ed Excel® puliti e con poche note di dubbi o ultimi dati da inserire prima dell’approvazione per rimpiazzare totalmente quello precedente. Quest’ultimo finirà nel “tubo pneumatico” per essere definitivamente “bruciato”, per citare in qualche modo la celebra opera distopica di Orwell.
Figura 3 – Il problema degli aggiornamenti onerosi
Tuttavia ben presto e in entrambe le ipotesi – inevitabilmente – il nuovo Modello su Word® e Excel® manifesterà di nuovo gli stessi problemi: il tempo inesorabilmente renderà obsoleta la vostra Mappa delle Attività Sensibili e – conseguentemente – il Vostro Modello, costringendovi ancora una volta a richiedere nuovo budget per “aggiornare il Modello agli ultimi reati 231” e così via di nuovo in una spirale senza fine. Magari il capo è sempre stato comprensivo finora, ma sicuramente ci sarà qualche collega che da tempo ha già messo in dubbio l’utilità e il valore di tutto questo, e ciò certamente non è piacevole!
Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile risolvere definitivamente il problema della staticità della Mappa delle Attività Sensibili e del Modello nel suo complesso?
La risposta è: “Yes, of course!”. Portando il Vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della Vostra azienda dai rischi e dalle conseguenti sanzioni 231, aggiungendogli la capacità di adattarsi sistematicamente alle modifiche di contesto esterno e interno. CORA 231 è, infatti, l’unico software con capacità adattiva che non si limita – come fanno gli altri software, nonché nella sostanza gli stessi consulenti con le loro email o post su LinkedIn – a notificarvi l’inserimento di una nuova fattispecie nel catalogo dei reati presupposto della responsabilità 231. Oltre a gestire efficientemente ed efficacemente le frequenti modifiche della vostra organizzazione, processi e attività, CORA 231 è l’unica soluzione in grado di rilevare sistematicamente e proporre le modifiche delle vostre attività sensibili, consentendovi di intervenire con precisione sulle vostre specifiche contromisure. Il risultato è che non dovrete più “ri-fare” tutto, o quasi tutto, il vostro Modello ad ogni modifica in azienda o ad ogni nuova aggiunta di un reato 231.
Ma soprattutto, con CORA 231 non rischierete più di avere un Modello obsoleto proprio quando serve alla vostra azienda!
Il risultato finale è che solo su CORA 231 sarete nelle condizioni di tenere sempre “in tiro” le misure di controllo, e il vostro Risk Assessment e Modello nel suo complesso da statico (soggetto all’obsolescenza) diventerà dinamico (in grado di adattarsi alle modifiche sulla base di dati oggettivi misurabili) e pronto per essere ulteriormente potenziato con l’Artificial Intelligence per predire l’esposizione ai rischi 231 ancora prima che qualcosa accada!
Figura 4 – Il beneficio dell’obsolescenza sconfitta con CORA 231
L’efficacia – sia nel disegno che nell’attuazione – di un Modello 231 richiede strumenti adeguati e, soprattutto, tempo per farlo realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del vostro Modello 231, il momento di pianificarlo è adesso.
📌Richiedi una demo o maggiori informazioni cliccando qui
Se siete curiosi di scoprire qualcosa di più sulle metodologie di Risk Assessment (anche 231) e su come l’AI abbia posto fine all’era delle valutazioni qualitative dei rischi o a sentimento, non basate sui dati/numeri e sulle informazioni in essi contenuti, ancora molto in voga nella Compliance, così come nello stesso Risk Management e Internal Audit, non perdetevi l’articolo “Should I Stay or Should I Go – Inno del Risk Management” che ho avuto l’onore e il grande piacere di scrivere e che sarà a breve pubblicato nell’unica rubrica disponibile su LinkedIn che spiega i Rischi a suon di Rock. Iscrivetevi subito per non perdere i prossimi articoli!
Continuate a seguirci: nel prossimo articolo ci occuperemo della cattiva pratica denominata “Organismo di Vigilanza di facciata” e vedremo come CORA 231 sia il migliore strumento che un Organismo di Vigilanza possa desiderare per dare seguito concretamente ed efficientemente alle proprie responsabilità.