Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Con il precedente articolo pensavamo di aver completato l’analisi delle capacità richieste ad un Modello 231 per poter dimostrare di comprendere i rischi, dopo aver precedentemente rilevato che la comprensione dei rischi è considerata un presupposto fondamentale per poterli prevenire.
Basandoci sulla sentenza n. 30039/2025 della Cassazione, Sez. IV, avevamo introdotto la metafora dell’automobile (conducente incluso) capace di comprendere la segnaletica esterna ed interna, per arrivare alla conclusione che non ci si può aspettare che il Modello, e con esso l’OdV, sia capace di governare aspetti di <<natura tecnico-operativa di dettaglio>>, invece rimessi ad altre professionalità e loro specifici strumenti di governo (<<complementari rispetto al Modello>>), con cui però il Modello e l’OdV devono coordinarsi efficacemente.
Appena composto e pubblicato (il nostro articolo), è stata diffusa – e commentata dagli addetti ai lavori più attivi – la sentenza della Cassazione, Sez. IV n. 7563 del 25 febbraio 2026 che è intervenuta su un caso in cui – sulla base del reato presupposto di cui all’articolo 25-septies del D.Lgs. 231/01 – una società è stata sanzionata per il fatto di non aver adottato un modello 231 capace di <<regolare la circolazione>> dei mezzi all’interno del luogo di lavoro prevenendo il <<rischio di interferenza fra lavoratori a terra e mezzi in transito attraverso segnaletica verticale e orizzontale, piccoli dossi, e interdizione dell’accesso ai soggetti non coinvolti…>>.
📌A parte l’inconsapevole “relazione” tra la nostra metafora dell’auto e il fatto realmente accaduto (da cui purtroppo è derivato un incidente mortale sul lavoro), questa sentenza non “smentisce” la nostra conclusione: il Modello 231 non deve governare aspetti di <<natura tecnico-operativa di dettaglio>> che sono, invece, rimessi ad altri strumenti di governo <<complementari rispetto al Modello>> e con cui quest’ultimo deve però coordinarsi efficacemente.
Per confermare tale conclusione – richiamando i casi giudiziari che abbiamo commentato nei precedenti articoli – occorre, secondo noi, domandarsi se è ragionevole attendersi che l’OdV sia (o nel caso di specie fosse) capace di comprendere (per poter poi prevenire):
- il rischio di essere investiti sul luogo di lavoro, addentrandosi nella valutazione del piano di viabilità composto da segnaletica, dossi, divieti, etc.?
o
- il rischio che l’azienda sia coinvolta in un procedimento 231 a causa di un incidente da cui derivi la morte o le lesioni gravi o gravissime di una persona con la contestuale violazione delle norme sulla tutela della salute e sicurezza sui luoghi di lavoro?
Apparentemente può sembrare una differenza sottile, ma in realtà c’è una differenza sostanziale tra i due rischi, le relative contromisure e i corrispondenti perimetri e livelli di analisi, nonché ovviamente tra le competenze richieste all’OdV per comprendere il rischio 1 e/o il rischio 2, ai fini della loro prevenzione.
Se, infatti, ammettessimo che il Modello 231, o – come sua componente fondamentale – l’OdV, debba essere capace di comprendere e prevenire direttamente il rischio 1 (e con esso quindi poi il rischio 2), dovremmo necessariamente ammettere che (il Modello/l’OdV) debba essere capace di fare altrettanto anche in relazione alle altre 24 classi di rischio 231 in cui attualmente possono essere ricondotte le oltre 200 fattispecie di rischio-reato incluse nel perimetro 231:
- rapporti con la PA
- societari
- ambientali
- market abuse
- informatici
- ricettazione e riciclaggio, nonché autoriciclaggio
- tributari
- contrabbando
- diritto d’autore
- industria e commercio
- personalità individuale
- …
Non è certo questa la sede per andare oltre nel dimostrare che un compliance program 231 deve e può ragionevolmente gestire esclusivamente i rischi di conformità di “secondo livello” e non – almeno direttamente – anche rischi di natura <<tecnico-operativa di dettaglio>>, sulla cui gestione esistono (obbligatoriamente o meno) altri specifici strumenti di governo che sono complementari rispetto al Modello 231, e con cui il Modello stesso e l’OdV devono però essere capaci di coordinarsi efficacemente.
🧐Piuttosto emerge qui un ulteriore elemento di complessità dei compliance program 231, unico e assolutamente differenziante rispetto a qualsiasi altro: l’estrema eterogeneità dei rischi da gestire.
Una semplice comparazione con gli altri e più noti compliance program può darne immediato conto:
👉 La differenza del grado di eterogeneità del compliance program 231 (con oltre 25 classi di rischio e migliaia di modalità realizzative) rispetto a quello degli altri più noti compliance program (sostanzialmente con 1 sola classe di rischio) è davvero abissale.
Tutto ciò, oltre a confermare la conclusione da cui siamo partiti, contribuisce ad evidenziare anche un grossissimo problema che i Modelli 231 sono oggi chiamati a gestire, specialmente dopo i troppi e disordinati ampliamenti del catalogo dei rischi 231:
Vado però dritto al punto, senza altri giri di parole, ponendovi la seguente domanda:
☝️Ma secondo voi una mappa delle attività sensibili 231 gestita su un foglio Excel® con oltre 100 righe e 75 colonne non è di per sé già una trappola per chi deve cercare di usarla?
Lascio che siate voi a dare a voi stessi la risposta più sincera e vi ringrazio di nuovo per avermi letto fin qui.
🤖Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile far uscire il Modello dal cassetto (o meglio, dalla cartella dove custodite l’ultima versione dei file Word® e Excel®) per trasformarlo in uno strumento vivo e funzionale in grado di liberare dalla trappola il Vostro OdV e consentirgli di comprendere e gestire al meglio i segnali di rischio?
Non vi sorprenderete se anche questa volta, la nostra risposta è: “Yes, of course!”.
Portando il vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della vostra azienda dai rischi e dalle conseguenti sanzioni 231, aggiungendogli la capacità di raccogliere e gestire in maniera sistematica ed efficiente tutti i flussi informativi periodici e ad evento. CORA 231 è, infatti, l’unico software che, oltre a gestire efficientemente ed efficacemente le frequenti modifiche della vostra organizzazione, processi e attività, “fa muovere” rischi e controlli insieme alle continue modifiche di contesto, e non solo in occasione dell’aggiornamento dell’ultima versione del Modello.
Ma soprattutto, con CORA 231 non rischierete più di avere un Modello obsoleto proprio quando serve alla vostra azienda!
Il risultato finale è che portando il vostro Modello su CORA 231 metterete il Vostro OdV nelle migliori condizioni per governare il Rischio 231. Su CORA 231 il Modello da statico (un documento Word® è sostanzialmente carta stampata), diventerà dinamico e finalmente vivo e funzionale, ma soprattutto sarà pronto per essere ulteriormente potenziato con l’Artificial Intelligence per predire l’esposizione ai rischi 231 ancora prima che qualcosa accada!
L’idoneità di un Modello 231 richiede sempre più una tecnologia adeguata e, soprattutto, tempo per farla realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del Vostro Modello 231, il momento di pianificarlo è adesso.
👉 Continuate a seguirci: nei prossimi articoli continueremo ad occuparci di altri casi reali di “Valutazioni di Rischio 231 a Sentimento”, per scoprire insieme quali sono stati i problemi emersi e quali possano essere le soluzioni già a disposizione per le aziende.