Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Dopo esserci occupati nei primi due casi di worst practices 231 (Modello “Copia e Incolla” e Assenza di un adeguato Risk Assessment) di problemi relativi all’adeguato disegno del Modello nel prevenire i rischi-reato 231 (Design Effectiveness), in questo articolo ci focalizziamo per la prima volta su una cattiva pratica che riguarda il dopo aver adottato un Modello 231: la sua efficace attuazione nel tempo (Operating Effectiveness). Com’è noto, alla pari dell’adeguato disegno, l’efficace attuazione del Modello è un requisito essenziale per proteggere l’azienda dalle sanzioni 231. Ebbene, l’efficace attuazione si persegue e si consegue attraverso un vero e proprio processo in cui l’Organismo di Vigilanza svolge un ruolo centrale.
La Suprema Corte nel caso in esame (Cassazione Penale n. 4535/2025), nel confermare la sanzione interdittiva disposta nei confronti dell’azienda, ha ritenuto inidoneo il Modello sulla base di rilievi sostanziali come l’inesistenza di evidenze documentali di attività di monitoraggio e controllo, oltre alle censure sull’esiguità delle risorse assegnate all’OdV e sulla sua composizione monocratica.
Si conferma dunque che, anche con un Modello 231 teoricamente ben progettato, l’azienda rischia comunque le pesanti sanzioni del Decreto 231 se il Modello non viene poi efficacemente attuato.
Ma quali sono, allora, i limiti e le difficoltà più diffuse che possono compromettere l’efficace attuazione del Modello e vanificarne poi la funzione difensiva in sede giudiziaria?
Per rispondere dobbiamo necessariamente focalizzarci sull’OdV e sul suo ruolo chiave proprio nel monitorare l’effettivo ed efficace funzionamento ed osservanza del Modello, oltreché (nell’assicurare) l’aggiornamento nel tempo delle sue previsioni. E’ il processo che definiamo di “Monitoring&Review” la cui omissione è stata nella sostanza contestata nel caso della worst practice in esame (“Organismo di Vigilanza di facciata”).
Chi di voi ha mai scritto all’OdV della vostra azienda? Provate ad immaginare di rivolgere questa domanda ai destinatari del Modello 231 della Vostra azienda e le risposte che otterreste. Oppure dall’altro lato, quante e quali e-mail trovate nella casella di posta dell’OdV negli ultimi 6 mesi? Inoltre, al di là dei flussi codificati e delle email che stentano ad arrivare, è possibile che le previsioni del Modello siano tutte chiare per i destinatari e non ci sia la necessità di confronto/condivisione con l’OdV su specifici casi?
La comunicazione da e verso l’OdV è fondamentale per abilitarlo al monitoraggio e – per i motivi sopra riepilogati – per assicurare l’efficace attuazione del Modello. Viceversa, quelli che noi di Compet-e chiamiamo “Flussi che non Fluiscono”, pregiudicano la supervisione dell’OdV, l’efficace funzionamento del Modello e – in sede giudiziaria – la sua capacità di difesa dalle pesanti sanzioni previste dal Decreto 231.
E’ noto che ai fini della comunicazione tra OdV e destinatari/altri stakeholders è ancora molto diffuso nei Modelli 231 l’uso di un semplice indirizzo “odv@nomeazienda.it”, anche come alias con inoltro agli indirizzi email personali dei componenti. Da questa scelta “tecnologica”, ossia dall’uso dell’email come strumento di comunicazione, derivano però una serie di problemi, costi più o meno nascosti (generalmente le ore di lavoro per attività manuali e ripetitive) e rischi che proviamo a riepilogare qui di seguito:
- Reminder senza fine: garantire la tempestività dei flussi informativi sembra un obiettivo semplice, ma nella pratica si trasforma in un incubo fatto di attività ripetitive e inefficienti. Ogni scadenza richiede almeno un reminder preventivo, seguito da uno o più solleciti: un ping-pong infinito di email che, a loro volta, obbligano a un monitoraggio manuale dello status — chi ha inviato, chi non ancora, chi va rincorso di nuovo. Il risultato? Nonostante lo sforzo, la raccolta delle informazioni finisce quasi sempre per concentrarsi in uno o due momenti all’anno, spesso giusto in vista di una specifica riunione dell’OdV. Ma questa distribuzione concentrata in uno o due periodi all’anno (annuale o semestrale) non è un segnale di un Modello che funziona: anzi, tradisce l’assenza di un vero flusso di informazioni continuo e conseguentemente si potrebbe dedurre la difficoltà dell’OdV a garantire un monitoraggio costante.
- Flussi che arrivano a metà e/o senza le informazioni attese: ricevere tutti i flussi previsti, completi e corretti, sembra anch’esso un obiettivo banale. Nella pratica quotidiana, invece, è tutt’altro che scontato. Come per la tempestività, se non c’è qualcuno che manualmente ricorda e sollecita, molti flussi semplicemente non arrivano: qualcuno se ne dimentica, qualcun altro rimanda, e la completezza resta un miraggio. E quando arrivano, il contenuto può essere diverso da quello atteso: allegati mancanti, sezioni del questionario saltate, informazioni parziali. Senza, infatti, allegare nel reminder l’esempio del flusso “giusto”, è quasi certo che arrivi (se arriva) qualcosa di diverso. Risultato? L’OdV si ritrova a rincorrere pezzi mancanti e a ricostruire ciò che avrebbe dovuto essere già chiaro e completo alla data giusta.
- Feedback che non ritornano: una comunicazione senza feedback manca di un elemento essenziale. Il mittente deve avere la certezza che il messaggio sia arrivato e che sia stato compreso e/o preso in carico. Eppure, nei flussi informativi 231 basati sulle email, la regola non scritta è spesso “no news, good news”: nessuna risposta equivale (forse) a “tutto ok”. Il mittente resta così nell’incertezza, senza alcuna garanzia che il ricevente abbia davvero letto, capito e agito come eventualmente richiesto. Inoltre, l’assenza di feedback può diventare essa stessa un problema, perché ciò che non è verificabile non può essere usato per difendersi.
- Ri-digitare informazioni già digitali: molte informazioni riprese nei flussi informativi sono già codificate in sistemi gestionali, database, applicativi, così come in piattaforme esterne. Ma per alimentare i flussi verso l’OdV, qualcuno deve ogni volta estrarre questi dati, copiarli, ricodificarli e infine spedirli in una mail o in un allegato. Il risultato? Tempo sprecato, errori che si moltiplicano e informazioni che rischiano di arrivare distorte o incomplete.
- Flussi non sicuri o difficili da ritrovare: le e-mail fuoriescono da un’organizzazione con un semplice inoltro o ancora più spesso per via di un errore nell’indicazione del destinatario, quando ci sono numerosi esempi di flussi informativi che contengono informazioni classificate come riservate in molte aziende. Inoltre, la sicurezza implica anche la disponibilità nel tempo dell’informazione: trovare una email dopo 12 o anche qualche mese dalla sua ricezione può tradursi in un incubo di ricerche in caselle email affollate, allegati dispersi e sicuramente tempo buttato. E se ci trovassimo già in una situazione di stress, come quando si è chiamati alla raccolta delle evidenze della nostra diligenza organizzativa (come nel caso della malpractice in esame), siamo proprio sicuri di volerci fidare dell’email?
- Conteggi manuali e poca o nulla analisi dei dati: quando qualcuno deve armarsi di pazienza e tempo per contare chi ha già inviato, cosa ha inviato, chi manca all’appello, chi è stato sollecitato e chi no, emerge in tutta la sua evidenza la debolezza dei flussi gestiti via email. Un lavoro del tutto manuale, che diventa ancora più assurdo quando si tratta di “elaborare” le informazioni così faticosamente raccolte: ogni allegato in Excel® o Word® deve essere “processato” a mano per (cercare di) estrarre dati utili, con copia-incolla “seriale” e ad alto rischio errore che generalmente consentono al massimo delle analisi dati limitate alla misurazione di soli indicatori di statistica descrittiva (ben lontana quindi dalla vera data analytics!).
Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile evitare o superare tutti questi problemi che pregiudicano l’efficace comunicazione con l’OdV e – in ultima istanza – possono compromettere l’efficace attuazione del Modello?
Anche in questo caso la risposta è “Yes, of course!”. Portando il Vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della Vostra azienda dai rischi e dalle conseguenti sanzioni 231, sfruttando un potente componente di workflow collaborativo – nativo della nostra suite GRC CORA – con cui risolvere tutti i problemi sopra descritti mediante la digitalizzazione reale dei Vostri flussi informativi. Non solo, CORA 231 è l’unica soluzione in ambito 231 in cui poter digitalizzare anche le Vostre attività di controllo e sempre con l’aiuto dei nostri specialisti 231, gli unici in grado di rimontare il Vostro Modello su CORA 231 senza perdere alcun pezzo.
Il risultato del confronto tra la funzionalità di gestione dei flussi e dei controlli su CORA 231 e la comune e-mail, non lascia spazio ad alcun dubbio: CORA 231 batte E-mail 8 a 2, risolvendo i problemi sopra descritti, eliminando o riducendo al minimo i costi (più o meno nascosti della gestione manuale) e minimizzando i rischi derivanti da tale scelta “tecnologica”.
E grazie alla storicizzazione di qualsiasi flusso o controllo 231 gestito su CORA 231, non rischierete più di non trovare le evidenze documentali di attività di monitoraggio e controllo proprio quando servono alla vostra azienda!
La nostra Soluzione RegTech Anti-Sanzioni 231 è il migliore strumento che un Organismo di Vigilanza possa desiderare per monitorare efficientemente ed efficacemente il Modello 231 ed assicurarne l’effettivo funzionamento, perché è l’unica soluzione digitale in grado di assicurarvi vantaggi concreti e misurabili:
CORA 231 è, inoltre, l’unica soluzione scalabile che vi consente di digitalizzare gradatamente il vostro Modello 231, cominciando proprio dalla funzionalità di gestione dei flussi informativi, oltre a consentirvi di beneficiare fin da subito dei vantaggi ed economie da compliance integrata con la suite GRC CORA.
L’efficacia – sia nel disegno che nell’attuazione – di un Modello 231 richiede strumenti adeguati e, soprattutto, tempo per farlo realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del vostro Modello 231, il momento di pianificarlo è adesso.
📌Richiedi una demo o maggiori informazioni cliccando qui
Continuate a seguirci: nel prossimo articolo ci occuperemo della cattiva pratica denominata “Organismo di Vigilanza iperattivo” e vedremo come CORA 231 sia realmente l’unica soluzione in grado di rendere il Vostro Modello 231 uno strumento vivo e in continua evoluzione.