Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Nel precedente articolo abbiamo rilevato che, secondo i Giudici (così come secondo il puro buon senso), non si può dimostrare di essere capaci di prevenire un rischio, se non lo si comprende. Oggi, invece, ci focalizziamo sulle capacità richieste per comprendere il rischio ai fini della sua prevenzione. Ovviamente ci riferiamo sempre al Rischio 231 e al Modello con cui un’azienda è generalmente chiamata a dimostrare:
- di avere anzitutto identificato e compreso i rischi 231 a cui essa è esposta, così da poter predisporre misure di prevenzione adeguate (immaginiamolo come il momento in cui ritiriamo la nostra auto nuova o appena uscita da una revisione fatta a regola d’arte: il mezzo è in perfette condizioni per affrontare il mondo reale, ogni parte è stata controllata ed è pronta per il suo specifico uso, non appena ci apprestiamo a lasciare il concessionario o l’officina)
- le capacità di utilizzare davvero quello strumento in modo efficace nel tempo (continuando nella nostra metafora, non basta dimostrare di saper accendere l’auto e partire; ma serve saper “leggere” la strada e il contesto – esterno – in cui ci si muove, come i cartelli stradali, la presenza e movimento degli altri, nonché – internamente – riconoscere tempestivamente le spie e i segnali nel cruscotto, così comprendendo quando qualcosa sta cambiando o sta accadendo, per intervenire conseguentemente al fine di evitare guasti, incidenti o situazioni peggiori)
Stiamo quindi constatando che, nell’ambito del processo di Risk Assessment 231 – necessariamente continuo e alla base di qualsiasi Modello – c’è:
- un momento iniziale “T0” (quando ritiriamo l’auto nuova dal concessionario)
- un successivo arco di tempo più o meno ampio (in cui facciamo uso della nostra auto nel mondo reale)
- e, ad un certo punto, uno “Stop” (“T1”), dovuto ad una revisione volontaria (una manutenzione preventiva) o non volontaria (un guasto, un incidente o una situazione peggiore), in cui un soggetto terzo (lo staff dell’officina o il perito incaricato da un giudice) rivede in maniera approfondita il nostro Modello 231, a cominciare proprio dalla sua capacità di comprendere e quindi prevenire il Rischio 231 (nella nostra metafora, la combinata idoneità dell’auto e dell’autista al momento dei fatti “T1”).
Chiarita questa dinamica, proviamo allora a dare una risposta alla domanda iniziale lungo le varie fasi di questo continuo processo di Risk Assessment 231:
📌 quali capacità servono per redigere e/o aggiornare e successivamente fare un uso efficace della Mappa delle Attività Sensibili 231?
Sulle capacità o competenze necessarie per la redazione e/o aggiornamento di un buon Modello 231 abbiamo davvero pochi dubbi per qualsiasi azienda che si ponesse questa domanda: è presente sul mercato un’ottima offerta di servizi dalle Big 4 o second-tier, alle specialist advisory o boutique firms, fino ad includere gli studi legali o i singoli professionisti esperti, senza dimenticare ovviamente le competenze interne dell’azienda (ad es. Legal, Compliance, Internal Audit, etc.), in talune realtà di livello molto avanzato.
Possiamo concludere su questo punto che oggi, per qualsiasi dimensione o settore o altra caratteristica o esigenza, c’è senza dubbio un’offerta adeguata sul mercato, se internamente non ci fossero già tutte le competenze necessarie per la redazione e/o aggiornamento.
Quando però ci interroghiamo sulle capacità che deve avere chi è chiamato ad usare efficacemente la Mappa delle Attività Sensibili 231 e il Modello tutto (ossia chi deve guidare l’auto nella nostra metafora), la risposta si fa più difficile. Essendo questa una rubrica basata su casi giudiziari reali, e non sulle opinioni del sottoscritto, dobbiamo quindi domandarci:
📌 quali capacità si aspettano di riscontrare i Giudici che esaminano un Modello 231 di un’azienda coinvolta in un procedimento penale sulla base del D.Lgs. 231/01?
Per poter rispondere dobbiamo ricorrere a due casi giudiziari molto importanti, da cui derivare i seguenti requisiti che proponiamo di combinare tra loro:
- da una parte ovviamente il GIP presso il Tribunale di Milano (ordinanza del 20 settembre 2004) che – oltre ad affermare il principio da cui siamo partiti – parla espressamente di professionalità dei componenti dell’OdV e in particolare di <<capacità specifiche in tema di attività ispettiva e consulenziale>>, richiamando le tecniche di <<campionamento statistico>>, di <<analisi e valutazione dei rischi>> e le <<metodologie per l’individuazione delle frodi>>. Anche per la sua importanza e successiva diffusione tra gli addetti ai lavori (sia giurisprudenza che dottrina), possiamo assumere questo caso come quello che fissa il requisito delle capacità sotto il profilo dell’utente (il conducente nella nostra metafora): chi è – secondo i Giudici – potenzialmente in grado di fare un efficace uso del Modello 231.
- dall’altra parte, la recente sentenza n. 30039 della Cassazione, Sez. IV del 1° settembre 2025 ci offre finalmente la possibilità di completare la risposta alla domanda di sopra. La Suprema Corte, infatti, afferma che il Modello 231 e – aggiungiamo noi – chi è poi chiamato concretamente ad usarlo: <<non può e non deve scendere nel dettaglio operativo specifico, ma deve limitarsi a delineare>> e (aggiungiamo di nuovo noi) a gestire <<i principi, le procedure generali e i flussi informativi necessari per prevenire la commissione di reati>>.
Da ciò deriva un importante e complementare requisito delle capacità sotto il profilo dello strumento (l’auto nella nostra metafora): il requisito che fissa, cioè, fino a quale livello il Modello e – all’interno di esso – la Mappa delle Attività Sensibili e delle relative contromisure deve scendere, così determinando anche la profondità delle capacità richieste per il suo efficace uso. Nella nostra metafora, con questo principio si afferma che non occorre avere una macchina e un pilota di Formula 1 per guidare su una comune strada urbana. Fuor di metafora, non ci si aspetta cioè che il Modello, e con esso l’OdV, sia capace di governare aspetti di <<natura tecnico-operativa di dettaglio>>, invece rimessi ad altre professionalità e loro specifici strumenti di governo (<<complementari rispetto al Modello>>), con cui però il Modello e l’OdV dovranno essere capaci di coordinarsi efficacemente.
🤔Ma, pur con questa precisazione, perché la maggior parte dei Modelli farebbe comunque “fatica” a dimostrare la propria capacità di comprendere e quindi prevenire i rischi-reato 231?
Tralasciamo volontariamente e scartiamo subito le ipotesi, pur diffuse, di paper compliance o di cosmetic compliance che non rilevano ai nostri fini, perché semplicemente le aziende che vi fanno ricorso non arrivano minimamente a porsi il problema che stiamo discutendo.
Inoltre, non vogliamo, ne abbiamo alcun dato oggettivo per esprimere delle valutazioni sulle competenze dei componenti degli OdV dei Modelli in circolazione che, ai nostri fini, possiamo comunque assumere pienamente in linea con i requisiti definiti nel caso giudiziario illustrato al punto 1 di sopra.
Infine, possiamo anche ulteriormente assumere che i Modelli 231 che stiamo considerando siano tutti stati redatti e/o aggiornati a regola d’arte con un’appropriata e giusta combinazione – anche grazie all’offerta sopra descritta – di competenze legali, di risk management e naturalmente di profonda conoscenza del contesto interno ed esterno in cui la singola azienda si trova ad operare.
Nonostante tutto ciò, secondo noi rimarrebbe del tutto valida la seguente constatazione (nella forma di domanda retorica):
👉 perché la maggior parte dei Modelli in circolazione farebbe comunque “fatica” a dimostrare la capacità di comprendere e quindi prevenire i rischi-reato 231?
Perché la maggior parte dei Modelli 231 in circolazione soffre del seguente problema:
Oggi gli strumenti a disposizione degli OdV (ormai sempre più calato nel ruolo di Super Eroe) “guardano” sostanzialmente indietro (cioè, cosa è accaduto nel passato alla data dell’ultimo risk assessment eseguito) e, molto spesso – anche per il vasto numero di attività sensibili, controlli e flussi – sono ormai divenuti di fatto illeggibili e ingestibili per gli stessi OdV: avete mai provato a fare qualche piccolo aggiustamento o aggiornamento della Mappa delle Attività Sensibili del vostro Modello?
☝️ E in una situazione così complessa, pensate davvero che possa essere dimostrata la capacità preventiva di un Modello 231 in cui l’OdV è costretto a guidare senza un “parabrezza” sgombro che faccia vedere interamente la strada e senza un navigatore che indichi il percorso migliore?
Lascio che siate voi a dare a voi stessi la risposta più sincera e vi ringrazio di nuovo per avermi letto fin qui.
🤖Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile far uscire il Modello dal cassetto (o meglio, dalla cartella dove custodite l’ultima versione dei file Word® e Excel®) per trasformarlo in uno strumento vivo e funzionale in grado di guardare davanti (e non dietro) e assistere il Vostro OdV come un potente navigatore?
Non vi sorprenderete se anche questa volta, la nostra risposta è: “Yes, of course!”.
Portando il vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della vostra azienda dai rischi e dalle conseguenti sanzioni 231, aggiungendogli la capacità di adattarsi sistematicamente alle modifiche di contesto esterno e interno. CORA 231 è, infatti, l’unico software con capacità adattiva che non si limita – come fanno gli altri software – a notificarvi l’inserimento di una nuova fattispecie nel catalogo dei reati presupposto della responsabilità 231. Oltre a gestire efficientemente ed efficacemente le frequenti modifiche della vostra organizzazione, processi e attività, CORA 231 è l’unica soluzione che “fa muovere” rischi e controlli insieme alle continue modifiche di contesto, e non solo in occasione dell’aggiornamento dell’ultima versione del Modello.
Ma soprattutto, con CORA 231 non rischierete più di avere un Modello obsoleto proprio quando serve alla vostra azienda!
Il risultato finale è che portando il vostro Modello su CORA 231 metterete il Vostro OdV nelle migliori condizioni per governare il Rischio 231. Su CORA 231 il Modello da statico (un documento Word® è sostanzialmente carta stampata), diventerà dinamico e finalmente vivo e funzionale, ma soprattutto sarà pronto per essere ulteriormente potenziato con l’Artificial Intelligence per predire l’esposizione ai rischi 231 ancora prima che qualcosa accada!
L’idoneità di un Modello 231 richiede sempre più una tecnologia adeguata e, soprattutto, tempo per farla realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del Vostro Modello 231, il momento di pianificarlo è adesso.
👉 Continuate a seguirci: nei prossimi articoli continueremo ad occuparci di altri casi reali di “Valutazioni di Rischio 231 a Sentimento”, per scoprire insieme quali sono stati i problemi emersi e quali possano essere le soluzioni già a disposizione per le aziende.