Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Se dovesse verificarsi un reato, il mio Modello 231 proteggerà davvero l’azienda dalle pesanti sanzioni previste dal Decreto 231?
Secondo un recente articolo de Il Sole 24 Ore intitolato “Modelli 231 non aggiornati, generici e poco conosciuti: le prassi bocciate dai giudici” le casistiche in cui il Modello 231 non protegge sono davvero numerose e ricondotte dall’autore a ben 11 “worst practices” censurate dai giudici di primo, secondo e terzo grado.
Per noi di Compet-e questo tema è particolarmente rilevante: il nostro prodotto CORA 231 – La Soluzione RegTech Anti-Sanzioni 231 nasce proprio per risolvere i problemi – ed evitare appunto le cattive pratiche – derivanti molto spesso dagli approcci tradizionali che in quasi 25 anni di applicazione del D.Lgs. 231/01 hanno mostrato tutti i loro limiti e fragilità.
Per questo abbiamo deciso di avviare un confronto diretto tra queste 11 “worst practices” e i problemi che abbiamo rilevato e, per primi e unici, risolto grazie al nostro CORA 231 e all’esperienza dei nostri professionisti esperti, attivi fin dal primo anno di applicazione della normativa.
Ecco l’elenco delle 11 “worst practices” identificate e riepilogate nell’infografica dell’articolo de Il Sole 24 Ore di Lunedì 25 agosto 2025:
| Titolo | Descrizione | Riferimento |
| Modello “copia & incolla” | Il Modello standardizzato e non tarato sulla realtà aziendale è inidoneo a prevenire i reati: occorre identificare i processi a rischio, personalizzarlo su fattori specifici, attivare la struttura dell’ente e individuare le specifiche misure di prevenzione. | Cassazione penale, sentenza 21704/2023 |
| Assenza di risk assessment | L’assenza di una valutazione del rischio adeguata integra colpa dell’organizzazione che ha volontariamente o scientemente adottato un comportamento di generale trascuratezza. | Cassazione penale, sentenza 2768/2025 |
| Organismo di vigilanza di facciata | Un Organismo di vigilanza con risorse risibili e senza evidenze tangibili di monitoraggio non può dirsi efficace. | Cassazione penale, sentenza 4535/2025 |
| Organismo di vigilanza iperattivo | Non può avere ruoli gestori o di validazione delle decisioni aziendali, ma deve operare con autonomia e indipendenza. | Cassazione penale, sentenza 23401/2021 |
| Modello sconosciuto | L’ente deve diffondere e comunicare il Modello attraverso qualificate iniziative di formazione, con un impegno continuo e intenso finalizzato a sviluppare i comportamenti aderenti al Modello. | Tribunale Milano, sentenza 1070/2024 |
| Whistleblowing non operativo | I Modelli prevedono, ai sensi del decreto attuativo della direttiva UE 2019/1937, canali di segnalazione interni, il divieto di ritorsione e misure disciplinari in caso di violazione delle disposizioni in materia. | Articolo 6, comma 2-bis, D.lgs 231/2001 |
| Protocolli generici | La parte speciale del Modello deve prevedere specifici protocolli che chiariscano le modalità operative di gestione delle aree sensibili, identificando ruoli e responsabilità per la prevenzione dei reati. | Cassazione penale, sentenza 10748/2021 |
| Assenza di verifiche interne | I verbali delle riunioni dell’Organismo di vigilanza devono offrire contezza della programmazione dell’attività di verifica ed enunciare le criticità rilevate. | Corte Appello Venezia, sentenza 3348/2022 |
| Mancanza del sistema disciplinare | I Modelli devono introdurre un sistema disciplinare a sanzionare il mancato rispetto delle misure indicate. | Articolo 6, comma 2, lettera e), D.lgs 231/2001 |
| Deleghe e procure ignorate | Modello che non tiene conto di ruoli, deleghe e procure effettivamente operative perde di efficacia quale sistema di prevenzione e non rispetta i presidi organizzativi. | – |
| Mancata integrazione con i sistemi di gestione | Il Modello deve essere integrato con i sistemi di gestione sicurezza, qualità e ambiente. Si richiama la norma UNI ISO 37301:2021 (sistemi di gestione per la compliance) e il D.lgs 81/2008, cui l’articolo 30, comma 5, attribuisce valenza esimente solo se i modelli sono conformemente attuati ed efficacemente implementati. | Articolo 30, comma 5, D.lgs 81/2008 |
Nei prossimi articoli analizzeremo ciascuna “worst practice” e mostreremo come CORA 231 sia in grado di prevenirla o comunque gestirla in modo cost-effective, riducendo realmente e significativamente quell’incertezza che ancora affligge la maggior parte delle aziende:
“Se dovesse verificarsi un reato, il mio Modello 231 proteggerà davvero l’azienda dalle pesanti sanzioni previste dal Decreto 231?”
Seguiteci: scopriremo insieme come risolvere definitivamente questi problemi con solide garanzie di compliance.