Articolo di Lara Conticello, Partner RSM S.p.A., pubblicato su Economy di Luglio 2025.
Scarica il pdf dell'articolo.
Ventiquattro anni dall’introduzione del D.Lgs. 231/2001
Prima del 2001, l’ordinamento italiano escludeva qualsiasi forma di responsabilità sanzionatoria per gli enti collettivi in relazione a reati commessi da soggetti interni. Le persone giuridiche - società, enti, associazioni - non potevano essere chiamate a rispondere, neppure indirettamente, per condotte penalmente rilevanti poste in essere nel loro interesse o vantaggio. Con l’adozione del Decreto Legislativo 231/2001, l’Italia ha colmato questa lacuna allineandosi agli standard internazionali già consolidati in ambito OCSE e UE. La nuova disciplina ha recepito le principali convenzioni in materia di lotta alla corruzione e alla criminalità economica, tra cui la Convenzione OCSE del 1997, quella di Bruxelles del 1995 sulla tutela degli interessi finanziari dell’Unione e la Convenzione di Strasburgo del 1999.Il decreto ha introdotto un sistema autonomo di responsabilità “amministrativa da reato”, che si applica agli enti per gli illeciti commessi da soggetti apicali o sottoposti, quando sussiste un interesse o vantaggio per l’organizzazione. La logica è quella di una responsabilizzazione dell’ente, mediante un meccanismo sanzionatorio che affianca - e non sostituisce - la responsabilità penale della persona fisica autore del reato. Nel tempo, l’evoluzione del Modello 231 ha seguito due direttrici: da un lato, l’ampliamento del catalogo dei reati presupposto da parte del legislatore; dall’altro, l’elaborazione giurisprudenziale e le pratiche applicative, che hanno chiarito requisiti, limiti e condizioni di efficacia del modello organizzativo, trasformandolo in uno strumento di gestione del rischio e di cultura aziendale.
Le tappe normative
Dalla sua introduzione nel 2001, il Decreto Legislativo 231 ha subito numerose integrazioni riguardanti i reati presupposto, ampliando progressivamente il suo ambito di applicazione. Le principali tappe normative includono:
2001 - 2007: introduzione dei reati di corruzione, concussione, reati societari e contro la Pubblica Amministrazione.
2007 - 2011: estensione ai reati in materia di salute e sicurezza sul lavoro con il D.Lgs. 81/2008 e ai reati informatici.
2011 - 2015: inserimento dei reati ambientali e contro l’industria e il commercio.
2015 - 2019: introduzione dell’autoriciclaggio, dei delitti fiscali (es. dichiarazione fraudolenta) e dei reati transnazionali.
2021 - 2023: ampliamento ai reati contro il patrimonio culturale con la Legge 22/2022, ai reati con finalità discriminatorie e di odio razziale, nonché all’attuazione del D.Lgs. 24/2023 sul whistleblowing e alle previsioni di soft law su parità di genere (UNI/PdR 125:2022) ed ESG.
2024: abrogazione del reato di abuso d’ufficio (art. 323 c.p.) a seguito della Legge 9 agosto 2024, n. 114.
Questa evoluzione normativa evidenzia una progressiva traslazione della responsabilità 231 da un modello strettamente penale verso una responsabilità integrata, connessa alla gestione dei rischi e alla cultura organizzativa. Le aziende si confrontano con una compliance trasversale che abbraccia tematiche quali anticorruzione, ambiente, salute e sicurezza, lavoro, diversità e inclusione, fiscalità e finanza sostenibile.
La giurisprudenza come motore di orientamento
La giurisprudenza ha avuto un ruolo decisivo nell’interpretazione evolutiva del D.Lgs. 231/2001, contribuendo a delineare i confini applicativi della responsabilità amministrativa degli enti. Alcune sentenze della Corte di cassazione hanno segnato punti di svolta rilevanti per la prassi aziendale e per la strutturazione dei Modelli Organizzativi.
Cass. pen., sezioni unite, n. 38343/2014 - ThyssenKrupp
Ha sancito che la semplice adozione formale di un Modello 231 non è sufficiente a costituire esimente: occorre che esso sia concretamente attuato, aggiornato e sostenuto da una reale cultura della prevenzione. Il principio dell’“effettività” - inteso come capacità del modello di incidere sulle dinamiche aziendali - diventa centrale.
Cass. pen., sez. II, n. 52316/2016 - Interesse e vantaggio nei gruppi societari
La Corte ha escluso la responsabilità automatica in capo a una società del gruppo per reati commessi da altre società consociate, precisando che il generico “interesse di gruppo” non è sufficiente. Serve un vantaggio diretto, concreto e specificamente riferibile alla società imputata.
Cass. pen., sez. IV, n. 32899/202 - Caso Viareggio
La sentenza ha esteso l’applicabilità della disciplina 231 anche ad enti stranieri operanti in Italia e ha aperto al riconoscimento di sistemi organizzativi equivalenti al Modello 231, purché effettivamente adottati e in grado di dimostrare capacità preventiva. Si avvia così una riflessione sull’integrazione tra modelli certificati (es. ISO 37301) e requisiti 231.
Cass. pen., n. 4535/2025
In una delle decisioni più recenti, la Corte ha ribadito il principio di legalità: un ente non può essere ritenuto responsabile per un reato se, al momento della sua commissione, la norma non prevedeva espressamente tale responsabilità. Nella stessa sentenza, viene stigmatizzata l’adozione di un Modello Organizzativo privo di effettività, con riferimento specifico alla scarsità del budget assegnato all’OdV (2.500 euro) e alla tardività della sua nomina. L’indicazione è chiara: servono risorse adeguate, autonomia reale e un ruolo operativo attivo per il presidio dei rischi.
Il futuro del Modello 231
Negli ultimi anni, il concetto di “colpa di organizzazione” ha conosciuto un’evoluzione significativa: non si limita più all’analisi delle carenze strutturali del modello, ma si estende a una valutazione complessiva della cultura aziendale, della solidità dei sistemi di controllo, della gestione integrata dei rischi e della coerenza tra governance formale e comportamenti effettivi.
Questo cambiamento ha favorito una maggiore convergenza tra il Modello 231 e i sistemi di gestione ISO, in particolare la ISO 37301 sulla compliance, la ISO 37001 sull’anticorruzione e la ISO 45001 in materia di salute e sicurezza sul lavoro. Al contempo, ha rafforzato la percezione della compliance come asset strategico per l’impresa e ha valorizzato il ruolo di funzioni interne quali risorse umane, comunicazione e formazione, chiamate a promuovere e consolidare i valori etici all’interno dell’organizzazione.
Nonostante questi avanzamenti, permangono aree critiche che ostacolano la piena diffusione e l’efficacia del modello. Il catalogo dei reati presupposto si presenta ampio e disorganico, con oltre duecento fattispecie, mentre nozioni centrali come “interesse”, “vantaggio” o “colpa di organizzazione” restano ambigue sul piano interpretativo. A ciò si aggiunge la bassa adozione del Modello 231 da parte delle piccole e medie imprese, frenate da vincoli di risorse e dalla percezione di una disciplina complessa e onerosa.
Da più parti si invoca una riforma in grado di restituire al sistema maggiore razionalità e funzionalità. Il primo obiettivo è chiarire e sistematizzare il quadro normativo, riducendo l’elenco dei reati presupposto e definendo in modo più preciso i concetti chiave della disciplina. Occorre poi semplificare i modelli organizzativi, rendendoli più fruibili anche per le PMI, e assicurare una vera integrazione tra il Modello 231 e gli altri strumenti aziendali di gestione del rischio, come i sistemi ISO, gli obblighi ESG, le policy di whistleblowing e le iniziative di diversity & inclusion. Fondamentale sarà garantire concretezza nella governance del modello, a partire dal ruolo dell’Organismo di Vigilanza, che deve disporre di risorse adeguate, autonomia operativa e un mandato effettivo di presidio. Infine, si impone un cambio di prospettiva culturale: il Modello 231 non deve più essere percepito come uno strumento meramente difensivo, ma come un elemento qualificante della competitività aziendale, capace di incidere positivamente su reputazione, accesso al credito, rating ESG e partecipazione a gare pubbliche.
IA e Modello 231: il presidio si fa intelligente
Questo processo evolutivo, che ha progressivamente trasformato il Modello 231 da presidio formale a strumento di governo dell’impresa, si innesta oggi su una nuova frontiera: la trasformazione digitale della compliance. L’integrazione dell’intelligenza artificiale nel Modello 231 merita una riflessione approfondita. Non parliamo di una rivoluzione silenziosa, ma di un passaggio progressivo - e in alcuni contesti già operativo - verso forme di presidio del rischio che combinano logica giuridica, processi organizzativi e capacità computazionale. L’IA, oggi, non è più solo un tema da convegno o una suggestione futuribile. È un insieme di strumenti - supervisionati, testabili e (almeno in parte) comprensibili - che le aziende possono impiegare per rafforzare le difese contro il rischio-reato. Ma affinché l’adozione sia efficace e conforme al dettato normativo, servono metodo, consapevolezza e, soprattutto, misura.
Una mappatura viva, non rituale
Il risk assessment, pilastro fondativo del Modello 231, rischia spesso di ridursi a una fotografia statica: processi censiti, interviste svolte, rischi classificati. Ma la realtà aziendale è ben più dinamica. E l’intelligenza artificiale - soprattutto nelle sue declinazioni di machine learning e text mining - può aiutare a cogliere proprio quei segnali deboli che sfuggono all’analisi tradizionale. C’è chi ha iniziato a sperimentare algoritmi in grado di scandagliare documenti, e-mail, flussi contabili: non per sostituire il giudizio umano, ma per indirizzarlo meglio, per sollevarlo dall’eccesso di volume e guidarlo nella priorità. È qui che il risk assessment diventa uno strumento vivo - non una check-list da riesaminare ogni tre anni, ma una lente che si adatta, si aggiorna, si ri-orienta.
Casi concreti, pratiche emergenti
Alcune realtà italiane stanno già testando sul campo questa ibridazione tra compliance e IA. In ambito bancario, ad esempio, un istituto di medie dimensioni ha sviluppato un sistema di rilevazione automatica delle anomalie commerciali, capace di correlare andamenti di vendita, timing contrattuale e reclami per individuare eventuali pressioni indebite sui clienti. Diversa l’impostazione di una società quotata del settore manifatturiero, che ha preferito concentrare l’attenzione sulla gestione delle segnalazioni whistleblowing. Grazie a strumenti di analisi semantica, l’Organismo di Vigilanza riceve una classificazione automatica delle segnalazioni, con priorità attribuite in funzione del rischio 231 potenziale. Una scelta che consente all’OdV di concentrarsi sui casi più significativi, senza perdere di vista il contesto. Nella pubblica amministrazione, infine, si registra l’interesse di alcune Regioni verso l’utilizzo di IA nei procedimenti di gara, per verificare la coerenza dei punteggi e intercettare offerte sospette. Qui il Modello 231 non è formalmente richiesto, ma le logiche di prevenzione e integrità si rafforzano grazie a strumenti capaci di leggere i dati in modo non solo automatizzato, ma ragionato.
Riferimenti da non trascurare
L’evoluzione normativa, in questo senso, non è muta. ANAC, nel suo Piano Nazionale Anticorruzione 2022-2024, ha incoraggiato l’uso di tecnologie digitali per migliorare l’efficacia dei presìdi pubblici. L’ABI, già nel 2021, ha segnalato la necessità di innovare il Modello 231 bancario, anche tramite strumenti evoluti di controllo. E Confindustria, nella sua più recente revisione delle Linee guida, richiama espressamente il dovere di adattare il Modello ai cambiamenti tecnologici. Insomma, i segnali convergono. Ma non si tratta di aderire a una moda: adottare l’intelligenza artificiale in un sistema 231 richiede attenzione all’impatto privacy, capacità di valutare la solidità degli algoritmi e, soprattutto, governance. L’IA non può essere una scatola nera nelle mani dell’IT, ma un presidio trasparente, tracciabile, auditabile.
Cinque consigli per iniziare bene
Per le organizzazioni che intendono avviare un percorso di integrazione tra intelligenza artificiale e Modello 231, è essenziale seguire alcune direttrici operative che garantiscano equilibrio tra innovazione tecnologica, sostenibilità organizzativa e conformità normativa. In primo luogo, è indispensabile promuovere un confronto strutturato tra le funzioni coinvolte: Compliance, Risk Management, Information Technology e Data Protection Officer devono operare in sinergia, evitando approcci frammentati e deleghe in bianco all’area tecnica. L’adozione dovrebbe iniziare da casi d’uso semplici, ad alto contenuto informativo e con impatti facilmente misurabili, così da consentire una sperimentazione graduale e controllata.
Altro elemento centrale è la tracciabilità degli output algoritmici. Ogni decisione automatizzata o supportata da IA deve poter essere ricostruita in modo comprensibile e verificabile, mediante audit trail leggibili e documentati. In questo contesto, l’Organismo di Vigilanza assume un ruolo strategico: deve essere adeguatamente formato per comprendere - e, se necessario, contestare - gli esiti generati dai sistemi intelligenti, mantenendo il presidio sulla qualità e attendibilità dei dati. Infine, l’inserimento di tecnologie predittive all’interno del sistema 231 richiede la formalizzazione di una policy etica che definisca chiaramente finalità, limiti, responsabilità e criteri di governance. Senza un quadro regolativo interno, il rischio è che l’algoritmo diventi una “scatola nera”, opaca e inaccessibile, che finisce per svuotare di senso il principio di accountability. Solo un’adozione consapevole, proporzionata e auditabile può rendere l’intelligenza artificiale uno strumento coerente con lo spirito e la funzione del Modello 231. Un presidio intelligente, appunto, che sappia coniugare innovazione, legalità e responsabilità organizzativa. Non è l’algoritmo a garantire l’efficacia del Modello 231, ma la capacità dell’organizzazione di integrarlo senza delegare. È una sfida culturale prima ancora che tecnologica. Ma è anche, se ben governata, un’opportunità per rendere la compliance meno formale e più sostanziale. Più aderente alla realtà e, forse, anche più credibile.