Compliance aziendale: cos’è, a cosa serve e come funziona il Modello 231

• La compliance aziendale è l’insieme di regole, processi e strumenti che un’azienda adotta per rispettare le leggi, i regolamenti e gli standard etici del proprio settore, riducendo il rischio di sanzioni penali, civili o amministrative.
• Il riferimento normativo principale è il d.lgs. 8 giugno 2001, n. 231, che ha introdotto per la prima volta in Italia la responsabilità amministrativa degli enti per i reati commessi nel loro interesse o vantaggio.
• Adottare un Modello di Organizzazione, Gestione e Controllo (MOGC) – il cosiddetto Modello 231 – è lo strumento concreto con cui un’azienda può esonerarsi da responsabilità e dimostrare di aver fatto tutto il possibile per prevenire il reato.

Se gestisci un’azienda o lavori in un ente, prima o poi ti troverai a fare i conti con il termine compliance. Non è solo una moda anglosassone: è una vera e propria architettura giuridica che, se costruita bene, protegge la tua impresa da rischi legali anche molto gravi. In Italia, il tema è diventato urgente con l’entrata in vigore del d.lgs. n. 231/2001, che ha cambiato radicalmente le regole del gioco: per la prima volta, non solo le persone fisiche ma anche le società e gli enti possono essere chiamati a rispondere di reati. Vediamo cos’è la compliance aziendale, a cosa serve davvero e come funziona il sistema che il legislatore ha messo in piedi.

Definizione di compliance aziendale

Il termine inglese compliance significa letteralmente conformità. Nel contesto aziendale, indica l’insieme delle attività, dei processi e dei controlli interni che un’organizzazione mette in atto per garantire che la propria condotta rispetti:

• le leggi e i regolamenti vigenti, nazionali ed europei;
• le best practice del settore di riferimento;
• il codice etico aziendale e i principi di governance interna.

Nella pratica, la compliance aziendale non è un documento da mettere in cassetto: è un sistema vivo, che deve essere costantemente aggiornato al mutare del quadro normativo e della realtà operativa dell’impresa. L’acronimo che raccoglie l’insieme di questi sistemi è LGRC – Legal Governance, Risk & Compliance – un termine usato soprattutto nei contesti più strutturati per descrivere la governance complessiva del rischio legale.

LEGGI ANCHE A chi vanno le quote della società quando muore il socio di una S.r.l.? Come funziona la successione ereditaria dell’azienda

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

A cosa serve la compliance aziendale

Gli obiettivi della compliance sono essenzialmente due, e si alimentano a vicenda.

Il primo è proteggere l’azienda dalle sanzioni: penali, civili o amministrative. Un’impresa che non rispetta le norme rischia non solo multe salate, ma anche provvedimenti interdittivi che possono bloccare l’attività, escluderla da gare pubbliche o impedirle di contrarre con certi soggetti.

Il secondo obiettivo è costruire e mantenere la reputazione. In un mercato dove clienti, partner e investitori valutano sempre più anche il profilo etico e di governance di chi hanno di fronte, un sistema di compliance solido è un vantaggio competitivo concreto, non solo un obbligo burocratico.

I principali settori coperti dalla compliance aziendale sono:

• tutela del consumatore e pratiche commerciali corrette;
• sicurezza informatica e protezione dei dati (GDPR – Regolamento UE 2016/679);
• normativa antiriciclaggio (d.lgs. n. 231/2007 – diverso dal 231/2001 sulla responsabilità degli enti);
• lotta alla corruzione e ai reati contro la pubblica amministrazione;
• sicurezza sul lavoro (d.lgs. n. 81/2008, Testo Unico sulla Sicurezza);
• certificazioni di qualità e normative ISO;
• responsabilità ambientale e sostenibilità.

A chi si rivolge

La compliance aziendale si rivolge sia alle aziende, che possono aziende dimensioni micro, piccole, medie o grandi, sia agli enti, che possono essere pubblici o privati. Uno dei malintesi più diffusi è pensare che la compliance riguardi solo le grandi multinazionali o le società quotate in Borsa. Non è così.

Il d.lgs. n. 231/2001 si applica a società, associazioni, fondazioni, enti pubblici economici e in generale a qualsiasi ente dotato di personalità giuridica o privo di essa, indipendentemente dalle dimensioni. La differenza tra una piccola impresa e una grande azienda non sta nell’obbligo – che riguarda tutte – ma nella complessità e articolazione del sistema di controllo da adottare, che deve essere proporzionato all’attività svolta e al livello di rischio effettivo.

Sono proprio questi i soggetti che dovranno garantire la loro conformità rispetto a settori differenti, tra i quali ci sono:

• la tutela del consumatore;
• la sicurezza informatica e la protezione dei dati;
• la lotta alla corruzione;
• il rispetto della privacy e il trattamento dei dati personali;
• la normativa antiriciclaggio;
• il rispetto delle certificazioni di qualità e delle normative ISO;
• la prevenzione degli incidenti e la sicurezza sul posto di lavoro.

Tutte le attività svolte hanno l’obiettivo di prevenire il rischio di essere sanzionati, civilmente, penalmente o dal punto di vista amministrativo, o di perdere parte della propria reputazione a causa del mancato rispetto delle leggi. 

Ti potrebbe interessare Quando un’azienda può licenziare per esubero?

Il decreto legislativo 231/2001

Prima del d.lgs. 8 giugno 2001, n. 231, il principio che governava il diritto penale italiano era semplice: solo le persone fisiche possono commettere reati, e solo le persone fisiche possono essere punite (societas delinquere non potest). Con il 231, questo principio è stato radicalmente rivisto.

La norma introduce la responsabilità amministrativa degli enti per una serie di reati – i cosiddetti reati presupposto – commessi nel loro interesse o a loro vantaggio da:

• soggetti apicali, cioè chi ha funzioni di rappresentanza, amministrazione o direzione dell’ente;
• soggetti sottoposti alla direzione o vigilanza di questi ultimi, come dipendenti o collaboratori.

Le sanzioni previste a carico dell’ente sono severe e articolate:

• sanzioni pecuniarie, calcolate in quote che possono arrivare a cifre molto elevate;
• sanzioni interdittive, come la sospensione o la revoca di autorizzazioni e licenze, il divieto di contrattare con la pubblica amministrazione, l’esclusione da agevolazioni o finanziamenti, il divieto di pubblicizzare beni e servizi;
• confisca del profitto derivante dal reato;
• pubblicazione della sentenza, con evidente impatto reputazionale.

I reati presupposto coperti dalla norma sono aumentati negli anni rispetto al testo originario del 2001. Oggi comprendono, tra gli altri: corruzione e concussione, reati informatici, reati ambientali, riciclaggio e autoriciclaggio, reati tributari, reati in materia di salute e sicurezza sul lavoro, criminalità organizzata, reati contro la pubblica amministrazione, abusi di mercato e molti altri ancora.

Cos’è il modello 231 (MOGC)

Il Modello di Organizzazione, Gestione e Controllo – detto comunemente Modello 231 o MOGC – è lo strumento con cui l’ente si difende dalla responsabilità amministrativa prevista dal decreto. Adottarlo e attuarlo efficacemente consente all’azienda di essere esonerata dalle sanzioni, anche se il reato viene commesso.

La logica è questa: il legislatore non si aspetta che le aziende possano eliminare del tutto il rischio di reato, ma che facciano tutto il ragionevolmente possibile per prevenirlo. Se l’ente ha adottato e attuato un modello adeguato, e il reato è stato commesso da qualcuno che ha eluso fraudolentemente il sistema di controllo, l’ente non risponde.

Un Modello 231 efficace si compone di alcune parti essenziali:

• la mappatura dei rischi, cioè l’individuazione delle aree aziendali esposte ai reati presupposto;
• la definizione di protocolli e procedure per prevenire la commissione dei reati nelle aree a rischio;
• un sistema disciplinare interno che sanzioni il mancato rispetto del modello;
• un Codice Etico che definisce i valori e i principi di comportamento dell’ente;
• la nomina e il funzionamento dell’Organismo di Vigilanza (ODV).

L’Organismo di Vigilanza (ODV)

L’ODV è l’organo interno all’ente che ha il compito di vigilare sul funzionamento del Modello 231 e sul suo aggiornamento. Deve possedere tre caratteristiche: autonomia, indipendenza e professionalità. Può essere monocratico (un singolo professionista) o collegiale (un comitato), a seconda delle dimensioni e della complessità dell’azienda.

Il ruolo dell’ODV non è solo formale: deve monitorare attivamente l’applicazione del modello, segnalare criticità, proporre aggiornamenti quando cambiano le norme o l’assetto organizzativo, e riferire periodicamente all’organo dirigente. Un ODV che lavora sulla carta – senza poteri reali, senza budget, senza accesso alle informazioni – non solo non protegge l’azienda, ma può diventare un elemento a suo sfavore nel corso di un procedimento.

Ti suggeriamo di leggere anche Successione d’azienda: disciplina giuridica e adempimenti fiscali

Modello 231 e altri sistemi di gestione: come si integrano

Il Modello 231 non è un sistema isolato: si integra con altri strumenti di gestione aziendale già presenti o da adottare, come:

• i sistemi di gestione ambientale certificati ISO 14001 o registrati EMAS;
• il sistema di gestione della qualità ISO 9001;
• il sistema di gestione della sicurezza sul lavoro (SGSSL), coerente con il d.lgs. n. 81/2008;
• il sistema Privacy conforme al GDPR;
• il sistema anticorruzione, in linea con la normativa italiana e gli standard internazionali come la ISO 37001.

Quando questi sistemi sono progettati in modo coordinato, si parla di sistema integrato di compliance: un approccio che riduce le duplicazioni, abbassa i costi di gestione e offre all’intera organizzazione una visione unitaria dei rischi e delle responsabilità.

Adottare il Modello 231 è obbligatorio?

Tecnicamente no: il d.lgs. n. 231/2001 non impone alle aziende di adottare il Modello 231. Ma ragionare in termini di “obbligo formale” è fuorviante. Se l’ente non lo adotta e viene commesso un reato presupposto nel suo interesse, l’ente risponde automaticamente e non ha alcuno scudo difensivo. L’adozione del modello è quindi facoltativa sulla carta, ma nella pratica è l’unico strumento disponibile per evitare conseguenze potenzialmente devastanti sul piano economico e reputazionale.

Se vuoi capire se la tua azienda è esposta ai rischi previsti dal d.lgs. n. 231/2001 o se il tuo modello attuale è davvero adeguato, il consiglio è di affidarti a un legale specializzato in diritto societario e compliance: una valutazione preventiva vale molto di più di una difesa a processo già aperto.

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza