WhatsApp

info@brentasoft.com

WhatsApp

Richiedi Preventivo

Modello 231 e software: la guida 2021 per le aziende

Tabella dei Contenuti

Modello 231 software guida 2021

Il D.Lgs. 231/2001 ha rivoluzionato il rapporto tra impresa e responsabilità penale, introducendo per la prima volta nel nostro ordinamento la responsabilità amministrativa degli enti per i reati commessi nel loro interesse o vantaggio da soggetti apicali o sottoposti. Vent’anni dopo, nel 2021, il modello 231 software non è più un’opzione ma un componente essenziale dell’infrastruttura compliance per qualsiasi società italiana che voglia tutelarsi efficacemente. Le PMI, in particolare, si trovano oggi davanti a una scelta strategica: continuare a gestire la responsabilità amministrativa enti con fascicoli cartacei e fogli Excel, oppure adottare strumenti digitali che integrano gestione documentale, workflow di whistleblowing, audit dell’OdV e tracciabilità degli accessi. In questa guida analizziamo nel dettaglio cosa prevede il d.lgs. 231/2001, come costruire un Modello Organizzativo di Gestione e Controllo (MOG) efficace, quale ruolo gioca l’OdV organismo vigilanza, quali sono i software 231 più diffusi sul mercato italiano e quali errori le piccole e medie imprese commettono più spesso.

1. Modello 231: cosa prevede il D.Lgs. 231/2001

Il Decreto Legislativo 8 giugno 2001 n. 231 ha introdotto in Italia il principio della responsabilità amministrativa degli enti, superando il dogma societas delinquere non potest. In sostanza, la società può essere chiamata a rispondere — con sanzioni autonome rispetto a quelle penali a carico delle persone fisiche — quando un reato presupposto è commesso nel suo interesse o vantaggio da:

  • Soggetti in posizione apicale: amministratori, dirigenti, soggetti che esercitano gestione e controllo dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale.
  • Soggetti sottoposti: dipendenti e collaboratori soggetti alla direzione o vigilanza degli apicali.

L’ente può evitare la sanzione dimostrando di aver adottato ed efficacemente attuato, prima della commissione del fatto, un Modello di Organizzazione, Gestione e Controllo (MOG) idoneo a prevenire reati della specie di quello verificatosi, e di aver affidato a un Organismo di Vigilanza (OdV) il compito di vigilare sul funzionamento e l’osservanza del modello. Il legislatore ha quindi creato un meccanismo premiale: chi investe in compliance ottiene una causa di esclusione della responsabilità.

Nel ventennio successivo all’entrata in vigore, il decreto è stato continuamente esteso con nuovi reati presupposto: dai reati societari (2002) ai reati transnazionali, dalla corruzione tra privati al riciclaggio, fino ai reati ambientali (2011), ai reati informatici, agli infortuni sul lavoro e ai reati tributari (introdotti con il D.L. 124/2019 conv. L. 157/2019). Nel 2021 il catalogo dei reati 231 supera abbondantemente le 25 categorie.

2. A chi si applica il D.Lgs. 231/2001

Il decreto si applica a una platea molto ampia di soggetti. Sono destinatari della normativa:

  • Società di capitali: S.p.A., S.r.l., S.a.p.A., incluse le start-up innovative e le società benefit.
  • Società di persone: S.n.c. e S.a.s. — anche se nella prassi sono meno colpite per dimensioni.
  • Enti privati con personalità giuridica: associazioni riconosciute, fondazioni, comitati.
  • Enti privati senza personalità giuridica: associazioni non riconosciute, partiti, sindacati.
  • Enti pubblici economici e società partecipate che svolgono attività imprenditoriale.

Sono esclusi dal perimetro del decreto: lo Stato, gli enti pubblici territoriali, gli enti pubblici non economici e quelli che svolgono funzioni di rilievo costituzionale. Restano escluse anche le imprese individuali, secondo l’orientamento prevalente della Cassazione.

Nel 2021 si stima che oltre 1,4 milioni di società di capitali italiane rientrino potenzialmente nel campo di applicazione del decreto, ma le aziende che hanno adottato un MOG strutturato sono molte meno: una ricerca di Confindustria stimava nel 2020 una penetrazione effettiva intorno al 25-30% nelle medie imprese e sotto il 10% nelle micro e piccole imprese.

3. I reati presupposto: la lista aggiornata al 2021

Solo i reati espressamente indicati dal legislatore possono generare la responsabilità dell’ente. Nel 2021 il catalogo include:

Compliance aziendale 231 documentale

  • Indebita percezione di erogazioni, truffa in danno dello Stato, frode informatica (art. 24)
  • Delitti informatici e trattamento illecito di dati (art. 24-bis)
  • Delitti di criminalità organizzata (art. 24-ter)
  • Concussione, induzione indebita e corruzione (art. 25)
  • Falso in monete e valori bollati (art. 25-bis)
  • Delitti contro l’industria e il commercio (art. 25-bis.1)
  • Reati societari, incluso il falso in bilancio (art. 25-ter)
  • Delitti con finalità di terrorismo (art. 25-quater)
  • Pratiche di mutilazione genitale femminile (art. 25-quater.1)
  • Delitti contro la personalità individuale (art. 25-quinquies)
  • Abusi di mercato (art. 25-sexies)
  • Omicidio colposo e lesioni gravi violando norme antinfortunistiche (art. 25-septies)
  • Ricettazione, riciclaggio, autoriciclaggio (art. 25-octies)
  • Delitti in violazione del diritto d’autore (art. 25-novies)
  • Induzione a non rendere dichiarazioni (art. 25-decies)
  • Reati ambientali (art. 25-undecies)
  • Impiego di cittadini di paesi terzi irregolari (art. 25-duodecies)
  • Razzismo e xenofobia (art. 25-terdecies)
  • Frode in competizioni sportive e gioco d’azzardo (art. 25-quaterdecies)
  • Reati tributari (art. 25-quinquiesdecies, introdotto nel 2019)
  • Contrabbando (art. 25-sexiesdecies, introdotto nel 2020)

L’aggiornamento più rilevante per le imprese arriva proprio a cavallo tra 2019 e 2020: l’inserimento dei reati tributari (dichiarazione fraudolenta, emissione di fatture false, occultamento di documenti contabili) ha esteso il rischio 231 a una platea enorme di società che prima ne erano sostanzialmente immuni. Il MOG di tutte le aziende che operano con fornitori o cicli passivi a rischio dovrebbe essere rivisitato per coprire questa nuova area.

4. Le sanzioni: pecuniarie, interdittive, confisca

Le sanzioni previste dal decreto sono particolarmente afflittive e si articolano in quattro categorie:

Sanzioni pecuniarie

Sono sempre applicate. Vengono determinate per quote: il numero di quote (da 100 a 1.000) dipende dalla gravità del fatto e dalle condizioni economiche dell’ente; il valore della singola quota (da € 258 a € 1.549) è parametrato alle condizioni economiche dell’ente. Il massimo edittale può quindi superare il milione di euro per un singolo episodio.

Sanzioni interdittive

Sono il vero deterrente per la maggior parte delle imprese, perché possono determinare l’uscita dal mercato:

  • Interdizione dall’esercizio dell’attività
  • Sospensione o revoca di autorizzazioni, licenze, concessioni
  • Divieto di contrattare con la P.A.
  • Esclusione da agevolazioni, finanziamenti, contributi e sussidi
  • Divieto di pubblicizzare beni o servizi

La durata varia da 3 mesi a 2 anni, ma in caso di reiterazione può essere disposta in via definitiva.

Confisca

La confisca del prezzo o profitto del reato è sempre applicata in caso di condanna, anche per equivalente.

Pubblicazione della sentenza

La sentenza di condanna può essere pubblicata sui quotidiani a spese dell’ente, con un evidente impatto reputazionale.

5. Il Modello Organizzativo di Gestione e Controllo (MOG)

Il MOG è il cuore della compliance 231. Per essere considerato idoneo, un modello deve possedere requisiti specifici, indicati dall’art. 6 del decreto e progressivamente dettagliati dalla giurisprudenza. Un MOG efficace contiene tipicamente:

  1. Risk assessment: mappatura delle aree e dei processi a rischio reato, con valutazione di probabilità e impatto.
  2. Parte generale: descrizione dell’ente, governance, organigramma, sistema di deleghe e procure.
  3. Parti speciali: protocolli di comportamento dedicati a ciascuna famiglia di reati presupposto rilevante.
  4. Codice etico: principi di condotta ai quali deve attenersi chiunque operi per l’ente.
  5. Sistema disciplinare: sanzioni proporzionate per chi viola il modello, applicabili ad apicali e dipendenti.
  6. Procedure operative: workflow autorizzativi, segregazione dei compiti, controlli a quattro occhi.
  7. Flussi informativi verso l’OdV: cadenze, contenuti, modalità di trasmissione.
  8. Programma di formazione e informazione di tutto il personale.
  9. Canale di segnalazione (whistleblowing) conforme alla legge 179/2017.

L’efficacia del modello non si misura sulla carta ma sull’attuazione concreta. Una società che ha un MOG bellissimo nel cassetto e nessun audit, formazione o tracciabilità degli atti rischia di vedersi negato il beneficio esimente in sede giudiziale. È qui che il modello 231 software diventa decisivo: solo la digitalizzazione dei flussi consente di provare in modo oggettivo l’attuazione effettiva. Per questo molte aziende integrano il MOG con i propri gestionali personalizzati, in modo da rendere automatici i controlli sui processi sensibili.

6. Organismo di Vigilanza (OdV): ruolo, composizione, indipendenza

L’Organismo di Vigilanza è la struttura — interna o esterna — incaricata di vigilare sul funzionamento e sull’osservanza del modello, di curarne l’aggiornamento e di segnalare al vertice eventuali criticità. La giurisprudenza ha consolidato i requisiti che l’OdV deve possedere per essere considerato adeguato:

Audit organismo vigilanza riunione

  • Autonomia e indipendenza: i membri non devono essere collocati in posizione subordinata rispetto agli organi gestori, né avere conflitti di interesse rilevanti.
  • Professionalità: competenze giuridiche, contabili, organizzative e di internal auditing.
  • Continuità d’azione: l’OdV deve essere strutturato per operare con cadenza regolare, non episodicamente.
  • Onorabilità: i membri non devono avere precedenti penali ostativi.

L’OdV può essere:

  • Monocratico: un unico componente, tipicamente esterno, scelta diffusa nelle PMI per ragioni di costo.
  • Collegiale: 3 membri (raramente 5), spesso una composizione mista interno/esterno con un avvocato penalista, un commercialista/revisore e un responsabile interno (HR, internal audit).

Per le società di minori dimensioni il legislatore ha previsto la possibilità che le funzioni dell’OdV siano svolte direttamente dall’organo dirigente, ma questa opzione è sconsigliata perché di fatto compromette il requisito di indipendenza. Una gestione utenti e permessi rigorosa nel sistema gestionale è uno dei principali strumenti di controllo a disposizione dell’OdV: poter dimostrare chi ha fatto cosa, quando e con quale autorizzazione è la base di qualunque audit.

7. Whistleblowing: integrazione nel modello 231

La legge 179 del 30 novembre 2017 ha modificato l’art. 6 del D.Lgs. 231/2001 introducendo l’obbligo, per gli enti che adottano un MOG, di prevedere uno o più canali di segnalazione che garantiscano la riservatezza dell’identità del segnalante. La normativa richiede:

  • Almeno un canale che assicuri la riservatezza con modalità informatiche.
  • Un canale alternativo idoneo a garantire la riservatezza dell’identità del segnalante.
  • Divieto di atti di ritorsione o discriminazione diretti o indiretti nei confronti del segnalante.
  • Sanzioni disciplinari per chi viola le misure di tutela del segnalante e per chi effettua segnalazioni infondate con dolo o colpa grave.

Nel 2021 la maggior parte delle aziende strutturate utilizza piattaforme dedicate (web, on-premise o SaaS) che cifrano la segnalazione, la indirizzano direttamente all’OdV e tengono traccia immutabile di tutto il workflow. Le casette di posta dedicate o i moduli email semplici non garantiscono il livello di riservatezza richiesto e generalmente non sono considerati conformi.

Va ricordato che la direttiva UE 2019/1937 sul whistleblowing è stata adottata a livello europeo ma non è ancora stata recepita in Italia nel 2021 (il termine di recepimento scade il 17 dicembre 2021); la normativa italiana di riferimento resta quindi la legge 179/2017, integrata dal GDPR per gli aspetti di protezione dei dati personali. Su quest’ultimo aspetto, anche il modulo GDPR del gestionale aziendale gioca un ruolo centrale: i registri delle attività di trattamento, le DPIA e il principio di minimizzazione si intersecano con i flussi 231.

8. Software per la gestione 231: panoramica del mercato 2021

Nel 2021 il mercato italiano del modello 231 software è ormai maturo. I principali attori offrono piattaforme modulari che integrano gestione documentale, audit, segnalazioni e formazione. Vediamo le soluzioni più diffuse:

4Legal 231

Suite italiana focalizzata sul mondo legal-compliance. Punti di forza: gestione del MOG con versioning, repository documentale strutturato, modulo whistleblowing crittografato, calendario audit OdV, reportistica al CdA. Modello on-premise o cloud privato. Adatto a società medio-grandi che vogliono un’unica piattaforma per 231, antiriciclaggio e privacy.

231 Easy

Pensato per PMI e studi professionali che assistono più clienti. Struttura semplice, configurazione guidata del MOG, modello multi-tenant per consulenti che gestiscono diversi enti. Funzioni base di whistleblowing e flussi informativi all’OdV. Costo contenuto.

NormaPiù 231

Modulo del più ampio ecosistema NormaPiù dedicato alla compliance integrata. Forte sull’aggiornamento normativo automatico (avvisi su nuovi reati presupposto, modifiche legislative, sentenze rilevanti). Integrato con altre aree di compliance: privacy, sicurezza sul lavoro, antiriciclaggio.

Sicrea Privacy 231

Soluzione che integra in un’unica piattaforma il GDPR e il D.Lgs. 231/2001. Particolarmente adatta ad aziende che vogliono un approccio unitario alla compliance documentale. Workflow guidati, modulistica precompilata, gestione delle scadenze.

Wolters Kluwer Forum

Piattaforma enterprise dell’editore giuridico Wolters Kluwer. Gestione documentale avanzata, integrazione con banche dati normative, audit trail completo, supporto contrattuale per studi legali e grandi imprese. Costi più elevati ma standard qualitativo molto alto.

La scelta tra queste opzioni dipende da dimensioni dell’ente, settore, livello di rischio percepito e preesistente architettura IT. Le aziende che hanno già adottato soluzioni cloud per la gestione documentale e i workflow autorizzativi possono integrare un modulo 231 verticale, evitando duplicazioni di sistemi e silos informativi. L’integrazione con l’ERP è cruciale soprattutto per le aree contabili, ciclo passivo e tesoreria, che sono tra le più esposte ai reati tributari e di corruzione.

9. Audit periodici e aggiornamenti del modello

Un MOG non è un documento statico ma un sistema vivo che richiede manutenzione. La giurisprudenza ha più volte ribadito che l’obsolescenza del modello rispetto a:

  • Modifiche organizzative significative (acquisizioni, fusioni, riorganizzazioni)
  • Nuovi reati presupposto introdotti dal legislatore
  • Mutamenti nell’attività dell’ente o nei processi sensibili
  • Violazioni o quasi-incidenti emersi

…rende il modello inidoneo e quindi inefficace ai fini esimenti. La buona pratica prevede:

  • Audit annuale dell’OdV su tutto il perimetro del modello.
  • Audit tematici su singoli processi a rotazione (almeno trimestrali).
  • Revisione del MOG almeno ogni 2 anni, anche in assenza di eventi straordinari.
  • Aggiornamento immediato in caso di novità normative significative.
  • Reportistica al CdA con cadenza semestrale.

10. Costi indicativi 2021 (consulenza + software)

I costi di un’iniziativa 231 variano sensibilmente per dimensione e complessità dell’ente. A titolo indicativo, sui valori medi del mercato italiano nel 2021:

Controllo vigilanza 231 verifica documentale

  • Risk assessment + redazione MOG (PMI): € 8.000 – € 25.000 una tantum.
  • Risk assessment + redazione MOG (media impresa): € 25.000 – € 80.000.
  • OdV monocratico esterno: € 6.000 – € 15.000 annui.
  • OdV collegiale (3 membri, mix): € 15.000 – € 40.000 annui.
  • Software 231 per PMI: € 1.500 – € 5.000 annui.
  • Software 231 enterprise: € 8.000 – € 30.000 annui.
  • Formazione iniziale: € 2.000 – € 10.000 in funzione del numero di destinatari.
  • Aggiornamento annuale MOG: € 3.000 – € 12.000.

Il TCO triennale per una PMI strutturata si colloca quindi tipicamente tra € 40.000 e € 90.000. Una cifra significativa, ma da confrontare con il rischio di sanzioni interdittive che possono determinare la chiusura dell’attività.

11. Errori frequenti delle PMI

Dall’esperienza sul campo emergono alcuni errori ricorrenti commessi dalle PMI che si avvicinano al D.Lgs. 231/2001:

  1. Modello “fotocopia”: adottare un MOG standard scaricato o copiato da altra azienda, senza un risk assessment specifico. La giurisprudenza penalizza sistematicamente i modelli non personalizzati.
  2. OdV sottodimensionato: assegnare l’OdV a un dirigente interno con altre 12 deleghe e nessuna risorsa dedicata. Indipendenza compromessa, attività episodica.
  3. Niente formazione: limitarsi a inviare il PDF del MOG per email senza erogare formazione effettiva tracciata.
  4. Whistleblowing tramite cassetta postale: soluzioni informali che non garantiscono la riservatezza richiesta dalla legge 179/2017.
  5. Assenza di flussi informativi: nessun obbligo di segnalazione codificato dalle funzioni operative all’OdV. L’OdV non sa nulla di quel che accade.
  6. Codice etico generico: principi astratti che non si traducono in regole operative.
  7. Mancato aggiornamento sui reati tributari: il modello pre-2019 non copre adeguatamente questa nuova area di rischio.
  8. Documentazione cartacea: archiviazione su carta o cartelle Windows non strutturate, senza tracciatura. Rende difficilissimo provare l’attuazione del modello.
  9. Sistema disciplinare non applicato: previsioni nel MOG che non si traducono in atti concreti quando si verificano violazioni.
  10. Confusione tra adempimento e cultura: trattare la 231 come un timbro burocratico anziché come strumento di governance.

12. Domande frequenti

Il D.Lgs. 231/2001 è obbligatorio per tutte le aziende?

Tecnicamente l’adozione del MOG non è un obbligo di legge generalizzato: è una scelta che consente all’ente di beneficiare della causa esimente in caso di reato presupposto. Tuttavia, per molti settori (sanità, appalti pubblici, finanza) è di fatto richiesto da clienti, bandi e controparti contrattuali. Le società quotate hanno obblighi specifici nel TUF.

Una S.r.l. unipersonale deve adottare il modello 231?

Anche una S.r.l. unipersonale rientra nel campo di applicazione del decreto. La singola persona socia/amministratrice però rende difficilmente sostenibile l’autonomia dell’OdV, e la giurisprudenza ha talvolta valutato in modo critico modelli adottati da società sostanzialmente “personali”.

Posso usare lo stesso software per GDPR e 231?

Sì, molte piattaforme integrate (Sicrea, NormaPiù, suite Wolters Kluwer) offrono moduli unificati. L’integrazione ha senso sia tecnico (riuso di registri, documenti, audit) sia organizzativo (compliance officer unico).

Il responsabile della protezione dati (DPO) può essere anche membro dell’OdV?

È possibile ma controverso. I due ruoli hanno requisiti di indipendenza simili ma compiti distinti. Nelle PMI può essere accettabile per ragioni di costo, ma in società strutturate è preferibile mantenerli separati per evitare conflitti.

Cosa succede se l’azienda è già sotto procedimento penale?

L’adozione di un MOG può essere comunque utile per evitare l’applicazione delle misure cautelari interdittive (art. 17 D.Lgs. 231/2001) e per beneficiare delle riduzioni di sanzione previste in caso di adozione successiva del modello prima della dichiarazione di apertura del dibattimento.

Quanto durano in media i progetti 231?

Per una PMI il progetto completo (dal kick-off all’approvazione del MOG da parte del CdA) richiede mediamente 4-8 mesi. Per imprese strutturate si arriva a 9-12 mesi, soprattutto se occorre coordinare più sedi o legal entity.

Pillar e approfondimenti correlati

Questo articolo fa parte di un cluster dedicato alla compliance aziendale. Per un quadro complessivo della normativa privacy ti consigliamo la nostra guida GDPR aziendale per PMI 2021 e l’approfondimento su DPIA e obbligo DPO, due aree che si integrano direttamente con il modello 231.

Per chi vuole approfondire il quadro normativo possiamo rimandare alla scheda D.Lgs. 231/2001 su Wikipedia e alle linee guida pubblicate da Confindustria, che restano il riferimento principale per la costruzione di modelli organizzativi conformi.

Vuoi un sistema gestionale conforme al D.Lgs. 231/2001?

Brentasoft sviluppa software con compliance integrata: gestione documentale, log accessi, workflow whistleblowing, controllo OdV per aziende italiane in regime 231.

Scopri ERP Brenta →