Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

gestione dei rischi

Riforma 231 e doveri di controllo: il valore della prova documentale

Home Documenti digitali
Partecipa al dibattito
Indirizzo copiato

La riforma 231 e il D.Lgs. 47/2026 rafforzano il ruolo del Modello 231 come sistema organizzativo effettivo, aggiornato e documentabile. Per imprese, ODV, sindaci e consulenti diventa centrale dimostrare controlli, presidi, flussi informativi e gestione dei rischi

Pubblicato il 4 giu 2026
Nicola Lorenzini

Of Counsel di LS Lexjus Sinacta

compliance; DDL Semplificazioni articolo 46 software; formazione 2026; open data appalti compliance digitale
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

La riforma della disciplina 231, nella proposta elaborata dal Tavolo tecnico del Ministero della Giustizia, segna un passaggio molto rilevante: il Modello 231 non è più visto come un mero documento difensivo, ma come un sistema organizzativo dinamico, verificabile, aggiornato e tracciabile. La proposta conferma la vocazione preventiva del D.Lgs. 231/2001 e punta a rafforzarla, valorizzando la colpa di organizzazione, l’effettiva attuazione del modello, il sistema dei controlli interni, la formazione, le segnalazioni, le best practice e la documentazione delle attività svolte.  

Legge AI e compliance 231: come cambia la responsabilità d’impresa

In parallelo, il D.Lgs. 47/2026 amplia e sistematizza i doveri dell’organo di controllo nelle società, introducendo una disciplina comune per collegio sindacale, consiglio di sorveglianza e comitato per il controllo sulla gestione. La novità più significativa è l’esplicito obbligo di vigilare non solo sull’osservanza della legge e sull’adeguatezza degli assetti organizzativi, ma anche sul sistema di controllo interno e di gestione dei rischi e sul coordinamento delle sue funzioni.  

Queste due direttrici normative convergono in un punto centrale: la responsabilità degli organi di controllo e dei professionisti non si misura più soltanto sulla presenza formale di procedure, verbali e modelli, ma sulla capacità di dimostrare che il sistema di prevenzione è realmente funzionante, aggiornato, documentato e proporzionato ai rischi dell’impresa.

La nuova centralità della colpa di organizzazione

La proposta di riforma 231 supera la tradizionale distinzione tra reato commesso da apicali e reato commesso da sottoposti, attribuendo rilievo unitario alla mancata adozione o inefficace attuazione del modello organizzativo. L’ente risponde quando il reato-presupposto è stato determinato o agevolato da carenze organizzative, cioè da un deficit del sistema preventivo.

Questo significa che il baricentro dell’accertamento si sposta su domande molto concrete:

  • il rischio era stato mappato?
  • il processo aziendale era presidiato?
  • le procedure erano aggiornate?
  • i controlli erano effettivi?
  • le anomalie erano rilevate?
  • l’Organismo di Vigilanza riceveva flussi informativi adeguati?
  • l’organo di controllo aveva evidenza del funzionamento del sistema?
  • le attività di verifica erano documentate?

In questa prospettiva, il Modello 231 non può più essere una fotografia statica. Deve diventare un sistema vivente, capace di produrre evidenze continue.

È qui che il software può assumere valore strategico, consentendo di dimostrare la catena logica della prevenzione, dalla mappatura dei rischi alla gestione dei presidi, dagli audit ai flussi verso ODV e organi di controllo.

Nuovi doveri degli organi di controllo: dal controllo formale alla vigilanza sul sistema dei rischi

Il D.Lgs. 47/2026 introduce nel Codice civile il nuovo articolo 2396-quinquies, dedicato ai doveri dell’organo di controllo. La norma prevede una disciplina comune per i tre sistemi di governance e aggiunge, tra i compiti dell’organo di controllo, la vigilanza sull’adeguatezza e sul concreto funzionamento del sistema di controllo interno e di gestione dei rischi.

Questo passaggio è fondamentale per i professionisti.

Il sindaco, il componente dell’organo di controllo, il revisore coinvolto nei processi di verifica, il consulente 231 e l’ODV devono poter dimostrare non solo di aver “preso atto” dell’esistenza di un sistema, ma di aver svolto un’attività coerente, proporzionata e documentata.

Nelle società di minori dimensioni, il Sole 24 Ore evidenzia che l’organo di controllo dovrà adottare un approccio di vigilanza proporzionale, dando priorità a procedure, direttive e prassi operative relative alle aree in cui sono stati rilevati rischi significativi.

Questa indicazione ha un impatto diretto sulla responsabilità professionale: se l’organo di controllo è chiamato a vigilare sul sistema dei rischi, deve disporre di strumenti che gli consentano di selezionare le aree critiche, verificare i presidi, monitorare le anomalie e conservare evidenze dell’attività svolta.

Alcuni software rispondono proprio a questa esigenza, permettendo di costruire un ambiente organizzato nel quale ogni rischio, presidio, controllo, documento, scadenza e attività di vigilanza sia collegato, tracciato e storicizzato.

Il valore probatorio della documentazione: appalti, filiere e controlli

Le recenti vicende in materia di appalti, filiere produttive e caporalato mostrano come la responsabilità 231 si giochi sempre più sulla capacità dell’ente di dimostrare di aver svolto controlli effettivi sui propri partner, fornitori, appaltatori e subappaltatori.

Nei materiali esaminati emerge con chiarezza che, nella prevenzione del rischio negli appalti, non è sufficiente acquisire il solo DURC. Occorre raccogliere e monitorare documenti ulteriori: buste paga, prospetti del personale impiegato, CCNL applicato, inquadramenti, orari, straordinari, F24, elenco dipendenti, badge, documentazione fiscale e informazioni sui subappalti.

La check list operativa 231 sugli appalti conferma questa impostazione: la due diligence deve riguardare identità e struttura dell’appaltatore, regolarità contributiva e fiscale, reputazione imprenditoriale, genuinità dell’appalto, autonomia organizzativa, sicurezza, subappalti, indicatori di rischio e documenti da acquisire periodicamente.

Il punto decisivo è che, in sede giudiziaria o ispettiva, ciò che conta non è dichiarare di avere un controllo, ma produrre la prova del controllo.

Software che consentono di trasformare la compliance in prova documentale, permettono di:

  • associare ogni rischio 231 a specifici presidi;
  • collegare procedure, check list, audit e documenti;
  • registrare le attività svolte;
  • monitorare scadenze e rinnovi documentali;
  • conservare evidenze storiche;
  • segnalare anomalie e red flag;
  • generare report per ODV, organo di controllo, management e consulenti.

In questo modo il professionista non si trova più a ricostruire ex post le attività svolte, ma dispone di un sistema ordinato e verificabile.

Appalti e caporalato: il nuovo fronte della responsabilità organizzativa

Le indagini recenti nel settore moda mostrano che la filiera degli appalti è oggi una delle aree più sensibili in ottica 231. Nel caso Dama/Aspesi, secondo quanto riportato dal Sole 24 Ore, la contestazione riguarda una presunta politica d’impresa che avrebbe accettato lo sfruttamento dei lavoratori come modalità produttiva, nella deliberata mancanza di modelli organizzativi idonei.

Nel caso Tod’s, invece, la società ha valorizzato nella propria difesa l’implementazione di controlli in filiera, una piattaforma per la tracciabilità delle attività, la qualificazione dei fornitori in base al rischio, l’ampliamento degli audit e la possibilità di bloccare i rapporti in caso di rischio elevato.

Questi esempi dimostrano che la compliance 231 si sta muovendo verso tre parole chiave:

  • tracciabilità,
  • valutazione del rischio,
  • audit continuativo.

Creare una gestione strutturata della filiera, è possibile documentando:

  • anagrafica fornitori e appaltatori;
  • qualificazione preventiva;
  • classificazione per rischio;
  • raccolta documentale;
  • controlli periodici;
  • audit programmati e a sorpresa;
  • esiti delle verifiche;
  • azioni correttive;
  • segnalazioni all’ODV;
  • flussi verso organi di controllo.

In una logica 231, questo significa rafforzare la posizione dell’ente e dei professionisti, perché ogni decisione di controllo può essere ricostruita e giustificata.

Best practice, idoneità del modello e ruolo difensivo del software

Uno dei punti più innovativi della proposta di riforma riguarda la valutazione di idoneità del Modello 231. Il Tavolo tecnico propone di valorizzare le best practice come strumenti orientativi e conformativi della valutazione giudiziale. Il giudice, nel valutare l’idoneità del modello, dovrà tenerne specificamente conto e, se intende discostarsene, dovrà motivare tale scelta.

Questo passaggio è di grande importanza.

Significa che l’impresa e i professionisti devono poter dimostrare che il modello è stato costruito e gestito secondo criteri riconoscibili, coerenti e verificabili. Non basta più avere procedure generiche: occorre mostrare che il sistema è stato costruito secondo un metodo.

Il vantaggio competitivo offerto da alcuni software consente di standardizzare il metodo di lavoro 231, rendendo replicabili e documentabili le attività fondamentali:

  • risk assessment;
  • mappatura processi/reati;
  • identificazione dei presidi;
  • gestione delle evidenze;
  • audit;
  • flussi informativi;
  • aggiornamenti normativi;
  • formazione;
  • monitoraggio delle azioni correttive.

Il software, quindi, non sostituisce il giudizio professionale, ma lo rende più sicuro, tracciabile e difendibile.

Sicurezza delle responsabilità dei professionisti coinvolti

Il concetto di “sicurezza” non va inteso come immunità automatica da responsabilità. Nessun software può garantire ex ante l’esclusione della responsabilità dell’ente, dell’ODV, del sindaco o del consulente. Tuttavia, un software strutturato può garantire una cosa decisiva: la sicurezza del processo professionale.

Per un professionista, il rischio non nasce solo dall’errore tecnico, ma anche dall’impossibilità di dimostrare:

  • quali verifiche sono state svolte;
  • quando sono state svolte;
  • su quali documenti;
  • con quali esiti;
  • quali anomalie sono state segnalate;
  • quali azioni correttive sono state richieste;
  • se l’ente ha dato seguito alle indicazioni;
  • se l’ODV o l’organo di controllo sono stati informati.

Utilizzare software in grado di lasciare una traccia ordinata, cronologica e verificabile dell’attività svolta è essenziale per consulenti 231, componenti ODV, sindaci, revisori, internal auditor, responsabili compliance, responsabili HR, HSE e responsabili acquisti.

In caso di contestazione, il professionista potrà infatti dimostrare di aver operato secondo un metodo diligente, proporzionato e coerente con i rischi rilevati.

Il collegamento con la nuova funzione dell’ODV e del sistema dei controlli

La proposta di riforma sottolinea che non deve essere valorizzato solo il controllo dell’Organismo di Vigilanza, ma l’intero sistema dei controlli di primo, secondo e terzo livello. Il nuovo impianto guarda alla sinergia tra procedure operative, funzioni aziendali, audit, compliance, controllo interno, ODV e organi societari.

Questo è un passaggio decisivo: la 231 non è più materia isolata dell’ODV, ma parte integrante del sistema di governance.

Conclusione

Le nuove linee di evoluzione della disciplina 231 e la riforma dei doveri dell’organo di controllo convergono verso un principio chiaro: la compliance deve essere effettiva, documentata, proporzionata e verificabile.

Il Modello 231 cartaceo, statico e aggiornato occasionalmente non è più sufficiente. L’impresa deve poter dimostrare di avere un sistema vivo, capace di prevenire, intercettare e correggere i rischi. Allo stesso tempo, gli organi di controllo e i professionisti devono poter provare di aver vigilato con metodo, continuità e adeguata diligenza.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Nicola Lorenzini
Of Counsel di LS Lexjus Sinacta
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • claude cowork plugin

  • approfondimento

    Procedimento amministrativo digitale, tra legalità, IA e garanzie

    09 Dic 2025

    di Armando Pellegrino

    Condividi
  • mercato della formazione; commercialista per la sostenibilità delle PMI; trasparenza PA; Legge di bilancio 2026

  • ESG e norme

    Rendicontazione di sostenibilità delle PMI, ecco il ruolo del commercialista

    12 Giu 2025

    di Silvia Testi

    Condividi
  • specie digitale; legge Ai applicazioni AI e cittadinanza digitale

  • scenario

    Legge AI italiana in vigore: gli impatti su aziende e professionisti

    10 Ott 2025

    di Roberto Marchiori

    Condividi
0
Lascia un commento, la tua opinione conta.x