Il D.Lgs. 231/2001 è la normativa che ha introdotto in Italia il principio della responsabilità amministrativa degli enti. La società può essere chiamata a rispondere — con pesanti sanzioni pecuniarie o interdittive — per i reati commessi nel suo interesse o vantaggio da amministratori, dipendenti o collaboratori. Non risponde solo la persona fisica: l'azienda stessa è soggetto autonomo di responsabilità.
È un decreto emanato dallo Stato Italiano nel 2001 per adeguare l'ordinamento nazionale alle convenzioni internazionali in materia di corruzione e criminalità d'impresa — in particolare la Convenzione OCSE sulla lotta alla corruzione di pubblici ufficiali stranieri, ratificata nel 2000.
La gestione quotidiana della norma all'interno dell'ente è affidata all'Organismo di Vigilanza: un organo indipendente — con requisiti di autonomia, indipendenza, professionalità e continuità d'azione — incaricato di monitorare l'efficacia e l'osservanza del Modello Organizzativo e Gestionale.
Il decreto si applica agli enti forniti di personalità giuridica, alle società e associazioni anche prive di personalità giuridica, con sede in Italia o aventi in Italia una sede secondaria. Sono esclusi lo Stato, gli enti pubblici territoriali e quelli che svolgono funzioni di rilievo costituzionale.
Il meccanismo della 231 opera solo per specifici "reati presupposto" tassativamente elencati nel decreto. Dal 2001 ad oggi il catalogo si è espanso fino a includere reati societari, ambientali, informatici, corruzione internazionale, market abuse, sicurezza sul lavoro e — dal 2025 — i nuovi reati legati all'IA.
Storicamente vigeva il principio per cui solo la persona fisica poteva essere ritenuta penalmente responsabile. Il legislatore ha superato questa visione con tre obiettivi fondamentali.
Il sistema previgente lasciava intatta la società che aveva beneficiato economicamente della condotta criminosa del suo amministratore. La 231 rimuove questo vantaggio: l'impresa che ha tratto profitto da corruzione, truffe ai danni dello Stato o ecoreati risponde con il proprio patrimonio, rendendo l'illecito non più conveniente.
La logica della norma è che alcune aziende, non dotandosi di protocolli interni, procedure di controllo e una cultura della legalità, creano un terreno fertile per la commissione di reati. La responsabilità non è solo per il singolo fatto criminoso, ma per l'assenza di un sistema organizzativo capace di prevenirlo.
La pressione dei mercati internazionali e dei partner commerciali stranieri richiedeva che le imprese italiane adottassero standard di compliance paragonabili a quelli già in vigore in UK (Bribery Act) e USA (FCPA). Un Modello 231 certificato è oggi un requisito implicito per operare in gare d'appalto internazionali e con gruppi multinazionali.
L'obiettivo della 231 non è esclusivamente sanzionatorio: la norma punta a trasformare la struttura organizzativa dell'impresa per rendere strutturalmente difficile la commissione di reati al suo interno.
Spingere le aziende ad adottare un sistema articolato di regole, procedure e protocolli che mappi le aree a rischio-reato, definisca i controlli e stabilisca un canale di segnalazione verso l'OdV. Il MOG non è un documento, ma un sistema vivo di governance.
Offrire alla società una via d'uscita legale. Se l'ente dimostra di aver adottato ed efficacemente attuato un Modello idoneo prima del fatto, e l'autore del reato ha eluso fraudolentemente il sistema, l'azienda può andare esente da responsabilità. Il MOG è la difesa, non solo l'obbligo.
Evitare le sanzioni interdittive — come il divieto di contrattare con la Pubblica Amministrazione, la sospensione dell'attività o la revoca di autorizzazioni — che possono compromettere la vita stessa dell'azienda, indipendentemente dalla sua dimensione o solidità finanziaria.
La “231” è una norma dinamica per definizione: il catalogo dei reati presupposto si espande costantemente, obbligando l’impresa a un aggiornamento perpetuo del proprio Modello. Nel biennio 2025-2026 si è assistito a un’accelerazione senza precedenti, con l’ingresso di quattro nuove macro-aree di rischio.
L'entrata in vigore dell'AI Act porta con sé aggravanti e nuove fattispecie di reato legate all'uso illecito di sistemi di Intelligenza Artificiale: manipolazione comportamentale, social scoring vietato e impiego di sistemi ad alto rischio senza le prescritte misure di controllo. Il MOG deve ora mappare tutti i sistemi di IA impiegati dall'ente.
L'implementazione della Direttiva NIS2 ha introdotto nella 231 la cyber-estorsione e i reati informatici legati alla compromissione di infrastrutture critiche. Un attacco ransomware che l'azienda avrebbe potuto prevenire con misure adeguate può configurare una responsabilità dell'ente per carenza organizzativa nella sicurezza informatica.
Le nuove fattispecie ambientali ampliano il perimetro della 231 con reati di inquinamento industriale, gestione illecita dei rifiuti, impedimento del controllo ambientale e disastro ambientale. Le strutture con attività che impattano sull'ambiente — anche indirettamente, tramite la supply chain — devono aggiornare la propria mappatura del rischio.
La violazione delle misure restrittive internazionali (sanzioni UE contro Russia, Belarus e altri paesi) è entrata nel catalogo dei reati presupposto. Le aziende con rapporti commerciali internazionali devono dotarsi di procedure di screening della controparte e di compliance per il commercio estero.
In sintesi: nel 2026, possedere un Modello 231 non è più un adempimento opzionale per le aziende che operano in settori critici come quello socio-sanitario. È la base della governance integrata. Un MOG aggiornato protegge la reputazione, garantisce la sicurezza dei flussi finanziari e diventa il punto di giunzione tra privacy (GDPR), sicurezza informatica (NIS2) e intelligenza artificiale (AI Act) — tre norme che condividono con la 231 la logica dell'accountability e dell'approccio basato sul rischio.
Per mantenere il tuo Modello 231 sempre allineato all'espansione del catalogo dei reati e alle sfide dell'IA, CLAVIS automatizza la mappatura delle attività sensibili e la gestione dei flussi informativi verso l'OdV.