Se oggi chiedete a un organo amministrativo come va, la risposta più onesta sarebbe: “bene, grazie, sto solo compilando delle check-list”. Il dovere generale degli amministratori di istituire assetti organizzativi adeguati – ormai scolpito nell'art. 2086 c.c. per tutte le imprese – non vive più in solitudine. È stato “rafforzato” (per usare un eufemismo) da una costellazione di microsistemi normativi imperativi, ciascuno col suo manuale, il suo responsabile, la sua reportistica, la sua audit trail, la sua formazione obbligatoria, il suo registro, la sua piattaforma e – ovviamente – la sua sanzione.
L’elenco, ormai, somiglia a un menù degustazione a cui non ci si può sottrarre: antiriciclaggio, privacy, antitrust, salute e sicurezza sul lavoro, antimafia, anticorruzione, whistleblowing, crisi d’impresa (con adeguati assetti “ieri”), e, nel frattempo, tutto ciò che gravita attorno a sostenibilità, digitalizzazione, cybersecurity, tax control framework, Esg reporting e affini. In più, il rito periodico dell’aggiornamento: nuove linee guida, nuove Faq, nuovi orientamenti, nuove sanzioni “esemplari”, nuovi obblighi “semplificati” che non semplificano nulla.
In questo scenario i controlli sull’impresa medio-grande non sono più una linea retta, ma un incrocio a più corsie: da un lato i soggetti interni e privati e dall’altro una folla ordinata di soggetti pubblici: Anac, Agenzia delle entrate, Agenzia delle dogane, Garante della privacy, e altri ancora.
Nel frattempo, anche la mappa dei rischi cambia pelle: ai rischi tradizionali (strategici, operativi, finanziari) si aggiungono quelli nuovi, che entrano direttamente in governance. Le trasformazioni in tema di sostenibilità e digitale spingono le imprese verso piani strategici e modelli organizzativi orientati a legalità, tutela di diritti umani e ambiente, responsabilità sociale e innovazione tecnologica. E qui arriviamo al punto.
Il cuore del D.Lgs. 231/2001 è noto: la responsabilità dell’ente poggia sulla colpa di organizzazione. L’impresa risponde se non ha predisposto un assetto adeguato a prevenire il reato presupposto, e il Mog è l’architrave del sistema. Dopo oltre vent’anni, però, molte imprese descrivono un’applicazione che ha perso una parte del disegno originario: norme spesso generiche sui contenuti del modello, proliferazione dei reati presupposti, valutazioni di idoneità affidate a una discrezionalità ampia e non di rado disomogenea. Risultato: incertezza, costi, e un rischio crescente di “compliance cartolare”.
Non stupisce, quindi, che il tema torni sul tavolo politico e il gruppo di lavoro istituito dal Capo di gabinetto del ministero della Giustizia abbia recentemente presentato una revisione complessiva della disciplina sulla responsabilità degli enti ex D.Lgs. n. 231/2001 al ministro della Giustizia.
A ben vedere la vera frattura, rispetto all’assetto attuale, oggi è europea. La Csddd (direttiva Ue 2024/1760) sposta l’asse: non guarda solo dentro l’azienda, ma lungo la catena di attività. In altre parole: diritti umani e ambiente diventano rischi da presidiare non solo nel perimetro societario, ma a monte e a valle, dove molte imprese – soprattutto nei settori industriali – hanno esternalizzato fasi essenziali del ciclo produttivo.
La direttiva imposta obblighi che, per struttura, ricordano da vicino la “meccanica” 231:
- risk assessment e identificazione dei pericoli rilevanti nella propria attività e nei fornitori, con prioritizzazione dei rischi;
- misure adeguate per prevenire impatti potenziali e per porre fine o ridurre al minimo quelli effettivi;
- monitoraggio dell’efficacia di politiche e misure adottate;
- un quadro di enforcement che include sanzioni e profili di responsabilità civile, secondo l’impostazione della direttiva.
Il punto è che la supply chain diventa un’area di rischio strutturale. E il mercato sta già metabolizzando la conseguenza più concreta: anche dove l’obbligo diretto non si applica (o si applica più tardi), l’effetto “a cascata” è fisiologico. I grandi gruppi chiederanno ai fornitori – anche Pmi – dati, garanzie, clausole, audit, piani correttivi, tracciabilità. In sintesi: la compliance si trasferisce lungo la filiera.
A fine 2025, il dossier ha registrato un passaggio politico decisivo: il Consiglio Ue ha comunicato un accordo provvisorio tra Parlamento e Presidenza del Consiglio per semplificare requisiti di reporting e due diligence (Csrd e Csddd), con l’obiettivo dichiarato di ridurre gli oneri sulle imprese più piccole, ferma restando la necessità dei passaggi formali.
Le letture sono opposte e, per certi versi, entrambe comprensibili: da un lato chi teme un arretramento su diritti e ambiente, dall’altro chi invoca regole attuabili e non paralizzanti.
Messa accanto al cantiere 231, la Csddd disegna una convergenza: meno “compliance difensiva”, più capacità di dimostrare – con evidenze – che l’organizzazione sa identificare rischi, prevenire, correggere, monitorare. Con una novità determinante: il banco di prova non è più solo il perimetro aziendale, ma la filiera.
Ed è qui che la premessa sarcastica torna utile: l’organo amministrativo non avrà meno adempimenti. Avrà, semmai, una richiesta più esigente: non compilare l’ennesimo documento, ma governare un sistema che impari, misuri e corregga. Il futuro della compliance non è la prossima check-list: è la capacità dell’impresa di dimostrare che la legalità – e la sostenibilità – è parte del modo in cui produce valore.
