Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Compliance & Regulatory

Sanzioni internazionali e compliance 231: cosa cambia per le imprese e come adeguarsi

Il 24 gennaio scorso è entrato in vigore il Decreto Legislativo 30 dicembre 2025, n. 211 (di seguito il “Decreto”), con il quale il legislatore italiano ha dato attuazione alla Direttiva (UE) 2024/1226 del Parlamento europeo e del Consiglio in materia di definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell’Unione. Il provvedimento ha introdotto rilevanti modifiche all’ordinamento penale e al sistema della responsabilità amministrativa delle persone giuridiche, delineando un quadro sanzionatorio di particolare severità destinato a incidere profondamente sull’operatività delle imprese che intrattengono rapporti commerciali e finanziari su scala internazionale. Tale novità, pertanto, impone un urgente adeguamento dei Modelli di Organizzazione ex D. Lgs. 231/2001 e una rivisitazione delle procedure interni, allo scopo di mitigare il rischio di incorrere in sanzioni che possono avere un forte impatto sull’operatività degli enti. 

  1. L’introduzione di un nuovo capo nel Codice Penale dedicato ai delitti contro la politica estera e la sicurezza comune dell’Unione Europea

La principale innovazione normativa consiste nell’inserimento nel Libro II, Titolo I del Codice Penale di un nuovo Capo I-bis, rubricato “Delitti contro la politica estera e la sicurezza comune dell’Unione Europea“, che introduce nell’ordinamento interno le seguenti fattispecie criminose:

  • Violazione delle misure restrittive dell’UE (art. 275-bis c.p.) che punisce le condotte dolose consistenti, inter alia, nel mettere fondi o risorse economiche a disposizione di soggetti designati, nel mancato congelamento di fondi o risorse, nonché nell’effettuazione di operazioni commerciali vietate con Stati terzi. La norma colpisce altresì le condotte elusive realizzate mediante l’uso di documentazione falsa finalizzata a occultare la titolarità effettiva;
  • Violazione di obblighi informativi connessi a tali misure (art. 275-ter c.p.) che sanziona l’omessa comunicazione alle autorità competenti delle informazioni relative a fondi o risorse economiche appartenenti a soggetti designati;
  • Violazione delle condizioni di autorizzazioni allo svolgimento di attività (art. 275-quater c.p.) che punisce lo svolgimento di attività in violazione delle prescrizioni specifiche contenute nelle autorizzazioni rilasciate dalle autorità competenti;
  • Violazione colposa delle misure restrittive (art. 275-quinquies c.p.) che configura una fattispecie autonoma di reato per i casi di colpa grave connessi all’importazione, esportazione o transito di materiale militare o prodotti a duplice uso.

Per tutte le fattispecie sopra indicate, ad eccezione dell’art. 275-quinquies c.p., la responsabilità penale sorge esclusivamente qualora il valore dei beni, servizi o fondi coinvolti sia superiore a 10.000 euro. Al di sotto di tale soglia, la condotta rileva come illecito amministrativo.

Il Decreto introduce, altresì, un articolato sistema di circostanze aggravanti, disciplinate dall’articolo 275-sexies del Codice Penale, che comportano l’aumento delle pene da un terzo alla metà. Le aggravanti trovano applicazione quando il fatto sia commesso nell’ambito dell’associazione per delinquere di cui all’articolo 416 c.p., mediante l’utilizzo o la presentazione di dichiarazioni o documenti falsi, nell’esercizio di un’attività professionale, commerciale, bancaria o finanziaria, con abuso dei poteri o con violazione dei doveri inerenti a una pubblica funzione o a un pubblico servizio, quando dal reato derivi un profitto o un vantaggio di rilevante entità, ovvero quando il colpevole distrugga, sopprima, occulti o danneggi, in tutto o in parte, un documento o un oggetto da impiegare come elemento di prova o comunque utile alla scoperta del reato o al suo accertamento.

Sul versante delle attenuanti, l’articolo 275-septies prevede la diminuzione della pena da un terzo a due terzi per chi si sia efficacemente adoperato per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, per assicurare le prove dei reati e per l’individuazione degli altri responsabili ovvero per il sequestro dei beni, dei fondi o delle risorse economiche. Tale disposizione si inserisce nella logica premiale che caratterizza il sistema penale sostanziale e processuale italiano, incentivando la collaborazione con l’autorità giudiziaria. 

  1. Le implicazioni per la responsabilità amministrativa degli enti: l’introduzione dell’articolo 25-octies.2 del D.Lgs. 231/2001

L’aspetto di maggiore impatto sistematico del Decreto risiede nell’introduzione del nuovo articolo 25-octies.2 nel Decreto Legislativo 8 giugno 2001, n. 231, che inserisce i nuovi reati nel catalogo degli illeciti presupposto della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.

La riforma introduce un meccanismo sanzionatorio di portata inedita nell’ordinamento interno, prevedendo sanzioni pecuniarie determinate non più secondo il tradizionale sistema delle quote, bensì in percentuale del fatturato globale totale dell’ente relativo all’esercizio finanziario precedente quello in cui è stato commesso il reato o, se inferiore, all’esercizio finanziario precedente l’applicazione della sanzione.

In particolare, per le violazioni degli articoli 275-bis (primo, secondo e quinto comma), 275-quater (primo comma) del Codice Penale, nonché dell’articolo 12, comma 1-bis, del D.Lgs. 286/1998, si applica la sanzione pecuniaria della percentuale dall’1 per cento al 5 per cento del fatturato globale dell’ente. Per le violazioni dell’articolo 275-ter (primo e secondo comma) si applica la sanzione pecuniaria della percentuale dallo 0,5 per cento all’1 per cento del fatturato globale.

Quando non sia possibile stabilire il fatturato globale annuo dell’ente, il Decreto prevede l’applicazione di sanzioni pecuniarie fisse di entità particolarmente rilevante: da 3 milioni a 40 milioni di euro in relazione ai reati più gravi, e da 1 milione a 8 milioni di euro per le violazioni degli obblighi informativi.

Inoltre, nei casi di condanna per uno dei reati di cui al nuovo articolo 25-octies.2, si applicano obbligatoriamente all’ente le sanzioni interdittive previste dall’articolo 9, comma 2, del D.Lgs. 231/2001 (interdizione dall’esercizio dell’attività, sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito, divieto di contrattare con la pubblica amministrazione, esclusione da agevolazioni, finanziamenti, contributi o sussidi e eventuale revoca di quelli già concessi, divieto di pubblicizzare beni o servizi) per una durata non inferiore a due anni e non superiore a sei anni, se il reato è stato commesso da uno dei soggetti di cui all’articolo 5, comma 1, lettera a) (persone in posizione apicale), e per una durata non inferiore a un anno e non superiore a tre anni se il reato è stato commesso da uno dei soggetti di cui all’articolo 5, comma 1, lettera b) (persone sottoposte all’altrui direzione o vigilanza).

In caso di reiterazione degli illeciti, le sanzioni pecuniarie sono aumentate di un terzo, conformemente al principio di maggiore afflittività previsto per i recidivi.

Nondimeno, a testimonianza dell’integrazione crescente tra politiche migratorie e politiche di sicurezza internazionale, il Decreto interviene anche sul Testo Unico Immigrazione (D.Lgs. 25 luglio 1998, n. 286), introducendo all’articolo 12 il nuovo comma 1-bis, che prevede un aumento di pena quando i fatti di favoreggiamento dell’immigrazione clandestina siano commessi in violazione di misure restrittive dell’Unione Europea, consentendo o comunque agevolando l’ingresso nel territorio dello Stato di persone fisiche designate.

Il Decreto estende, inoltre, l’applicazione del D.Lgs. 10 marzo 2023, n. 24 (protezione delle persone che segnalano violazioni del diritto dell’Unione) anche alle segnalazioni di violazioni delle misure restrittive dell’Unione Europea, garantendo così adeguata tutela ai whistleblower che denuncino condotte illecite in tale ambito.

  1. Le azioni di adeguamento necessarie per gli enti

L’entrata in vigore del Decreto impone agli enti l’immediata attivazione di un articolato processo di adeguamento dei propri presidi di compliance, che dovrà essere condotto con rigore metodologico e tempestività operativa.

Il primo intervento, imprescindibile e urgente, consiste nell’aggiornamento del Modello di Organizzazione, Gestione e Controllo previsto dal D.Lgs. 231/2001. Non si tratta di una mera integrazione formale del catalogo dei reati presupposto, ma di un’operazione che richiede una revisione strutturale del sistema di governance dei rischi. I nuovi reati introdotti dal Decreto, con le relative sanzioni proporzionali al fatturato, devono essere inseriti nel corpus del Modello, accompagnati da una chiara esplicitazione (i) delle aree di rischio, (ii) dei protocolli di comportamento e dei presidi di controllo e (iii) delle responsabilità assegnate ai diversi livelli organizzativi.

Proprio in questa prospettiva, risulta indispensabile condurre preliminarmente un risk assessment specifico e approfondito, finalizzato a identificare con precisione le aree di rischio connesse alle misure restrittive dell’Unione Europea. L’analisi dovrà concentrarsi su ambiti particolarmente sensibili quali l’export control, le sanzioni internazionali e le operazioni con controparti potenzialmente designate. Occorrerà, inoltre, mappare i processi aziendali che presentano profili di esposizione, individuando le funzioni coinvolte (tipicamente commerciale estero, acquisti internazionali, tesoreria, compliance, legale), valutando la probabilità che si verifichino violazioni e stimando l’impatto potenziale delle sanzioni applicabili. Tale attività dovrà essere preceduta da un’accurata ricognizione delle operatività aziendali, delle relazioni commerciali intrattenute, dei mercati di riferimento e delle tipologie di beni e servizi oggetto dell’attività d’impresa.

Sulla base degli esiti del risk assessment, gli enti dovranno implementare protocolli di compliance specificamente dedicati alla verifica delle controparti commerciali e finanziarie. Tali protocolli dovranno prevedere meccanismi strutturati e verificabili per la consultazione delle liste di soggetti ed entità designati dalle misure restrittive europee, che vengono costantemente aggiornate dalle istituzioni dell’Unione e richiedono quindi un monitoraggio continuo e sistematico. Non è sufficiente effettuare una verifica una tantum al momento dell’instaurazione del rapporto occorre, invece, prevedere controlli periodici, atteso che le designazioni possono intervenire in qualsiasi momento. Particolare attenzione dovrà essere dedicata alla gestione delle autorizzazioni eventualmente necessarie per lo svolgimento di determinate operazioni, definendo con chiarezza le modalità di richiesta, i soggetti autorizzati a presentarla, i termini di istruttoria interna e le verifiche di conformità rispetto alle condizioni imposte dall’autorità competente.

Un aspetto cruciale dell’adeguamento riguarda il rafforzamento dei flussi informativi verso l’Organismo di Vigilanza. L’efficacia del Modello 231 dipende, infatti, anche dall’attività di vigilanza dell’OdV a cui deve essere assicurata la ricezione periodica di report chiari e puntuali, che identifichino le tipologie di operazioni svolte e specifichino i termini entro cui la comunicazione deve essere trasmessa, i contenuti informativi minimi e le modalità di trasmissione.

La dimensione formativa assume, in questo contesto, un ruolo assolutamente centrale. L’esperienza insegna che anche i più sofisticati presidi procedurali risultano inefficaci se il personale non dispone delle competenze necessarie per comprenderne la ratio e applicarli correttamente. Occorrerà pertanto erogare formazione specifica, calibrata in funzione del livello di esposizione al rischio delle diverse funzioni aziendali. Il personale delle aree maggiormente esposte – in particolare commerciale estero, finance, compliance e legale – dovrà acquisire una conoscenza approfondita, non solo delle nuove disposizioni normative introdotte dal Decreto, ma anche dei meccanismi di funzionamento del sistema delle misure restrittive europee, della loro natura dinamica, delle fonti ufficiali consultabili e delle conseguenze derivanti da eventuali violazioni. La formazione non potrà limitarsi a una sessione iniziale, ma dovrà essere oggetto di aggiornamenti periodici, anche in considerazione dell’evoluzione del quadro normativo e dell’esperienza applicativa e giurisprudenziale che si andrà consolidando.

Parallelamente, gli enti dovranno procedere all’aggiornamento delle procedure di due diligence sulle terze parti (clienti, fornitori e partner commerciali). Le tradizionali verifiche finalizzate all’accertamento dell’affidabilità economico-finanziaria e reputazionale delle controparti dovranno, infatti, essere integrate con specifici controlli volti a verificare l’assenza di collegamenti con soggetti o entità designati dalle misure restrittive, nonché l’operatività in giurisdizioni o settori particolarmente esposti. La due diligence dovrà essere condotta con particolare rigore soprattutto quando si tratti di controparti operanti in paesi soggetti a embargo o restrizioni, ovvero attive in settori sensibili quali quello della difesa, dell’energia, della tecnologia avanzata o dei beni c.d. “dual use”.

Infine, gli enti dovranno valutare con attenzione l’opportunità di dotarsi di strumenti tecnologici di supporto, in grado di implementare sistemi di screening automatico delle controparti rispetto alle liste di soggetti sanzionati. L’esperienza maturata nei settori maggiormente esposti dimostra che l’affidamento ai soli controlli manuali, oltre a essere poco efficiente in termini di impiego di risorse, presenta margini di errore non trascurabili, legati alla possibilità di omonimie, variazioni nella trascrizione dei nomi, utilizzo di alias o denominazioni commerciali diverse da quelle ufficiali. L’adozione di software specializzati, in grado di interfacciarsi con i sistemi gestionali aziendali e di verificare in tempo reale la conformità delle operazioni programmate mediante il raffronto con le liste ufficiali costantemente aggiornate, costituisce un presidio di fondamentale importanza, che consente di ridurre significativamente il rischio di violazioni involontarie e di documentare l’adozione di misure di prevenzione adeguate.

Tale processo di adeguamento non può essere inteso come un mero adempimento formale, destinato a esaurirsi con l’approvazione di documenti aggiornati da parte degli organi sociali. Si tratta piuttosto di un percorso che richiede un coinvolgimento effettivo dell’intera organizzazione, un investimento di risorse economiche e professionali adeguato alla rilevanza dei rischi in gioco e, soprattutto, un cambiamento culturale che porti tutti i livelli dell’organizzazione a percepire la compliance in materia di misure restrittive non come un vincolo burocratico, ma come una componente essenziale della responsabilità d’impresa e della capacità di operare con credibilità sui mercati internazionali.

You May Also Like

Compliance & Regulatory
The Fight against Abuse of Economic Dependence between Private and Public Enforcement: the Case of Italy
Compliance & Regulatory
Update | Responsabilità 231: si amplia il catalogo dei reati. Attenzione al certificato preliminare
Compliance & Regulatory, Penale d'Impresa
Update | D. Lgs. 231/2001: la Cassazione chiarisce nuovamente i criteri per affermare la responsabilità degli enti

La “Certificazione B Corporation” è un marchio che viene concesso in licenza da B Lab, ente privato no profit, alle aziende che, come la nostra, hanno superato con successo il B Impact Assessment (“BIA”) e soddisfano quindi i requisiti richiesti da B Lab in termini di performance sociale e ambientale, responsabilità e trasparenza.

Si specifica che B Lab non è un organismo di valutazione della conformità ai sensi del Regolamento (UE) n. 765/2008 o un organismo di normazione nazionale, europeo o internazionale ai sensi del Regolamento (UE) n. 1025/2012.

I criteri del BIA sono distinti e autonomi rispetto agli standard armonizzati risultanti dalle norme ISO o di altri organismi di normazione e non sono ratificati da parte di istituzioni pubbliche nazionali o europee.