Modello 231: cos'è davvero (e perché non è una certificazione)
Il Modello 231 è uno degli strumenti più citati e meno capiti del mondo della compliance italiana. Nasce dal D.Lgs 231/2001, la legge che ha introdotto nel nostro ordinamento la responsabilità amministrativa degli enti: prima di allora un reato poteva essere imputato solo alla persona fisica che lo aveva commesso, oggi anche la società, l'associazione o l'ente per cui quella persona lavora può essere chiamata a risponderne. Il Modello, per esteso modello di organizzazione, gestione e controllo, è ciò che l'ente costruisce per dimostrare di essersi organizzato in modo da prevenire quei reati. Quando è adeguato ed efficacemente attuato, può avere efficacia esimente: in altre parole, può liberare l'ente dalla responsabilità per un reato commesso nel suo interesse o a suo vantaggio.
La logica è la stessa di un'azienda che, dopo un infortunio, può mostrare di aver fatto tutto il possibile per evitarlo: procedure, formazione, controlli. Se quelle misure c'erano davvero ed erano vive, il giudizio cambia. Il Modello 231 è esattamente questo, applicato alla prevenzione di una lista di reati che la legge chiama reati-presupposto.
Cosa NON è il Modello 231
Qui sta l'equivoco più frequente. Il Modello 231 non è una certificazione. Non esiste un organismo accreditato che lo rilascia, non c'è un bollino da appendere in bacheca, non c'è un certificato con scadenza triennale. È un presidio organizzativo previsto da una legge italiana, che l'ente adotta in modo volontario: nessuna norma obbliga in via generale a dotarsene. Eppure, in pratica, è spesso necessario. Lo richiedono molte gare e capitolati, lo chiedono partner e gruppi internazionali ai propri fornitori, e soprattutto è l'unico modo per costruire quella esimente che, in caso di procedimento, fa la differenza.
Un'altra precisazione utile: l'adeguatezza del Modello non la attesta un ente terzo, la valuta il giudice nel momento in cui serve, cioè quando un reato è già stato contestato. Un Modello scritto bene ma rimasto in un cassetto vale poco; conta che sia stato realmente attuato, aggiornato e fatto rispettare. È la differenza tra avere un estintore appeso al muro e averlo anche revisionato e saputo usare.
Gli elementi che lo compongono
Un Modello 231 serio si regge su alcuni pilastri che ricorrono in qualunque ente, dalla piccola impresa al gruppo strutturato:
- Mappatura dei reati-presupposto e analisi del rischio: si parte individuando, attività per attività, dove e come potrebbe materializzarsi uno dei reati previsti dal decreto (per esempio reati contro la pubblica amministrazione, societari, ambientali, in materia di sicurezza sul lavoro, di criminalità informatica). È la fotografia delle aree a rischio.
- Protocolli e procedure: per ogni rischio rilevante si stabiliscono regole di comportamento e controlli che rendono difficile commettere il reato senza che qualcuno se ne accorga (separazione dei compiti, autorizzazioni, tracciabilità dei flussi finanziari).
- Codice etico: il documento che fissa i principi e i valori cui l'ente si impegna, il riferimento di fondo a cui i protocolli danno attuazione concreta.
- Organismo di Vigilanza (OdV): un organo dotato di autonomia e indipendenza, con il compito di vigilare sul funzionamento e sull'osservanza del Modello e di curarne l'aggiornamento. È il cuore del sistema: senza un OdV che lavora davvero, il Modello resta sulla carta.
- Sistema disciplinare: l'insieme delle sanzioni che colpiscono chi viola il Modello. Senza conseguenze, le regole diventano consigli, e un Modello privo di sistema disciplinare è considerato inattuato.
A questi si aggiungono di norma la formazione del personale e i canali di segnalazione, oggi intrecciati con la disciplina del whistleblowing.
Modello 231, ISO 37301 e ISO 37001: come si parlano
Il Modello 231 è un istituto giuridico italiano; gli standard ISO sono norme volontarie internazionali e certificabili. Non sono in alternativa, anzi si rafforzano a vicenda. La ISO 37301:2021 è la norma per i sistemi di gestione della compliance: definisce come strutturare in modo riconosciuto l'individuazione degli obblighi, i controlli, le responsabilità e il monitoraggio. La ISO 37001:2025 fa la stessa cosa, ma focalizzata sulla prevenzione della corruzione, uno dei rischi più delicati anche per il 231.
Il punto pratico è questo: molti dei requisiti che il Modello 231 chiede in modo qualitativo (analisi del rischio, controlli, monitoraggio, riesame, miglioramento continuo) sono esattamente ciò che un sistema di gestione ISO mette nero su bianco e fa verificare da un organismo di certificazione accreditato. Costruire una ISO 37301 o una ISO 37001 significa dare al proprio Modello 231 un'impalcatura solida, documentata e controllata da una parte terza, invece di affidarsi solo all'autovalutazione interna. La certificazione non sostituisce il Modello e non garantisce da sola l'esimente, che resta una valutazione del giudice, ma fornisce evidenze robuste del fatto che il sistema esiste e funziona davvero.
Domande frequenti
Il Modello 231 è obbligatorio? Non in via generale: adottarlo è volontario. Diventa però di fatto necessario quando lo richiedono gare, capitolati o partner, e soprattutto è l'unica strada per costruire l'efficacia esimente prevista dal decreto.
Posso certificare il Modello 231? No, non esiste una certificazione accreditata del Modello in sé: la sua idoneità la valuta il giudice. Puoi però certificare i sistemi di gestione che lo sorreggono, come la ISO 37301:2021 o la ISO 37001:2025.
Basta scrivere il Modello per essere a posto? No. Un Modello mai attuato, mai aggiornato e privo di un Organismo di Vigilanza attivo e di un sistema disciplinare applicato viene considerato inefficace. Conta la vita reale del Modello, non il documento.
A chi serve l'Organismo di Vigilanza? A tutti gli enti che adottano un Modello: è l'organo, autonomo e indipendente, che ne controlla il funzionamento e ne cura l'aggiornamento. Senza, il Modello difficilmente regge alla prova dei fatti.
Se il tuo obiettivo è dare al Modello 231 fondamenta riconosciute e verificabili, il passo successivo è guardare ai sistemi di gestione certificabili che lo strutturano: la guida alla ISO 37301 (compliance) e quella alla ISO 37001 (anticorruzione) spiegano come ottenerli e come si incastrano con il tuo presidio 231.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Se ti serve una certificazione
Questo tema non è una certificazione accreditata. Per ottenere un certificato, guarda alle norme certificabili correlate:
ISO 37301 — Sistema di gestione per la compliance ISO 37001 — Sistema di gestione per la prevenzione della corruzioneArticoli Correlati
ISO 37301 e Modello 231: come certificare la compliance aziendale
Cos'è la ISO 37301:2021, la norma certificabile per il sistema di gestione della compliance, come ci si certifica e perché si sposa con il Modello 231 e con la ISO 37001 anticorruzione. Guida evergreen, indipendente e senza markette.
ISO 37001:2025: la guida alla certificazione anticorruzione
Cos'è la ISO 37001:2025, cosa chiede il sistema di gestione anticorruzione, come ci si certifica passo dopo passo, quanto tempo serve, perché conviene in gare e rapporti con la PA, e come si integra con ISO 37301, ISO 9001 e ISO/IEC 27001.
Come prevenire i rischi 231 e antiriciclaggio in azienda efficacemente
Aggiorna il modello 231 e integra ISO 37001:2016 per prevenire responsabilità penali e danni reputazionali da riciclaggio e corruzione.