Il Modello 231 nel 2026: tre cose che si ignorano ancora in molte sue formulazioni

Qualche settimana fa stavo revisionando il Modello di una società di medie dimensioni — settore servizi, struttura non complicata, management attento. Un buon Modello, fatto bene qualche anno fa. Il problema è che era rimasto fermo a qualche anno fa.

Tre aree di rischio completamente scoperte. Non per negligenza — l'azienda era seria. Per un motivo più banale: il Modello non era stato aggiornato, e nel frattempo il mondo era andato avanti.

Ecco le tre aree che trovo più spesso scoperte, e che meritano attenzione adesso.

1. Il whistleblowing non è più solo una best practice

Con il recepimento della Direttiva europea 2019/1937 tramite il D.Lgs. 24/2023, l'obbligo di dotarsi di canali di segnalazione interni è diventato — per molte categorie di enti — un requisito normativo preciso, con sanzioni per chi non si adegua. Fin qui, molti lo sanno. Quello che viene sottovalutato è l'intreccio con il Modello 231. L'OdV e il Responsabile per la gestione delle segnalazioni devono coordinarsi: i perimetri si sovrappongono, e se non si definisce chi fa cosa, si creano zone grigie che nessuno presidia. Ho visto aziende che avevano attivato il canale whistleblowing e contemporaneamente avevano un OdV che non sapeva nemmeno chi fosse il responsabile delle segnalazioni. Non è una situazione accettabile.

2. I reati informatici: il rischio è dentro casa

I reati informatici sono nel catalogo 231 da oltre vent'anni. Eppure continuo a trovare Modelli che li trattano come un rischio remoto, quasi accademico.

Non lo è più. Ogni azienda oggi ha sistemi digitali, accessi da remoto, dipendenti che usano dispositivi personali per lavoro, fornitori che entrano nella rete aziendale. Il rischio che un accesso abusivo, una frode informatica o una violazione di dati avvenga nell'interesse o a vantaggio dell'ente — anche indirettamente — è concreto. Il punto critico che vedo più spesso? La supply chain digitale. L'azienda presidia i propri sistemi, ma non controlla chi ha accesso ai propri sistemi tramite i fornitori. Quel fornitore di software gestionale che ha credenziali amministratore sul vostro server: sapete esattamente cosa può fare con quell'accesso?

3. I reati tributari: una novità che non è più nuova, ma ancora fa danni

L'inserimento dei reati tributari nel perimetro 231 — operato con il D.L. 124/2019 — ha compiuto qualche anno, ma nella pratica delle PMI è ancora una novità indigerita. Il problema è che tocca processi che le aziende tendono a considerare "già presidiati" dal commercialista o dal CFO.

Il punto è che il presidio fiscale e il presidio 231 non sono la stessa cosa. Il commercialista gestisce il rischio tributario sul piano del rapporto con il fisco. Il Modello deve gestirlo sul piano della responsabilità dell'ente per i comportamenti delle persone che vi lavorano. Sono due prospettive diverse che devono dialogare — e troppo spesso non lo fanno.

Dichiarazione fraudolenta, emissione di fatture per operazioni inesistenti, dichiarazione infedele oltre certe soglie: non sono reati teorici. Accadono. E quando accadono in un'azienda sprovvista di presidi adeguati nel Modello, le conseguenze per l'ente sono molto serie.