Il Modello 231 non è un semplice documento: è una promessa che l'azienda fa a se stessa.
Ogni volta che entro in una nuova azienda per un incarico di compliance, faccio sempre la stessa cosa prima ancora di aprire il computer: chiedo di vedere fisicamente il Modello 231. Non per leggerlo — quello viene dopo. Per capire dove è tenuto.
Se è in una cartella sul desktop del responsabile amministrativo, o peggio, se nessuno sa esattamente dove sia il file aggiornato, ho già la mia risposta. Non serve fare altre domande.
Il Modello 231 in quell'azienda è un documento. Probabilmente un documento ben fatto, con indice, sezioni colorate, firma del CdA in fondo. Ma pur sempre un documento — nel senso deteriore del termine: qualcosa prodotto per esistere, non per funzionare.
Il problema non è tecnico. È culturale.
Ho visto Modelli scritti benissimo, con una mappatura dei rischi dettagliata, protocolli chiari, sistema disciplinare coerente. E ho visto quelle stesse aziende non sapere rispondere a una domanda semplice: nell'ultimo anno, quante volte l'OdV si è confrontato con il responsabile degli acquisti? Quante segnalazioni sono arrivate al canale whistleblowing? Quando è stato aggiornato l'ultimo protocollo?
Il silenzio che segue dice tutto.
Un Modello 231 funziona — davvero, nel senso che potrebbe reggere in un procedimento penale e nel senso più pratico che previene i comportamenti devianti — solo quando è radicato. Quando le persone che lavorano in azienda sanno che esiste, capiscono perché esiste, e riconoscono i protocolli come parte del loro modo normale di lavorare. Non come una burocrazia aggiuntiva imposta dall'alto.
Sul risk assessment: smettiamola con le liste della spesa
La fase di mappatura delle aree a rischio reato è, nella mia esperienza, quella più sottovalutata e più spesso fatta male. Il motivo è semplice: è faticosa. Richiede di stare dentro i processi, fare domande scomode, incrociare dati.
Quello che vedo fare troppo spesso, invece, è prendere il catalogo dei reati presupposto e spuntare mentalmente quelli "applicabili". Corruzione? Sì, abbiamo commerciali. Reati ambientali? No, siamo un'azienda di servizi. Fine.
È un approccio che non funziona per almeno due motivi. Primo: i rischi reali emergono nei processi, non nei reati. Secondo: le sorprese arrivano sempre dove non si guarda. L'azienda di servizi che non ha impianti e non gestisce rifiuti, ma ha un fornitore IT in un paese a rischio che accede ai suoi sistemi ogni notte. Il commerciale brillante che porta clienti da anni e che nessuno ha mai controllato davvero. Il responsabile HR che gestisce le assunzioni con una discrezionalità assoluta e nessun processo tracciato.
Questi rischi non escono da nessuna lista preconfezionata. Escono dal lavoro sul campo.
Aggiornare è un atto di responsabilità
L'ultimo punto, e lo dico con una certa fermezza: un Modello che non viene aggiornato è peggio di nessun Modello. Perché crea una percezione di presidio che non esiste.
Le aziende cambiano. Acquisiscono rami d'azienda, aprono filiali, cambiano il management, digitalizzano processi, entrano in mercati nuovi. Ogni cambiamento significativo dovrebbe innescare una revisione — anche parziale — del Modello. Non un rifacimento totale, ma almeno una verifica: quello che abbiamo scritto due anni fa è ancora aderente a quello che facciamo oggi? Spesso la risposta è no. E ammetterlo è già un atto di maturità organizzativa.
