compliance e AEO

Il decreto legislativo del 30 dicembre 2025, n. 211. Una compliance integrata per gestire sanzioni internazionali, duplice uso e attività doganale

Gennaio 12, 2026 /

Il commercio internazionale, nell’attuale quadro geopolitico caratterizzato da una forte instabilità, richiede sempre maggiore attenzione nei confronti delle sanzioni, misure restrittive, prodotti a duplice uso.  Tale esigenza necessita di una compliance integrata (decreto legislativo 231/2001, PIC e AEO) aggiornata al decreto legislativo del  30 dicembre 2025, n. 211 il quale:

  1. Attua la direttiva 2024/1226/UE del Parlamento europeo e del Consiglio, del 24 aprile 2024, relativa alla definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell’Unione e che modifica la direttiva (UE) 2018/1673;
  2. Modifica l’elenco dei reati presupposto indicati dal decreto legislativo n.231/2001;
  3. Aggiunge al codice penale le seguenti fattispecie di reato: Art. 275-bis (Violazione delle  misure  restrittive  dell’Unione europea); Art. 275-ter (Violazione di obblighi informativi imposti  da  una misura  restrittiva  dell’Unione  europea);  275-quater (Violazione delle condizioni  dell’autorizzazione allo svolgimento di attività); Art. 275-quinquies  (Violazione  colposa  di  misure  restrittive dell’Unione europea); Art. 275-sexies (Circostanze aggravanti); Art. 275-septies (Circostanze attenuanti); Art. 275-octies (Confisca obbligatoria); Art. 275-novies (Pubblicazione della sentenza di condanna). Art.  275-decies  (Giurisdizione).
  4. Apporta modifiche al codice di procedura penale;
  5. Entra in vigore il 24 gennaio 2026;

Tra le nuove fattispecie di reato è interessante concentrare l’attenzione sulle disposizioni dell’articolo 275-bis (Violazione  delle  misure  restrittive  dell’Unione europea) per cui “ E’ punito con la reclusione da due a sei anni  e  con  la multa da euro 25.000 a euro 250.000 chiunque,  in  violazione  di  un divieto, di un obbligo o di una restrizione  imposti  da  una  misura restrittiva dell’Unione europea o da disposizioni di legge  nazionale che attuano una misura restrittiva dell’Unione europea” e ancora “ d) importa, esporta, commercia, vende,  acquista,  trasferisce, fa transitare, trasporta beni, anche  in  forma  intangibile,  ovvero presta servizi di intermediazione,  di  assistenza  tecnica  o  altri servizi concernenti i medesimi beni”. Infatti, la direttiva 1226/2024 nel proprio articolo 6 prevede che: “Gli Stati membri provvedono affinché le persone giuridiche possano essere dichiarate responsabili dei reati di cui agli articoli 3 e 4 quando siano stati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione preminente in seno alla persona giuridica interessata, individualmente o in quanto parte di un organo di tale persona giuridica, in virtù: a) del potere di rappresentanza della persona giuridica; b) del potere di prendere decisioni per conto della persona giuridica; o  del potere di esercitare un controllo in seno alla persona giuridica”. Quindi, viene confermato l’onere della massima diligenza in capo agli operatori economici nella gestione dei propri flussi commerciali con paesi al fuori dell’Unione europea. Tale diligenza impone, infatti, un approccio basato sul risk management che elimini, o almeno riduca in modo ragionevole, il rischio di violare sanzioni di natura unionale (basta ricordare i numerosi pacchetti di sanzioni contro la Russia).  In particolare, gli operatori economici devono:

  1. Rafforzare il controllo delle proprie aree più critiche e rischiose, vagliare le relazioni commerciali e la propria supply chain, aggiornare, creare e potenziare le proprie procedure interne e standard operating procedure;
  2. Promuovere un monitoraggio periodico delle attività doganali e commerciali. Quest aspetto è interessante anche per l’ottenimento e la gestione dell’AEO. Al riguardo, si ricordi la raccomandazione (ue) 2019/1318 della commissione del 30 luglio 2019;
  3. Per individuare e risolvere non conformità e problemi, sviluppare delle analisi “root cause”;
  4. Aggiornare e adeguare i propri PIC e cioè program di internal compliance;
  5. Adeguare il proprio modello di organizzazione e gestione richiesto dal decreto legislativo n.231/2001 allo scopo di evitare che dipendenti, in posizione apicale, nell’interesse e vantaggio dell’impresa (ente) possano realizzare operazioni commerciali e doganali violativi del decreto legislativo in commento.

Per quanto riguarda quest’ultimo aspetto, il decreto legislativo 231 subisce le seguenti modifiche: “ Art. 6 Modifiche al decreto legislativo 8 giugno 2001, n. 231 Al decreto legislativo 8 giugno 2001, n. 231 sono apportate le seguenti modificazioni:

a) all’articolo 10: 1) al comma 3, le parole: «L’importo» sono sostituite dalle seguenti: «Salvo quanto previsto dal comma 3-bis, l’importo»;

2) dopo il comma 3, e’ inserito il seguente: «3-bis. Nei casi previsti dalla legge, la sanzione pecuniaria e’ determinata in relazione alla specifica percentuale, indicata per ciascun illecito, del fatturato globale totale dell’ente relativo all’esercizio finanziario precedente quello in cui e’ stato commesso il reato o, se inferiore, all’esercizio finanziario precedente l’applicazione della sanzione pecuniaria. Quando non e’ possibile accertate il fatturato globale totale dell’ente, la sanzione pecuniaria e’ applicata nell’importo determinato in relazione a ciascun illecito.»;

b) all’articolo 13, comma 2, le parole «dall’articolo 25, comma 5» sono sostituite dalle seguenti: «

c) dopo l’articolo 25-octies.1 e’ inserito il seguente: « In linea generale, il criterio dell’interesse esprime una valutazione teleologica del reato, apprezzabile ‘ex ante’, cioè al momento della commissione del fatto e secondo un metro di giudizio marcatamente soggettivo, mentre quello del vantaggio ha una connotazione essenzialmente oggettiva, come tale valutabile ‘ex post’, sulla base degli effetti concretamente derivati dalla realizzazione dell’illecito.

Al riguardo, l’articolo 6 del Decreto 231, dispone che l’operatore economico gode dell’esenzione di responsabilità qualora provi quanto segue “a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b)”.

L’organizzazione aziendale deve promuovere un processo di “risks management” che consta dei seguenti passaggi:

– conoscere e studiare il contesto normativo all’interno del quale si sviluppano i business aziendali ai quali sono connessi dei rischi di compliance. Al riguardo, vale la pena segnalare che la disciplina delle accise copre i prodotti energetici, i tabacchi, le bevande alcooliche, l’energia elettrica. Mentre, gli oli lubrificanti sono sottoposti al pagamento di un’imposta di consumo prevista da una specifica legislazione da tenere in seria considerazione per le conseguenze pratiche tanto nei traffici intracomunitari quanto in quelli internazionali;

– stabilire e mappare le varie attività dell’operatore economico per individuare e prioritizzare i rischi, anche esaminando il relativo piano di sicurezza, se esiste, e la valutazione delle minacce, nonché le misure adottate e i controlli interni;

– confermare le strategie e procedure di gestione dell’operatore economico e valutare i controlli per determinare l’audit dei rischi residui. Ove necessario, verificare tali controlli;

– gestire gli eventuali rischi residui per riportarli a un livello accettabile;

– informare il management dei risultati dell’audit.

Infatti, i modelli di organizzazione e gestione (MOG) devono rispondere alle seguenti esigenze: “… a) individuare le attività nel cui ambito possono essere commessi reati; b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;  d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli; e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello…” e ancora “…i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare…”.

Vale la pena ricordare che il MOG rappresenta un importante elemento della compliance richiesta dall’AEO (authorized economic operator) e pertanto è opportuno:

  • Sviluppare processi di monitoring e di auditing seguendo le linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2021 n.231 pubblicate a giugno 2021;
  • Garantire l’ adeguatezza del MOG come indicato dalla sentenza n. 1070 emessa dal Tribunale di Milano in 25 gennaio 2024 secondo cui è “facilmente intuibile che le norme sono tutto sommato povere di indicazione in ordine ai contenuti del modello di organizzazione, gestione e controllo del rischio del reato. Anche  il riferimento ai Codici di comportamento  ( o di linee guida) elaborati dalle associazioni di categoria e spesso evocati nei modelli adottati….sono per lo più documenti evocativi di valori e di principi generali di comportamento che non di autentiche cautele…” ed ancora partendo da questa ricognizione i giudici meneghini specificano che “…chi è collocato in posizione apicale assicurerà prima di tutto l’adozione di un modello organizzativo che consenta un’adeguata protezione dei beni giuridici tutelati dalle norme penali e, scendendo ai piani inferiori, la garanzia che si concretizzerà in rapporto al tipo di funzione in concreto esercitata….” E ancora “viene dunque in rilevo la necessità di predisporre all’interno della societas le risorse per forgiare i modelli di prevenzione del rischio-reato (i cc.dd compliance programs statunitensi) che costituiscono l’autentico supporto materiale del dovere organizzativo…”.