compliance e AEO

Export controls, misure restrittive e compliance: Decreto legislativo 231 del 2001, MOG e disciplina unionale

Agosto 24, 2025 /

 

Le violazioni delle sanzioni e misure restrittive europee dovranno essere regolate dai principi quadro della direttiva 1226 del 2024 la quale, come recita nel proprio articolo 1,  fornisce “le norme minime relative alla definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell’Unione”

In particolare, gli Stati membri dovranno adottare misure sanzionatorie di natura penale allo scopo di punire e scoraggiare le seguenti condotte realizzate in modo doloso o per grave negligenza e in violazione di un obbligo unionale:

“…a) mettere direttamente o indirettamente a disposizione di una persona, entità od organismo designati, o a vantaggio di questi, fondi o risorse economiche, in violazione di un divieto che costituisce una misura restrittiva dell’Unione;

  1. b) omettere di congelare fondi o risorse economiche appartenenti a una persona, entità od organismo designati, o da questi posseduti, detenuti o controllati, in violazione di un obbligo che costituisce una misura restrittiva dell’Unione;
  2. c) consentire a persone fisiche designate l’ingresso o il transito nel territorio di uno Stato membro, in violazione di un divieto che costituisce una misura restrittiva dell’Unione;
  3. d) concludere o portare avanti operazioni con uno Stato terzo, organismi di uno Stato terzo o entità od organismi direttamente o indirettamente posseduti o controllati da uno Stato terzo o da organismi di uno Stato terzo, compresa l’aggiudicazione o la prosecuzione dell’esecuzione di appalti pubblici o contratti di concessione, qualora il divieto o la restrizione di tale condotta costituisca una misura restrittiva dell’Unione;
  4. e) commerciare, importare, esportare, vendere, acquistare, trasferire, far transitare o trasportare beni, come pure fornire servizi di intermediazione, assistenza tecnica o altri servizi connessi a tali beni, qualora il divieto o la restrizione di tale condotta costituisca una misura restrittiva dell’Unione;
  5. f) prestare servizi finanziari o svolgere attività finanziarie, qualora il divieto o la restrizione di tale condotta costituisca una misura restrittiva dell’Unione;
  6. g) prestare servizi diversi da quelli di cui alla lettera f), qualora il divieto o la restrizione di tale condotta costituisca una misura restrittiva dell’Unione;
  7. h) eludere una misura restrittiva dell’Unione nei seguenti modi:
  8. i) con l’utilizzo, il trasferimento a terzi o la cessione in altro modo di fondi o di risorse economiche direttamente

o indirettamente posseduti, detenuti o controllati da una persona, entità od organismo designati, e che sono congelati in virtù di una misura restrittiva dell’Unione, allo scopo di occultare tali fondi o risorse economiche;

  1. ii) con la comunicazione di informazioni false o fuorvianti allo scopo di occultare il fatto che una persona o entità designata o un organismo designato sia il titolare effettivo o il beneficiario finale di fondi o di risorse economiche che dovranno essere congelati in virtù di una misura restrittiva dell’Unione;

iii) con il mancato rispetto, da parte di una persona fisica o di un rappresentante di un’entità od organismo designati, dell’obbligo, che costituisce una misura restrittiva dell’Unione, di segnalare alle autorità amministrative competenti fondi o risorse economiche ad essi appartenenti o da essi posseduti, detenuti o controllati nella giurisdizione di uno Stato membro;

  1. iv) con il mancato rispetto dell’obbligo, che costituisce una misura restrittiva dell’Unione, di fornire alle autorità amministrative competenti informazioni riguardanti fondi o risorse economiche congelati o informazioni detenute su fondi o risorse economiche nel territorio degli Stati membri, appartenenti a persone, entità o organismi designati o da essi posseduti, detenuti o controllati, e che non sono stati congelati, qualora tali informazioni siano state ottenute nell’esercizio dei doveri d’ufficio;
  2. i) con la violazione o il mancato rispetto delle condizioni previste dalle autorizzazioni rilasciate dalle autorità competenti per lo svolgimento di attività che, in assenza di tale autorizzazione, rappresentano una violazione di un divieto o di una restrizione che costituisce una misura restrittiva dell’Unione…”.

Parimenti, gli Stati membri dovrebbero prevedere ipotesi per le quali non si applica una sanzione penale se l’operazione violativa della disciplina unionale ha un valore che non supera i 10.000 euro.

Oltre alle linee guida per le sanzioni nei confronti delle persone fisiche sono molto interessanti le altre nei confronti delle persone giuridiche previste dall’articolo 6 della predetta direttiva per cui: “…Gli Stati membri provvedono affinché le persone giuridiche possano essere dichiarate responsabili dei reati di cui agli articoli 3 e 4 quando siano stati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione preminente in seno alla persona giuridica interessata, individualmente o in quanto parte di un organo di tale persona giuridica, in virtù:

  1. a) del potere di rappresentanza della persona giuridica;
  2. b) del potere di prendere decisioni per conto della persona giuridica; o
  3. c) del potere di esercitare un controllo in seno alla persona giuridica…”.

Tale approccio è perfettamente coincidente con la compliance richiesta dal decreto legislativo 231/2001

***

In particolare, La disciplina della responsabilità amministrativa delle persone giuridiche, attraverso l’articolo 4 Decreto legislativo 26 settembre 2024, n. 14, si estende al settore delle accise.

Ciò rappresenta un interessante cambiamento che genera un cambio di mentalità in capo agli operatori economici che intendono andare esenti in caso di per i reati commessi nel suo interesse o a suo vantaggio da soggetti che all’interno della sua organizzazione rivestono dei ruoli apicali.

In linea generale, il criterio dell’interesse esprime una valutazione teleologica del reato, apprezzabile ‘ex ante’, cioè al momento della commissione del fatto e secondo un metro di giudizio marcatamente soggettivo, mentre quello del vantaggio ha una connotazione essenzialmente oggettiva, come tale valutabile ‘ex post’, sulla base degli effetti concretamente derivati dalla realizzazione dell’illecito.

Al riguardo, l’articolo 6 del Decreto 231, dispone che l’operatore economico gode dell’esenzione di responsabilità qualora provi quanto segue “…a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b)…”.

L’organizzazione aziendale deve promuovere un processo di “risks management” che consta dei seguenti passaggi:

– conoscere e studiare il contesto normativo all’interno del quale si sviluppano i business aziendali ai quali sono connessi dei rischi di compliance. Al riguardo, vale la pena segnalare che la disciplina delle accise copre i prodotti energetici, i tabacchi, le bevande alcooliche, l’energia elettrica. Mentre, gli oli lubrificanti sono sottoposti al pagamento di un’imposta di consumo prevista da una specifica legislazione da tenere in seria considerazione per le conseguenze pratiche tanto nei traffici intracomunitari quanto in quelli internazionali;

– stabilire e mappare le varie attività dell’operatore economico per individuare e prioritizzare i rischi, anche esaminando il relativo piano di sicurezza, se esiste, e la valutazione delle minacce, nonché le misure adottate e i controlli interni;

– confermare le strategie e procedure di gestione dell’operatore economico e valutare i controlli per determinare l’audit dei rischi residui. Ove necessario, verificare tali controlli;

– gestire gli eventuali rischi residui per riportarli a un livello accettabile;

– informare il management dei risultati dell’audit.

Infatti, i modelli di organizzazione e gestione (MOG) devono rispondere alle seguenti esigenze: “… a) individuare le attività nel cui ambito possono essere commessi reati; b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;

  1. c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei

reati;  d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul

funzionamento e l’osservanza dei modelli; e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello…” e ancora “…i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare…”.

Vale la pena ricordare che il MOG rappresenta un importante elemento della compliance richiesta dall’AEO (authorized economic operator) e pertanto è opportuno:

  • Sviluppare processi di monitoring e di auditing seguendo le linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2021 n.231 pubblicate a giugno 2021;
  • Garantire l’ adeguatezza del MOG come indicato dalla sentenza n. 1070 emessa dal Tribunale di Milano in 25 gennaio 2024 secondo cui è “facilmente intuibile che le norme sono tutto sommato povere di indicazione in ordine ai contenuti del modello di organizzazione, gestione e controllo del rischio del reato. Anche  il riferimento ai Codici di comportamento  ( o di linee guida) elaborati dalle associazioni di categoria e spesso evocati nei modelli adottati….sono per lo più documenti evocativi di valori e di principi generali di comportamento che non di autentiche cautele…” ed ancora partendo da questa ricognizione i giudici meneghini specificano che “…chi è collocato in posizione apicale assicurerà prima di tutto l’adozione di un modello organizzativo che consenta un’adeguata protezione dei beni giuridici tutelati dalle norme penali e, scendendo ai piani inferiori, la garanzia che si concretizzerà in rapporto al tipo di funzione in concreto esercitata….” E ancora “viene dunque in rilevo la necessità di predisporre all’interno della societas le risorse per forgiare i modelli di prevenzione del rischio-reato (i cc.dd compliance programs statunitensi) che costituiscono l’autentico supporto materiale del dovere organizzativo…”.

***

Vale la pena ricordare che il tema della responsabilità amministrativa degli enti (prevista dal decreto legislativo n.231/2021)  è oggetto di un’interessante analisi effettuata da Confindustria con il suo ultimo position paper in materia

In termini generali, è possibile affermare che la disciplina della responsabilità amministrativa dell’impresa si basa sulla adozione, ante delictum, di un modello di organizzazione e gestione adeguato ed efficiente. n altre parole, la responsabilità della persona giuridica dipende dalla cd. colpa in organizzazione: l’impresa risponde solo qualora non abbia adeguatamente provveduto a evitare tale evento, attraverso la propria organizzazione e struttura.

Consta di una fase di risk assessment (rappresentare in modo completo i reati rilevanti per l’ente e le modalità attraverso cui tali illeciti potrebbero essere posti in essere nel suo contesto operativo) e di un’altra di risk management (la progettazione del sistema di controllo, che è l’insieme dei presidi e protocolli, individuati come specifici punti di controllo per ciascun processo produttivo).

Con riferimento a tale contesto legislativo, Confindustria ha pubblicato il proprio position paper-marzo 2025, sulle “ prospettive di riforma della responsabilità amministrativa degli enti (disciplina 231)”.

Tale position paper nasce allo scopo di fornire un contributo al tavolo tecnico promosso dal Ministeri di Giustizia il quale ha lo scopo di offrire una soluzione normativa al disorientamento degli operatori economici legato essenzialmente ai seguenti fenomeni:

– “una disciplina nata con le migliori intenzioni  […] si è trasformata nella prassi in strumento di mera repressione”;

– “gli ampi (troppo ampi) spazi che essa lascia a interpretazioni disomogenee, oltreché spesso del tutto disancorate dalla realtà di chi fa impresa, hanno dato luogo a fenomeni di “ingiustizia sostanziale”, finendo per disperdere valori produttivi e lasciando spesso gli imprenditori in balìa dell’incertezza”.

In merito al secondo ordine di problemi sopra citati, vale la pena evidenziare come Confindustria sottolinei che: “le lacune della disciplina 231 hanno attribuito all’autorità giudiziaria, nei fatti, una discrezionalità pressoché illimitata in ordine alla valutazione dei modelli organizzativi. Peraltro, ciò ha condotto ad applicazioni troppo eterogenee da un ufficio giudiziario a un altro, in alcuni casi anche tra circoscrizioni territoriali contigue; tale disparità ha determinato, da un lato, molta confusione in ordine al contenuto del modello idoneo e, dall’altro, rilevanti problemi sul versante dell’equità”; al riguardo, dogana sostenibile ha condiviso le pronunce di maggiore interesse per gli operatori.

Confindustria, inoltre, puntualizza le ragioni determinano un incremento dell’incertezza della disciplina sulla responsabilità amministrativa dell’ente:

  1. le indicazioni normative essenziali e generiche con riferimento a quale debba essere il contenuto del modello;
  2. continua e irrazionale proliferazione dei reati presupposto;
  3. valutazione di idoneità rimessa integralmente alla discrezionalità del giudice e alla sua conoscenza di complessi ed eterogenei meccanismi aziendali.

Si elencano di seguito le proposte presentate da Confindustria nel position paper-marzo 2025, sulle “ prospettive di riforma della responsabilità amministrativa degli enti (disciplina 231)”.:

  • Introduzione di elementi di certezza giuridica e di semplificazione del quadro applicativo, tenendo conto delle peculiari caratteristiche di questa forma di responsabilità e degli enti destinatari della stessa;
  • Esenzione o adozione su base volontaria del MOG per microimprese;
  • Disciplinare in modo più dettagliato la responsabilità 231 all’interno del gruppo, tenuto conto che in queste realtà organizzative esiste, e va garantita, la necessità di bilanciare l’autonomia delle singole società con l’esigenza di promuovere politiche e indirizzi di gruppo.
  • migliore definizione normativa del contenuto del MOG;
  • presunzione d’innocenza dell’ente. Dovrebbe essere onere della pubblica accusa l’onere di dimostrare la sussistenza dei presupposti della responsabilità dell’ente, in linea con la consolidata giurisprudenza di legittimità;
  • superare alcuni limiti al diritto alla difesa dell’ente e rivedere il sistema sanzionatorio.