La recente sentenza della Cassazione penale n. 18410/2025 ribadisce un principio ormai consolidato ma di fondamentale importanza per il sistema 231: l’adozione formale di un modello organizzativo non è sufficiente a escludere la responsabilità dell’ente se non ne siano provate l’effettiva attuazione e l’idoneità concreta a prevenire i reati.

La pronuncia, di sicuro impatto sulla prassi degli operatori giuridici e dei responsabili compliance, affronta il tema dell’interesse o vantaggio per l’ente e della colpa di organizzazione, offrendo spunti rilevanti per l’interpretazione dell’art. 5 del d.lgs. 231/2001.

Il caso sottoposto alla Corte trae origine da un infortunio occorso a un lavoratore, caduto durante un intervento tecnico in quota. L’ente era stato ritenuto responsabile per aver omesso di garantire adeguate misure di sicurezza e per non aver provveduto alla corretta manutenzione delle passerelle e delle valutazioni del rischio. Nonostante la presenza di un modello organizzativo adottato sulla carta, la documentazione dimostrava una sostanziale inoperatività del sistema: l’Organismo di Vigilanza non aveva emesso segnalazioni, i protocolli erano stati aggiornati solo formalmente, e la prassi aziendale risultava lontana dalle procedure descritte nel modello.

Sul piano giuridico, la Cassazione ha chiarito che l’interesse o vantaggio dell’ente, previsto dall’art. 5, può consistere anche in un risparmio di spesa legato alla mancata adozione di misure prevenzionistiche. Non è necessario che vi sia un aumento diretto dei profitti: è sufficiente che il comportamento omissivo abbia prodotto un beneficio oggettivo per l’ente, anche in termini di minori costi o di semplificazione delle procedure. Si consolida così l’orientamento secondo cui l’interesse o il vantaggio non devono essere necessariamente contestuali al reato, ma possono anche derivare da una condotta colpevolmente omissiva.

Ancora più rilevante è il passaggio sulla colpa di organizzazione: il modello deve essere:

- adottato

- effettivamente attuato

- adeguato

- idoneo 

dunque il deficit organizzativo si configura sia in assenza del modello, ma anche quando esso sia inadeguato o non effettivamente attuato. Il sistema di prevenzione deve essere dinamico, aggiornato, integrato nella vita dell’ente e dotato di veri strumenti di controllo. La mancata realizzazione di audit, l’assenza di tracciabilità nei processi di formazione e vigilanza, la sottovalutazione dei rischi specifici sono tutti elementi che possono dimostrare la colpa organizzativa e dunque fondare la responsabilità ai sensi del decreto 231.

La sentenza costituisce un ulteriore richiamo alla necessità di attuare in modo sostanziale ed effettualmente comprovabile i modelli organizzativi. Le imprese devono assicurare che le misure di prevenzione non siano solo formalmente definite ma concretamente operative, con coinvolgimento attivo degli organi di vigilanza, aggiornamenti sistematici, verifiche interne, formazione del personale e reale presidio dei rischi rilevanti. In assenza di questi elementi, il solo possesso di un modello 231 non sarà sufficiente ad evitare la responsabilità dell’ente.