Modello 231 e sicurezza sul lavoro: cosa cambia dal 7 aprile 2026

Pubblicato in data

Modello 231 e sicurezza sul lavoro: cosa cambia dal 7 aprile 2026

Il nuovo art. 30 D.Lgs. 81/2008, la Cassazione n. 30039/2025 e quello che imprese, consulenti e OdV devono fare adesso


Aggiornamento normativo urgente

Il 7 aprile 2026 è entrata in vigore la versione aggiornata dell'art. 30 D.Lgs. 81/2008, nella parte che disciplina i Modelli di Organizzazione e Gestione (MOG) con efficacia esimente dalla responsabilità ex D.Lgs. 231/2001. 

I modelli non aggiornati rischiano di perdere, in tutto o in parte, l'effetto esimente. Se non hai ancora avviato la revisione, questo è il momento.

Un lavoratore si infortuna gravemente. Il responsabile di produzione finisce sotto processo. Fin qui, niente di nuovo. Ma poi arriva la notifica per la società: sanzioni pecuniarie, interdizioni, confisca del profitto. L'azienda come soggetto autonomamente responsabile. Questo è il cuore dell'art. 25-septies D.Lgs. 231/2001, e dal 7 aprile 2026 le regole per difendersi si fanno più precise. La Cassazione, nel frattempo, ha già detto come le leggerà.

Il punto di partenza: perché l'art. 30 D.Lgs. 81/2008 è cruciale per il sistema 231

Il D.Lgs. 231/2001 introduce la responsabilità amministrativa degli enti per reati commessi nel loro interesse o vantaggio da soggetti apicali o sottoposti. Tra i reati presupposto più frequentemente contestati alle imprese figurano i reati colposi in materia di salute e sicurezza sul lavoro, disciplinati dall'art. 25-septies: omicidio colposo (art. 589 c.p.) e lesioni personali colpose gravi o gravissime (art. 590 co. 3 c.p.) commessi con violazione delle norme antinfortunistiche.

L'art. 30 D.Lgs. 81/2008 è la norma speciale che definisce il contenuto del modello organizzativo idoneo ad avere efficacia esimente della responsabilità 231 proprio in questo ambito. Non è un semplice documento di gestione della sicurezza: è l'infrastruttura che - se adottata ed efficacemente attuata - consente all'ente di andare esente da responsabilità anche quando un reato colposo sia stato commesso al suo interno.

Riferimento normativo - i reati presupposto

Art. 25-septies D.Lgs. 231/2001 - I reati presupposto in materia di sicurezza sono:

  • Omicidio colposo con violazione delle norme antinfortunistiche - art. 589 c.p.
  • Lesioni personali colpose gravi o gravissime con violazione delle norme antinfortunistiche - art. 590 co. 3 c.p.

Devono essere commessi da soggetti apicali (datore di lavoro, amministratori, direttori) o da soggetti sottoposti alla loro direzione, nell'interesse o a vantaggio dell'ente - ai sensi dell'art. 5 D.Lgs. 231/2001. La responsabilità dell'ente è autonoma rispetto a quella delle persone fisiche: può sussistere anche quando il procedimento penale individuale si estingue per prescrizione.

La logica (scomoda) del vantaggio: risparmiare sulla sicurezza è già un "interesse"

Uno dei punti che lascia più perplessi chi si avvicina a questi temi per la prima volta è il seguente: come può un infortunio mortale essere "nell'interesse" dell'azienda? La risposta della Cassazione è chirurgica. Nei reati colposi, l'interesse o il vantaggio dell'ente si riferisce alla condotta che ha causato l'evento, non all'evento in sé.

Non è che l'azienda volesse che il lavoratore si infortunasse. Ma l'omessa predisposizione dei sistemi di sicurezza, la procedura mai scritta, il DPI mai acquistato, la formazione mai erogata, ha determinato un risparmio di spesa o un aumento della produttività. Questo è interesse. Questo è vantaggio. Ed è sufficiente.

Attenzione - orientamento giurisprudenziale

La Cassazione (Sez. IV, 24/09/2019, n. 43656) ha chiarito che la sistematicità delle violazioni non è un elemento necessario per la configurabilità della responsabilità dell'ente. Anche una singola violazione episodica è sufficiente, se ricorrono i criteri di interesse o vantaggio. Non basta quindi avere un sistema in ordine "quasi sempre".

Cosa cambia dal 7 aprile 2026: i quattro pilastri del nuovo art. 30

La versione aggiornata dell'art. 30 D.Lgs. 81/2008, in vigore dal 7 aprile 2026, consolida e rafforza l'impianto strutturale del modello, confermando i requisiti già noti ma aggiornandone la declinazione alla luce dell'evoluzione organizzativa e tecnologica delle imprese. I punti chiave sono quattro.

1. Il sistema di registrazione delle attività

Il modello deve prevedere idonei sistemi di registrazione dell'avvenuta effettuazione di tutte le attività previste dal comma 1. La tracciabilità documentale non è un adempimento burocratico: è la prova, in caso di processo, che il modello non era soltanto formalmente adottato ma era concretamente attuato. Un modello senza registrazioni è indistinguibile - agli occhi del giudice - da un modello mai applicato.

2. L'articolazione di funzioni e il sistema disciplinare

Il modello deve prevedere un'articolazione di funzioni che assicuri le competenze tecniche e i poteri necessari per la verifica, valutazione, gestione e controllo del rischio. E deve includere un sistema disciplinare esplicito, idoneo a sanzionare il mancato rispetto delle misure indicate.

Questo è il punto dove molti modelli esistenti presentano carenze: il sistema disciplinare è l'unica parte non ricavabile per implicazione dagli altri strumenti di gestione (ISO 45001, Linee Guida UNI-INAIL). Non basta averlo come richiamo generico nel codice etico: deve essere specifico, proporzionato e applicabile anche ai soggetti apicali.

3. Il sistema di controllo e il riesame periodico

Il modello deve prevedere un sistema di controllo sull'attuazione e sul mantenimento delle condizioni di idoneità. Il riesame e l'eventuale modifica devono essere adottati quando siano scoperte violazioni significative, o in occasione di mutamenti nell'organizzazione e nel progresso scientifico e tecnologico. È il meccanismo PDCA applicato alla compliance 231: un modello che non viene aggiornato diventa progressivamente inadeguato e perde la propria efficacia esimente.

4. La presunzione di conformità per i modelli certificati

L'art. 30, comma 5, mantiene la presunzione relativa di conformità per i modelli adottati conformemente alle Linee Guida UNI-INAIL o, oggi, alla norma UNI ISO 45001, che dal marzo 2021 ha definitivamente sostituito il precedente standard BS OHSAS 18001 come unico riferimento per la certificazione dei sistemi di gestione della sicurezza e salute sul lavoro. 

Art. 30 D.Lgs. 81/2008 - Requisiti del MOG con efficacia esimente (testo in vigore dal 7 aprile 2026)

Il modello deve assicurare un sistema aziendale per l'adempimento di tutti gli obblighi giuridici rilevanti in materia di:

  • Rispetto degli standard tecnico-strutturali
  • Valutazione dei rischi e misure di prevenzione e protezione
  • Gestione delle emergenze e degli appalti (DUVRI)
  • Sorveglianza sanitaria
  • Formazione e informazione dei lavoratori
  • Vigilanza sul rispetto delle procedure da parte dei lavoratori
  • Acquisizione delle documentazioni e certificazioni obbligatorie
  • Verifiche periodiche dell'applicazione e dell'efficacia delle procedure adottate

A questi si aggiungono i quattro requisiti rafforzati: sistema di registrazione, sistema disciplinare esplicito, sistema di controllo con riesame periodico, presunzione di conformità per ISO 45001:2018.

La Cassazione fissa i paletti: sentenza n. 30039 del 1 settembre 2025

Su questo sfondo normativo si innesta una sentenza di straordinaria importanza sistematica: Cass. pen., Sez. IV, 1 settembre 2025, n. 30039. È la pronuncia più recente e più completa sul rapporto tra colpa di organizzazione, modello organizzativo certificato e responsabilità 231. Chi lavora in questo campo non può ignorarla.

La colpa di organizzazione è l'elemento cardine e va provata dall'accusa

La Corte ribadisce con fermezza che il fondamento della responsabilità dell'ente è la colpa di organizzazione, intesa come inottemperanza all'obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire i reati. Questo elemento è ontologicamente distinto dalla colpa delle persone fisiche autrici del reato presupposto.

Ma il punto cruciale, e spesso sottovalutato, è che la colpa di organizzazione deve essere specificamente provata dall'accusa. Non è sufficiente dimostrare che il reato presupposto è stato commesso da un soggetto apicale nell'interesse dell'ente. Il pubblico ministero deve individuare gli elementi rivelatori del deficit organizzativo e il nesso causale tra quel deficit e la verificazione del reato.

L'assenza del modello non è elemento costitutivo dell'illecito

La pronuncia conferma l'orientamento consolidato, a partire dalle Sezioni Unite Espenhahn (n. 38343/2014) e dalla sentenza Impregilo bis (Sez. VI, n. 23401/2021) - secondo cui la mancata adozione o l'inefficace attuazione del modello organizzativo non è ex se un elemento costitutivo dell'illecito dell'ente. Integra, piuttosto, una circostanza idonea a dimostrare la sussistenza della colpa di organizzazione, che resta però da provare specificamente.

L'ente può dimostrare l'assenza di colpa di organizzazione anche in presenza di carenze formali nel modello, se riesce a provare la concreta adeguatezza del proprio assetto organizzativo. Non è un invito a non adottare il modello: è la conferma che il modello deve essere sostanziale, non formale.

Il modello certificato merita una valutazione autonoma e motivata

Il passaggio più innovativo della sentenza n. 30039/2025 riguarda i modelli certificati secondo standard internazionali. Nel caso esaminato, la società aveva adottato un modello basato su BS OHSAS 18001:2007, certificato da un ente accreditato. La Corte ha censurato i giudici di merito per aver liquidato la rilevanza della certificazione con la semplice affermazione che "poco conta in questo contesto che il modello fosse certificato" dimostrando di non aver compreso la portata dell'art. 30, comma 5, D.Lgs. 81/2008.

Il principio fissato dalla Corte è chiaro: la presenza di un modello certificato secondo standard internazionali riconosciuti costituisce un elemento presuntivo di adeguatezza che deve essere superato da una compiuta dimostrazione dell'inadeguatezza sostanziale del sistema. Non può essere ignorata o superata con formule generiche.

La presunzione non è assoluta: il giudice può sempre accertare la concreta inidoneità del modello. Ma deve farlo con una motivazione puntuale, che individui le specifiche regole cautelari violate e verifichi se il reato sia la concretizzazione del rischio che quelle regole miravano a prevenire - secondo il criterio della prognosi postuma.

Cass. pen., Sez. IV, 1 settembre 2025, n. 30039 - Principi chiave

  • La colpa di organizzazione è il fondamento autonomo della responsabilità dell'ente - distinta dalla colpa individuale.
  • La colpa di organizzazione deve essere provata specificamente dall'accusa, con individuazione del deficit e del nesso causale.
  • L'assenza o l'inefficace attuazione del MOG non è elemento costitutivo dell'illecito: è indizio della colpa di organizzazione.
  • Il modello certificato secondo standard internazionali (UNI ISO 45001) gode di una presunzione relativa di adeguatezza che il giudice non può ignorare senza motivazione specifica.
  • MOG 231 e DVR sono strumenti distinti: confonderli è un errore di diritto che giustifica l'annullamento della sentenza.

DVR, MOG 231 e ISO 45001: tre strumenti diversi, un obiettivo comune

La sentenza n. 30039/2025 ribadisce con nettezza una distinzione che i giudici di merito a volte trascurano - e che i consulenti non possono permettersi di ignorare. Il DVR e il MOG 231 sono strumenti distinti e non sovrapponibili: confonderli è un errore di diritto.

DVR MOG 231 - Parte Speciale SSL ISO 45001:2018
Riferimento normativo Artt. 17, 28 D.Lgs. 81/2008 Art. 25-septies D.Lgs. 231/2001 + Art. 30 D.Lgs. 81/2008 Standard volontario - richiamato dall'art. 30 co. 5 D.Lgs. 81/2008
A chi si rivolge Ai lavoratori: individua i rischi e le misure per eliminarli o ridurli A chi è esposto al rischio di commettere reati: governo del rischio penale-organizzativo All'organizzazione nel suo complesso
Natura Obbligatoria Facoltativa ma esimente Volontaria - con presunzione relativa di conformità ex art. 30 co. 5
Richiede OdV? No Sì - obbligatorio No - ma si integra con l'OdV
Richiede sistema disciplinare esplicito? No Sì - requisito specifico art. 30 Non da sola - deve essere integrato nel MOG
Effetto esimente 231? No (da solo) Sì, se efficacemente attuato Presunzione relativa ex art. 30 co. 5 - confermata da Cass. n. 30039/2025

Il ruolo dell'OdV nella nuova prospettiva: ogni verbale è materiale probatorio

La sentenza n. 30039/2025 porta con sé un messaggio molto chiaro per gli Organismi di Vigilanza: il lavoro dell'OdV è destinato a diventare, in caso di procedimento 231, materiale probatorio. Ogni verbale, ogni accesso ispettivo, ogni flusso informativo gestito, ogni attività formativa registrata è un tassello della difesa dell'ente.

La Cassazione ha anche chiarito cosa l'OdV non deve fare: non deve trasformarsi in un supervisore degli atti degli organi direttivi. Questo sarebbe incompatibile con il potere di rappresentanza e gestione riconosciuto dalla legge civile a quegli organi. Il compito dell'OdV è sorvegliare il funzionamento e l'osservanza del modello, individuare le criticità, segnalarle, promuoverne l'aggiornamento.

Ciò che il giudice valuterà, secondo il criterio della prognosi postuma, è se le regole cautelari presenti nel modello, se rispettate, avrebbero impedito o ridotto significativamente il rischio di verificazione del reato. Il lavoro dell'OdV documenta esattamente questo: che le regole c'erano, che erano adeguate, e che qualcuno,  nonostante la vigilanza, le ha violate.

Implicazioni operative: cosa fare adesso

Il 7 aprile 2026 non è una data simbolica. Le imprese che non aggiornano il modello rischiano di trovarsi in una posizione processuale molto più debole, poiché il loro MOG potrebbe essere considerato non conforme al testo di legge vigente al momento dell'accertamento. Le azioni prioritarie sono cinque.

Checklist operativa - priorità immediate

  1. Audit del modello esistente rispetto all'art. 30 D.Lgs. 81/2008 nella versione in vigore dal 7 aprile 2026: i quattro pilastri sono tutti presenti e documentati?
  2. Verifica del sistema disciplinare: è esplicito nel modello? È proporzionato? Si applica anche ai soggetti apicali? Non può essere ricavato per implicazione dal codice etico.
  3. Verifica della certificazione: il sistema di gestione è certificato UNI ISO 45001? Se ancora basato su OHSAS 18001, la migrazione è urgente. Se certificato, la certificazione va documentata, valorizzata e difesa in sede processuale - come indicato dalla Cassazione n. 30039/2025.
  4. Piano di attività OdV aggiornato: comprende verifiche programmate e a sorpresa? Copre tutte le aree sensibili in materia di sicurezza? I verbali sono tracciati e conservati?
  5. Aggiornamento della mappatura dei rischi: tiene conto dei mutamenti organizzativi e del progresso tecnologico intervenuti dall'ultima revisione? L'obbligo di riesame periodico è ora espressamente previsto dall'art. 30.

Errore frequente - da evitare

Confondere DVR e MOG 231 è uno degli errori più comuni  e più costosi. Avere il DVR aggiornato non sostituisce il MOG, e viceversa. Avere una certificazione ISO 45001 non basta da sola: il modello deve essere efficacemente attuato. La Cassazione ha ribadito che un modello certificato che non viene applicato nella pratica quotidiana perde ogni efficacia esimente. La certificazione è un punto di partenza, non un punto di arrivo.

Conclusione: il sistema 231 premia chi lo vive ogni giorno

Il messaggio che emerge dalla combinazione tra la nuova versione dell'art. 30 e la sentenza n. 30039/2025 è coerente e preciso: non è sufficiente adottare un modello. Non è sufficiente certificarlo. Il sistema premia chi lo vive ogni giorno, chi forma, chi registra, chi monitora, chi aggiorna, chi sanziona quando è necessario.

La colpa di organizzazione non è un'astrazione giuridica. È la fotografia di un'azienda che sapeva, o avrebbe dovuto sapere, che qualcosa non funzionava e non ha agito. Il MOG 231 integrato con la ISO 45001, supportato da un OdV attivo e da un sistema disciplinare esplicito, è la risposta organizzativa a questa domanda. Non elimina il rischio di incidenti. Ma dimostra, in modo tracciabile, documentato e difendibile, che l'organizzazione ha scelto di prendere sul serio la prevenzione.

Per un'introduzione generale al D.Lgs. 231/2001, puoi leggere anche Il Modello 231 spiegato a mia nonna su questo blog, un punto di partenza utile prima di affrontare le complessità dell'art. 25-septies.

© Diritti e citazioni - I personaggi e le opere citati in questo articolo appartengono ai rispettivi autori e titolari dei diritti. Il loro utilizzo ha finalità esclusivamente divulgativa e di commento critico, ai sensi dell'art. 70 L. 633/1941. Nessuna affiliazione o sponsorizzazione è implicita o sottintesa.

© mauriziomicucci.it - La riproduzione è consentita con citazione della fonte

Commenti

Posta un commento