Immagina la scena. È una mattina qualsiasi. Il tuo responsabile acquisti arriva in ufficio con il caffè in mano, apre la posta elettronica, trova un'offerta interessante da un intermediario che conosce da anni. Firma. Paga. Va avanti.
Nessuno vuole violare nulla. Nessuno ha comprato armi. Nessuno ha stretto mani con dittatori. Solo una normale operazione commerciale, in una normale giornata.
Peccato che quell'intermediario fosse in una lista di soggetti designati dalle misure restrittive UE. E che da gennaio 2026 esista una norma, il D.Lgs. 211/2025, con il suo art. 25-octies.2 nel D.Lgs. 231/2001, che trasforma quella mattina tranquilla in un problema molto serio.
⚠ Livello di attenzione richiesto
In vigore dal 24 gennaio 2026. Non è una bozza. Non è in consultazione. È legge.
Il deserto delle rotte bloccate (e la supply chain come Mad Max)
In Fury Road, il problema non è l'apocalisse in sé — quella è già avvenuta, amen. Il problema è la logistica dell'apocalisse: chi controlla le rotte, controlla la sopravvivenza. Chi rimane tagliato fuori, non sopravvive. Non per cattiveria altrui, per impreparazione propria.
Sostituisci "acqua" con "componenti elettronici" e "gasolio" con "materie prime" e hai il quadro di qualsiasi supply chain globale sotto pressione geopolitica degli ultimi tre anni. Lo Stretto di Hormuz, il Mar Rosso, il Canale di Suez, non sono curiosità geografiche per appassionati di cartografia. Sono punti di rottura reali, che hanno già rotto.
🌍 Il punto critico non è geografico. È giuridico. Quando le rotte si bloccano, le aziende cercano percorsi alternativi. E su certi percorsi alternativi si incrociano soggetti che l'UE ha messo in lista nera. Da gennaio 2026, quell'incrocio, anche involontario, ha un codice articolo nel codice penale.
Cosa ha fatto il legislatore (senza troppi tecnicismi, promesso)
Il D.Lgs. 30 dicembre 2025, n. 211 attua la Direttiva UE 2024/1226. Prima di questo decreto, la violazione delle sanzioni economiche UE era presidia prevalentemente da sanzioni amministrative. Fastidiose, ma gestibili. Si pagava, si andava avanti.
Il decreto ha cambiato tre cose, in ordine di impatto crescente:
⚖️
Codice Penale
Nuovo Capo I-bis: "Delitti contro la politica estera e la sicurezza comune UE" (artt. 275-bis / 275-decies c.p.). Da sanzione amministrativa a delitto. Cambia categoria.
🏢
D.Lgs. 231/2001
Nuovo art. 25-octies.2: le violazioni delle sanzioni UE sono ora reati presupposto. L'ente risponde. Il Modello 231 non aggiornato è l'assenza di scudo.
📣
Whistleblowing
Modifica all'art. 1 del D.Lgs. 24/2023: le violazioni delle misure restrittive UE rientrano ora tra gli illeciti segnalabili. Il canale interno va aggiornato di conseguenza.
Il menu dei reati (ordinare con cautela)
Il nuovo Capo I-bis del codice penale non è un reato unico ma una famiglia di fattispecie, con graduazioni di gravità. Eccole, in versione "da leggere senza cadere dal sonno":
Violazione delle misure restrittive UE
Fondi a soggetti designati, operazioni vietate, elusione dei divieti. Reclusione da 2 a 6 anni + multa da 25.000 a 250.000 €. Il piatto forte.
Violazione degli obblighi informativi
Hai fondi o beni di soggetti sanzionati e non lo comunichi. Reclusione fino a 3 anni. Il classico "tanto chi lo sa".
Violazione delle condizioni dell'autorizzazione
L'UE ti ha dato una deroga per operare in certe condizioni. Hai ignorato le condizioni. Reclusione fino a 3 anni.
Violazione colposa - la più pericolosa per le PMI
Non serve il dolo. Non serve volerlo. Basta non aver fatto le verifiche adeguate. Hai pagato qualcuno senza controllare chi fosse davvero? Benvenuto nella fattispecie colposa. Reclusione fino a 2 anni.
Attenuanti - l'unica buona notizia
Collabori, consegni le prove, aiuti a recuperare i beni? Riduzione da 1/3 a 2/3. Non è un'assoluzione, ma è qualcosa.
Quanto può costare all'azienda? (Spoiler: tanto)
Eccola, la novità che ha fatto alzare qualche sopracciglio nei circoli 231. Per la prima volta nella storia del decreto, le sanzioni pecuniarie non si calcolano "per quote" ma come percentuale del fatturato globale. Lo stesso sistema usato in antitrust per le grandi multinazionali. Applicato a tutti.
Art. 25-octies.2 — Sanzioni per l'ente
dall'1 al 5%
del fatturato globale
Violazioni gravi (art. 275-bis, 275-quater)
dallo 0,5 all'1%
del fatturato globale
Violazioni obblighi informativi (art. 275-ter)
🚫 Le sanzioni che fanno davvero paura: le interdittive
In caso di condanna, le sanzioni interdittive ex art. 9 co. 2 D.Lgs. 231/2001 scattano obbligatoriamente:
👤 Soggetti apicali (AD, procuratori, responsabili commerciali): da 2 a 6 anni
👥 Soggetti sottoposti: da 1 a 3 anni
Possono includere: interdizione dall'attività, revoca di autorizzazioni, divieto di contrattare con la PA, esclusione da contributi pubblici, divieto di pubblicizzare beni o servizi. Sei anni di queste misure, per una PMI, equivalgono alla fine della PMI.
"Ma noi non facciamo affari con la Russia", e allora?
È la prima cosa che sento. Ed è sbagliata due volte.
Prima di tutto: le misure restrittive UE non riguardano solo la Russia. Coprono Bielorussia, Iran, Siria, Myanmar, Corea del Nord, Venezuela, e decine di altre giurisdizioni o persone fisiche designate per motivi che vanno dai diritti umani al terrorismo al finanziamento di conflitti. L'elenco si aggiorna ogni poche settimane. Non è statico.
Seconda cosa: il problema raramente è il rapporto diretto con il soggetto sanzionato. Il problema è la catena.
Dove si nasconde il rischio nella catena
Hai controllato ogni anello? No? Ecco l'art. 275-quinquies.
Il fornitore cinese compra da un'entità sanzionata e ti rivende i componenti. L'agente estero ha rapporti paralleli con soggetti in lista. La società di logistica è controllata, anche solo in parte, da un nome che compare da qualche parte in un regolamento UE. Il beneficiario finale del tuo pagamento non è quello che pensi. Non ti serve volerlo per rischiare. Ti basta non averlo controllato.
Il kit di sopravvivenza per il Modello 231
Se vuoi dormire sereno (o almeno non peggio di prima), questo è il minimo indispensabile. In ordine. Senza scorciatoie.
Aggiorna il catalogo dei reati presupposto
Inserisci l'art. 25-octies.2 e i reati richiamati (artt. 275-bis / 275-quinquies c.p.) nella Parte Generale del Modello. Senza questo, l'esimente ex art. 6 D.Lgs. 231/2001 non regge.
Risk assessment sui processi esposti
Acquisti internazionali, gestione fornitori esteri, pagamenti in valuta, import/export, agenti e intermediari esteri, beni dual-use. Mappa dove il rischio può entrare.
Crea (o aggiorna) la Parte Speciale dedicata
Non basta aggiungere una riga in calce. Servono protocolli specifici, flussi autorizzativi, procedure di verifica. Una Parte Speciale copia-incolla è peggio di niente: crea un'aspettativa che poi non viene soddisfatta.
Procedure KYS e KYC — conosci chi stai pagando
Know Your Supplier / Know Your Customer: due diligence sistematica su fornitori, clienti, agenti, intermediari e beneficiari finali. Inclusa verifica sulle liste di soggetti designati (lista consolidata UE, OFAC SDN List).
Sistema di deleghe: responsabilità chiare, per iscritto
Le procure devono essere specifiche e coerenti con i rischi delle operazioni internazionali. Se il rischio è alto, le risorse a supporto devono essere adeguate. Una delega senza risorse è solo un modo per passare la responsabilità.
Aggiorna il canale di whistleblowing
Le violazioni delle misure restrittive UE rientrano ora tra gli illeciti segnalabili ex D.Lgs. 24/2023 (art. 1, co. 1-bis, introdotto dall'art. 7 del D.Lgs. 211/2025). Il canale interno va aggiornato. Subito.
Flussi informativi verso l'OdV
L'Organismo di Vigilanza deve ricevere report periodici sulle operazioni con controparti estere, sull'esito delle verifiche KYS/KYC, e su eventuali segnalazioni anomale. Un OdV che non sa niente non può vigilare su niente.
Finale: come Furiosa, ma con il Modello 231 aggiornato
Nel deserto di Fury Road, Furiosa non aveva un piano perfetto. Aveva però una mappa del territorio, sapeva chi erano i nemici e si era preparata. Il Modello 231 aggiornato non è la garanzia assoluta di non sbagliare mai, è la dimostrazione che hai mappato il rischio, hai messo i presidi, hai costruito una cultura di controllo.
Una mappa sbagliata, nel deserto, ti porta contro uno sperone di roccia. Un Modello 231 fermo al 2022, nel panorama normativo del 2026, ha lo stesso effetto. La differenza tra chi sopravvive e chi no, di solito, non è la buona fede. È la preparazione.
📋 Riferimenti normativi
D.Lgs. 30 dicembre 2025, n. 211 · GU n. 6 del 9 gennaio 2026 · In vigore dal 24 gennaio 2026
Art. 25-octies.2, D.Lgs. 231/2001 - Reati presupposto: violazione misure restrittive UE
Artt. 275-bis / 275-decies c.p. -Capo I-bis, Titolo I, Libro II c.p.
Art. 9, co. 2, D.Lgs. 231/2001 - Sanzioni interdittive (applicazione obbligatoria)
Art. 6, D.Lgs. 231/2001 - Esimente per Modello 231 idoneo e attuato
Art. 1, co. 1-bis, D.Lgs. 24/2023 - Whistleblowing esteso alle violazioni misure restrittive UE
© Diritti e citazioni — I personaggi e le opere citati in questo articolo appartengono ai rispettivi autori e titolari dei diritti. Il loro utilizzo ha finalità esclusivamente divulgativa e di commento critico, ai sensi dell'art. 70 L. 633/1941. Nessuna affiliazione o sponsorizzazione è implicita o sottintesa.
© mauriziomicucci.it — La riproduzione è consentita con citazione della fonte.
Commenti
Posta un commento