Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Sanzioni UE e responsabilità 231: dal diritto del fatto al diritto del rischio, fino alla moralizzazione dell’organizzazione

illecito 231
illecito 231

Altri articoli dell'autore

Diritto /

La resilienza come paradigma normativo

Diritto /

Il paradosso di Teseo digitale: quando l'intelligenza artificiale ridefinisce la diligenza professionale

Società /

La Derivative Intelligence e il crepuscolo dell’umano

Sanzioni UE e responsabilità 231: dal diritto del fatto al diritto del rischio, fino alla moralizzazione dell’organizzazione

 

Dal diritto penale del fatto al diritto penale del rischio: la tutela dell’ordine prima del danno

Una delle trasformazioni più rilevanti del diritto punitivo contemporaneo consiste nello spostamento dell’asse della tutela: dal fatto lesivo compiuto alla gestione del rischio che quel fatto si produca. È un passaggio che riguarda non solo la tecnica normativa, ma la stessa idea di colpevolezza e di prevenzione. Il diritto penale classico tendeva a riconoscere nella lesione (o nel pericolo concreto) la soglia di legittimazione dell’intervento. L’orizzonte attuale – soprattutto nei settori ad alta complessità economica e transnazionale – anticipa la tutela, perché riconosce che l’evento, una volta prodotto, è spesso irreversibile o comunque sistemicamente destabilizzante.

Le misure restrittive dell’Unione europea appartengono pienamente a questa logica: esse sono dispositivi di politica estera e sicurezza comune, pensati non per riparare un danno già avvenuto, ma per prevenire la possibilità che determinati soggetti, Stati o apparati strategici acquisiscano risorse, tecnologia, liquidità, capacità operativa. In questo senso, l’illecito non coincide soltanto con un vantaggio economico indebito, ma con la frattura di un presidio politico. La violazione delle sanzioni non è, per struttura, un delitto “contro” un bene individuale; è un attentato contro la tenuta dell’ordine normativo che rende efficace l’azione esterna europea.

È questa la chiave per comprendere il d.lgs. 30 dicembre 2025, n. 211, attuativo della direttiva (UE) 2024/1226: esso non mira soltanto a incriminare condotte, ma a rendere non eludibile un vincolo sovranazionale, riducendo la possibilità che l’effettività delle misure restrittive dipenda dalla diversa permeabilità degli ordinamenti nazionali.


L’armonizzazione come necessità: effettività e legittimità si incontrano

Tradizionalmente si distingue tra legittimità ed effettività: una norma può essere valida ma inefficace, efficace ma discutibile. Il pacchetto europeo sulle misure restrittive riduce questa separazione. Qui l’effettività diventa parte della legittimità dell’azione normativa: se l’Unione utilizza le sanzioni come strumento primario di politica estera, allora la loro inefficacia non è un problema meramente applicativo; è un problema strutturale del potere pubblico. L’armonizzazione penale, in tale contesto, non appare come intrusione nella sovranità, ma come condizione di funzionamento del progetto europeo.

La direttiva (UE) 2024/1226 rende vincolante un nucleo di definizioni, condotte e criteri sanzionatori proprio per evitare che l’elusione diventi “strategia di scelta dell’ordinamento” (forum shopping regolatorio). L’illecito, in questi ambiti, non si limita a violare un divieto: sfrutta differenze, lacune, zone d’ombra. La disomogeneità diventa opportunità; e l’opportunità diventa prassi.


La tipizzazione penale: tutela dell’ordine e anticipazione del disvalore

Il decreto innesta nel codice penale un nuovo Capo I-bis relativo ai “delitti contro la politica estera e la sicurezza comune dell’Unione europea”. La denominazione non è neutra: il bene protetto non è soltanto la regola economica, ma la capacità dell’ordinamento europeo di produrre effetti nel mondo.

Il fulcro è l’art. 275-bis c.p., che punisce un ventaglio ampio di condotte: dalla messa a disposizione di fondi o risorse economiche a favore di soggetti designati, all’omissione del congelamento, fino alla conclusione di operazioni economiche e commerciali vietate o ristrette. La struttura è significativa perché il disvalore non si esaurisce nell’esito finale dell’operazione; è sanzionato anche ciò che consente l’operazione, ciò che la rende possibile, ciò che ne elude la tracciabilità. È la logica del rischio: la norma intercetta la catena causale prima della sua compiuta manifestazione.

Il sistema è graduato per soglie: sotto i 10.000 euro la condotta tende, in via generale, a collocarsi nell’area amministrativa, ma la soglia perde rilevanza quando l’oggetto riguarda beni ad alta sensibilità strategica, come prodotti militari o beni a duplice uso. Anche questo è un segnale teoricamente eloquente: la pericolosità non è solo quantitativa, ma qualitativa. Il valore economico è irrilevante quando è in gioco un valore politico-strategico.

Accanto alla violazione diretta, il decreto tipizza l’elusione (circumvention): documentazione falsa, occultamento del titolare effettivo, trasferimenti indiretti di fondi congelati, schermi societari o interposizioni sono trattati come figure autonome o espressamente rilevanti. Il diritto mostra così di aver acquisito una consapevolezza strutturale: la modernità dell’illecito economico non sta tanto nel negare la norma, quanto nel renderla inapplicabile mantenendo l’apparenza della conformità.

Particolarmente significativa è l’ipotesi di responsabilità colposa prevista dall’art. 275-quinquies c.p., limitata alla colpa grave in relazione a beni militari o dual use. La colpa grave, in questo contesto, non è soltanto una categoria psicologica; è una categoria di governo. È l’imputazione della mancata organizzazione della conoscenza e del controllo in settori dove l’ordinamento pretende massima vigilanza.


Colpevolezza e imputazione nell’organizzazione: dal soggetto individuale alla razionalità istituzionale

Il punto concettuale più delicato è il modo in cui la riforma ridisegna la colpevolezza, spostandola dal paradigma individuale a quello organizzativo. Nel diritto penale tradizionale l’imputazione presuppone una scelta riferibile a una persona fisica: volontà, coscienza, almeno colpa in senso psicologico. Il modello 231, invece, consente di attribuire responsabilità a un ente collettivo sulla base di un criterio funzionale: ciò che viene rimproverato non è solo l’atto dell’individuo, ma l’assetto che ha reso possibile, agevole o non presidiata la deviazione.

In questa prospettiva, la “colpa” dell’ente non è l’assenza di buona fede, ma l’assenza di governo. L’imputazione opera come giudizio sulla razionalità della struttura: sulla sua capacità di conoscere, prevedere e controllare. La colpevolezza dell’organizzazione coincide allora con un deficit di doverosa organizzazione – procedure mancanti, controlli inadeguati, deleghe opache, flussi informativi incompleti – che trasforma l’illecito da eccezione a possibilità sistemica. È per questo che, soprattutto in materia sanzionatoria UE, la conformità non può ridursi a un divieto rispettato casualmente: deve essere un esito progettato e dimostrabile, cioè il risultato di una scelta istituzionale interiorizzata nei processi.


La 231 come “penale del potere economico”: dal sistema a quote al fatturato globale

L’introduzione dell’art. 25-octies.2 nel d.lgs. 231/2001 innesta le nuove fattispecie tra i reati presupposto e amplia il campo della responsabilità dell’ente alle violazioni delle misure restrittive, agli obblighi informativi, alle condizioni autorizzatorie e alle condotte connesse.

La discontinuità più incisiva è sanzionatoria: si supera la metrica tradizionale delle quote per adottare il fatturato globale annuo come parametro. Per le violazioni delle misure restrittive e delle condizioni autorizzatorie, la sanzione pecuniaria è ancorata a percentuali (1%–5%); per le violazioni informative, 0,5%–1%. In mancanza di accertamento del fatturato, sono previste soglie fisse elevate (3–40 milioni per le ipotesi gravi; 1–8 milioni per le informative).

Sul piano teorico, questo passaggio vale più della singola percentuale: la pena deve misurarsi con la potenza del soggetto. La sanzione “uguale per tutti” diventa, per i grandi operatori, un costo marginale; e ciò equivale a negare l’effettività. Parametrare al fatturato significa impedire che l’illecito sia economicamente assorbibile.

Le interdittive previste dall’art. 25-octies.2 – con durate superiori ai limiti ordinari – rafforzano l’idea della pericolosità sistemica: qui non si punisce solo l’illecito come deviazione; si governa l’ente come possibile vulnerabilità dell’ordine europeo.


Impatti organizzativi: il rischio come categoria di processo e non di evento

L’entrata in vigore del decreto (24 gennaio 2026) impone una revisione dei modelli 231 che non può essere ridotta all’aggiornamento del catalogo. Nella logica del rischio, il punto non è soltanto impedire il “fatto finale”, ma presidiare i processi in cui quel fatto si prepara: import-export, logistica, contrattualistica, finanza transfrontaliera, erogazione di servizi a soggetti esteri, gestione delle controparti, intermediazione commerciale.

Le procedure di due diligence (KYC/KYS) diventano architrave operativa: non più adempimento reputazionale, ma tecnica di prevenzione giuridicamente rilevante. Screening di liste, identificazione del titolare effettivo, controllo delle destinazioni, valutazione del rischio dual use e tracciabilità dei pagamenti si collocano al cuore della prevenzione.

Il sistema di deleghe e procure deve essere ricalibrato, perché nel diritto del rischio la responsabilità non coincide con l’autore materiale, ma con il governo dei flussi decisionali. L’Internal Compliance Programme (ICP) assume qui valore paradigmatico: è l’istituzionalizzazione interna della capacità dell’ente di comprendere e gestire il vincolo sovranazionale, rendendo dimostrabile la conoscenza e la tracciabilità delle scelte.


Coordinamento procedurale e whistleblowing: il diritto come infrastruttura della conoscenza

La scelta di attribuire i nuovi delitti alla competenza distrettuale e di riconoscerne la complessità investigativa riflette l’evidenza che il fenomeno è transnazionale e stratificato. Il diritto del rischio richiede un apparato investigativo capace di seguire flussi, interposizioni, triangolazioni, documenti, beneficiari occulti.

L’estensione del whistleblowing alle violazioni delle misure restrittive rafforza una tendenza più ampia: l’ordinamento contemporaneo non si affida soltanto al controllo esterno, ma pretende canali interni di emersione. Il diritto organizza la possibilità di sapere. E sapere, in un contesto dominato da opacità e sofisticazione elusiva, è già una forma di prevenzione.


La compliance come imputazione morale dell’organizzazione

La metamorfosi più profonda si manifesta sul piano concettuale. La compliance non è più soltanto una strategia difensiva rispetto al rischio sanzionatorio; diventa una forma contemporanea di imputazione morale dell’organizzazione.

Nell’impianto classico, la colpa è individuale: riguarda volontà, coscienza, negligenza del singolo. La responsabilità 231 e il diritto del rischio spostano il fuoco: ciò che viene valutato è la qualità dell’organizzazione come soggetto capace di ragione pratica. L’ente è trattato come una struttura che può sapere, decidere, prevenire, correggersi. Quando non lo fa, la colpa non è più soltanto “mancanza”: è difetto di governo, mancata costruzione di condizioni di conformità, incapacità di rendere l’obbligo effettivamente rispettabile.

In questo senso, la compliance diventa il luogo in cui l’ordinamento formula una pretesa etica: non basta che l’impresa non violi; deve dimostrare di essere organizzata in modo da non poter violare facilmente. È una moralizzazione dell’assetto interno, che chiede procedure, responsabilità definite, controllo, tracciabilità, cultura formativa. Non è un’etica della buona intenzione, ma un’etica della struttura.

Resta il rischio che la complessità tecnica e la severità della risposta producano, soprattutto nelle PMI, una deterrenza eccessiva e una conformità puramente formale. Il compito del sistema sarà garantire che l’effettività non si trasformi in inaccessibilità e che l’imputazione organizzativa non degeneri in paralisi: un diritto che chiede troppo senza rendere possibile l’adempimento non produce ordine, produce simulazione.

Note bibliografiche
 

  • Bianca Tosato, Enrico Di Fiorino, Violazione di misure restrittive UE: il nuovo regime sanzionatorio, in Diritto Bancario, 14 gennaio 2026, disponibile su www.dirittobancario.it
  • Decreto legislativo 30 dicembre 2025, n. 211, Attuazione della direttiva (UE) 2024/1226 relativa alla definizione dei reati e delle sanzioni in caso di violazione delle misure restrittive dell'Unione, in G.U. n. 7 del 9 gennaio 2026
  • Direttiva (UE) 2024/1226 del Parlamento europeo e del Consiglio del 29 aprile 2024 relativa alla definizione dei reati e delle sanzioni in caso di violazione delle misure restrittive dell'Unione
  • Decreto legislativo 8 giugno 2001, n. 231, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica
  • Decreto legislativo 10 marzo 2023, n. 24, Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione

Articoli più letti su questo argomento

Diritto /

Il rating di legalità nelle Fondazioni Lirico-Sinfoniche e negli Enti Culturali: profili giuridici e strategici di governance

Politica /

La tirannide, Trump e la Costituzione italiana

Diritto /

Riforma 231: la colpa di organizzazione

Newsletter Abbonamenti