Decreto legislativo 30 dicembre 2025, n. 211 e modifiche al MOG 231

Il Decreto legislativo 30 dicembre 2025, n. 211, adottato in attuazione della Direttiva (UE) 2024/1226 del Parlamento europeo e del Consiglio del 24 aprile 2024, ai sensi dell’articolo 5 della L. 13 giugno 2025, n. 91 (Legge di delegazione europea 2024), è entrato in vigore il 24 gennaio 2026. Il provvedimento introduce un sistema organico di illeciti penali e di responsabilità amministrativa degli enti connessi alla violazione delle misure restrittive dell’Unione europea, adottate sulla base degli articoli 29 del Trattato sull’Unione europea (TUE) e 215 del Trattato sul funzionamento dell’Unione europea (TFUE), incidendo in modo diretto e rilevante sui Modelli di Organizzazione, Gestione e Controllo ex D.Lgs. 8 giugno 2001, n. 231.

Il decreto presenta un ambito soggettivo particolarmente ampio, coerente con quanto previsto dall’articolo 1 del D.Lgs. 30 dicembre 2025, n. 211, e coinvolge sia persone fisiche sia enti collettivi, in relazione alle condotte disciplinate dal nuovo Capo I-bis del Titolo I del Libro II del codice penale:
 

• imprese e gruppi societari, incluse multinazionali e PMI;
• enti dotati di personalità giuridica e associazioni anche prive di personalità giuridica, ai sensi dell’articolo 1, D.Lgs. 231/01;
• banche, intermediari finanziari e assicurazioni, in ragione delle attività di cui agli articoli 275-bis e 275-ter c.p.;
• professionisti, con l’esonero previsto dall’articolo 8 del D.Lgs. 211/2025 per gli esercenti la professione legale;
• operatori del commercio internazionale, export, import e beni a duplice uso, anche in coordinamento con il regolamento (UE) 2021/821;
• enti pubblici e società a controllo pubblico, in particolare nell’ambito di appalti e concessioni, richiamati dall’articolo 275-bis, comma 1, lettera c), c.p.

Per gli enti, la rilevanza è diretta, in quanto il decreto introduce nuovi reati-presupposto rilevanti ai fini della responsabilità amministrativa ex D.Lgs. 231/01.

Il D.Lgs. 211/2025 modifica il codice penale introducendo, all’articolo 3, un nuovo Capo I-bis del Titolo I del Libro II, rubricato:

Delitti contro la politica estera e la sicurezza comune dell’Unione europea

In tale ambito sono inseriti gli articoli 275-bis, 275-ter, 275-quater, 275-quinquies, 275-sexies, 275-septies, 275-octies, 275-novies e 275-decies c.p.

Le principali fattispecie incriminatrici riguardano:
 

• la violazione di divieti, obblighi o restrizioni imposti da misure restrittive UE (art. 275-bis c.p.);
• la messa a disposizione di fondi o risorse economiche a persone o entità designate (art. 275-bis, comma 1, lettere a) e b), c.p.);
• l’omesso congelamento di fondi e risorse economiche (art. 275-bis, comma 1, lettera b), c.p.);
• operazioni commerciali, finanziarie o di appalto con Stati terzi o soggetti sanzionati (art. 275-bis, comma 1, lettera c), c.p.);
• importazione, esportazione, trasferimento e intermediazione di beni e servizi, anche intangibili (art. 275-bis, comma 1, lettere d) ed e), c.p.);
• condotte di elusione delle misure restrittive mediante intestazioni fittizie o documentazione falsa (art. 275-bis, comma 2, c.p.).

Le pene previste arrivano fino a sei anni di reclusione, con la previsione di sanzioni amministrative pecuniarie nei casi di minore gravità, ai sensi del comma 3 dell’art. 275-bis c.p., ferma restando l’esclusione per armi e beni a duplice uso.

L’articolo 275-ter c.p. introduce specifici obblighi informativi e di segnalazione, la cui violazione è penalmente sanzionata. In particolare:
 

• è punita l’omessa segnalazione alle autorità competenti di fondi o risorse economiche riconducibili a soggetti designati (art. 275-ter, comma 1, c.p.);
• è punita l’omessa comunicazione di informazioni rilevanti conosciute per ragioni di ufficio o professione (art. 275-ter, comma 2, c.p.).

Le disposizioni impattano direttamente sulle funzioni amministrative e finanziarie, nonché sui presidi di compliance, risk management e internal audit. È previsto un esonero per gli avvocati nei limiti stabiliti dall’articolo 8 del D.Lgs. 211/2025.

L’articolo 6 del D.Lgs. 211/2025 introduce nel D.Lgs. 231/01 il nuovo articolo 25-octies.2, rubricato:

Reati in materia di violazione delle misure restrittive dell’Unione europea

La disposizione estende la responsabilità amministrativa dell’ente ai delitti previsti dagli articoli 275-bis, 275-ter, 275-quater e 275-quinquies c.p., nonché alle ipotesi aggravate di cui all’articolo 12, comma 1-bis, D.Lgs. 25 luglio 1998, n. 286.

L’inserimento di tale reato-presupposto comporta l’obbligo di aggiornamento del MOG 231 ai fini dell’efficacia esimente di cui agli articoli 6 e 7 del D.Lgs. 231/01.

Ai sensi dell’articolo 25-octies.2, commi 1 e 2, D.Lgs. 231/01, le sanzioni pecuniarie sono determinate:
 

• in misura percentuale, dall’1% al 5% del fatturato globale annuo dell’ente, secondo quanto previsto dall’articolo 10, comma 3-bis, D.Lgs. 231/01;
• in alternativa, in misura fissa, fino a 40 milioni di euro, nei casi in cui non sia accertabile il fatturato.

Sono inoltre previste sanzioni interdittive ex articolo 9, comma 2, D.Lgs. 231/01, per una durata fino a sei anni, nonché l’aggravamento delle sanzioni in caso di reiterazione, ai sensi dell’articolo 25-octies.2, comma 4.

Il decreto innalza in modo significativo lo standard di diligenza organizzativa richiesto agli enti, in coerenza con la ratio degli articoli 6 e 7 del D.Lgs. 231/01.

In particolare, il MOG dovrà:
 

• aggiornare la mappatura dei rischi connessi ai reati di cui al Capo I-bis del Titolo I del Libro II c.p.;
• prevedere procedure strutturate di screening delle controparti, gestione del congelamento dei fondi e tracciabilità delle autorizzazioni, in linea con gli articoli 275-bis e 275-quater c.p.;
• rafforzare i flussi informativi verso l’Organismo di Vigilanza, ai sensi dell’articolo 6, comma 2, lettera d), D.Lgs. 231/01;
• integrare i sistemi di segnalazione interna, in coordinamento con il D.Lgs. 10 marzo 2023, n. 24, come modificato dall’articolo 7 del D.Lgs. 211/2025.

L’articolo 7 del D.Lgs. 211/2025 estende espressamente l’ambito applicativo del D.Lgs. 10 marzo 2023, n. 24 alle segnalazioni aventi ad oggetto violazioni delle misure restrittive dell’Unione europea.

Ciò comporta la necessità di aggiornare le procedure di whistleblowing, garantendo la tutela dei segnalanti in conformità agli articoli 3 e 4 del D.Lgs. 24/2023, nonché il coordinamento con l’OdV 231.

Sebbene il D.Lgs. 30 dicembre 2025, n. 211 non introduca obblighi HSE in senso stretto, le disposizioni in esso contenute producono impatti indiretti ma giuridicamente rilevanti sui sistemi di gestione della salute, sicurezza e ambiente, in particolare per gli enti operanti in settori industriali, manifatturieri, energetici, infrastrutturali e chimici, nonché per le imprese inserite in filiere produttive e commerciali a dimensione internazionale.

In primo luogo, il rafforzamento del sistema sanzionatorio relativo alle misure restrittive dell’Unione europea, adottate ai sensi degli articoli 29 TUE e 215 TFUE, e la penalizzazione delle condotte di violazione ed elusione previste dall’articolo 275-bis c.p., incidono in modo diretto sulla catena di approvvigionamento di beni, materiali, sostanze e tecnologie.

L’impossibilità di intrattenere rapporti economici con determinati Stati, enti o operatori designati può determinare la necessità di ricorrere a fornitori alternativi, con conseguenti riflessi sulla qualificazione dei materiali, sulla conformità delle sostanze impiegate e sulla valutazione dei rischi chimici, fisici e ambientali nei luoghi di lavoro, rilevanti ai fini del D.Lgs. 9 aprile 2008, n. 81.

In secondo luogo, il decreto impone un innalzamento degli standard di tracciabilità delle operazioni economiche, tecniche e operative, incluse quelle aventi ad oggetto beni a duplice uso, tecnologie sensibili e servizi di assistenza tecnica, come disciplinati dall’articolo 275-bis, comma 1, lettere d) ed e), c.p., anche in coordinamento con il regolamento (UE) 2021/821. Tali profili possono intersecare direttamente le funzioni HSE qualora l’ente gestisca:

impianti soggetti alla normativa in materia di incidenti rilevanti (c.d. Seveso); sostanze pericolose o regolamentate, anche ai fini ambientali; tecnologie e macchinari con potenziale impatto sulla sicurezza dei lavoratori; attività di manutenzione, assistenza tecnica o trasferimento di know-how verso controparti estere.

Un ulteriore profilo di rilievo riguarda i doveri informativi e di segnalazione introdotti dall’articolo 275-ter c.p., la cui violazione può assumere rilevanza penale e determinare la responsabilità amministrativa dell’ente ai sensi dell’articolo 25-octies.2 D.Lgs. 231/01.
In tale contesto, omissioni o carenze informative relative a fondi, risorse o attività connesse a soggetti o territori interessati da misure restrittive UE possono emergere anche in occasione di eventi incidentali, non conformità ambientali o criticità di sicurezza industriale, rendendo necessario un coordinamento strutturato tra funzioni HSE, compliance e legale.

Infine, il rafforzamento dei sistemi di whistleblowing, esteso alle violazioni delle misure restrittive dell’Unione europea dall’articolo 7 del D.Lgs. 211/2025, con conseguente modifica dell’ambito applicativo del D.Lgs. 10 marzo 2023, n. 24, ha un impatto diretto anche sui presidi HSE. Le segnalazioni interne possono infatti riguardare prassi operative scorrette, condizioni di rischio o non conformità ambientali che, ove connesse a rapporti o operazioni vietate, assumono una duplice rilevanza, sia sotto il profilo della tutela della salute e sicurezza dei lavoratori, sia sotto il profilo della prevenzione dei reati e della responsabilità 231.

In tale contesto, le funzioni HSE sono chiamate a operare all’interno di un sistema integrato di compliance, nel quale la prevenzione dei rischi per la salute e la sicurezza dei lavoratori e la tutela dell’ambiente si coordinano con la prevenzione dei rischi penali, amministrativi e reputazionali derivanti dal nuovo quadro normativo europeo.

Il D.Lgs. 30 dicembre 2025, n. 211 rappresenta una svolta strutturale per il sistema della responsabilità amministrativa degli enti, imponendo un aggiornamento sostanziale dei Modelli 231 al fine di prevenire i nuovi rischi-reato e garantire l’effettività dell’esimente di cui agli articoli 6 e 7 del D.Lgs. 231/01.