Svolgimento delle funzioni dell’organismo di vigilanza ex D.Lgs. 8-06-2001 n. 231

Un manuale operativo per nomina, funzionamento, verifiche, flussi informativi, whistleblowing e “compliance integrata” (cyber, IA, ESG, sicurezza, ambiente, TCF, gruppi)

Le “Linee guida per lo svolgimento delle funzioni dell’Organismo di Vigilanza ex D.Lgs. 8 giugno 2001, n. 231” (Documento novembre 2025) predisposte dall’Osservatorio Nazionale 231/2001 del CNDCEC hanno un obiettivo dichiaratamente pratico: offrire uno strumento aggiornato, concreto e applicabile per impostare e rendere difendibile l’operatività dell’OdV, tenendo conto dell’evoluzione normativa, della prassi e della giurisprudenza maturata in oltre vent’anni.

Il documento non “ripete” la teoria del D.Lgs. 231/2001: assume che il lettore la conosca e si concentra su ciò che, nella pratica, fa la differenza tra un OdV formale e un OdV effettivo: requisiti, pianificazione delle verifiche, gestione dei flussi informativi, verbalizzazione, rapporti con organi sociali, gestione delle segnalazioni e integrazione con gli altri presìdi di compliance.

1) Nomina e mandato: come “inizia” (e come “finisce”) l’OdV

Le Linee guida partono da un punto chiave: senza un OdV adeguato e operativo, anche un Modello ben scritto rischia di non essere considerato efficacemente attuato. Da qui, l’attenzione alla fase di conferimento dell’incarico e ai requisiti sostanziali.

Conferimento dell’incarico e composizione

Il Decreto non impone una forma unica: l’OdV può essere monocratico o collegiale, con componenti interni ed esterni, purché siano gestiti conflitti di interesse e competenze. La scelta deve essere coerente con dimensione, complessità e profilo di rischio dell’ente. È richiamata anche la possibilità (art. 6, co. 4-bis) di attribuire le funzioni dell’OdV al Collegio sindacale.

Requisiti: autonomia, indipendenza, onorabilità, professionalità

• Autonomia: non solo “libertà da interferenze”, ma anche strumenti (in primis un budget adeguato) per svolgere verifiche e, se necessario, acquisire competenze specialistiche.

• Indipendenza: condizione di assenza di conflitti verso management e organo amministrativo; attenzione alle situazioni in cui i membri risultino di fatto subordinati ai controllati o “condizionabili” (anche per legami professionali con società collegate).

• Onorabilità: requisito legato ai precedenti e alla coerenza del sistema; è richiamata l’esigenza di regole di ineleggibilità nel Modello e l’evoluzione normativa antimafia che ha inciso anche su OdV/Collegio sindacale.

• Professionalità: multidisciplinare, proporzionata ai rischi mappati; è centrale l’idea di OdV “altamente qualificato” capace di interagire con funzioni aziendali e presìdi di controllo.

Durata, cessazione, prorogatio, decadenza

Si preferisce una nomina a tempo determinato (spesso triennale), con regole che evitino “vuoti” di vigilanza (richiamo alla prorogatio). Vengono poi trattati revoca, decadenza (per perdita requisiti), rinuncia e gestione delle sostituzioni (anche con supplenti).

2) Attività di vigilanza: obiettivi, funzioni e perimetro (senza sconfinare nel gestionale)

Il documento ribadisce una distinzione essenziale: l’OdV non è un organo gestionale, non ha “poteri impeditivi”, e non deve diventare un referente “onnicomprensivo” per qualunque controllo aziendale. La sua missione è vigilare sul Modello 231 (funzionamento, osservanza, aggiornamento) e segnalare agli organi competenti le criticità rilevate.

Due macro-funzioni

1. Vigilanza sul Modello: verifica attualità/adeguatezza, efficacia dei controlli, funzionamento dei protocolli, formazione, canali di segnalazione, sistema disciplinare, clausole verso terzi, ecc.

2. Cura dell’aggiornamento: presidio su violazioni significative, mutamenti organizzativi, evoluzioni normative (nuovi reati-presupposto o norme di settore), con segnalazioni motivate all’organo amministrativo e verifica dell’adeguatezza prima dell’approvazione.

3) Pianificazione, riunioni e “prove” dell’attività: il valore della tracciabilità

Uno dei pilastri delle Linee guida è l’impostazione risk-based e documentabile della vigilanza.

Piano verifiche e calendario riunioni

Il piano (annuale o pluriennale) seleziona processi/aree in base a gravità dei reati, frequenza/impatto dei processi, maturità dei presìdi, esiti pregressi, segnalazioni, cambi normativi. La pianificazione non è statica: è previsto il riesame e la rimodulazione, con formalizzazione delle decisioni.

Tipologie di riunioni

Sono descritte riunioni: interne OdV; con funzioni aziendali; con organi societari (CdA, Collegio, revisore); con consulenti; ad hoc per eventi straordinari (indagini, gravi inadempimenti, segnalazioni rilevanti, incidenti critici).

Verbalizzazione e gestione documentale

Il verbale è trattato come evidenza probatoria dell’effettività della vigilanza: deve essere chiaro, completo, inalterabile, con indicazioni minime (presenze, ODG, decisioni, azioni, follow up, aggiornamenti, stato audit, segnalazioni). È raccomandata una gestione “da libro riunioni” e un archivio sicuro nel rispetto di riservatezza e cybersecurity. Importante: non è considerata opportuna la circolazione indiscriminata dei verbali; l’informazione verso altri organi passa prioritariamente tramite la relazione periodica.

4) Verifiche e flussi informativi: l’OdV come snodo del sistema 231

Verifiche “attive”

Oltre ai flussi ricevuti, l’OdV può svolgere verifiche documentali e sul campo, colloqui, questionari, controlli a campione (anche non programmati), e valorizzare report di funzioni di controllo (audit, compliance, risk management). Se servono competenze specialistiche non presenti, è previsto il ricorso a consulenti sul budget dell’OdV.

Flussi verso l’OdV: periodici e “ad evento”

Il documento offre esempi molto operativi di flussi per aree (HSE, HR, finance, acquisti, legale, IT, sistemi certificati, marketing, progetti finanziati, whistleblowing). In ambito sicurezza, ad esempio, compaiono elementi come piani formativi, relazione ex art. 35 D.Lgs. 81/2008, infortuni gravi/mortali, visite ispettive e prescrizioni, deleghe ex art. 16.

Modalità: canale dedicato e procedura

È raccomandata l’attivazione di una casella e-mail dedicata (anche PEC) accessibile solo all’OdV e l’adozione di una procedura che definisca responsabili, contenuti, modalità e tempistiche. Si richiama anche l’obbligo “diffuso” di informare l’OdV in presenza di notizie rilevanti su comportamenti non in linea con Modello e Codice Etico.

Flussi dall’OdV: continuativi, periodici, ad evento

La relazione periodica (tipicamente annuale o semestrale) deve rendicontare riunioni, flussi ricevuti, audizioni, verifiche, criticità, whistleblowing 231, aggiornamenti normativi/giurisprudenziali, formazione, eventuali procedimenti, e concludere con un giudizio motivato su effettività/adeguatezza del Modello e proposte di update.

5) Whistleblowing: cosa cambia con il D.Lgs. 24/2023 e qual è il ruolo “corretto” dell’OdV

Le Linee guida dedicano un capitolo specifico al whistleblowing, richiamando l’innesto del D.Lgs. 24/2023 sui contenuti minimi dei Modelli 231 e sugli obblighi organizzativi (canali, tutela, disciplina, gestione).

Punto operativo molto rilevante: viene discussa la compatibilità tra OdV e ruolo di gestore delle segnalazioni. Pur essendo teoricamente possibile, il documento evidenzia i rischi di conflitto tra “controllore e controllato” e segnala come preferibile che l’OdV non sia il gestore, mantenendo però un flusso informativo costante dal gestore verso l’OdV sulle segnalazioni rilevanti 231 e sulle misure adottate (nel rispetto della riservatezza).

6) Compliance integrata: l’OdV nel “nuovo perimetro” (AML, anticorruzione, privacy, sicurezza, cyber/IA, ambiente, ESG, TCF)

Una parte distintiva del documento è l’estensione dell’analisi al coordinamento tra vigilanza 231 e altri presìdi: l’OdV non “assorbe” le responsabilità altrui, ma verifica coerenza e integrazione, evitando lacune e sovrapposizioni.

Tra i focus:

• Antiriciclaggio (D.Lgs. 231/2007): l’OdV non svolge gli adempimenti AML, ma valuta il coordinamento dei presìdi AML con il Modello 231 e stimola misure volontarie se l’ente non è soggetto agli obblighi ma è esposto ai reati di riciclaggio/autoriciclaggio.

• Anticorruzione e trasparenza: chiarita la non sovrapposizione con RPCT; in società in controllo pubblico si richiamano indicazioni ANAC sul possibile ruolo dell’OdV come organo interno più idoneo per compiti di trasparenza in assenza di OIV.

• Privacy (GDPR): l’OdV è trattato come soggetto autorizzato al trattamento (non titolare/responsabile), con attenzione a minimizzazione, sicurezza, tracciabilità e coordinamento con DPO.

• Adeguati assetti (art. 2086 c.c.): l’OdV come snodo del reporting interno e della cultura del controllo, in dialogo (senza confusione di ruoli) con Collegio sindacale e revisore.

• Salute e sicurezza sul lavoro (art. 25-septies; art. 30 D.Lgs. 81/2008): definita la “alta vigilanza” di secondo livello su idoneità ed efficace attuazione del Modello, senza poteri gestionali prevenzionistici.

• Cybersicurezza e IA: trattati come driver di rischio 231 (reati informatici, data breach, frodi), con richiami a policy coerenti con normative (anche NIS2/DORA) e alla necessità di governance, tracciabilità e supervisione umana nei sistemi IA.

• Ambiente (art. 25-undecies) e ESG: l’OdV usa flussi ESG come input del risk assessment “limitato ai profili 231”, con attenzione anche a rischi reputazionali e a comunicazioni non veritiere (es. greenwashing) quando impattano sul perimetro dei reati.

• TCF e cooperative compliance: il Tax Control Framework è visto come fonte informativa e presidio utile per la parte fiscale del rischio 231, con interazione strutturata con funzione fiscale e revisori.

7) OdV nei gruppi societari: autonomia delle legal entity e coordinamento “senza ingerenza”

Il documento affronta un tema delicato: nei gruppi, la responsabilità 231 non “sale” automaticamente alla capogruppo per la sola appartenenza, ma va provata in concreto. Da qui, l’impostazione prudente:

• Modelli per singola società (con evidenza dell’appartenenza al gruppo, senza negare autonomia);

• OdV per singola società; evitare un OdV unico di gruppo o assetti che rendano l’OdV della holding un controllore “di fatto” delle controllate;

• coordinamento tramite flussi conoscitivi e riunioni congiunte periodiche, disciplinate e paritetiche, con attenzione al rischio di indebolire indipendenza e di favorire la “risalita” della responsabilità.