La nuova versione dell’art. 30 D.Lgs. 81/2008 entra in vigore tra pochi giorni. La Cassazione ha già fissato le regole del gioco. Ecco tutto quello che devono sapere le imprese, i consulenti 231 e i componenti degli Organismi di Vigilanza.
Il 7 aprile 2026 entrerà in vigore la versione aggiornata dell’art. 30 del D.Lgs. 9 aprile 2008, n. 81 — il Testo Unico sulla Salute e Sicurezza sul Lavoro — nella parte che disciplina i Modelli di Organizzazione e di Gestione (MOG) con efficacia esimente dalla responsabilità amministrativa degli enti ai sensi del D.Lgs. 231/2001.
1. Il punto di partenza: perché l’art. 30 D.Lgs. 81/2008 è cruciale per il sistema 231
Il D.Lgs. 231/2001 introduce nell’ordinamento italiano la responsabilità amministrativa degli enti per i reati commessi nel loro interesse o vantaggio da soggetti apicali o sottoposti. Tra i reati presupposto più frequentemente contestati alle imprese vi sono i reati colposi in materia di salute e sicurezza sul lavoro (art. 25-septies D.Lgs. 231/2001), che coprono le fattispecie di omicidio colposo e lesioni personali colpose gravi commessi con violazione delle norme antinfortunistiche.
L’art. 30 D.Lgs. 81/2008 costituisce la norma speciale che definisce il contenuto del modello organizzativo idoneo ad avere efficacia esimente della responsabilità 231 proprio in questo ambito. Non si tratta di un semplice documento di gestione della sicurezza: è la spina dorsale del sistema preventivo aziendale, l’infrastruttura che — se adottata ed efficacemente attuata — consente all’ente di andare esente da responsabilità anche quando un reato colposo sia stato commesso al suo interno.
Il modello deve assicurare un sistema aziendale per l’adempimento di tutti gli obblighi giuridici rilevanti: rispetto degli standard tecnico-strutturali, valutazione dei rischi, misure di prevenzione e protezione, gestione delle emergenze e degli appalti, sorveglianza sanitaria, formazione e informazione dei lavoratori, vigilanza sul rispetto delle procedure, acquisizione di documentazioni obbligatorie, verifiche periodiche.
2. Le novità del testo in vigore dal 7 aprile 2026: cosa cambia
La versione aggiornata dell’art. 30 D.Lgs. 81/2008, in vigore dal 7 aprile 2026, consolida e rafforza l’impianto strutturale del modello, confermando i requisiti già noti ma aggiornandone la declinazione alla luce dell’evoluzione organizzativa e tecnologica delle imprese. I punti chiave rimangono quattro.
2.1. Il sistema di registrazione delle attività
Il modello deve prevedere idonei sistemi di registrazione dell’avvenuta effettuazione di tutte le attività elencate al comma 1. La tracciabilità documentale non è un adempimento burocratico: è la prova, in caso di processo, che il modello non era soltanto formalmente adottato ma era concretamente attuato.
2.2. L’articolazione di funzioni e il sistema disciplinare
Il modello deve prevedere un’articolazione di funzioni che assicuri le competenze tecniche e i poteri necessari per la verifica, valutazione, gestione e controllo del rischio, nonché un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate. Il sistema disciplinare è l’unica parte non corrispondente tra i requisiti delle Linee guida UNI-INAIL e dello standard OHSAS 18001:2007 e quanto richiesto dall’art. 30: deve essere introdotto espressamente, non è ricavabile per implicazione dagli altri strumenti di gestione.
2.3. Il sistema di controllo e il riesame periodico
Il modello deve prevedere un sistema di controllo sull’attuazione e sul mantenimento delle condizioni di idoneità. Il riesame e l’eventuale modifica devono essere adottati quando siano scoperte violazioni significative o in occasione di mutamenti nell’organizzazione e nel progresso scientifico e tecnologico. È il meccanismo del PDCA (Plan-Do-Check-Act) applicato alla compliance 231: un modello che non viene aggiornato diventa progressivamente inadeguato e perde la propria efficacia esimente.
2.4. La presunzione di conformità per i modelli certificati
L’art. 30, comma 5, mantiene la presunzione relativa di conformità per i modelli adottati conformemente alle Linee guida UNI-INAIL o — oggi — alla norma UNI ISO 45001:2018, che dal marzo 2021 ha definitivamente sostituito il precedente standard BS OHSAS 18001:2007 come unico riferimento per la certificazione dei sistemi di gestione della sicurezza e salute sul lavoro.
3. La Cassazione fissa i paletti: Cass. pen. Sez. IV, n. 30039/2025
Su questo sfondo normativo si innesta una sentenza di straordinaria importanza sistematica: Cass. pen., Sez. IV, 1 settembre 2025, n. 30039. È la pronuncia più recente — e più completa — sul rapporto tra colpa di organizzazione, modello organizzativo certificato e responsabilità 231.
3.1. La colpa di organizzazione è l’elemento cardine
La Corte ribadisce con fermezza che il fondamento della responsabilità dell’ente è la colpa di organizzazione, intesa come inottemperanza all’obbligo di adottare le cautele organizzative e gestionali necessarie a prevenire i reati, obliate in un documento che individua i rischi e delinea le misure atte a contrastarli. Questo elemento è ontologicamente distinto dalla colpa delle persone fisiche autrici del reato presupposto.
La colpa di organizzazione deve essere specificamente provata dall’accusa: non è sufficiente dimostrare che il reato presupposto è stato commesso da un soggetto apicale nell’interesse dell’ente. L’onere del pubblico ministero include l’individuazione degli elementi rivelatori del deficit organizzativo e del nesso causale tra quel deficit e la verificazione del reato.
3.2. L’assenza del modello non è elemento costitutivo dell’illecito
La pronuncia conferma l’orientamento consolidato — a partire dalle Sezioni Unite Espenhahn (n. 38343/2014) e dalla sentenza Impregilo bis (Sez. VI, n. 23401/2021) — secondo cui la mancata adozione o l’inefficace attuazione del modello organizzativo non è ex se un elemento costitutivo dell’illecito dell’ente. Integra, piuttosto, una circostanza idonea a dimostrare la sussistenza della colpa di organizzazione, che resta però da provare specificamente. L’ente può dimostrare l’assenza di tale colpa anche in presenza di carenze formali nel modello, se riesce a provare la concreta adeguatezza del proprio assetto organizzativo.
3.3. Il modello certificato merita una valutazione autonoma e approfondita
Il passaggio più innovativo della sentenza n. 30039/2025 riguarda i modelli certificati secondo standard internazionali. Nel caso esaminato, la società aveva adottato un modello basato sullo standard BS OHSAS 18001:2007, certificato da un ente accreditato. La Corte censura i giudici di merito per aver liquidato la rilevanza della certificazione con la semplice affermazione che “poco conta in questo contesto che il modello fosse certificato”, dimostrando di non aver colto la portata dell’art. 30, comma 5, D.Lgs. 81/2008.
La presenza di un modello certificato secondo standard internazionali riconosciuti costituisce un elemento presuntivo di adeguatezza che deve essere superato da una compiuta dimostrazione dell’inadeguatezza sostanziale del sistema organizzativo adottato: non può essere ignorata o superata con formule apodittiche.
La presunzione non è assoluta: il giudice può sempre accertare la concreta inidoneità del modello. Ma deve farlo con una motivazione puntuale, che individui le specifiche regole cautelari violate, e verifichi se il reato sia la concretizzazione del rischio che quelle regole miravano a prevenire — secondo il criterio della prognosi postuma.
3.4. La distinzione tra MOG 231 e DVR: due strumenti diversi con funzioni diverse
La sentenza n. 30039/2025 ribadisce con nitidezza la distinzione tra il modello organizzativo 231 e i documenti antinfortunistici, in particolare il Documento di Valutazione dei Rischi (DVR). Sono strumenti distinti e non sovrapponibili: il DVR individua i rischi lavorativi e determina le misure atte a eliminarli o ridurli, rivolgendosi ai lavoratori; il modello 231 è strumento di governo del rischio di commissione di reati, si rivolge a chi è esposto al rischio di commetterli, e presuppone la nomina di un Organismo di Vigilanza e un sistema disciplinare specifico.
Confondere i due strumenti — come talvolta fanno i giudici di merito — è un errore di diritto che giustifica l’annullamento della sentenza.
4. Le implicazioni operative per le imprese e per l’ODV
4.1. Aggiornare il modello prima del 7 aprile 2026
La prima azione concreta è la revisione del modello organizzativo alla luce del testo dell’art. 30 D.Lgs. 81/2008 in vigore dal 7 aprile 2026. In particolare, occorre verificare:
- che il sistema di registrazione delle attività sia completo, aggiornato e facilmente consultabile in caso di accertamento giudiziario;
- che il sistema disciplinare sia esplicitamente inserito nel modello, con sanzioni proporzionate e applicabili anche ai soggetti apicali;
- che il sistema di controllo preveda un riesame periodico con cadenza definita e documentata;
- che l’ODV abbia accesso diretto e documentato a tutte le aree sensibili, senza filtri interni.
4.2. Valorizzare la certificazione UNI ISO 45001
Se l’azienda ha adottato un sistema di gestione certificato secondo la norma UNI ISO 45001:2018 — l’unico standard riconosciuto dal marzo 2021 — la sentenza n. 30039/2025 impone che questa circostanza venga documentata, valorizzata e difesa in ogni sede processuale. La certificazione non esonera dall’accusa, ma crea una presunzione relativa di adeguatezza che il pubblico ministero deve confutare con prove specifiche.
Non basta però la certificazione: occorre che il modello sia efficacemente attuato. La Cassazione ha ribadito che un modello certificato che non viene applicato nella pratica quotidiana perde ogni efficacia esimente.
4.3. Il ruolo dell’ODV nella nuova prospettiva
L’Organismo di Vigilanza deve essere consapevole che il proprio lavoro è destinato a diventare materiale probatorio. Ogni verbale, ogni accesso ispettivo, ogni flusso informativo gestito, ogni attività formativa erogata è un tassello della difesa dell’ente in caso di procedimento 231.
L’ODV non è un supervisore dell’attività gestionale: la Cassazione ha chiarito che trasformare l’ODV in un “supervisore degli atti degli organi direttivi” sarebbe incompatibile con il potere di rappresentanza e gestione riconosciuto dalla legge civile a quegli organi. Il suo compito è sorvegliare il funzionamento e l’osservanza del modello, individuare le criticità, segnalarle, e promuoverne l’aggiornamento.
Ciò che il giudice valuterà — secondo la metodologia della prognosi postuma — è se le regole cautelari presenti nel modello, se rispettate, avrebbero impedito o ridotto significativamente il rischio di verificazione del reato presupposto. Il lavoro dell’ODV documenta proprio questo: che le regole c’erano, che erano adeguate, e che qualcuno le ha violate.
5. Conclusioni: agire adesso, prima del 7 aprile 2026
Il 7 aprile 2026 non è una data simbolica. È il momento in cui il quadro normativo si aggiorna e i modelli organizzativi devono rispondergli. Le imprese che non si adeguano rischiano di trovarsi in una posizione processuale molto più debole, poiché il loro modello potrebbe essere considerato non conforme al testo di legge vigente al momento dell’accertamento.
Le azioni prioritarie sono chiare:
- Audit del modello esistente rispetto all’art. 30 D.Lgs. 81/2008 nella versione aggiornata al 7 aprile 2026.
- Verifica del sistema disciplinare: è esplicito, proporzionato, applicabile a tutti i destinatari inclusi i vertici?
- Verifica della certificazione: il sistema di gestione è certificato UNI ISO 45001:2018? La certificazione è documentata e aggiornata?
- Piano di attività ODV: è documentato, comprende verifiche programmate e a sorpresa, copre tutte le aree sensibili?
- Aggiornamento della mappatura dei rischi: tiene conto dei mutamenti organizzativi e del progresso tecnologico intervenuti dall’ultima revisione?
Il sistema 231 non premia chi adotta un modello: premia chi lo vive ogni giorno. E lo dimostra.

