Nuove Linee guida CNDCEC sull’OdV 231, cosa cambia per imprese e professionisti

Nei primi vent’anni di applicazione del D.lgs. 231/2001, l’Organismo di vigilanza (OdV) è passato da figura “teorica” a presidio essenziale dei sistemi di controllo interno, chiamato a presidiare rischi-reato sempre più complessi. Per supportare i professionisti in questo ruolo, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili –con l’Informativa n. 169/2025 - ha pubblicato il documento “Linee Guida per lo svolgimento delle funzioni dell’Organismo di vigilanza ex D.lgs. 231/2001”, elaborato dall’Osservatorio Nazionale 231/2001.

L’obiettivo dichiarato è offrire uno strumento aggiornato, concreto e facilmente applicabile, che non si limiti a ripercorrere la disciplina, ma la traduca in indicazioni operative su requisiti, responsabilità e best practice dell’OdV, con particolare attenzione a vigilanza, flussi informativi, whistleblowing e integrazione con gli altri presidi di compliance (privacy, antiriciclaggio, anticorruzione, sicurezza sul lavoro, sostenibilità, intelligenza artificiale).

Nomina, requisiti e durata dell’OdV: autonomia, indipendenza e professionalità

Le Linee guida ribadiscono che, in assenza di un Organismo di vigilanza effettivo, il Modello 231 non può considerarsi adeguatamente attuato: anche il modello più sofisticato, senza un OdV autonomo e operativo, non è idoneo a esonerare l’ente dalla responsabilità.

La nomina dell’OdV spetta in via ordinaria all’organo amministrativo; è possibile una composizione monocratica o collegiale, con scelta tra componenti interni ed esterni, in funzione di dimensioni, complessità organizzativa e profilo di rischio dell’ente. Per le piccole imprese la legge consente di attribuire le funzioni all’organo dirigente, ma le Linee guida suggeriscono di limitarne l’uso per evitare sovrapposizioni tra controllore e controllato.

Sul piano dei requisiti, il documento insiste su quattro pilastri: autonomia, indipendenza, onorabilità e professionalità. L’autonomia implica poteri di iniziativa e controllo, budget adeguato e assenza di compiti gestionali che possano condizionare la valutazione dell’OdV. L’indipendenza richiede l’assenza di conflitti di interesse e di legami gerarchici con chi è oggetto di controllo, con richiamo per analogia all’art. 2399 c.c.; l’onorabilità esclude soggetti condannati per reati 231 o delitti dolosi, anche alla luce degli obblighi antimafia.

Quanto alla professionalità, si richiede un livello elevato di competenze tecniche e giuridiche, capacità di interazione con le funzioni aziendali e continuità di azione, garantita tramite attività di monitoraggio costante, verbalizzazioni e calendarizzazione delle attività.

La durata dell’incarico è preferibilmente determinata (spesso triennale, per anni o esercizi sociali), con possibilità di prorogatio fino alla nomina del nuovo OdV per evitare vuoti di vigilanza. Le cause di cessazione includono revoca da parte dell’organo competente, decadenza per venir meno dei requisiti, rinuncia motivata e formalizzata. Le Linee guida sottolineano anche il tema del compenso: deve essere proporzionato a rischio 231, complessità del modello e responsabilità assunte, evitando sia compensi sproporzionati (che potrebbero comprimere l’indipendenza) sia troppo bassi (che svilirebbero il ruolo).

Vigilanza, verifiche e riunioni: come si rende effettivo il Modello 231

La funzione di vigilanza, secondo il documento, ha una triplice dimensione: preventiva (riduzione dell’esposizione ai rischi-reato), diagnostica (rilevazione di scostamenti e criticità) e correttiva (proposta di misure migliorative su procedure e cultura organizzativa).

L’OdV deve valutare nel tempo attualità, adeguatezza e funzionalità del Modello, verificando mappatura dei rischi, protocolli decisionali, modalità di gestione delle risorse finanziarie, sistema disciplinare e canali di segnalazione interna, oltre a monitorare la formazione del personale e l’effettiva applicazione delle sanzioni disciplinari.

Cuore dell’operatività è la pianificazione delle attività di verifica: un piano annuale (o pluriennale) che, in coerenza con la mappatura dei rischi, individua processi e aree da controllare, obiettivi, modalità operative (analisi documentale, colloqui, controlli a campione, accessi diretti), periodicità e responsabilità. Il piano viene approvato collegialmente e sottoposto a riesame periodico, confrontando attività programmate e svolte, per adeguare l’intensità dei controlli all’evoluzione organizzativa e normativa.

Le verifiche dell’OdV si articolano in molteplici strumenti: analisi di documenti amministrativi e gestionali, interviste con referenti delle aree a rischio, questionari, verifiche “sul campo” e utilizzo delle relazioni predisposte da altre funzioni di controllo (risk management, compliance, internal audit).

Il documento valorizza anche controlli a campione non programmati, per testare la tenuta del sistema in condizioni reali. Tutto deve essere tracciato e archiviato (piano, evidenze, verbali, check-list, raccomandazioni), anche in funzione difensiva. Centrale, in quest’ottica, è la disciplina delle riunioni: interne, con le funzioni aziendali, con gli organi societari, con consulenti esterni o ad hoc in caso di eventi straordinari. Ogni riunione deve essere convocata con ordine del giorno, verbalizzata in modo completo e conservata in un libro delle riunioni gestito secondo criteri di integrità, sicurezza e riservatezza.

Flussi informativi, whistleblowing e compliance integrata: il nuovo perimetro dell’OdV

Le Linee guida dedicano ampio spazio ai flussi informativi verso e dall’OdV, definiti come uno dei principali strumenti per misurare l’effettiva attuazione del Modello 231. L’art. 6, co. 2, lett. d) richiede obblighi di informazione verso l’Organismo; il documento distingue flussi periodici (rapporti HR su provvedimenti disciplinari, formazione 231, report in materia di sicurezza sul lavoro, bilanci, ecc.) e flussi “ad evento”, da attivare al verificarsi di situazioni anomale o potenzialmente rilevanti sul piano dei rischi-reato. L’omissione dei flussi può integrare un inadempimento disciplinare, e l’OdV ha diritto di accesso alla documentazione necessaria nel rispetto della normativa sulla protezione dei dati personali.

In materia di whistleblowing, le Linee guida richiamano il D.lgs. 24/2023, la distinzione tra segnalazioni rilevanti, canali interni ed esterni, nonché il ruolo dell’OdV nella gestione dei flussi informativi connessi alle segnalazioni, pur senza trasformarlo nel “gestore unico” del sistema. L’Organismo, infatti, deve coordinarsi con la funzione o il soggetto incaricato della gestione delle segnalazioni, mantenendo il focus sulla coerenza delle procedure di whistleblowing con il Modello 231 e sull’analisi delle informazioni ricevute per calibrare la propria attività di vigilanza.

Infine, il documento inquadra l’OdV dentro una cornice più ampia di compliance integrata: antiriciclaggio, anticorruzione, privacy, adeguati assetti organizzativi, sicurezza sul lavoro, intelligenza artificiale e cybersicurezza, ambiente, ESG e tax control framework (TCF).

L’Organismo non sostituisce le funzioni specialistiche, ma dialoga con esse, promuovendo una visione sistemica dei rischi e dei controlli. Nei gruppi societari, questa logica si traduce in esigenze di coordinamento tra OdV delle diverse società, per assicurare coerenza delle prassi e omogeneità dei presidi di prevenzione. In questo scenario, le nuove Linee guida CNDCEC rappresentano un riferimento unitario per rafforzare qualità, affidabilità e riconoscibilità del ruolo dell’OdV, offrendo ai professionisti un quadro operativo chiaro e aggiornato con cui misurarsi.