Compliance delle terze parti e Modello 231 stanno diventando sempre più un vantaggio competitivo capace di guidare le imprese verso una crescita sostenibile e responsabile.
Negli ultimi anni, il tema della compliance delle terze parti ha smesso di essere percepito come un mero adempimento burocratico per trasformarsi in un vero e proprio asset strategico. Al centro di questo cambiamento c’è una nuova percezione del Modello 231, introdotto dal Decreto Legislativo 231/2001, che disciplina la responsabilità amministrativa delle imprese per determinati reati commessi nel loro interesse o vantaggio.
Compliance e Modello 231 come vantaggio competitivo
Tradizionalmente associato alle grandi aziende o a realtà operanti in settori ad alto rischio, il Modello 231 si sta progressivamente diffondendo anche tra le piccole e medie imprese, comprese quelle non formalmente obbligate ad adottarlo. Il motivo è semplice: prevenire è ormai più conveniente che curare.
Dotarsi di un sistema strutturato di controllo interno consente infatti non solo di ridurre il rischio di sanzioni pecuniarie e interdittive, ma anche di migliorare la governance, rafforzare la reputazione aziendale e aumentare la fiducia degli stakeholder. In un contesto economico sempre più orientato alla trasparenza e alla sostenibilità, la compliance rappresenta a tutti gli effetti un fattore competitivo.
Inoltre, l’adozione volontaria del Modello 231 può diventare un elemento distintivo nei processi di accesso al credito, nelle gare pubbliche e nei rapporti con grandi committenti, che sempre più spesso richiedono standard elevati di integrità e controllo.
Il tema sarà al centro del dibattito anche durante la prossima edizione della CreditWeek 2026 – DATA POWER, in programma dall’8 al 12 giugno 2026 a Milano, in particolare in occasione del 231 Compliance Day dell’11 giugno, dove esperti, istituzioni e operatori del settore si confronteranno sulle nuove sfide della gestione del rischio e della sostenibilità aziendale.
In vista di quell’appuntamento, ne abbiamo discusso con Alfredo Lori, Consigliere delegato di CHEOPE Risk Management, società che si occupa di accompagnare le imprese in percorsi personalizzati di implementazione dei modelli organizzativi e dei sistemi di gestione dei rischi.
Negli ultimi anni si parla sempre più di compliance come vantaggio competitivo. Qual è il principale cambiamento culturale che sta osservando nelle imprese italiane?
Tre anni fa, quando parlavamo di compliance delle terze parti, la reazione più comune era: “Ma noi non siamo una banca.” Oggi quella frase la sentiamo molto meno. Il cambiamento è semplice da descrivere: le imprese hanno capito che la propria reputazione non si ferma al cancello della fabbrica. È la somma delle reputazioni di chi ti circonda — fornitori, partner, clienti. Se il tuo fornitore strategico finisce su un’indagine per frode fiscale o per sfruttamento lavorativo, il problema diventa tuo: perdi commesse, perdi rating, perdi sonno. Oggi vediamo PMI — non solo grandi gruppi — che chiedono attivamente di verificare le proprie controparti per tre ragioni molto concrete: mantenere relazioni commerciali con committenti che pretendono standard elevati, tutelare la conformità e la reputazione della propria impresa, e operare nella legalità con ragionevole serenità. È un salto di mentalità: dalla compliance come costo alla compliance come condizione per stare sul mercato.
Quali sono i rischi concreti per un’azienda che sceglie di non dotarsi di un sistema strutturato di controllo e prevenzione?
Li riassumo in tre parole: sanzioni, esclusione, sorprese. Sanzioni: il D.Lgs. 231/2001 prevede conseguenze pesanti — pecuniarie e interdittive. Ma il vero colpo, per una PMI, non è la multa: è il divieto di contrattare con la PA o l’esclusione da finanziamenti pubblici. Misure che possono mettere un’azienda in ginocchio in pochi mesi. Esclusione: oggi i grandi committenti, le banche, le assicurazioni fanno screening sistematici sui propri fornitori e partner. Chi non è in grado di dimostrare un presidio minimo di legalità e trasparenza viene semplicemente tagliato fuori. Non serve un procedimento penale: basta un’informazione negativa non gestita, un’associazione reputazionale sfavorevole, e il rapporto commerciale si chiude. Sorprese: senza un sistema di controllo, le decisioni si prendono al buio. Si accetta un cliente senza sapere che è oggetto di segnalazioni antiriciclaggio. Si sceglie un subappaltatore che ha precedenti per violazioni ambientali. Quando il problema emerge — e prima o poi emerge — il costo di rimedio è sempre un multiplo del costo di prevenzione.
In che modo un Modello 231 ben costruito può migliorare la governance interna e i processi decisionali?
Qui serve una premessa onesta: costruire un Modello 231 oggi è relativamente facile. Le tecnologie di generazione testuale hanno abbattuto i costi della produzione documentale. Ma un modello scritto bene e lasciato in un cassetto non protegge nessuno, e in sede giudiziaria vale zero. La vera partita si gioca sull’applicazione. Un 231 realmente operativo introduce qualcosa che molte PMI non hanno mai avuto: criteri oggettivi per decidere con chi fare affari. Procedure di qualifica dei fornitori, protocolli di verifica prima di firmare un contratto, flussi informativi strutturati verso l’Organismo di Vigilanza. Le decisioni smettono di essere discrezionali e diventano tracciabili, motivate, difendibili. In sostanza, il 231 è una bussola che aiuta a capire a chi accompagnarsi. E questo cambia la governance dal basso: chi compra, chi vende, chi gestisce una gara ha un riferimento chiaro su cosa verificare e come comportarsi. L’effetto collaterale — positivo — è che l’intera organizzazione diventa più consapevole, più ordinata, più credibile.
Dal punto di vista operativo, quali sono le principali difficoltà che le aziende incontrano nell’implementazione di un modello efficace?
Ne vedo tre, e la prima non è tecnica: è culturale. Far capire che il 231 non è “roba dell’ufficio legale” ma riguarda chi compra materie prime, chi seleziona un agente commerciale, chi firma un ordine. Finché il modello resta patrimonio esclusivo del giurista, non funziona.
La seconda è la proporzionalità. Molte PMI si bloccano perché immaginano di dover replicare strutture da multinazionale. Non è così. Un’azienda manifatturiera con trenta dipendenti non ha bisogno di un compliance department, ha bisogno di sapere chi sono i suoi fornitori critici, se presentano rischi reputazionali, se sono affidabili. E questo oggi si può fare con strumenti accessibili e partner specializzati.
La terza è la continuità. Il 231 non è un progetto con una data di chiusura: le norme cambiano, i reati presupposto si aggiornano, le controparti evolvono. Un fornitore “pulito” tre anni fa potrebbe non esserlo oggi. Per questo il monitoraggio nel tempo — specialmente sulla verifica delle terze parti — è il vero banco di prova dell’effettività del modello. Ed è anche il punto in cui un partner esterno qualificato fa la differenza, perché le informazioni sulle controparti invecchiano rapidamente.
Qual è il ruolo della tecnologia nella gestione della compliance e dei rischi aziendali?
La tecnologia ha reso possibile ciò che dieci anni fa era impensabile per una PMI: verificare una controparte in pochi minuti invece che in settimane. Screening su liste sanzionatorie, analisi delle catene societarie, verifica dello status PEP, incrocio di fonti aperte sulla reputazione — oggi sono operazioni alla portata di qualsiasi impresa, a costi accessibili.
L’intelligenza artificiale aggiunge un ulteriore livello: la capacità di trattare grandi volumi di dati, segnalare anomalie, risolvere problemi operativi come la disambiguazione degli omonimi — un classico nello screening antiriciclaggio — o la mappatura di reti societarie complesse.
Ma — e ci tengo a dirlo — la tecnologia è un acceleratore, non un pilota automatico. I dati vanno letti, contestualizzati, inseriti in un quadro normativo. Un alert non è una sentenza: serve competenza per distinguere un rischio reale da un falso positivo. Il modello vincente, e lo dico per esperienza diretta, è la combinazione tra tecnologia avanzata e giudizio professionale qualificato. È esattamente la formula su cui si basa il nostro lavoro in Cheope: tecnologia per la velocità e la copertura, competenza umana per l’accuratezza e la responsabilità.
Durante la prossima CreditWeek a Milano si parlerà anche di questi temi: quali saranno, secondo lei, gli spunti più rilevanti per imprese e operatori?
Il 231 Compliance Day dell’11 giugno a Milano sarà un momento importante perché riunirà temi che nella pratica viaggiano ancora troppo separati. Vedo tre filoni particolarmente caldi.
Il primo è la due diligence di filiera imposta dalle nuove normative europee — CSDDD, Regolamento sul lavoro forzato, EUDR. Queste norme estendono la responsabilità dell’impresa ben oltre il proprio perimetro: se il tuo fornitore di secondo livello impiega lavoro forzato, il problema è anche tuo. Per le imprese italiane, questo significa che la verifica strutturata delle terze parti sta diventando un requisito di accesso ai mercati, non più una scelta.
Il secondo è il nesso tra compliance e accesso al credito. Banche e operatori finanziari integrano sempre più criteri di integrità e sostenibilità nella valutazione del merito creditizio. Un’impresa che può dimostrare un 231 effettivo e procedure di screening delle controparti si presenta con un profilo di rischio nettamente migliore. Tradotto: condizioni di finanziamento più favorevoli.
Il terzo — e per noi il più stimolante — è il ruolo concreto dell’intelligenza artificiale nella prevenzione dei rischi. Non ne parleremo in astratto: porteremo casi d’uso reali, perché il nostro obiettivo è far uscire questi strumenti dalle slide e farli entrare nelle aziende.
Invito a partecipare non solo i compliance officer, ma anche i credit manager, i responsabili acquisti, gli imprenditori. Perché la verifica delle terze parti riguarda chiunque, in azienda, prenda decisioni che coinvolgono soggetti esterni. E oggi questa descrizione si applica praticamente a tutti.
(Contenuto realizzato in collaborazione con Cheope Risk Management)
