da Redazione | Mar 21, 2025 | Diritto d'Impresa
Nel contesto economico contemporaneo la protezione del software è un fattore di garanzia della competitività delle imprese, in particolare per le start-up operanti nei settori ad alto contenuto tecnologico. Il programma per elaboratore rappresenta il principale asset strategico che può incorporare soluzioni tecniche originali, architetture funzionali complesse e know-how aziendale.
La valorizzazione giuridica del software consente di prevenire condotte di appropriazione indebita, di regolamentare con precisione i rapporti con partner e sviluppatori esterni, nonché di consolidare il vantaggio competitivo nei mercati digitali.
La protezione del software assume inoltre una valenza ancora più rilevante nelle ipotesi in cui il codice costituisca la base funzionale di sistemi di intelligenza artificiale, il cui impatto giuridico pone sfide peculiari sul piano della titolarità, della responsabilità e dell’originalità dell’opera.
Obiettivo del presente articolo è fornire una panoramica organica e ragionata degli strumenti di tutela giuridica applicabili al software e alle banche dati, con particolare riguardo alla disciplina del diritto d’autore, alle strategie contrattuali e alle ulteriori forme di protezione riconosciute dall’ordinamento italiano ed europeo.
Normativa di riferimento sulla protezione del software: profili nazionali, europei e internazionali
La protezione del software trova fondamento in un corpus normativo multilivello, articolato su fonti nazionali, europee e internazionali, che concorrono a delineare un regime unitario sotto il profilo sostanziale, pur lasciando spazio a talune peculiarità applicative. In ambito interno, la disciplina di riferimento è contenuta nella Legge 22 aprile 1941, n. 633, recante la protezione del diritto d’autore e di altri diritti connessi al suo esercizio, come modificata dal Decreto Legislativo 29 dicembre 1992, n. 518, emanato in attuazione della Direttiva 91/250/CEE, successivamente trasfusa nella Direttiva 2009/24/CE.
In particolare, gli articoli 64-bis e seguenti della legge sul diritto d’autore riconoscono al programma per elaboratore la natura di opera dell’ingegno a carattere creativo, rientrante nella categoria delle opere letterarie, attribuendo al titolare un ventaglio articolato di diritti esclusivi.
A livello sovranazionale, l’ordinamento dell’Unione europea ha svolto un ruolo essenziale nel processo di armonizzazione, attraverso l’adozione non solo della già menzionata Direttiva 2009/24/CE, ma anche della Direttiva 2001/29/CE sulla società dell’informazione, della Direttiva 96/9/CE in materia di banche dati e della Direttiva 2004/48/CE sull’enforcement dei diritti di proprietà intellettuale. Tali fonti mirano a garantire un livello di protezione elevato e uniforme, soprattutto con riguardo alla riproduzione non autorizzata, alla distribuzione illecita e all’utilizzo non conforme dei programmi protetti. Con l’adozione di ulteriori atti normativi, quali il Data Act e il Cyber Resilience Act, l’Unione si muove inoltre verso un’integrazione crescente tra tutela dei diritti intellettuali, sicurezza informatica e governance del dato.
Sul piano internazionale, la Convenzione di Berna per la protezione delle opere letterarie ed artistiche, ratificata in Italia con legge 20 giugno 1978, n. 399, rappresenta il principale riferimento, cui si affiancano le disposizioni dell’Organizzazione Mondiale della Proprietà Intellettuale (OMPI/WIPO). La combinazione di tali strumenti consente di assicurare alla protezione del software un’estensione territoriale ampia e coerente, pur nel rispetto delle specificità giuridiche proprie dei singoli ordinamenti.
Protezione del software: definizioni e inquadramento concettuale
Ai fini della corretta applicazione delle norme in materia di protezione del software, è preliminarmente necessario definire con precisione l’oggetto della tutela, individuando le nozioni tecniche e giuridiche rilevanti. La legislazione italiana, in conformità ai principi sanciti dalla Direttiva 2009/24/CE, qualifica il programma per elaboratore come una sequenza di istruzioni idonea a far eseguire una funzione determinata da parte di un sistema informatico, in maniera diretta o indiretta. Esso comprende sia i programmi operativi che quelli applicativi, nonché ogni forma di sviluppo, inclusi i software embedded, le applicazioni mobili e i sistemi di gestione automatizzata.
L’articolo 64-bis della legge sul diritto d’autore chiarisce che la protezione del software si estende a ogni forma di espressione del programma, purché dotata di carattere creativo. Rientrano dunque nel perimetro di tutela sia il codice sorgente, vale a dire il linguaggio leggibile e modificabile dal programmatore, sia il codice oggetto, risultante dalla compilazione automatica in un formato eseguibile dalla macchina. La tutela non si estende invece alle idee, ai principi algoritmici, ai metodi matematici e ai concetti logici sottesi al programma, secondo un principio di netta separazione tra forma espressiva e contenuto funzionale dell’opera.
Particolarmente rilevante per la protezione del software è anche il riferimento alle specifiche tecniche, alla documentazione funzionale e alle interfacce, che possono costituire parte integrante del software e concorrere alla sua tutela, qualora presentino un sufficiente grado di originalità. Inoltre, l’attività di elaborazione di un programma può dar luogo a una pluralità di versioni, aggiornamenti, moduli aggiuntivi e configurazioni specifiche, tutte potenzialmente tutelabili se espressione di un apporto creativo. La protezione del software si configura dunque come una tutela formale e sostanziale dell’opera in quanto tale, incentrata sulla sua manifestazione concreta, piuttosto che sulla funzione eseguibile o sulla mera utilità operativa del codice.
La protezione del software tramite il diritto d’autore
La protezione del software mediante il diritto d’autore rappresenta, nell’ordinamento italiano ed europeo, il principale strumento di tutela. A seguito del recepimento della Direttiva 2009/24/CE, il legislatore nazionale ha introdotto una disciplina organica del software, inserita all’interno della Legge 22 aprile 1941, n. 633, agli articoli 64-bis e seguenti. Tale normativa attribuisce al software la medesima dignità giuridica riconosciuta alle opere letterarie, ancorando la tutela al principio della creatività intesa quale espressione personale dell’autore, senza che sia richiesto alcun grado minimo di valore artistico o estetico.
La protezione del software sorge automaticamente con la creazione dell’opera e non è subordinata ad alcun adempimento formale di registrazione o deposito, ancorché tali strumenti possano essere utili ai fini probatori in caso di controversia. Il software è pertanto tutelato a partire dal momento della sua fissazione in una forma tangibile, che consenta la percezione e la riproducibilità del codice da parte di terzi.
Il diritto d’autore attribuisce al titolare una serie di facoltà esclusive, tra cui il diritto di riprodurre, modificare, distribuire, comunicare al pubblico e tradurre l’opera in qualsiasi forma o mezzo. In particolare, l’articolo 64-bis LDA evidenzia che anche operazioni tecniche quali il caricamento, la visualizzazione, la memorizzazione e l’esecuzione del programma costituiscono, nella misura in cui comportino riproduzione, atti soggetti all’autorizzazione del titolare.
La protezione del software mediante il diritto d’autore si estende anche alle opere derivate, alle versioni successive e agli sviluppi funzionali, purché mantengano il requisito della creatività individuale. Tuttavia, la titolarità dei diritti patrimoniali può variare a seconda del contesto in cui l’opera è stata realizzata.
In particolare, l’articolo 64-bis, comma 3, stabilisce che, salvo patto contrario, nel caso di programmi creati da un lavoratore dipendente nell’esecuzione delle proprie mansioni, i diritti economici spettano al datore di lavoro. Tale previsione si discosta dal regime generale del diritto d’autore e impone un’attenta regolamentazione contrattuale nei rapporti interni ed esterni all’impresa. In ogni caso, la protezione conferita dalla legge assicura una barriera efficace contro l’uso non autorizzato, la duplicazione abusiva e lo sfruttamento illecito del software, costituendo una delle forme più solide e immediate di tutela giuridica dell’innovazione digitale.
Protezione del software e strumenti di deposito volontario a fini probatori
Pur non essendo richiesto alcun adempimento formale per il sorgere della tutela autorale, il titolare di un programma per elaboratore può avvalersi di strumenti giuridicamente riconosciuti per documentare la data di creazione dell’opera, consolidando in tal modo la propria posizione in caso di conflitto in ordine alla titolarità, alla paternità o alla legittimità dello sfruttamento del software. In questo contesto, il deposito volontario del software assume una funzione eminentemente probatoria, non attribuendo diritti ulteriori, ma offrendo al titolare un mezzo efficace per dimostrare l’anteriorità dell’opera rispetto a creazioni analoghe di terzi.
Tra le modalità attualmente riconosciute si annoverano, in primo luogo, il deposito presso la SIAE, mediante il servizio “Software e banche dati”, che consente di registrare una copia del programma – comprensiva di codice sorgente, manuali e descrizione funzionale – ottenendo un attestato con data certa opponibile a terzi.
In alternativa, è possibile ricorrere al deposito notarile, tramite atto pubblico o scrittura privata autenticata, ovvero al deposito presso la Camera di Commercio con le medesime finalità.
Soluzioni più recenti e tecnologicamente avanzate includono l’uso di sistemi blockchain certificati, che registrano in modo immutabile l’hash crittografico del codice su un registro distribuito, offrendo un’efficace tracciabilità e una tutela decentralizzata dell’integrità temporale del file depositato.
Sebbene tali strumenti non incidano sul contenuto sostanziale dei diritti d’autore, essi rivestono un ruolo rilevante nel contenzioso in materia di protezione del software, in particolare quando sia necessario dimostrare che un determinato programma è stato sviluppato anteriormente rispetto a un altro, o che una determinata versione è frutto di uno sviluppo autonomo e non di un’elaborazione illecita di opere altrui. La funzione certificativa del deposito si rivela quindi un’opzione prudente, specie in ambiti imprenditoriali ad alta innovazione, in cui il software costituisce un asset competitivo essenziale.
I diritti morali e patrimoniali nella protezione del software
La disciplina italiana del diritto d’autore distingue tradizionalmente tra diritti morali e diritti patrimoniali, entrambi riconosciuti all’autore di un’opera dell’ingegno, ivi compreso il programma per elaboratore. Tale distinzione, di matrice personalistica, assume rilievo anche nel contesto della protezione del software, in quanto consente di articolare con maggiore precisione le prerogative riconosciute all’autore persona fisica rispetto a quelle suscettibili di circolazione, sfruttamento economico o attribuzione convenzionale a terzi.
I diritti morali, disciplinati dagli articoli 20 e seguenti della Legge n. 633/1941, sono inalienabili, irrinunciabili e imprescrittibili, e permangono anche dopo la cessione dei diritti economici sull’opera. Essi comprendono, in particolare, il diritto alla paternità dell’opera, il diritto all’integrità della stessa, nonché il diritto a deciderne la pubblicazione o il ritiro dal commercio per gravi ragioni morali. Nell’ambito del software, tali diritti spettano esclusivamente al soggetto che ha creato il codice, anche qualora l’utilizzo economico del programma sia stato ceduto o trasferito. Il programmatore conserva dunque il diritto di essere indicato come autore e di opporsi a modifiche che possano alterare il significato o la struttura espressiva del programma.
Diversamente, i diritti patrimoniali consistono nelle facoltà di natura economica attribuite all’autore o al titolare dei diritti e sono disciplinati dagli articoli 12 e seguenti della medesima legge. Essi comprendono il diritto esclusivo di riprodurre, distribuire, comunicare, tradurre, modificare e concedere in licenza l’opera, anche in forma digitale, nonché il diritto di autorizzarne o vietarne l’utilizzo da parte di terzi. La durata dei diritti patrimoniali, ai sensi dell’art. 25 LDA, è di settanta anni dopo la morte dell’autore, anche nel caso del software, sebbene nella prassi l’interesse economico si concentri spesso in un orizzonte temporale più ristretto, correlato al ciclo di vita tecnologico del prodotto.
Nel caso di software sviluppato nell’ambito di un rapporto di lavoro subordinato, l’articolo 64-bis, comma 3, della legge sul diritto d’autore stabilisce una deroga al principio generale, prevedendo che i diritti patrimoniali spettino al datore di lavoro, salvo diverso accordo contrattuale. Resta invece ferma la titolarità dei diritti morali in capo all’autore persona fisica.
Nelle ipotesi di collaborazione esterna o sviluppo su commissione, in assenza di cessione scritta, i diritti economici restano in capo all’autore, con conseguenze rilevanti per l’utilizzabilità commerciale del programma. Ne discende la necessità di predisporre con rigore la contrattualistica applicabile, al fine di garantire un’effettiva e stabile protezione del software sul piano dei rapporti interni ed esterni all’organizzazione.
Le eccezioni e i limiti alla protezione del software per l’utente legittimo
La disciplina della protezione del software, pur riconoscendo al titolare un ampio spettro di diritti esclusivi, contempla specifiche eccezioni a favore dell’utente legittimo, al fine di garantire un equilibrato bilanciamento tra le prerogative dell’autore e l’interesse alla fruizione funzionale del programma. Gli articoli 64-ter e 64-quater della Legge n. 633/1941 individuano tali ipotesi derogatorie, ispirandosi ai principi sanciti dalla Direttiva 2009/24/CE e dalla Convenzione di Berna, ed escludono la necessità di un’autorizzazione da parte del titolare in circostanze determinate, purché l’uso del programma avvenga nel rispetto della sua destinazione d’uso e in conformità ai limiti normativi.
In particolare, l’articolo 64-ter prevede che l’utente legittimo, ossia colui che abbia acquisito il diritto di utilizzare una copia del software, possa procedere alla riproduzione, alla traduzione o alla modifica del programma quando tali operazioni siano necessarie per l’uso conforme alla destinazione o per la correzione degli errori. È inoltre espressamente riconosciuto il diritto di effettuare una copia di riserva del programma, qualora ciò risulti necessario per l’utilizzo del software, nonché la facoltà di osservare, studiare e testare il funzionamento del programma, al fine di comprenderne le idee e i principi sottostanti, a condizione che tali attività siano compiute nel corso di operazioni legittime di caricamento, esecuzione o memorizzazione.
Di particolare rilievo è altresì l’articolo 64-quater, il quale ammette la decompilazione del codice, ovvero la trasformazione del codice oggetto in una forma comprensibile, al solo fine di ottenere le informazioni necessarie per garantire l’interoperabilità con altri programmi autonomamente creati. Tale attività è subordinata a rigorose condizioni: deve essere effettuata da soggetti legittimati, le informazioni non devono essere altrimenti disponibili e le operazioni devono essere limitate alle porzioni strettamente indispensabili del programma originario.
Le informazioni così ottenute non possono essere utilizzate per scopi diversi da quelli previsti, né per creare un programma sostanzialmente simile, né per lo sviluppo o la commercializzazione di prodotti concorrenti. Le clausole contrattuali che intendano escludere tali diritti sono espressamente dichiarate nulle ex lege.
Protezione del software e disciplina contrattuale
Nell’ambito delle relazioni giuridiche che si instaurano attorno alla creazione, allo sviluppo e alla diffusione dei programmi per elaboratore, la contrattualizzazione dei diritti rappresenta un presidio essenziale per garantire un’effettiva ed efficace protezione del software. Se, da un lato, la legge riconosce automaticamente al creatore dell’opera la titolarità originaria dei diritti d’autore, dall’altro lato, la circolazione dei diritti patrimoniali e la legittimazione all’uso del software da parte di soggetti terzi richiedono, in via generale, la stipulazione di accordi negoziali chiari e puntuali, in grado di regolare gli aspetti connessi alla titolarità, alla licenza, all’ambito di utilizzabilità e alla riservatezza del codice.
La disciplina contrattuale assume particolare rilevanza nelle ipotesi di sviluppo su commissione e di collaborazione esterna, nelle quali il committente, pur fornendo le specifiche funzionali o partecipando alla definizione degli obiettivi progettuali, non acquista automaticamente i diritti patrimoniali sul software realizzato. In assenza di una specifica clausola di cessione, infatti, i diritti restano in capo all’autore, con conseguenze rilevanti sulla possibilità di utilizzare, modificare o commercializzare il programma.
I contratti di sviluppo software, licenza d’uso, cessione dei diritti, manutenzione e aggiornamento, collaborazione tecnica o outsourcing costituiscono gli strumenti attraverso cui le imprese possono delineare in modo coerente e sicuro il perimetro giuridico dell’utilizzo del software. In tali contratti è altresì opportuno disciplinare in modo puntuale la titolarità del codice sorgente, l’eventuale obbligo di consegna, le modalità di intervento sul codice in caso di modifiche o aggiornamenti, nonché le responsabilità derivanti da eventuali violazioni di diritti di terzi.
Protezione del software, licenze e registrazione del brevetto: cenni
Nel contesto della protezione del software, un ruolo centrale è svolto dalla disciplina delle licenze d’uso, attraverso cui il titolare dei diritti patrimoniali autorizza terzi all’utilizzo del programma, entro limiti giuridicamente vincolanti. Tali licenze, che possono assumere forma proprietaria, open source o as-a-service, costituiscono strumenti essenziali nella regolazione del mercato digitale e saranno oggetto di specifico approfondimento.
Accanto alla tutela autorale, in via eccezionale, è possibile ottenere la protezione brevettuale del software, qualora esso sia incorporato in un’invenzione tecnica e produca un effetto tecnico ulteriore. Trattandosi di un ambito che richiede la presenza di stringenti requisiti di brevettabilità, sarà esaminato con maggiore dettaglio in un contributo dedicato.
Infine, occorre richiamare la disciplina delle banche dati, la cui protezione può avvenire sia attraverso il diritto d’autore, ove ricorra un apporto creativo nella selezione o organizzazione dei contenuti, sia mediante il diritto sui generis riconosciuto al costitutore che abbia sostenuto un investimento rilevante. Anche questo tema, strettamente connesso alla gestione del patrimonio informativo aziendale, sarà approfondito in modo sistematico in una trattazione autonoma.
Know-how, segreti commerciali e altri strumenti di protezione del software
Oltre alla tutela autorale e, nei casi ammessi, brevettuale, la protezione del software può essere efficacemente perseguita anche attraverso il ricorso a strumenti giuridici che valorizzano il carattere riservato delle informazioni tecniche, funzionali e organizzative incorporate nel programma. In particolare, il know-how e i segreti commerciali, intesi come insieme di conoscenze aziendali non divulgate, dotate di valore economico e sottoposte a misure ragionevoli di protezione, costituiscono un presidio essenziale nella salvaguardia delle soluzioni digitali proprietarie.
La disciplina applicabile, rafforzata dal recepimento della Direttiva (UE) 2016/943, consente di agire contro l’acquisizione, l’uso o la divulgazione illecita delle informazioni protette, anche in assenza di registrazione formale. Tale forma di tutela è particolarmente rilevante per quei software non distribuiti al pubblico o sviluppati per uso interno, il cui valore risiede nella loro esclusività funzionale e nella difficoltà di replicazione.
Le implicazioni giuridiche della tutela del know-how, anche sotto il profilo contrattuale e concorsuale, saranno oggetto di successivo approfondimento, unitamente agli strumenti organizzativi per la sua efficace protezione in ambito aziendale.
Protezione del software e supporto legale. Affidati a noi
La protezione del software, nelle sue molteplici articolazioni, rappresenta una leva determinante per la tutela e la valorizzazione del patrimonio immateriale dell’impresa. In un contesto in cui il valore economico risiede sempre più negli intangibles – codice, algoritmi, architetture digitali, banche dati, interfacce, documentazione tecnica – è essenziale affiancare alla visione tecnologica una consapevole strategia giuridica, capace di prevenire conflitti, consolidare i diritti e attrarre investimenti.
Lo Studio Legale D’Agostino affianca imprese, professionisti e start-up nei processi e nelle strategie di tutela del software, offrendo supporto nella redazione di contratti, nella gestione dei diritti d’autore, nell’impostazione di strategie di licenza e nella protezione del know-how aziendale.
Studio Legale D’Agostino. Protezione del software e assistenza legale sul programma per elaboratore e diritto d’autore.
da Redazione | Mar 18, 2025 | Diritto d'Impresa
Il decreto DORA (D. Lgs. 10 marzo 2025, n. 23) ha introdotto le disposizioni necessarie per garantire la piena applicabilità nell’ordinamento italiano del Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (DORA).
A partire dal 17 gennaio 2025, il Regolamento DORA è divenuto direttamente applicabile in tutti gli Stati membri dell’Unione Europea, imponendo standard uniformi in materia di resilienza operativa digitale nel settore finanziario. Tuttavia, per garantire un’effettiva implementazione delle disposizioni europee nel contesto normativo nazionale, si è reso necessario l’intervento del legislatore italiano, che con il decreto DORA ha individuato le autorità competenti, precisato gli obblighi di compliance e disciplinato il regime sanzionatorio.
L’obiettivo di questo articolo è quello di fornire una panoramica del D. Lgs. 23/2025, analizzando gli obblighi posti a carico delle entità finanziarie, le competenze delle autorità di vigilanza e il sistema delle sanzioni previste per il mancato rispetto delle disposizioni. Si esamineranno in particolare gli articoli più rilevanti del decreto, evidenziando come il legislatore italiano abbia provveduto a integrare il quadro normativo europeo con specifiche misure attuative.
Per un’analisi più approfondita sulle implicazioni del Regolamento DORA, invitiamo i lettori a consultare i nostri precedenti articoli relativi all’analisi dei rischi e agli obblighi di resilienza operativa nel settore finanziario. Tali approfondimenti consentiranno di comprendere in modo più chiaro anche le novità introdotte dal Decreto DORA.
Il decreto DORA e l’adeguamento dell’ordinamento italiano
Con il decreto DORA il legislatore ha adeguato le disposizioni nazionali al Regolamento (UE) 2022/2554, armonizzando la disciplina al nuovo quadro sulla resilienza operativa digitale nel settore finanziario. La necessità di un adeguamento normativo deriva dal carattere direttamente applicabile del Regolamento DORA, che, tuttavia, lascia agli Stati membri il compito di definire aspetti operativi rilevanti, tra cui le autorità competenti, il sistema di vigilanza e le sanzioni per le violazioni degli obblighi imposti dalla disciplina europea.
L’articolo 2 del decreto DORA chiarisce che il provvedimento ha lo scopo di assicurare l’effettiva applicazione del Regolamento (UE) 2022/2554, disciplinando l’integrazione con la normativa nazionale preesistente, in particolare con il Testo Unico Bancario (TUB), il Testo Unico della Finanza (TUF) e il Codice delle Assicurazioni Private. Inoltre, il legislatore ha ritenuto necessario stabilire un quadro di coordinamento tra le disposizioni del Regolamento DORA e le norme già vigenti in materia di sicurezza informatica, in particolare quelle introdotte dal D. Lgs. 138/2024, con cui l’Italia ha recepito la Direttiva NIS 2.
Le autorità competenti nel decreto DORA
Il decreto DORA, attraverso l’articolo 3, individua le autorità competenti per l’attuazione e la vigilanza sulle disposizioni del Regolamento (UE) 2022/2554 in ambito nazionale. La scelta del legislatore italiano si è orientata verso un modello di supervisione plurale, affidando le funzioni di controllo a più enti, ciascuno competente in relazione ai soggetti vigilati. In particolare, la Banca d’Italia, la Commissione Nazionale per le Società e la Borsa (Consob), l’Istituto per la Vigilanza sulle Assicurazioni (IVASS) e la Commissione di Vigilanza sui Fondi Pensione (COVIP) sono state designate quali Autorità competenti DORA, in conformità con quanto previsto dall’articolo 46 del Regolamento DORA.
La Banca d’Italia assume un ruolo centrale nella vigilanza sugli obblighi di resilienza operativa digitale, essendo responsabile del controllo sugli intermediari finanziari, su Cassa Depositi e Prestiti S.p.A. e su Bancoposta. La Consob è invece l’ente deputato a monitorare l’attuazione delle norme DORA per quanto riguarda le società di intermediazione mobiliare (SIM), le società di gestione del risparmio (SGR) e gli altri soggetti del mercato finanziario regolamentato. Analogamente, l’IVASS esercita le proprie funzioni di vigilanza sulle imprese assicurative, mentre la COVIP è l’autorità di riferimento per i fondi pensione.
Oltre a queste autorità di settore, il decreto DORA stabilisce un collegamento con l’Agenzia per la Cybersicurezza Nazionale (ACN), che assume il ruolo di Autorità nazionale competente NIS ai sensi dell’articolo 10 del D. Lgs. 138/2024. L’ACN opera in sinergia con il CSIRT Italia, il team nazionale per la gestione degli incidenti di cybersicurezza, che ha il compito di ricevere segnalazioni e coordinare le risposte alle minacce informatiche. Tale sistema di collaborazione tra diverse autorità è stato previsto per garantire un coordinamento efficace tra la normativa sulla resilienza digitale nel settore finanziario e il quadro generale di cybersecurity nazionale.
Il decreto prevede anche la possibilità di definire protocolli d’intesa tra le autorità di vigilanza, al fine di regolamentare lo scambio di informazioni e l’adozione di misure coordinate in materia di resilienza operativa digitale.
Il decreto DORA e gli obblighi di resilienza operativa digitale
L’articolo 6 del decreto DORA disciplina in modo specifico gli obblighi di resilienza operativa digitale posti a carico degli intermediari finanziari, sancendo l’applicabilità di un cospicuo numero di disposizioni del Regolamento DORA. Il primo comma dell’articolo 6 stabilisce che tali disposizioni si applicano “in quanto compatibili”, una clausola di portata incerta, che non consente di delineare con chiarezza l’effettiva applicabilità di ogni singola norma nel contesto nazionale. Questo significa che gli intermediari finanziari saranno onerati di una valutazione caso per caso, al fine di stabilire in che misura ciascuna disposizione del Regolamento DORA trovi applicazione nel loro specifico settore.
Tuttavia, appare plausibile ritenere che il principio di compatibilità debba essere interpretato in senso estensivo, con la conseguenza che la maggioranza delle disposizioni del Regolamento si intenderà applicabile a questi soggetti. Di fatto, il decreto DORA introduce un modello di compliance generalizzata, che impone agli intermediari finanziari l’adozione di misure di sicurezza avanzate per la protezione delle infrastrutture digitali e dei dati sensibili.
Una deroga è prevista dal secondo comma dell’articolo 6, che introduce una clausola di esenzione a favore degli intermediari finanziari qualificati come microimprese. Per questi soggetti non si applica l’articolo 24 del Regolamento DORA, che disciplina i requisiti generali per lo svolgimento dei test di resilienza operativa digitale. In sostituzione degli obblighi più stringenti previsti dal Regolamento, il terzo comma dell’articolo 25 del Regolamento DORA prevede un regime agevolato per lo svolgimento dei test di resilienza digitale da parte delle microimprese.
Tali soggetti potranno combinare un approccio basato sul rischio con una pianificazione strategica delle verifiche relative alle tecnologie dell’informazione e della comunicazione (TIC). L’obiettivo è garantire un equilibrio tra le risorse disponibili e la necessità di verificare periodicamente la tenuta dei sistemi informatici, tenendo conto della criticità dei dati gestiti, dell’urgenza degli interventi e della capacità dell’impresa di gestire i rischi in modo proporzionato.
Infine, il terzo comma dell’articolo 6 conferisce alla Banca d’Italia un potere regolamentare significativo, che le consente di individuare, nelle disposizioni attuative adottate ai sensi dell’articolo 9, una categoria di intermediari finanziari ai quali, in base alla dimensione e all’attività svolta, si applichino le disposizioni ordinarie del Regolamento DORA, anziché il regime semplificato previsto dall’articolo 16, paragrafi 1 e 2. In particolare, tali soggetti potrebbero essere sottoposti agli obblighi previsti dagli articoli 5, 6, 7, 8, 9, 10, 11, 12, 13 e 14 del Regolamento DORA, evitando l’applicazione del quadro semplificato per la gestione dei rischi informatici.
Ciò significa che la Banca d’Italia potrà stabilire che determinati intermediari finanziari, pur di dimensioni contenute, siano comunque soggetti agli obblighi più stringenti in materia di gestione del rischio digitale, in ragione della loro attività e della loro incidenza sul sistema finanziario.
Segnalazione degli incidenti nel decreto DORA
L’articolo 4 del decreto DORA disciplina il sistema di segnalazione degli incidenti informatici nelle tecnologie dell’informazione e della comunicazione (TIC) e la notifica volontaria delle minacce informatiche significative, in attuazione dell’articolo 19 del Regolamento DORA. La disposizione attribuisce agli intermediari finanziari, alle infrastrutture di mercato finanziario e agli altri soggetti obbligati l’onere di segnalare tempestivamente qualsiasi grave incidente TIC alle autorità competenti DORA, secondo precise modalità stabilite dal decreto.
Le autorità competenti per la ricezione delle segnalazioni sono state individuate sulla base della tipologia di soggetto vigilato. In particolare, la Banca d’Italia è competente per ricevere le notifiche provenienti dalle banche, dagli intermediari finanziari, da Cassa Depositi e Prestiti S.p.A. e da Bancoposta. La Consob, invece, riceve le segnalazioni da parte delle SIM, delle SGR e delle altre entità finanziarie vigilate ai sensi dell’articolo 2, paragrafo 1, lettere g) e i), del Regolamento DORA. Per quanto riguarda le imprese assicurative, la competenza spetta all’IVASS, mentre la COVIP è responsabile della ricezione delle notifiche relative ai fondi pensione.
Una disposizione di particolare rilievo è contenuta nel comma 2 dell’articolo 4, secondo cui, nel caso in cui un’entità finanziaria sia soggetta alla vigilanza di più autorità competenti DORA, la prima autorità ricevente è tenuta a trasmettere tempestivamente la notifica iniziale e i successivi aggiornamenti alle altre autorità di vigilanza coinvolte. Questo meccanismo di cooperazione interistituzionale mira a evitare duplicazioni di segnalazioni e a garantire un coordinamento efficace tra le diverse autorità competenti.
Un ulteriore livello di obblighi è previsto per le entità finanziarie appartenenti al settore bancario e delle infrastrutture dei mercati finanziari, qualora queste siano classificate come soggetti critici ai sensi della Direttiva (UE) 2022/2557. Per tali soggetti, l’articolo 4, comma 3, del decreto DORA prevede che la notifica iniziale dei gravi incidenti TIC debba essere trasmessa anche al CSIRT Italia, secondo i modelli e i termini stabiliti dall’articolo 20 del Regolamento DORA.
Il comma 4 dell’articolo 4 del Decreto DORA introduce invece la possibilità per le entità finanziarie di effettuare notifiche volontarie relative a minacce informatiche significative, in aggiunta agli obblighi di segnalazione degli incidenti TIC già previsti. Le notifiche volontarie possono essere trasmesse anche al CSIRT Italia, con la garanzia che le informazioni fornite rimangano coperte dal segreto d’ufficio. L’obiettivo di questa previsione è incoraggiare una maggiore collaborazione tra il settore finanziario e le istituzioni preposte alla cybersicurezza, al fine di sviluppare un sistema di condivisione delle informazioni sulle minacce emergenti.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUB
L’articolo 10 del decreto DORA introduce importanti modifiche al Testo Unico Bancario (TUB), con l’obiettivo di disciplinare il regime sanzionatorio applicabile alle banche, agli intermediari finanziari e ai fornitori terzi di servizi TIC che non rispettano gli obblighi imposti dal Regolamento (UE) 2022/2554. Il legislatore ha integrato le disposizioni del TUB introducendo nuovi commi all’articolo 144, nei quali vengono specificate le sanzioni per le violazioni delle norme sulla resilienza operativa digitale.
Il comma 8-bis stabilisce che l’inosservanza di una serie di disposizioni del Regolamento DORA, tra cui gli articoli 5, 6, 16, 19 e 24, nonché delle relative norme tecniche di regolamentazione e attuazione, comporta l’applicazione di sanzioni amministrative pecuniarie. In particolare, nei confronti delle banche, degli intermediari finanziari e dei fornitori terzi di servizi TIC, la sanzione può variare da un minimo di 30.000 euro fino al 10% del fatturato dell’ente responsabile. Per gli istituti di pagamento e gli istituti di moneta elettronica, la sanzione può arrivare fino a 5 milioni di euro, o, qualora il fatturato dell’ente sia superiore a tale cifra, fino al 10% del fatturato complessivo.
Il successivo comma 8-ter disciplina ulteriori ipotesi sanzionatorie per le violazioni di altre disposizioni del Regolamento DORA, tra cui gli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29 e 30. Anche in questo caso, il decreto prevede un sistema sanzionatorio progressivo, stabilendo che le banche, gli intermediari finanziari e i fornitori di servizi TIC possano essere sanzionati con un importo che varia da 30.000 euro fino al 7% del fatturato annuo. Per gli istituti di pagamento e gli istituti di moneta elettronica, la soglia massima della sanzione pecuniaria viene fissata a 3,5 milioni di euro, salvo che il 7% del fatturato annuo risulti un importo superiore.
Di particolare rilievo è poi la disciplina introdotta dal nuovo comma 2-bis dell’articolo 144-ter del TUB, che introduce un regime sanzionatorio specifico per le persone fisiche responsabili delle violazioni. In caso di inosservanza delle disposizioni di cui ai commi 8-bis e 8-ter, le persone fisiche che ricoprono ruoli di amministrazione, direzione o controllo all’interno delle entità responsabili possono essere sanzionate con una sanzione amministrativa pecuniaria variabile da 5.000 euro fino a 5 milioni di euro, nel caso delle violazioni più gravi. Se la violazione riguarda le disposizioni meno stringenti, la soglia massima si riduce a 3,5 milioni di euro.
L’articolo 144-ter, comma 2-ter, introduce inoltre un regime di responsabilità personale aggravata, stabilendo che la sanzione per le persone fisiche si applica quando la violazione deriva dalla mancata osservanza di doveri propri del soggetto, o quando la condotta abbia inciso in modo significativo sulla struttura organizzativa dell’ente o sulla sua gestione del rischio aziendale. Inoltre, qualora la violazione sia connessa al mancato rispetto di provvedimenti specifici adottati dalla Banca d’Italia, la sanzione può essere ulteriormente inasprita.
Infine, il comma 2-quater dell’articolo 144-ter introduce una previsione particolarmente severa per i casi in cui la violazione abbia comportato un vantaggio economico per l’autore della condotta illecita. Se il profitto ottenuto dalla violazione supera il limite massimo della sanzione prevista, la sanzione potrà essere raddoppiata fino a raggiungere un importo pari al doppio del vantaggio economico indebitamente ottenuto.
Sanzioni nel decreto DORA: il regime sanzionatorio nel TUF
L’articolo 10 del decreto DORA introduce un rigoroso regime sanzionatorio per gli intermediari finanziari, mediante l’inserimento del nuovo articolo 190-bis.3 nel Testo Unico della Finanza (TUF). La norma disciplina le sanzioni amministrative applicabili alle Società di Intermediazione Mobiliare (SIM), alle Società di Gestione del Risparmio (SGR), alle Società di Investimento a Capitale Variabile (SICAV), alle Società di Investimento a Capitale Fisso (SICAF), nonché agli altri soggetti operanti nei mercati finanziari, con particolare attenzione ai fornitori terzi di servizi TIC.
Il primo comma dell’articolo 190-bis.3 del TUF stabilisce le sanzioni pecuniarie per l’inosservanza di una serie di obblighi imposti dal Regolamento (UE) 2022/2554, tra cui gli articoli 5, 6, 10, 12, 16, 17, 19 e 24, relativi alla resilienza operativa digitale e alla gestione del rischio informatico.
Per le SIM, le SGR, le SICAV, le SICAF, le controparti centrali e i gestori di mercati regolamentati, la sanzione può variare da 30.000 euro fino a 5 milioni di euro, oppure fino al 10% del fatturato annuo, qualora quest’ultimo risulti superiore a tale soglia. Per i depositari centrali di titoli, la sanzione può raggiungere 20 milioni di euro o il 10% del fatturato, mentre per i fornitori di servizi di crowdfunding, la sanzione pecuniaria è compresa tra 500 e 500.000 euro, con un limite del 5% del fatturato annuo. Analogamente, per gli amministratori di indici di riferimento critici, la sanzione massima è fissata a 1 milione di euro o il 10% del fatturato.
Il secondo comma dell’articolo 190-bis.3 introduce un regime sanzionatorio specifico per le persone fisiche che abbiano violato le disposizioni del Regolamento DORA. In caso di inadempienza da parte di amministratori, dirigenti o responsabili della compliance, la sanzione pecuniaria può variare da 5.000 euro fino a 5 milioni di euro, a seconda della gravità della violazione e del tipo di soggetto coinvolto. Per i fornitori di servizi di crowdfunding, la sanzione pecuniaria per le persone fisiche può arrivare a 500.000 euro, mentre per gli amministratori di indici di riferimento critici, la soglia massima è di 500.000 euro.
Il terzo comma dell’articolo 190-bis.3 disciplina un’ulteriore ipotesi di violazione, che riguarda il mancato rispetto di specifici obblighi previsti dagli articoli 7, 8, 9, 11, 13, 14, 18, 25, 26, 27, 28, 29, 30 e 31 del Regolamento DORA. In questi casi, la sanzione massima per SIM, SGR, SICAV, SICAF e controparti centrali può arrivare a 3,5 milioni di euro, oppure fino al 7% del fatturato annuo. Per i depositari centrali di titoli, la multa può raggiungere 14 milioni di euro, mentre per i fornitori di crowdfunding, la sanzione varia tra 500 e 350.000 euro, con un limite del 3,5% del fatturato.
Si prevedono specifiche sanzioni per le persone fisiche, qualora abbiano avuto un ruolo diretto nella violazione delle disposizioni del Regolamento DORA. In questi casi, l’importo della sanzione pecuniaria può arrivare a 3,5 milioni di euro per i soggetti responsabili di SIM, SGR, SICAV, SICAF e depositari centrali di titoli, e fino a 350.000 euro per i fornitori di servizi di crowdfunding e gli amministratori di indici di riferimento critici.
Il quinto comma dell’articolo 190-bis.3 introduce una clausola di responsabilità aggravata per i dirigenti, amministratori e soggetti che esercitano funzioni di controllo all’interno degli intermediari finanziari. Se la violazione è conseguenza del mancato rispetto di obblighi specifici o ha inciso significativamente sulla gestione del rischio aziendale, il soggetto responsabile potrà essere sanzionato personalmente. Inoltre, se la violazione ha comportato l’inosservanza di provvedimenti adottati da Consob o Banca d’Italia, la sanzione sarà più severa.
Vi è una sanzione rafforzata nel caso in cui la violazione abbia comportato un vantaggio economico superiore al massimo della multa prevista. In questo caso, la sanzione potrà essere raddoppiata fino a un importo pari al doppio del vantaggio economico ottenuto, purché l’ammontare sia determinabile.
Infine, il settimo comma dell’articolo 190-bis.3 prevede sanzioni accessorie per i soggetti responsabili di violazioni gravi. In caso di infrazione particolarmente rilevante, potrà essere applicata l’interdizione dall’esercizio di funzioni di amministrazione, direzione o controllo all’interno di intermediari finanziari, per un periodo compreso tra sei mesi e tre anni.
Conclusioni
Il decreto DORA introduce un impianto normativo tecnico e articolato, caratterizzato da un elevato grado di complessità e da numerosi rinvii al Regolamento (UE) 2022/2554 e alla normativa settoriale preesistente. La sua applicazione presuppone una conoscenza approfondita del diritto bancario e dei mercati finanziari, oltre che una padronanza della disciplina in materia di cybersicurezza. L’integrazione tra questi due ambiti giuridici evidenzia la volontà del legislatore di rafforzare la resilienza operativa digitale attraverso un approccio interdisciplinare, che impone agli operatori finanziari di adottare misure strutturali per la sicurezza delle infrastrutture digitali.
Un ulteriore elemento di rilievo decreto DORA è rappresentato dalla gradualità dell’applicazione del Regolamento, che prevede un’attivazione progressiva degli obblighi normativi e un modello di compliance a più livelli. Questo implica che gli operatori soggetti alla disciplina debbano predisporre un piano di adeguamento dettagliato, rispettando le scadenze normative per evitare di trovarsi impreparati all’entrata in vigore delle disposizioni più stringenti. L’obbligo di segnalazione degli incidenti TIC, l’adozione di test di resilienza operativa e il monitoraggio della supply chain digitale impongono una pianificazione accurata, in modo da integrare le nuove misure di sicurezza all’interno della governance aziendale.
Il nostro Studio è a disposizione per supportare imprese e intermediari finanziari nell’adeguamento alla normativa, offrendo consulenza specialistica in materia di corporate compliance e cybersicurezza. L’approccio integrato e interdisciplinare dello Studio consente di affiancare le aziende nel processo di implementazione delle misure richieste dal decreto DORA, garantendo un supporto strategico nella definizione dei modelli organizzativi e nella gestione delle nuove responsabilità operative.
da Redazione | Mar 6, 2025 | Diritto d'Impresa
Il settore dei crediti in sofferenza è stato recentemente oggetto di un significativo intervento normativo volto a garantire maggiore trasparenza e stabilità nel mercato secondario del credito. Con il decreto legislativo n. 116 del 2024, l’Italia ha recepito la Direttiva (UE) 2021/2167 (Secondary Market Directive – SMD), introducendo un nuovo quadro regolatorio per gli acquirenti e i gestori di crediti in sofferenza.
La riforma, inserita nel Capo II del Titolo V del Testo Unico Bancario (TUB), ha comportato rilevanti novità, tra cui l’introduzione della figura del Gestore di crediti in sofferenza (Gestore NPL), soggetto vigilato e autorizzato dalla Banca d’Italia.
In attuazione di questa normativa, il 13 febbraio 2025 la Banca d’Italia ha pubblicato le Disposizioni di vigilanza per la gestione di crediti in sofferenza, disciplinando le condizioni per l’accesso al mercato, gli obblighi informativi e le modalità di operatività. Queste nuove regole hanno un impatto rilevante sugli operatori del settore, imponendo adempimenti specifici e scadenze rigorose per la regolarizzazione della loro attività.
Il presente articolo si propone di illustrare le principali novità introdotte, soffermandosi in particolare sulle tempistiche per l’autorizzazione e sugli obblighi connessi alla gestione dei crediti in sofferenza.
Crediti in sofferenza: il nuovo quadro normativo e il ruolo della Banca d’Italia
Il decreto legislativo n. 116/2024 ha riformato la disciplina dei crediti in sofferenza, introducendo un assetto normativo che regola l’attività degli acquirenti e dei gestori di crediti deteriorati, con l’obiettivo di garantire un mercato più trasparente ed efficiente. La riforma si inserisce nell’ambito del recepimento della Direttiva (UE) 2021/2167, che mira a facilitare lo sviluppo del mercato secondario dei crediti non performanti e a rafforzare le tutele nei confronti dei debitori ceduti.
A tal fine, il legislatore italiano ha modificato il Testo Unico Bancario (TUB), introducendo il nuovo Capo II del Titolo V, che disciplina le condizioni di accesso e operatività per i soggetti coinvolti nella gestione dei crediti in sofferenza.
Uno degli aspetti centrali della riforma è la regolamentazione dell’attività del Gestore di crediti in sofferenza (Gestore NPL), figura professionale che assume un ruolo chiave nella gestione dei crediti deteriorati. La normativa stabilisce che tali soggetti siano sottoposti a un regime autorizzativo e di vigilanza da parte della Banca d’Italia, al fine di assicurare il rispetto di elevati standard di correttezza e trasparenza.
Le nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza, pubblicate il 13 febbraio 2025, disciplinano in dettaglio i requisiti organizzativi e operativi che i Gestori devono rispettare, nonché gli obblighi informativi nei confronti dell’Autorità di Vigilanza e dei potenziali acquirenti di crediti in sofferenza.
Il nuovo quadro normativo ha profonde implicazioni per il mercato, poiché introduce regole più stringenti per i soggetti che operano nel settore, ridefinendo le modalità con cui i crediti in sofferenza possono essere acquistati, gestiti ed eventualmente recuperati. In tale contesto, la Banca d’Italia ha assunto un ruolo centrale nel garantire la corretta applicazione della normativa, esercitando poteri di autorizzazione e supervisione per assicurare che l’attività dei Gestori NPL risponda ai principi di stabilità e tutela dei debitori.
Nell’ambito della nuova disciplina, per crediti in sofferenza si intendono le esposizioni creditizie per cassa e “fuori bilancio” nei confronti di soggetti che versano in uno stato di insolvenza, anche non accertato giudizialmente, o in situazioni assimilabili, indipendentemente dalle previsioni di perdita formulate dalla banca. Sono escluse le esposizioni la cui criticità sia riconducibile a profili di rischio legati al Paese di riferimento.
La gestione di crediti in sofferenza, invece, comprende una serie di attività finalizzate all’amministrazione di tali crediti, tra cui la riscossione e il recupero dei pagamenti dovuti dai debitori, la rinegoziazione dei termini e delle condizioni contrattuali in conformità alle istruzioni dell’acquirente, la gestione dei reclami presentati dai debitori e la comunicazione di eventuali variazioni relative agli oneri finanziari o ai pagamenti dovuti.
Crediti in sofferenza: i requisiti per l’autorizzazione dei Gestori NPL
L’accesso al mercato della gestione di crediti in sofferenza è subordinato all’ottenimento di un’apposita autorizzazione da parte della Banca d’Italia, che verifica il possesso di requisiti stringenti sotto il profilo organizzativo, patrimoniale e di onorabilità. La disciplina introdotta dal decreto legislativo n. 116 del 2024 prevede che i soggetti che intendono operare come Gestori di crediti in sofferenza (gestori NPL) debbano soddisfare una serie di condizioni, tra cui il possesso di specifici requisiti di idoneità da parte dei titolari di partecipazioni qualificate e degli esponenti aziendali.
In particolare, le Disposizioni di vigilanza per la gestione di crediti in sofferenza, pubblicate dalla Banca d’Italia il 13 febbraio 2025, stabiliscono che il soggetto richiedente debba dimostrare un’adeguata struttura organizzativa, un efficace sistema di controlli interni e procedure idonee a garantire la corretta gestione dei crediti in sofferenza.
L’iter per l’ottenimento dell’autorizzazione segue un procedimento rigoroso e strutturato. La Banca d’Italia, attraverso la funzione di licensing, esamina le domande per valutare la sussistenza dei requisiti previsti dalla normativa. Il procedimento autorizzativo si articola in più fasi e ha una durata massima di 90 giorni a decorrere dalla ricezione di una domanda completa.
Qualora la documentazione presentata sia ritenuta incompleta, l’Autorità di Vigilanza può richiedere integrazioni, che dovranno essere fornite entro il termine indicato nella comunicazione della richiesta. Durante il processo di valutazione, la Banca d’Italia esamina i profili di solidità patrimoniale e gestionale del richiedente, nonché il rispetto degli obblighi in materia di trasparenza e tutela del debitore.
Tra gli ulteriori requisiti imposti dalla normativa rientra la necessità che il gestore NPL mantenga un’operatività sostanziale, evitando di trasformarsi in una mera entità formale priva di autonomia gestionale.
La normativa impone, infatti, che il soggetto autorizzato svolga direttamente almeno una parte delle attività di gestione dei crediti in sofferenza, garantendo l’adeguatezza delle proprie strutture e procedure operative. Questo requisito è volto a prevenire il fenomeno della delega totale a terzi senza un’effettiva supervisione interna, assicurando che i Gestori NPL mantengano un ruolo attivo e responsabile nell’amministrazione dei crediti deteriorati.
Crediti in sofferenza: obblighi informativi e attività dei gestori
Le nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza, emanate dalla Banca d’Italia, non si limitano a disciplinare il processo di autorizzazione, ma introducono anche una serie di obblighi informativi e operativi che i gestori di crediti in sofferenza devono rispettare nel corso della loro attività. La normativa prevede un quadro dettagliato di adempimenti volti a garantire trasparenza, stabilità e un’adeguata protezione dei debitori coinvolti nelle operazioni di gestione dei crediti in sofferenza.
Le Disposizioni di vigilanza si articolano in due parti principali. La prima parte disciplina gli obblighi e le modalità operative dei Gestori NPL, specificando le condizioni di operatività sia in Italia che all’estero, l’organizzazione amministrativa e contabile e il sistema di controlli interni.
La seconda parte riguarda gli obblighi informativi imposti a banche e intermediari finanziari che cedono crediti in sofferenza o che ne gestiscono il recupero per conto di acquirenti terzi. In particolare, questi soggetti sono tenuti a fornire alla Banca d’Italia una serie di informazioni sulla natura e sulla gestione dei crediti in sofferenza, nonché a garantire adeguata informativa nei confronti dei potenziali acquirenti e delle autorità di vigilanza.
Un aspetto rilevante della nuova disciplina è la possibilità per i Gestori NPL di esternalizzare alcune attività di gestione a soggetti terzi, come le società di recupero crediti autorizzate ai sensi dell’articolo 115 del TULPS. Tuttavia, la normativa impone precise limitazioni: il Gestore NPL rimane responsabile della corretta amministrazione dei crediti in sofferenza e deve garantire che il soggetto esternalizzato operi nel rispetto delle disposizioni vigenti.
Crediti in sofferenza: le scadenze per l’autorizzazione e il periodo transitorio
L’introduzione delle nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza ha previsto un regime transitorio volto a consentire agli operatori già attivi di adeguarsi alle nuove regole senza interruzioni operative.
Il 10 marzo 2025 è la data presumibile di pubblicazione delle Disposizioni di vigilanza nella Gazzetta Ufficiale. Dal giorno successivo, le nuove regole entreranno ufficialmente in vigore e inizierà a decorrere il periodo transitorio. Da questo momento, tutti i soggetti che già operano nel settore della gestione di crediti in sofferenza dovranno valutare attentamente i requisiti imposti dalla normativa e provvedere a regolarizzare la propria posizione.
Assumendo che le Disposizioni saranno effettivamente pubblicate in Gazzetta il 10 marzo 2025, il primo termine fondamentale da rispettare è quello del 10 giugno 2025, data entro la quale i soggetti già attivi nel mercato devono presentare domanda di autorizzazione alla Banca d’Italia. La normativa prevede che coloro che inoltrano l’istanza entro questa scadenza possano continuare a operare fino alla conclusione del procedimento autorizzativo, anche oltre la fine del periodo transitorio.
Coloro che, invece, non presentano domanda entro il 10 giugno 2025, avranno tempo fino al 10 settembre 2025 per cessare definitivamente l’attività. Superata questa data, qualsiasi operatore sprovvisto di autorizzazione sarà escluso dal mercato e non potrà più svolgere attività di gestione di crediti in sofferenza.
Queste scadenze assumono particolare rilievo per tutti gli operatori che intendono mantenere la propria operatività nel settore. Il mancato rispetto dei termini stabiliti dalla Banca d’Italia potrebbe comportare non solo l’impossibilità di proseguire l’attività, ma anche l’applicazione di sanzioni o misure di vigilanza per chi operasse in assenza di autorizzazione.
Per questo motivo, la tempestiva presentazione dell’istanza di autorizzazione entro il 10 giugno 2025 rappresenta un passaggio imprescindibile per garantire la continuità aziendale e l’adeguamento alla nuova disciplina.
Calendario delle scadenze per l’autorizzazione dei Gestori di crediti in sofferenza
- 13 febbraio 2025 – Pubblicazione delle Disposizioni di vigilanza per la gestione di crediti in sofferenza sul sito della Banca d’Italia.
- 10 marzo 2025 – Presumibile pubblicazione in Gazzetta Ufficiale delle Disposizioni; dal giorno successivo le nuove regole entrano in vigore.
- 10 giugno 2025 – Termine ultimo per la presentazione della domanda di autorizzazione per i soggetti già operativi.
- 10 settembre 2025 – Termine per la cessazione dell’attività per i soggetti che non hanno presentato domanda entro il 10 giugno.
- I soggetti che presentano domanda entro il 10 giugno 2025 possono continuare a operare fino alla conclusione del procedimento, anche oltre il 10 settembre 2025.
Crediti in sofferenza e domanda di autorizzazione
L’introduzione delle nuove Disposizioni di vigilanza per la gestione di crediti in sofferenza segna un importante passo avanti nella regolamentazione del mercato secondario dei crediti deteriorati, imponendo requisiti stringenti per i soggetti che intendono operare nel settore. La necessità di ottenere l’autorizzazione da parte della Banca d’Italia e il rispetto degli obblighi informativi e organizzativi rappresentano elementi fondamentali per garantire la stabilità del mercato e la tutela dei debitori.
Il rispetto delle scadenze previste per la presentazione delle istanze di autorizzazione e per la cessazione dell’attività, ove necessario, è essenziale per evitare l’exit dal mercato e possibili sanzioni.
Il nostro studio legale fornisce consulenza e assistenza legale alle imprese nei rapporti con le autorità pubbliche di vigilanza, supportando gli operatori nella corretta applicazione della normativa e nella predisposizione delle istanze autorizzative.
Per qualsiasi chiarimento sulla disciplina relativa alla gestione di crediti in sofferenza o per assistenza nella fase di adeguamento ai nuovi requisiti, è possibile contattarci per una consulenza specifica.
Lo Studio Legale D’Agostino offre consulenza in corporate compliance e diritto commerciale per aziende, con soluzioni legali mirate a garantire il rispetto delle normative.
da Redazione | Feb 14, 2025 | Diritto d'Impresa
La clausola di salvaguardia NIS 2 permette un’applicazione più proporzionata della normativa. Al riguardo, il Decreto legislativo 4 settembre 2024, n. 138 (c.d. Decreto NIS 2) ammette la possibilità per le imprese di una esenzione soggettiva con deroga ai criteri di commisurazione delle medie e grandi imprese.
Più precisamente, il combinato disposto dei commi 4 e 12 dell’art. 3 del decreto NIS prevede che: «Per determinare se un soggetto è da considerarsi una media o grande impresa ai sensi dell’articolo 2 dell’allegato della raccomandazione 2003/361/CE, si applica l’articolo 6, paragrafo 2, del medesimo allegato, salvo che ciò non sia proporzionato, tenuto anche conto dell’indipendenza del soggetto dalle sue imprese collegate in termini di sistemi informativi e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce […]L’Autorità nazionale competente NIS applica la clausola di salvaguardia di cui al comma 4, secondo i criteri per la determinazione individuati con le modalità di cui all’articolo 40, comma 1».
Con la pubblicazione del Decreto del Presidente del Consiglio dei Ministri 9 dicembre 2024, n. 221 sulla Gazzetta Ufficiale del 10 febbraio 2025, sono stati definiti i criteri e le modalità con cui determinati soggetti possono richiedere l’esenzione dagli obblighi previsti dal Decreto NIS 2, qualora l’inclusione nel perimetro di applicazione della normativa risulti sproporzionata rispetto alla loro effettiva operatività in ambito di cybersicurezza.
L’introduzione della Clausola di salvaguardia NIS 2 si inserisce nel quadro delle misure adottate per l’attuazione della Direttiva (UE) 2022/2555 (NIS 2), finalizzate a garantire un livello elevato e uniforme di sicurezza informatica all’interno dell’Unione Europea.
Il legislatore ha riconosciuto la necessità di prevedere meccanismi di esenzione per quei soggetti che, pur rientrando nel perimetro di applicazione della normativa, presentano caratteristiche tali da giustificare una deroga agli obblighi previsti. Il DPCM 221/2024 stabilisce quindi i criteri per accedere alla clausola di salvaguardia NIS 2, individuando specifici requisiti di indipendenza operativa che devono essere soddisfatti affinché un’impresa possa richiedere l’esclusione dal regime di compliance previsto dal Decreto NIS 2.
L’esenzione mira a evitare che le imprese con un impatto marginale nel contesto della cybersicurezza nazionale o che presentano un’elevata autonomia operativa rispetto al gruppo di appartenenza siano gravate da obblighi sproporzionati rispetto al loro ruolo effettivo nel sistema informatico e di rete nazionale. La possibilità di ottenere tale esenzione è però subordinata alla verifica di rigorosi criteri di indipendenza, i quali saranno analizzati nei paragrafi successivi.
Criteri di applicazione della clausola di salvaguardia NIS 2
Il DPCM 221/2024, all’articolo 3, definisce i criteri specifici per la richiesta di applicazione della Clausola di salvaguardia NIS 2, stabilendo le condizioni che un soggetto deve soddisfare per essere escluso dagli obblighi previsti dal Decreto NIS 2. In particolare, la normativa individua come elemento essenziale la totale indipendenza operativa e informatica del soggetto richiedente rispetto alle altre imprese collegate.
Affinché un’impresa possa beneficiare della clausola di salvaguardia NIS 2, essa deve attestare la totale indipendenza dei propri sistemi informativi e di rete NIS da quelli delle imprese collegate. Ciò significa che i sistemi informativi e le infrastrutture di rete utilizzati dal soggetto richiedente devono essere completamente autonomi e non devono dipendere, in alcun modo, dalle infrastrutture informatiche delle altre aziende appartenenti al medesimo gruppo.
L’indipendenza deve riguardare non solo le componenti hardware e software, ma anche i flussi di dati e le interconnessioni, evitando qualsiasi forma di interdipendenza tecnologica che potrebbe compromettere la separazione operativa.
Parallelamente, la normativa richiede che il soggetto dimostri la totale indipendenza delle proprie attività e dei propri servizi NIS rispetto alle imprese collegate. In altri termini, le attività e i servizi che rientrano nell’ambito di applicazione del Decreto NIS 2 non devono essere in alcun modo influenzati da altre realtà societarie appartenenti allo stesso gruppo. La separazione deve essere assoluta, senza alcuna condivisione di risorse operative, tecniche o di personale che possa compromettere l’autonomia della gestione dei servizi NIS.
Non tutti i soggetti rientranti nel perimetro di applicazione della normativa possono richiedere l’attivazione della clausola di salvaguardia NIS 2. L’articolo 3, comma 10, del Decreto NIS 2 stabilisce infatti che determinati enti e organizzazioni, in ragione della loro natura e delle funzioni svolte, non possono beneficiare di tale esenzione.
Pertanto, prima di presentare la richiesta, è necessario verificare con attenzione l’effettiva sussistenza dei requisiti di indipendenza operativa e tecnologica, al fine di evitare il rigetto dell’istanza da parte dell’Autorità nazionale competente NIS.
L’individuazione di criteri così stringenti evidenzia come il legislatore abbia voluto limitare l’accesso alla Clausola di salvaguardia NIS 2 ai soli soggetti che, per caratteristiche oggettive, risultano realmente estranei ai rischi sistemici connessi alla cybersicurezza nazionale.
Procedura per richiedere e applicare la clausola di salvaguardia NIS 2
Il DPCM 221/2024 stabilisce che la richiesta di applicazione della clausola di salvaguardia NIS 2 debba essere presentata attraverso un’apposita procedura. In particolare, l’articolo 4 del DPCM disciplina le modalità con cui i soggetti che ritengano di possedere i requisiti di indipendenza operativa e tecnologica possono ottenere l’esenzione dagli obblighi previsti dalla normativa.
Il procedimento ha inizio con la registrazione del soggetto richiedente sulla piattaforma digitale prevista dall’articolo 7, comma 1, del Decreto NIS 2. Nel corso di tale registrazione, il soggetto deve esplicitamente dichiarare di soddisfare i requisiti previsti dall’articolo 3 del DPCM 221/2024, attestando la totale indipendenza dei propri sistemi informativi e di rete e la totale indipendenza delle proprie attività e servizi NIS rispetto alle imprese collegate.
La dichiarazione deve essere resa in modo veritiero e completo, in quanto le informazioni fornite saranno oggetto di verifica da parte dell’Autorità nazionale competente NIS.
La scadenza per la presentazione della richiesta è fissata al 28 febbraio 2025, termine entro il quale tutti i soggetti interessati dovranno aver completato la procedura di registrazione e trasmissione dell’istanza. Una volta inoltrata la richiesta, l’Autorità nazionale competente NIS procederà alla valutazione delle dichiarazioni rese, verificando la sussistenza effettiva delle condizioni per l’applicazione della clausola di salvaguardia NIS 2.
L’esito del procedimento verrà comunicato al soggetto richiedente attraverso la stessa piattaforma digitale utilizzata per la registrazione. Qualora l’Autorità nazionale competente NIS accolga la richiesta, il soggetto sarà esonerato dagli obblighi previsti dalla normativa. In caso di rigetto, invece, il soggetto dovrà conformarsi pienamente alla normativa, implementando tutte le misure di cybersicurezza previste per la propria categoria di appartenenza.
È importante sottolineare che la richiesta di esenzione è soggetta a responsabilità dichiarativa, in quanto l’articolo 76 del DPR 445/2000 prevede sanzioni per le dichiarazioni mendaci rese nell’ambito di procedimenti amministrativi. Di conseguenza, la compilazione della richiesta deve essere effettuata con la massima attenzione, evitando inesattezze o omissioni che potrebbero pregiudicare l’accoglimento dell’istanza o determinare conseguenze sanzionatorie per il soggetto richiedente.
Clausola di salvaguardia NIS 2: attenzione alla corretta gestione degli adempimenti
Il DPCM 221/2024 ha chiarito con precisione i criteri di applicazione della clausola, evidenziando la necessità di un’indipendenza assoluta sia dal punto di vista informatico che gestionale. La normativa ha introdotto requisiti stringenti, proprio per evitare che l’esenzione possa essere richiesta in assenza di reali presupposti.
La procedura per ottenere l’applicazione della Clausola di salvaguardia NIS 2 deve essere gestita con particolare attenzione, poiché prevede la presentazione di una dichiarazione formale da parte del soggetto richiedente, il quale è tenuto ad attestare, sotto la propria responsabilità, la totale indipendenza dei propri sistemi informativi e di rete e delle proprie attività e servizi NIS rispetto alle imprese collegate. Inoltre, l’Autorità nazionale competente effettuerà verifiche sulle istanze presentate, valutando caso per caso la fondatezza delle dichiarazioni rese.
Considerata la complessità della disciplina e la necessità di garantire la piena conformità alle disposizioni del Decreto NIS 2, è opportuno che le imprese valutino con attenzione la propria posizione prima di procedere con la richiesta di esenzione. Un’analisi accurata dei requisiti e una gestione scrupolosa della procedura possono ridurre il rischio di errori o dichiarazioni inesatte, che potrebbero comportare il rigetto dell’istanza o altre conseguenze sul piano amministrativo.
In questo contesto, il supporto di figure specializzate in compliance normativa e cybersicurezza può risultare di particolare utilità, sia nella fase di valutazione preliminare sia nella predisposizione della documentazione necessaria, assicurando un approccio metodico e conforme alle prescrizioni della normativa vigente.
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2. Applicazione della clausola di salvaguardia NIS 2
da Redazione | Feb 7, 2025 | Diritto d'Impresa
La disciplina della start up innovativa è stata introdotta con il Decreto Legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla Legge 17 dicembre 2012, n. 221, per sostenere la nascita e lo sviluppo di imprese ad alto contenuto tecnologico, favorire l’occupazione giovanile e incentivare la crescita del tessuto economico nazionale.
Una start up innovativa deve soddisfare precisi requisiti giuridici, economici e tecnologici, al fine di beneficiare delle misure di agevolazione previste dalla legge. In primis, la società dovrà completare la registrazione nella sezione speciale del Registro delle Imprese, un passaggio ineludibile per poter accedere agli incentivi societari e fiscali.
Il presente articolo ha l’obiettivo di fornire una guida sintetica sui requisiti per la start up innovativa e sulle modalità di iscrizione nella sezione speciale del Registro delle Imprese, in conformità alla normativa vigente. Nel prosieguo dell’articolo, verranno dunque illustrati i criteri di ammissibilità per ottenere la qualifica di start up innovativa, le caratteristiche richieste dalla legge, le modalità di iscrizione e gli obblighi di aggiornamento delle informazioni.
Verrà, inoltre, analizzata la disciplina specifica per le start up innovative a vocazione sociale, nonché il passaggio a PMI innovativa nel caso in cui l’impresa perda i requisiti per il mantenimento dello status.
Start up innovativa: i requisiti generali
La qualificazione come start up innovativa è subordinata al rispetto di una serie di requisiti normativi, delineati dall’art. 25 del D.L. 179/2012, che ne definisce le caratteristiche fondamentali. L’obiettivo del legislatore è quello di individuare un modello imprenditoriale altamente specializzato, caratterizzato da una significativa componente tecnologica e innovativa.
Ai fini della sua costituzione e del mantenimento della qualifica, una start up innovativa deve assumere la forma di società di capitali, anche in forma cooperativa, e non deve avere azioni o quote rappresentative del capitale sociale quotate su un mercato regolamentato o su un sistema multilaterale di negoziazione. Inoltre, deve essere costituita e operativa da non più di sessanta mesi, requisito che mira a garantire il sostegno alle sole imprese di recente formazione, coerentemente con la ratio della normativa.
Dal punto di vista territoriale, la start up innovativa deve essere residente in Italia, ai sensi dell’art. 73 del D.P.R. 22 dicembre 1986, n. 917, o avere sede in uno Stato membro dell’Unione Europea o dello Spazio Economico Europeo, a condizione che disponga di almeno una sede operativa o una filiale sul territorio italiano. Tale vincolo è volto a incentivare l’attrazione di investimenti e competenze nel contesto nazionale, assicurando che l’attività imprenditoriale generi effetti diretti sull’economia italiana.
Sul piano economico, il legislatore ha introdotto ulteriori vincoli per qualificare un’impresa come start up innovativa. In particolare, il valore della produzione annua, a decorrere dal secondo anno di attività, non può eccedere la soglia di 5 milioni di euro, come risultante dall’ultimo bilancio approvato entro sei mesi dalla chiusura dell’esercizio.
Inoltre, la società non deve aver distribuito utili sin dalla sua costituzione e deve mantenere tale vincolo per l’intera durata del periodo in cui beneficia delle agevolazioni previste dalla normativa di riferimento.
Elemento essenziale per la qualificazione di start up innovativa è la finalità dell’attività d’impresa. La società deve avere quale oggetto sociale esclusivo o prevalente lo sviluppo, la produzione e la commercializzazione di prodotti o servizi innovativi ad alto valore tecnologico.
Infine, per prevenire abusi e garantire l’effettiva innovatività del progetto imprenditoriale, è previsto il divieto di costituire una start up innovativa a seguito di fusioni, scissioni societarie o cessioni d’azienda o di ramo d’azienda. Questa disposizione mira a evitare che soggetti già operativi nel mercato si avvalgano in modo improprio delle agevolazioni previste dalla normativa, riservandole esclusivamente alle realtà di nuova o recente costituzione.
Start up innovativa: i requisiti tecnologici e di ricerca
Oltre ai requisiti di carattere giuridico ed economico, la normativa vigente impone alle imprese che intendano qualificarsi come start up innovativa il rispetto di specifici criteri volti a garantire l’effettivo carattere innovativo della loro attività. Tali criteri sono espressamente disciplinati dall’art. 25, comma 2 del D.L. 179/2012, e si riferiscono alla capacità dell’impresa di sviluppare prodotti o servizi a elevato contenuto tecnologico e alla presenza di un significativo investimento in ricerca e sviluppo.
Più precisamente, affinché un’impresa possa ottenere e mantenere lo status di start up innovativa, è necessario che rispetti almeno uno dei seguenti tre requisiti:
1) Investimenti in ricerca e sviluppo
La società deve destinare alle attività di ricerca e sviluppo almeno il 15% del maggiore valore tra costo e valore totale della produzione. Tale parametro è determinabile sulla base del bilancio annuale della società e, in assenza di bilancio nel primo anno di attività, può essere autocertificato dal legale rappresentante. Ai fini del calcolo di questa soglia minima, la normativa considera ammissibili diverse voci di spesa, tra cui:
- costi relativi a sperimentazione, prototipazione e sviluppo del business plan;
- spese per servizi di incubazione forniti da incubatori certificati;
- costi lordi del personale impiegato in attività di ricerca e sviluppo, inclusi soci e amministratori con funzioni tecniche;
- spese legali e amministrative per la registrazione e protezione della proprietà intellettuale.
2) Personale altamente qualificato
L’impresa deve impiegare, come dipendenti o collaboratori a qualsiasi titolo, una percentuale significativa di personale con una qualificazione accademica elevata. In particolare, è richiesto che almeno:
- un terzo della forza lavoro complessiva sia costituito da soggetti in possesso di titolo di dottorato di ricerca, o che stiano svolgendo un dottorato presso un’università italiana o estera, o che abbiano svolto per almeno tre anni attività di ricerca certificata presso istituti pubblici o privati in Italia o all’estero; oppure
- due terzi della forza lavoro complessiva siano in possesso di una laurea magistrale.
Un tale requisito mira a garantire che l’impresa disponga di un capitale umano altamente qualificato, in grado di sviluppare soluzioni tecnologiche avanzate e di contribuire all’innovazione nei settori di riferimento.
3) Tutela della proprietà intellettuale e industriale
La start up innovativa deve essere titolare, depositaria o licenziataria di almeno una privativa industriale afferente alla propria attività, come:
- un brevetto per invenzione industriale o biotecnologica;
- una topografia di prodotto a semiconduttori;
- una nuova varietà vegetale;
- un diritto d’autore su software registrato presso il Registro pubblico speciale per i programmi per elaboratore.
Questa disposizione è volta a incentivare lo sviluppo di nuove tecnologie e a rafforzare la competitività delle imprese innovative attraverso la tutela giuridica delle loro creazioni.
L’adempimento di almeno uno di questi tre criteri è condizione imprescindibile per ottenere e mantenere la qualifica di start up innovativa. La verifica del rispetto di tali requisiti avviene annualmente attraverso il deposito della dichiarazione di mantenimento dei requisiti presso il Registro delle Imprese.
Start up innovativa: le modalità di iscrizione nella sezione speciale del Registro delle Imprese
Con l’iscrizione nella sezione speciale del Registro delle Imprese la start up innovativa potrà accedere alle agevolazioni previste dalla normativa di riferimento. L’art. 25 del D.L. 179/2012 stabilisce che tale iscrizione si affianca alla registrazione nella sezione ordinaria.
La procedura di registrazione varia a seconda che si tratti di una società di nuova costituzione o di una società già esistente che intenda ottenere la qualifica di start up innovativa.
A. Iscrizione della start up innovativa di nuova costituzione
Nel caso di una società di nuova costituzione, la richiesta di iscrizione nella sezione speciale deve avvenire contestualmente alla registrazione dell’atto costitutivo presso il Registro delle Imprese.
La domanda di iscrizione deve essere presentata in forma telematica mediante Comunicazione Unica, trasmessa alla Camera di Commercio territorialmente competente. Tale comunicazione ha validità anche ai fini fiscali e previdenziali, in quanto viene automaticamente trasmessa anche all’Agenzia delle Entrate, all’INPS e all’INAIL.
L’iscrizione nella sezione speciale del Registro delle Imprese avviene in parallelo alla registrazione nella sezione ordinaria, costituendo una condizione essenziale per beneficiare delle deroghe al diritto societario e delle agevolazioni previste.
È prevista l’esenzione dal pagamento dell’imposta di bollo e dei diritti di segreteria per gli adempimenti legati all’iscrizione della società nel Registro delle Imprese, nonché l’esenzione dal pagamento del diritto annuale dovuto alle Camere di Commercio. Tuttavia, tale beneficio ha una durata limitata e non si estende oltre il quinto anno di iscrizione.
L’impresa deve avviare l’attività contestualmente alla sua costituzione. Qualora la start up innovativa non comunichi l’inizio attività al momento della registrazione, non potrà richiedere l’iscrizione nella sezione speciale e sarà soggetta ai normali obblighi fiscali e amministrativi previsti per le società di capitali.
Un ulteriore requisito imposto dal legislatore è l’obbligo di trasparenza. L’art. 25, comma 11 del D.L. 179/2012 impone infatti alla start up innovativa di rendere pubblicamente disponibili sul proprio Sito Internet una serie di informazioni, tra cui:
- data e luogo di costituzione, nome e indirizzo del notaio rogante;
- sede principale e sedi secondarie;
- oggetto sociale, con una descrizione chiara dell’attività svolta;
- spese in ricerca e sviluppo, con una previsione dettagliata per il primo anno di attività;
- elenco dei soci in equity, garantendo trasparenza rispetto a eventuali partecipazioni fiduciarie o holding;
- elenco delle società partecipate;
- titoli di studio e qualifiche professionali dei soci e dei dipendenti;
- relazioni con incubatori certificati, investitori istituzionali o università;
- bilancio annuale, in formato XBRL, depositato presso il Registro delle Imprese;
- diritti di proprietà industriale e intellettuale eventualmente detenuti.
B. Iscrizione della start up innovativa per società già costituite
Per le società già costituite che intendano acquisire lo status di start up innovativa, la normativa prevede una procedura di registrazione differente. In questo caso, l’iscrizione alla sezione speciale del Registro delle Imprese avviene successivamente alla costituzione, e la domanda deve essere trasmessa in via telematica tramite Comunicazione Unica, con l’utilizzo del modello informatico S2.
Anche in questo caso, l’iscrizione nella sezione speciale non sostituisce l’iscrizione già avvenuta nella sezione ordinaria del Registro delle Imprese, ma si aggiunge ad essa.
Sia per le società di nuova costituzione, sia per quelle già operative, il completamento della registrazione nella sezione speciale consente alla start up innovativa di accedere alle deroghe previste dal diritto societario, nonché ai benefici fiscali e previdenziali correlati.
Start up innovativa: obblighi di aggiornamento e dichiarazione di mantenimento dei requisiti
L’iscrizione nella sezione speciale del Registro delle Imprese impone alla start up innovativa specifici obblighi di aggiornamento e comunicazione periodica, volti a garantire il costante monitoraggio dei requisiti richiesti dalla normativa. La disciplina di riferimento, delineata dall’art. 25 del D.L. 179/2012, prevede che le imprese beneficiarie delle agevolazioni debbano periodicamente confermare il possesso delle condizioni necessarie per il mantenimento dello status speciale.
A) Aggiornamento periodico delle informazioni
L’art. 25, comma 17-bis del D.L. 179/2012, introdotto con il D.L. 135/2018, stabilisce che la start up innovativa sia tenuta ad aggiornare almeno una volta all’anno le informazioni fornite al momento della richiesta di iscrizione nella sezione speciale. Tale aggiornamento è fondamentale per garantire la trasparenza verso il mercato e per consentire agli operatori economici e agli investitori di verificare la solidità e l’innovatività del progetto imprenditoriale.
L’aggiornamento deve essere effettuato attraverso la piattaforma digitale startup.registroimprese.it e riguarda i seguenti dati:
- composizione della compagine sociale, con indicazione delle eventuali modifiche intervenute;
- oggetto sociale, con particolare riferimento all’attività innovativa svolta;
- sede legale e operativa, inclusa l’eventuale apertura di nuove unità locali;
- bilancio annuale, con evidenza delle spese sostenute per ricerca e sviluppo;
- variazioni nelle partecipazioni societarie e nei rapporti con investitori o incubatori certificati;
- nuove privative industriali, brevetti o diritti di proprietà intellettuale acquisiti.
L’omessa comunicazione dell’aggiornamento può comportare difficoltà nell’accesso ai benefici previsti dalla normativa e rappresenta un indice di inattendibilità nei confronti degli investitori e delle istituzioni finanziarie.
B) Dichiarazione annuale di mantenimento dei requisiti
L’art. 25, comma 15 del D.L. 179/2012, come modificato dal D.L. 135/2018, impone inoltre l’obbligo di depositare annualmente una dichiarazione di mantenimento dei requisiti, da presentare entro 30 giorni dall’approvazione del bilancio e comunque entro sei mesi dalla chiusura dell’esercizio. In caso di adozione del termine lungo previsto dall’art. 2364 del Codice Civile, il deposito deve avvenire entro sette mesi dalla chiusura dell’esercizio sociale.
La dichiarazione, firmata digitalmente dal legale rappresentante della società, deve attestare il rispetto dei requisiti di ammissibilità e deve essere depositata presso il Registro delle Imprese attraverso il modello informatico S2.
La mancata presentazione della dichiarazione annuale ha conseguenze rilevanti: l’art. 25, comma 16 equipara l’omesso deposito alla perdita dei requisiti di start up innovativa, con conseguente cancellazione automatica dalla sezione speciale del Registro delle Imprese.
La normativa prevede un sistema di raccordo automatico tra l’aggiornamento annuale delle informazioni e la dichiarazione di mantenimento dei requisiti. In particolare, la piattaforma digitale del Registro delle Imprese impedisce il deposito della dichiarazione di mantenimento qualora la società non abbia prima provveduto ad aggiornare i propri dati.
Il rispetto di questi obblighi è dunque essenziale per preservare lo status di start up innovativa e continuare a beneficiare delle deroghe al diritto societario, delle agevolazioni fiscali e delle misure di sostegno previste dalla legge.
Start up innovativa e passaggio a PMI innovativa
Nel corso della sua evoluzione, una start up innovativa può perdere i requisiti previsti dalla normativa vigente e cessare di rientrare nella categoria di imprese soggette al regime agevolato. Il legislatore, tuttavia, ha previsto un meccanismo di transizione agevolata che consente alle società che abbiano superato i limiti stabiliti per le start up innovative di accedere alla disciplina delle PMI innovative, garantendo la continuità delle misure di sostegno e degli incentivi normativi.
La normativa stabilisce che una start up innovativa perde automaticamente il proprio status al decorso del termine massimo di sessanta mesi dalla costituzione, termine che rappresenta il limite temporale imposto dal legislatore per l’accesso alle agevolazioni riservate alle imprese emergenti. Lo stesso effetto si verifica qualora l’impresa superi il valore annuo della produzione di cinque milioni di euro, a partire dal secondo anno di attività, o distribuisca utili ai soci in violazione del divieto imposto dalla disciplina di riferimento.
Il venir meno dei requisiti può inoltre derivare dalla modifica dell’oggetto sociale, qualora la società cessi di operare nello sviluppo, nella produzione e nella commercializzazione di prodotti o servizi ad alto valore tecnologico, nonché dal mancato rispetto degli obblighi periodici di aggiornamento e dalla mancata presentazione della dichiarazione annuale di mantenimento dei requisiti.
In tali circostanze, l’impresa viene cancellata d’ufficio dalla sezione speciale del Registro delle Imprese, cessando di beneficiare delle deroghe al diritto societario e delle agevolazioni fiscali e amministrative previste per le start up innovative.
Al fine di evitare che il superamento dei limiti imposti dalla normativa determini una brusca interruzione delle misure di sostegno, il legislatore ha introdotto la possibilità per le start up innovative di effettuare il passaggio alla sezione speciale delle PMI innovative senza soluzione di continuità. Affinché ciò sia possibile, è necessario che l’impresa rientri nella definizione di piccola e media impresa, così come delineata dal Regolamento (UE) n. 651/2014, e che permangano i presupposti di innovatività richiesti per l’accesso alla categoria delle start up innovative.
In particolare, l’impresa deve continuare a destinare una quota significativa della propria attività alla ricerca e sviluppo, impiegare personale altamente qualificato oppure detenere privative industriali e diritti di proprietà intellettuale afferenti all’oggetto sociale. La società interessata al passaggio deve presentare un’apposita istanza di iscrizione nella sezione speciale delle PMI innovative, indicando le motivazioni della richiesta e attestando il mantenimento delle condizioni di innovatività.
L’iscrizione alla sezione speciale delle PMI innovative permette all’impresa di proseguire nel proprio percorso di crescita senza rinunciare ai benefici fiscali e normativi compatibili con la nuova categoria giuridica. In particolare, le PMI innovative possono continuare a beneficiare di agevolazioni fiscali sugli investimenti in capitale di rischio, semplificazioni amministrative in materia di deposito degli atti societari presso il Registro delle Imprese, facilitazioni nell’accesso al credito attraverso il Fondo di Garanzia per le PMI, nonché condizioni di favore per la partecipazione agli appalti pubblici e ai programmi di finanziamento europei dedicati all’innovazione.
Start up innovativa a vocazione sociale: requisiti e peculiarità
La disciplina delle start up innovative si applica anche a quelle imprese che, oltre a soddisfare i requisiti previsti dalla normativa generale, operano in via esclusiva in settori di rilevante interesse sociale. Il legislatore ha infatti introdotto la categoria delle start up innovative a vocazione sociale, disciplinata dall’art. 25, comma 4 del D.L. 179/2012, con l’intento di incentivare lo sviluppo di imprese che, pur conservando il carattere innovativo e tecnologico richiesto dalla normativa, perseguano finalità di impatto sociale in settori strategici per il benessere collettivo.
Ai fini del riconoscimento di tale qualifica, la società deve operare esclusivamente in uno o più settori individuati dall’art. 2, comma 1 del D.Lgs. 24 marzo 2006, n. 155, tra i quali rientrano: l’assistenza sociale e sanitaria, l’educazione e la formazione, la tutela dell’ambiente e dell’ecosistema, la valorizzazione del patrimonio culturale, il turismo sociale, la ricerca e l’erogazione di servizi culturali, nonché l’erogazione di servizi strumentali alle imprese sociali.
Il riconoscimento della qualifica di start up innovativa a vocazione sociale non richiede l’iscrizione nella sezione speciale del Registro delle Imprese dedicata alle imprese sociali, ma è subordinato alla presentazione di un’apposita autocertificazione da parte del legale rappresentante della società.
L’iter di riconoscimento prevede che l’impresa, in fase di iscrizione alla sezione speciale delle start up innovativa, indichi espressamente il settore di attività e attesti di realizzare, operando in tale ambito, una finalità di interesse generale.
Tale dichiarazione deve essere trasmessa attraverso la piattaforma digitale del Registro delle Imprese e deve essere accompagnata dall’impegno a dare evidenza dell’impatto sociale prodotto dall’attività aziendale. A tal fine, il legislatore ha imposto l’obbligo di redigere annualmente un Documento di Descrizione dell’Impatto Sociale, in cui l’impresa deve illustrare i risultati conseguiti in termini di beneficio per la collettività. Il documento, elaborato secondo le indicazioni fornite dal Ministero dello Sviluppo Economico, deve essere trasmesso alla Camera di Commercio territorialmente competente, a conferma della persistenza delle finalità di interesse generale dichiarate in sede di registrazione.
L’accesso alla qualifica di start up innovativa a vocazione sociale consente di beneficiare di un regime fiscale agevolato, con una maggiorazione degli incentivi per gli investimenti in capitale di rischio rispetto a quanto previsto per le start up innovative tradizionali. Tale misura mira a favorire l’afflusso di capitali privati verso imprese che, oltre a introdurre soluzioni innovative e tecnologicamente avanzate, si propongono di generare un impatto positivo sulla società e sull’ambiente.
Costituzione di una start up innovativa: assistenza legale dedicata
La start up innovativa è uno strumento che permette ai soci e ai promotori del progetto di poter beneficiare delle numerose misure di sostegno previste dal legislatore.
Il quadro normativo delineato dal D.L. 179/2012 e dalle successive modifiche impone alle start up precisi obblighi non solo in fase di prima registrazione, ma anche per il mantenimento dell’iscrizione nella sezione speciale del Registro delle Imprese.
In un quadro normativo complesso, la corretta gestione degli adempimenti e il rispetto delle condizioni richieste dalla legge risultano fondamentali per massimizzare i benefici derivanti dalla qualifica di start up innovativa.
L’esperienza che abbiamo maturato nell’ambito della corporate compliance e del diritto delle nuove tecnologie consente di fornire un supporto qualificato per affrontare le complesse dinamiche normative del settore, garantendo alle imprese innovative un’assistenza strategica finalizzata a una crescita sostenibile e conforme al quadro normativo vigente.
Per ricevere una consulenza personalizzata, lo Studio Legale D’Agostino è a disposizione per affiancare soci e promotori di una start-up innovativa nella crescita sicura e sostenibile del business.
Assistenza legale per start-up innovativa. Patti parasociali, costituzione Srl, iscrizione nel registro, protezione IP con lo Studio Legale D’Agostino.
da Redazione | Feb 4, 2025 | Diritto d'Impresa, Diritto Penale
La nomina dell’Organismo di Vigilanza garantisce l’effettività del Modello organizzativo 231, nell’ambito delle strategie aziendali di prevenzione dei reati all’interno dell’ente. L’Organismo di Vigilanza (OdV) è un organo di controllo indipendente, previsto dal D.lgs. 231/2001, con il compito di vigilare sull’efficace attuazione e aggiornamento del modello, segnalando eventuali irregolarità e proponendo misure correttive.
L’introduzione della responsabilità amministrativa degli enti ha determinato la necessità, per le imprese e le organizzazioni, di adottare strumenti di compliance aziendale in grado di ridurre il rischio di coinvolgimento in procedimenti sanzionatori.
Il modello organizzativo 231, se adeguatamente implementato e aggiornato, può costituire una causa esimente dalla responsabilità dell’ente, ma solo a condizione che sia stata la nomina dell’Organismo di Vigilanza, dotato dei requisiti di autonomia, indipendenza e professionalità.
L’OdV svolge quindi un ruolo chiave nel garantire che il modello non si riduca a un mero apparato formale, ma sia concretamente applicato nella gestione aziendale. La sua istituzione e il suo funzionamento devono essere regolati da criteri rigorosi, in modo da assicurare una vigilanza efficace sui processi interni e sugli obblighi di prevenzione dei reati.
Nei paragrafi successivi verranno approfonditi i criteri di nomina dell’Organismo di Vigilanza 231, i requisiti necessari per i suoi componenti, le sue principali funzioni e l’importanza dei flussi informativi come strumento essenziale per il corretto svolgimento della sua attività di controllo.
Nomina dell’Organismo di Vigilanza 231: criteri e modalità
La Nomina dell’Organismo di Vigilanza è un atto di fondamentale importanza per l’efficace attuazione del Modello organizzativo 231. Solitamente essa viene deliberata dal Consiglio di Amministrazione, sentito il Collegio Sindacale, con l’obiettivo di garantire che il soggetto o i soggetti designati abbiano i requisiti di autonomia, indipendenza e competenza richiesti dalla normativa. L’OdV può avere una composizione monocratica o collegiale, a seconda delle dimensioni e della complessità organizzativa dell’ente.
Per le imprese di piccole dimensioni e per le start-up, l’art. 6, comma 4 del D.lgs. 231/2001 prevede che i compiti dell’OdV possano essere svolti direttamente dall’organo dirigente, senza la necessità di un organismo separato. Questa soluzione, sebbene legittima, solleva criticità in termini di indipendenza e obiettività del controllo, motivo per cui molte aziende, anche di ridotte dimensioni, preferiscono istituire un OdV autonomo. Abbiamo trattato il tema in un precedente articolo, al quale facciamo rinvio.
Per le imprese di medie e grandi dimensioni, invece, la composizione collegiale è generalmente preferibile, in quanto consente una maggiore distribuzione delle competenze e una più efficace gestione dei controlli.
L’OdV può essere composto sia da componenti interni all’ente (ad esempio il responsabile dell’internal audit o della funzione legale) sia da esperti esterni con competenze specifiche in diritto penale d’impresa, sistemi di controllo e compliance aziendale. La scelta tra un modello monocratico o collegiale dipende dalla necessità di assicurare l’effettività e l’efficacia del controllo, evitando qualsiasi interferenza con le attività operative dell’ente.
Una particolare attenzione deve essere posta nella definizione dei criteri di nomina. Per garantire l’autonomia dell’OdV, è necessario che i componenti non abbiano conflitti di interesse, vincoli di subordinazione o ruoli operativi che potrebbero comprometterne l’imparzialità. Inoltre, il loro mandato deve essere stabilito per un periodo di tempo definito, con possibilità di rinnovo, e deve essere prevista una procedura di revoca solo per giusta causa, evitando la possibilità di pressioni o interferenze indebite.
La nomina dell’Organismo di Vigilanza rappresenta, dunque, una fase delicata che incide direttamente sull’efficacia del modello organizzativo. Un OdV correttamente selezionato, e dotato dei requisiti richiesti dalla normativa, permette di garantire la corretta funzionalità del sistema di prevenzione dei reati e per conferire all’ente un’effettiva protezione dalla responsabilità amministrativa dipendente da reato.
Requisiti per la Nomina dell’Organismo di Vigilanza 231
Guardano alla prassi e alle best practices di settore, i principali requisiti per la Nomina dell’Organismo di Vigilanza sono tre: autonomia e indipendenza, professionalità e continuità di azione. Tali caratteristiche non solo assicurano il corretto funzionamento dell’OdV, ma sono anche decisive per dimostrare l’effettività del modello 231, evitando che esso venga considerato un mero strumento formale privo di reale applicazione.
a) Autonomia e indipendenza
Il principio di autonomia e indipendenza dell’OdV è essenziale affinché l’organismo possa esercitare il proprio ruolo senza subire pressioni o interferenze da parte degli organi di gestione dell’ente. Il D.lgs. 231/2001 non fornisce una definizione puntuale di tali requisiti, ma la prassi e la giurisprudenza hanno chiarito che l’OdV deve essere dotato di autonomi poteri di iniziativa e controllo, senza essere soggetto a vincoli di subordinazione gerarchica o funzionale.
Affinché sia garantita l’autonomia decisionale, la nomina dell’Organismo di Vigilanza deve riguardare soggetti che non siano coinvolti nelle attività operative dell’ente e che non abbiano interessi economici rilevanti nell’organizzazione. Questo significa, ad esempio, che un dirigente con poteri esecutivi o un membro del Consiglio di Amministrazione non può essere nominato come OdV, in quanto la sua funzione di controllo potrebbe risultare compromessa dalla partecipazione alle decisioni gestionali.
L’indipendenza dell’OdV deve essere valutata sia a livello oggettivo che soggettivo. Sul piano oggettivo, l’OdV deve essere collocato in una posizione di livello, ma senza essere sottoposto a direttive o condizionamenti operativi.
Sul piano oggettivo, i componenti dell’OdV devono essere privi di conflitti di interesse con l’ente e con le società collegate o controllate. Non devono inoltre esistere vincoli di parentela o affinità con i vertici aziendali, né partecipazioni azionarie o interessi economici significativi nell’ente.
L’atto di nomina dell’Organismo di Vigilanza deve inoltre prevedere garanzie di stabilità e protezione nei confronti dei componenti, evitando che possano essere rimossi o sostituiti senza una giusta causa. Il loro incarico deve avere una durata definita e la revoca deve essere giustificata esclusivamente in presenza di comprovate inadempienze o conflitti di interesse sopravvenuti.
b) Professionalità
La competenza professionale dei componenti dell’OdV è un requisito essenziale per la sua efficacia. La nomina dell’Organismo di Vigilanza deve riguardare soggetti con un elevato livello di specializzazione, in grado di effettuare verifiche ispettive, analizzare i processi aziendali e individuare eventuali criticità nei sistemi di prevenzione dei reati.
Le Linee Guida di Confindustria raccomandano che i componenti dell’OdV abbiano conoscenze approfondite in materia giuridica, economica e gestionale, con particolare attenzione al diritto penale d’impresa, ai sistemi di controllo interno, alla corporate governance e ai meccanismi di compliance aziendale.
Le principali competenze richieste per la nomina dell’Organismo di Vigilanza riguardano:
- Diritto penale e amministrativo, con particolare riferimento ai reati previsti dal D.lgs. 231/2001 e ai criteri di imputazione della responsabilità amministrativa dell’ente.
- Attività ispettiva e di audit, con capacità di condurre verifiche, ispezioni interne e analisi documentali per garantire il rispetto del Modello organizzativo 231.
- Analisi dei processi aziendali, attraverso la mappatura delle aree sensibili e la valutazione dei rischi connessi alla possibile commissione di reati.
- Metodologie di risk assessment, per individuare e monitorare le criticità nel sistema di gestione e controllo dell’ente.
Per assicurare un adeguato livello di competenza, la nomina dell’Organismo di Vigilanza può prevedere una composizione collegiale, includendo soggetti con professionalità complementari, come avvocati esperti di diritto penale, revisori contabili, esperti di compliance aziendale e specialisti di risk management.
c) Continuità di azione
La continuità operativa dell’OdV è fondamentale affinché il controllo sulla corretta attuazione del modello organizzativo 231 non si riduca a un’attività episodica o meramente formale. La nomina dell’Organismo di Vigilanza deve quindi cadere su soggetti in grado di garantire un impegno costante nell’attività di vigilanza, con un programma di verifiche periodiche e un monitoraggio sistematico dei processi aziendali.
L’OdV deve disporre di un budget autonomo, approvato dal Consiglio di Amministrazione, per svolgere le proprie attività in maniera indipendente, avvalendosi, se necessario, di consulenti esterni per approfondimenti specialistici. È inoltre essenziale che l’OdV abbia accesso a tutta la documentazione aziendale rilevante per l’esercizio delle sue funzioni, senza restrizioni o vincoli operativi.
Un ulteriore aspetto che incide sulla continuità d’azione è la previsione di flussi informativi costanti tra l’OdV e le funzioni aziendali sensibili, al fine di garantire che tutte le segnalazioni di eventuali irregolarità vengano tempestivamente analizzate e gestite. L’OdV deve inoltre redigere report periodici, da trasmettere agli organi apicali dell’ente, nei quali riferire sulle attività svolte, sulle criticità riscontrate e sulle eventuali misure correttive da adottare.
Atto di nomina dell’Organismo di Vigilanza: compiti e poteri
I compiti dell’Organismo di Vigilanza possono essere distinti in tre aree principali: verifica dell’efficacia del modello, controllo sull’osservanza delle procedure e aggiornamento continuo del sistema di prevenzione. Tali attività sono disciplinate dall’art. 6 del D.lgs. 231/2001 e dalle Linee Guida di Confindustria, che hanno delineato una serie di funzioni essenziali per il corretto funzionamento dell’OdV.
1) Vigilanza sull’effettività del modello organizzativo: l’OdV verifica della coerenza tra i comportamenti aziendali e le prescrizioni del modello, attraverso un’analisi costante delle procedure adottate e un controllo sulle aree sensibili individuate nella mappatura dei rischi. L’atto di nomina dell’Organismo di Vigilanza deve prevedere che le misure preventive siano concretamente attuate e che non si verifichi un rispetto soltanto “cartolare” del modello.
2) Analisi dell’adeguatezza del modello: l’OdV deve verificare che il modello organizzativo sia idoneo a prevenire i reati presupposto previsti dal D.lgs. 231/2001, individuando eventuali criticità e proponendo azioni correttive. Questo richiede un’analisi approfondita della struttura organizzativa dell’ente, con particolare attenzione ai meccanismi di controllo interni, alle deleghe di poteri e ai protocolli decisionali adottati dall’azienda.
3) Monitoraggio del mantenimento nel tempo dei requisiti di solidità e funzionalità del modello: l’OdV non può limitarsi a un’analisi statica, ma deve garantire che il modello organizzativo venga costantemente aggiornato in base alle evoluzioni normative, ai cambiamenti organizzativi e agli esiti delle verifiche interne. La sua funzione è quindi dinamica e proattiva, orientata a migliorare costantemente il sistema di prevenzione dei rischi.
Per assolvere ai propri compiti, l’OdV deve essere dotato di poteri autonomi di iniziativa e controllo. Ai sensi dell’art. 6 del D.lgs. 231/2001 l’OdV dovrebbe accedere senza restrizioni a tutti i documenti aziendali rilevanti, effettuare verifiche ispettive e condurre indagini interne per accertare eventuali violazioni del modello.
Inoltre, l’OdV deve avere la possibilità di raccogliere informazioni da tutte le funzioni aziendali, interagendo con i responsabili delle aree più sensibili e richiedendo chiarimenti su operazioni o decisioni rilevanti ai fini della compliance.
L’autonomia di spesa è un altro aspetto essenziale per garantire l’indipendenza dell’OdV. La nomina dell’Organismo di Vigilanza deve prevedere l’assegnazione di un budget autonomo, che consenta all’OdV di avvalersi, se necessario, di consulenti esterni per approfondimenti specialistici e di condurre verifiche indipendenti senza interferenze da parte del management aziendale.
Infine, un ulteriore compito dell’OdV è la promozione della cultura della compliance aziendale. Ciò significa che l’Organismo di Vigilanza deve diffondere la conoscenza del modello 231 attraverso attività formative rivolte a dipendenti e dirigenti, al fine di sensibilizzare tutto il personale sull’importanza delle regole di prevenzione e sulle conseguenze della violazione delle normative di riferimento.
Nomina dell’Organismo di Vigilanza e flussi informativi
Nel trattare della nomina dell’Organismo di Vigilanza, non potrebbe tacersi l’importanza che rivestono i flussi informativi nell’effettività dei controlli demandati a quest’ultimo. Il D.lgs. 231/2001, all’art. 6, comma 2, lettera d), stabilisce che il modello di organizzazione e gestione deve prevedere obblighi di informazione nei confronti dell’OdV, al fine di consentire un controllo costante e approfondito sulle aree aziendali più esposte al rischio di commissione di reati.
I flussi informativi si articolano in due direzioni: da un lato, vi sono le comunicazioni che l’Organismo di Vigilanza deve ricevere, ossia i report periodici, le segnalazioni di anomalie e le informazioni riguardanti eventi di rilievo; dall’altro, vi sono i flussi in uscita, ovvero le relazioni che l’OdV trasmette agli organi societari, in particolare al Consiglio di Amministrazione e al Collegio Sindacale, per evidenziare criticità e proporre eventuali aggiornamenti del modello.
Le informazioni trasmesse all’OdV devono riguardare tutti gli aspetti rilevanti per la vigilanza sull’effettività e sull’adeguatezza del modello, compresi gli esiti delle attività di audit interno, le verifiche sugli strumenti di controllo e il rispetto dei protocolli aziendali. È essenziale che i responsabili delle funzioni aziendali più esposte ai rischi 231 trasmettano con regolarità report dettagliati all’OdV, segnalando eventuali situazioni anomale o potenzialmente critiche.
In questo contesto, assume particolare rilievo la gestione delle segnalazioni whistleblowing, che consente ai dipendenti e ai collaboratori di riferire eventuali violazioni delle procedure senza timore di ritorsioni, garantendo l’anonimato e la riservatezza.
Oltre ai flussi informativi interni, la nomina dell’Organismo di Vigilanza implica anche l’istituzione di un sistema di reporting periodico verso il Consiglio di Amministrazione e il Collegio Sindacale. L’OdV deve redigere relazioni periodiche – solitamente su base semestrale o annuale – in cui illustra le attività svolte, evidenzia eventuali violazioni e propone misure correttive. Questo meccanismo consente alla governance aziendale di monitorare l’efficacia del sistema di controllo interno e di intervenire tempestivamente in caso di necessità.
Un aspetto critico per l’effettività dei flussi informativi è la qualità e la tempestività delle comunicazioni. È fondamentale che le informazioni trasmesse all’OdV siano chiare, complete e tempestive, affinché l’Organismo possa intervenire con tempestività e adottare le misure necessarie per prevenire situazioni di rischio.
Per questo motivo, molte aziende formalizzano le modalità di comunicazione attraverso procedure interne e regolamenti specifici, che disciplinano la periodicità, i contenuti e i canali attraverso cui devono essere trasmesse le informazioni.
Infine, la nomina dell’Organismo di Vigilanza deve prevedere una specifica disciplina delle responsabilità in caso di omissione dei flussi informativi. L’omessa trasmissione di dati rilevanti all’OdV può costituire una grave violazione del modello e comportare conseguenze disciplinari per i soggetti responsabili.
L’efficacia dell’OdV dipende in gran parte dalla collaborazione dell’intera struttura aziendale, motivo per cui è fondamentale che i vertici societari – dopo la nomina dell’Organismo di Vigilanza – promuovano una cultura della trasparenza e della comunicazione interna, al fine di garantire il corretto funzionamento del sistema di prevenzione dei rischi previsto dal D.lgs. 231/2001.
Segnalazioni e whistleblowing: dalla nomina dell’Organismo di Vigilanza alle attività operative
La sola nomina dell’Organismo di Vigilanza può non essere sufficiente ad assicurare l’emersione di condotte illecite all’interno della società. La possibilità di segnalare violazioni del modello 231 e di eventuali condotte illecite costituisce un pilastro della corporate compliance e rappresenta un elemento imprescindibile per garantire l’effettività del controllo esercitato dall’OdV.
Il D.lgs. 231/2001, integrato dalle disposizioni del D.lgs. 24/2023 in attuazione della Direttiva (UE) 2019/1937, ha rafforzato il ruolo del whistleblowing, introducendo specifiche disposizioni a tutela dei segnalanti. La normativa impone agli enti di adottare canali di segnalazione riservati e sicuri, in grado di garantire la riservatezza dell’identità del whistleblower, nonché di predisporre misure di protezione nei confronti di chi denuncia condotte illecite, al fine di evitare ritorsioni o discriminazioni.
Nell’ambito della nomina dell’Organismo di Vigilanza, risulta quindi essenziale disciplinare in modo chiaro i flussi informativi relativi alle segnalazioni, definendo procedure interne che consentano di ricevere, analizzare e gestire le comunicazioni pervenute.
L’OdV deve essere in grado di valutare le segnalazioni con piena autonomia e indipendenza, adottando le misure necessarie per approfondire le anomalie riscontrate ed eventualmente attivare i meccanismi sanzionatori previsti dal modello.
Le aziende devono istituire canali di segnalazione adeguati, che possano includere piattaforme digitali protette, indirizzi e-mail riservati, cassette postali fisiche o altre modalità che garantiscano l’anonimato del segnalante. La nomina dell’Organismo di Vigilanza prevede che l’OdV abbia accesso diretto a queste segnalazioni, senza interferenze da parte della direzione aziendale, e che possa gestirle con criteri di trasparenza, imparzialità e riservatezza.
Si dovrebbe prevedere un sistema di verifica e monitoraggio delle segnalazioni ricevute, in modo da poter tracciare le attività di indagine svolte e le eventuali azioni correttive adottate. La registrazione e l’archiviazione delle segnalazioni devono avvenire nel rispetto della normativa sulla protezione dei dati personali, garantendo che le informazioni siano trattate con il massimo livello di riservatezza e che i principi di proporzionalità e necessità siano rispettati in ogni fase della gestione delle segnalazioni.
Supporto legale specialistico nella nomina dell’Organismo di Vigilanza
La nomina dell’Organismo di Vigilanza rappresenta un passaggio obbligato per l’attuazione di un modello 231 efficace, capace di ridurre i rischi di responsabilità amministrativa e rafforzare il sistema di corporate compliance.
Il nostro Studio vanta una pluriennale esperienza nella gestione degli adempimenti connessi alla responsabilità 231, offrendo supporto specialistico in tutte le fasi di elaborazione, implementazione e aggiornamento del modello.
Svolgiamo direttamente il ruolo di Organismo di Vigilanza esterno, sia in forma monocratica che come membri di OdV collegiali, garantendo un controllo indipendente e altamente qualificato.
Affianchiamo le imprese nella costruzione di un sistema di compliance efficace, in linea con le migliori best practice e con l’evoluzione normativa in materia di corporate governance.
Compliance 231 e nomina dell’Organismo di Vigilanza. Un avvocato specialista in diritto penale per una strategia di corporate compliance integrata.
