Il 24 gennaio scorso è entrato in vigore il D. Lgs. 211/2025 attuativo della Direttiva europea relativa alla “definizione dei reati e delle sanzioni per la violazione delle misure restrittive dell’Unione…”.

Il provvedimento – per quanto qui di interesse – ha introdotto nuove fattispecie di reato, inserendole:

  • nel Codice Penale, agli articoli 275-bis (Violazione delle misure restrittive dell’Unione europea), 275-ter (Violazione degli obblighi informativi imposti da una misura restrittiva dell’Unione europea) e 275-quater (Violazione delle condizioni dell’autorizzazione allo svolgimento di attività);
  • nell’articolo 12 del D. Lgs. 286/1998, mediante l’introduzione del nuovo comma 1-bis, che punisce le condotte di favoreggiamento dell’immigrazione clandestina poste in essere in violazione di un divieto, di un obbligo o di una restrizione derivanti da una misura restrittiva dell’Unione europea.

Tali fattispecie di reato sono state inoltre ricomprese nell’articolo 25-octies del D. Lgs. 231/2001, con conseguente ampliamento del catalogo dei reati presupposto rilevanti ai fini della responsabilità amministrativa degli enti. Un profilo di novità riguarda il sistema sanzionatorio che, per tali reati, – ferme le sanzioni interdittive – non segue più il modello ordinario previsto dal D. Lgs. 231/2001 basato sul meccanismo delle quote, ma è determinato in misura percentuale sul fatturato globale dell’ente riferito all’esercizio finanziario precedente a quello di commissione del reato ovvero, se inferiore, all’esercizio precedente l’irrogazione della sanzione pecuniaria.

Ma cosa si intende per misure restrittive europee?

In estrema sintesi sono divieti e limitazioni imposti dall’Unione Europea per impedire o limitare determinati comportamenti ritenuti contrari al diritto internazionale, alla sicurezza o ai diritti umani.
Sono regole vincolanti che bloccano i rapporti economici, finanziari o commerciali e che possono interessare Paesi, organizzazioni ma anche enti e individui. A titolo meramente esemplificativo possono consistere in congelamento di fondi e risorse economiche (divieto di usare o trasferire denaro, conti bancari o altri beni intestati a una persona o a un’impresa, di pagare, finanziare o fornire risorse economiche, anche indirettamente, a soggetti sanzionati), restrizioni commerciali (divieti di
esportare o importare determinate merci verso o da Paesi colpiti da sanzioni), restrizioni ai servizi (divieto di fornire servizi finanziari, assicurativi, di consulenza o assistenza tecnica a favore di soggetti o Stati sanzionati), divieti di ingresso o transito nel territorio di uno Stato membro.

Il nuovo quadro normativo comporta per le imprese l’attivazione di molteplici interventi per assicurare l’adeguamento ai fini della compliance.

Il primo adempimento consiste nella mappatura delle proprie attività, finalizzata a individuare e analizzare i processi aziendali che, per natura o modalità operative, possono esporre l’ente al rischio di violazione della normativa citata. Attraverso tale attività è possibile identificare le aree maggiormente sensibili e valutare in quali fasi operative possano concretamente verificarsi comportamenti a rischio.

In linea generale saranno interessate l’Area commerciale e le vendite (selezione e gestione dei clienti, stipula di contratti con controparti estere, vendite dirette o indirette verso Paesi o soggetti sanzionati, utilizzo di intermediari), l’Area acquisti (rapporti con fornitori esteri, verifica della provenienza delle merci e dei componenti), l’Area amministrazione e finanza (gestione dei pagamenti e degli incassi, rapporti bancari e finanziari), l’Area Export Control & Global Logistics (esportazione di beni verso soggetti a restrizioni o embarghi, gestione degli adempimenti doganali, trasporti internazionali e triangolazioni commerciali), l’Area legale (gestione dei contratti internazionali, monitoraggio degli aggiornamenti, verifiche delle blacklist e delle liste UE).

Dopodichè, sarà necessario valutare se i presidi di controllo già esistenti siano effettivamente idonei a prevenire i rischi di commissione dei reati introdotti dal D. Lgs. 211/2025, oppure se debbano essere integrati o rafforzati. Qualora emergano carenze o criticità, sarà indispensabile predisporre specifiche procedure di prevenzione, definendo in modo chiaro compiti e ruoli dei soggetti coinvolti, nonché prevedendo adeguati meccanismi di verifica e controllo volti a garantire l’effettiva attuazione e l’osservanza delle misure adottate.

All’esito, dovrà procedersi all’aggiornamento del Modello Organizzativo e del sistema di flussi verso l’Organismo di Vigilanza, con successiva fase di formazione e informazione, coinvolgendo in prima battuta i Responsabili e gli addetti alle Aree maggiormente esposte ai rischi.

Da ultimo, posto che il D. Lgs. 211/2025 è intervenuto anche sul D. Lgs. 24/2023, sarà necessario aggiornare la procedura di gestione delle segnalazioni (whistleblowing), includendo tra le violazioni segnalabili anche le condotte rilevanti ai fini della violazione delle misure restrittive europee e dei relativi nuovi reati, nonché adeguando i flussi informativi e le modalità di gestione delle segnalazioni in modo coerente con il rinnovato quadro sanzionatorio.

A tal riguardo, si segnala che con il provvedimento n. 797 del 30 dicembre 2025 il Garante per la Protezione dei Dati Personali ha approvato il piano delle attività ispettive, includendo tra i trattamenti di dati personali oggetto di attenzione anche quelli effettuati tramite gli applicativi per la gestione delle segnalazioni. La revisione della procedura per recepire le novità previste dal D. Lgs. 211/2025 rappresenta, pertanto, un’opportunità per rivedere il sistema di whistleblowing in modo organico, valutando l’adeguatezza dei canali di raccolta, le modalità e i tempi di gestione e investigazione, nonché le misure adottate a tutela della riservatezza e della protezione del segnalante, nel rispetto dei principi di efficacia, tempestività e tracciabilità tipici di un sistema di compliance davvero efficace.