17 Aprile 2026, di Anna Fabi – PMI.it
Dal 24 gennaio 2026 violare le sanzioni economiche imposte dalla UE costa caro: con l’entrata in vigore del , in Italia si configura ipotesi di reato, con pene fino a sei anni di reclusione per le persone fisiche e sanzioni calcolate sul fatturato globale per le imprese. A tre mesi dall’entrata in vigore del nuovo quadro regolatorio, molte aziende (soprattutto le più piccole) stanno scoprendo solo ora di essere potenzialmente esposte.
Corsa alla compliance aziendale sul DLgs. 211/2025
Il DLgs 211/2025 ha recepito la Direttiva UE 2024/1226, nata dalla necessità di rendere davvero efficaci le sanzioni imposte all’Europa dopo l’invasione russa dell’Ucraina del 2022. Il problema era semplice: ogni Stato membro applicava le misure restrittive in modo diverso, con conseguenti “zone grigie” che permettevano triangolazioni e operazioni elusive. Da qui la spinta europea a criminalizzare le violazioni in modo uniforme. In Italia, la legge delega n. 91/2025 ha dato mandato al Governo di recepirla e il risultato è il decreto pubblicato in Gazzetta Ufficiale il 9 gennaio 2026.
A tre mesi dall’entrata in vigore, i professionisti legali segnalano una domanda crescente di aggiornamento dei modelli di compliance, ma anche che molte PMI non hanno ancora valutato la propria esposizione al nuovo rischio.
Anche le PMI nel campo di applicazione del DLgs 211/2025
Un errore diffuso è pensare che il decreto riguardi solo le grandi multinazionali o le banche. In realtà, qualsiasi impresa italiana che abbia fornitori, clienti o partner in paesi soggetti a misure restrittive UE — o anche solo che abbia aperto crediti commerciali verso controparti successivamente inserite nelle liste sanzionatorie — può trovarsi esposta.
Questo include chi opera con la Russia e la Bielorussia ma anche chi ha catene di fornitura che transitano per l’Iran, il Myanmar o altre giurisdizioni sanzionate. La tempestività nel bloccare i fondi è un obbligo la cui violazione, anche per semplice ritardo, può avere conseguenze penali.
Dall’embargo ai fondi congelati, i reati nel Codice penale
Il decreto inserisce nel Codice penale un nuovo capitolo — “Delitti contro la politica estera e la sicurezza comune dell’Unione europea” — con una serie di nuove fattispecie che vanno ben oltre il caso russo. Sono reato la violazione diretta delle misure restrittive UE (art. 275-bis), come aggirare un embargo, concludere operazioni commerciali o finanziarie con soggetti inseriti nelle liste sanzionatorie, o non congelare fondi di un’entità designata. Sono reato le violazioni degli obblighi informativi verso le autorità (art. 275-ter) e le violazioni delle condizioni previste nelle autorizzazioni rilasciate in base alle misure restrittive (art. 275-quater).
La novità più dirompente per le imprese è però l’art. 275-quinquies: il decreto introduce per la prima volta la responsabilità penale per colpa, vale a dire che un’azienda può essere coinvolta in un procedimento penale anche senza aver violato consapevolmente un divieto — è sufficiente che la violazione sia avvenuta per negligenza nelle procedure di controllo. Fino a ieri, chi diceva “non sapevo” aveva spesso una via d’uscita; da oggi non è più così.
Sanzioni fino al 5% del fatturato
Oltre alla responsabilità penale delle singole persone fisiche (manager, amministratori, dipendenti), il decreto modifica in modo radicale le sanzioni applicabili alle imprese tramite l’aggiornamento del D.Lgs. 231/2001, il sistema che disciplina la responsabilità amministrativa degli enti per i reati commessi nel loro interesse. Il nuovo art. 25-octies.2 del decreto 231 introduce sanzioni pecuniarie calcolate in percentuale sul fatturato globale annuo dell’impresa — non più sul sistema delle “quote” tradizionale:
- dall’1% al 5% del fatturato globale per le violazioni più gravi (artt. 275-bis e 275-quater);
- dallo 0,5% all’1% per le violazioni degli obblighi informativi (art. 275-ter);
- fino a 40 milioni di euro quando il fatturato non è determinabile;
- sanzioni interdittive fino a sei anni nei casi più gravi, con sospensione o revoca delle autorizzazioni.
In caso di reiterazione, la sanzione pecuniaria aumenta di un terzo. Per le violazioni di valore inferiore a 10.000 euro si applica invece una sanzione solo amministrativa, da 15.000 a 80.000 euro — ma questa soglia non vale mai per i beni militari e i beni a duplice uso, dove la violazione è sempre penale indipendentemente dall’importo.
Come adeguare il proprio modello 231
Il percorso di adeguamento parte da una gap analysis sui processi aziendali che toccano fornitori, clienti o transazioni finanziarie internazionali, per mappare dove esistono potenziali esposizioni. Su questa base, le imprese devono aggiornare il proprio modello orgnizzativo 231, integrando le nuove fattispecie di reato nel registro dei rischi e definendo le procedure di controllo.
In pratica, questo significa introdurre o rafforzare le procedure di know your supplier e know your client per verificare che controparti e fornitori non compaiano nelle liste sanzionatorie UE, aggiornate in tempo reale sul sito dell’Unione. Devono essere inoltre definite le procedure di gestione dei flussi finanziari internazionali, i protocolli per il congelamento immediato dei fondi in caso di nuova designazione e i meccanismi di escalation interna.
Per le imprese che non hanno ancora un modello 231 formalizzato, il decreto rappresenta dunque un valido motivo per strutturarne uno: in caso di procedimento, l’assenza di un adeguamento non consente di mettersi al riparo da responsabilità.