L’introduzione dell’art. 25-septies nel D.Lgs. 231/01 ha rappresentato un passaggio fondamentale nell’evoluzione della responsabilità amministrativa degli enti. La norma ha incluso tra i reati presupposto le fattispecie di omicidio colposo e lesioni personali gravi o gravissime (artt. 589 e 590 c.p.), quando commesse in violazione delle norme a tutela della salute e sicurezza sul lavoro.

Si tratta di una svolta radicale rispetto all’assetto originario della disciplina, in cui la responsabilità dell’ente era circoscritta a reati dolosi. L’estensione a fattispecie colpose ha determinato l’immediata necessità, per tutte le imprese in cui si svolgano attività potenzialmente rischiose, di adottare un modello organizzativo e gestionale (MOG) adeguato ai requisiti richiesti dalla normativa.

Questa estensione ha reso necessaria l’adozione di un modello organizzativo in qualsiasi realtà aziendale dove possano verificarsi incidenti sul lavoro. Tuttavia, la vera evoluzione si è avuta con l’entrata in vigore del D.lgs. 81/08, che all’art. 30 ha definito i requisiti minimi affinché un modello organizzativo possa avere efficacia esimente per la società.

L’art. 30 del D.Lgs. 81/08 ha colmato questo vuoto, definendo per la prima volta i contenuti minimi che un modello organizzativo deve avere affinché possa considerarsi efficace ed esimente ai fini della responsabilità dell’ente. Il legislatore, consapevole della necessità di fornire alle imprese un criterio guida, ha delineato un sistema di gestione che impone una precisa scala di priorità per garantire standard minimi di sicurezza.

L’adozione di un MOG conforme all’art. 30 del D.Lgs. 81/08 non rappresenta soltanto una scelta giuridica finalizzata a evitare la condanna dell’ente, ma diventa innanzitutto una decisione organizzativa, necessaria per garantire la sicurezza e la continuità operativa dell’impresa.

Eppure, negli ultimi anni, l’adozione della certificazione UNI EN ISO 45001:2023 è diventata una prassi comune per molte imprese, spesso nella convinzione che essa possa garantire un allineamento automatico alla normativa italiana sulla salute e sicurezza sul lavoro.

Credere che l’ISO 45001 sia sufficiente per tutelarsi da responsabilità penali e amministrative vuol dire ignorare un elemento fondamentale: solo un modello organizzativo conforme all’art. 30 del D.Lgs. 81/08 ha efficacia esimente ai fini della responsabilità dell’ente ai sensi del D.Lgs. 231/01.

L’art. 30 del D.Lgs. 81/08 è l’unico riferimento normativo che stabilisce i requisiti affinché un modello organizzativo e gestionale (MOG) possa essere considerato idoneo a prevenire la responsabilità del datore di lavoro e dell’ente in caso di infortunio.

Un modello organizzativo conforme all’art. 30 deve:

• essere specificamente adattato ai rischi dell’azienda, evitando approcci generici e standardizzati;
• prevedere un sistema di controllo autonomo ed efficace, con un Organismo di Vigilanza (OdV) attivo e con poteri reali di intervento;
• dimostrare la propria concreta attuazione, attraverso evidenze documentali e verifiche periodiche.

In questo quadro, la tabella di correlazione tra ISO 45001 e art. 30 D.Lgs. 81/08 assume un ruolo fondamentale: è lo strumento che consente di misurare il gap di conformità tra lo standard volontario e quello normativo, evidenziando le carenze che devono essere colmate per rendere il sistema di gestione un vero strumento di difesa giuridica.

Senza questa verifica puntuale, il rischio è che l’azienda si ritrovi con una certificazione ISO 45001 che, in sede penale, risulterà del tutto inefficace a proteggere il datore di lavoro e l’ente da contestazioni di responsabilità.

Ed è proprio qui che interviene la necessità di una verifica di conformità attraverso la tabella di correlazione, la quale deve mettere in evidenza:

• quali aspetti della ISO 45001 rispondono ai requisiti dell’art. 3;
• quali requisiti dell’art. 30 non trovano corrispondenza nella ISO 45001;
• quali misure integrative devono essere adottate per colmare il divario tra standard volontario e norma cogente.

L’unico modo per garantire una protezione reale per il datore di lavoro e per l’ente è quello di integrare i requisiti della ISO 45001 con le prescrizioni dell’art. 30, verificare il gap di conformità tra lo standard volontario e la norma cogente e infine dimostrare l’efficacia reale del modello in azienda.

Senza questa verifica puntuale, il rischio è che l’azienda si ritrovi con una certificazione ISO 45001 che, in sede penale, risulterà del tutto inefficace a proteggere il datore di lavoro e l’ente da contestazioni di responsabilità.

L’art. 30 del D.Lgs. 81/08, ribadisce la conformità dei sistemi certificati secondo ISO 45001 solo per le parti corrispondenti e, al contrario, impone precisi requisiti normativi affinché un modello organizzativo e gestionale (MOG) possa considerarsi efficace nel prevenire reati colposi connessi alla violazione della normativa antinfortunistica.

L’art. 30 del D.Lgs. 81/08 è il punto di riferimento essenziale per costruire una strategia difensiva solida.

L’art. 16, comma 3, del D.Lgs. 81/08 rafforza questo concetto, stabilendo che l’obbligo di vigilanza si considera assolto in caso di adozione ed efficace attuazione di un modello di verifica e controllo conforme all’art. 30.

Se si interpreta questa disposizione in senso sistematico, si può affermare che l’adozione e l’attuazione di un MOG idoneo possono costituire una presunzione di adempimento degli obblighi di vigilanza, proteggendo il datore di lavoro da contestazioni di colpa.

Solo così il sistema di gestione della sicurezza può diventare un vero strumento difensivo e non un semplice adempimento burocratico.

Sul punto la giurisprudenza conferma come certificare il proprio Sistema di Gestione della Sicurezza sul Lavoro secondo lo standard ISO 45001 non basti: “Avere un sistema di gestione certificato secondo standard volontari non è sufficiente per escludere la responsabilità del datore di lavoro in caso di infortunio”(Cassazione Penale, Sez. IV, n. 22256/2020), “Un modello organizzativo ex art. 30 D.Lgs. 81/08 può costituire un’esimente totale sia per l’ente che per il datore di lavoro (Cassazione Penale, 19.03.2012, n. 10702).

L’assunto trova conferma anche in autorevole dottrina secondo la quale Il Giudice penale, e non un ente certificatore, è l’unico soggetto deputato a valutare l’efficacia del modello organizzativo ai fini della responsabilità dell’ente e del datore di lavoro (M.R. Maugeri, G. Di Marzio) ed ancora, un MOG conforme all’art. 30 non solo può neutralizzare la colpa di organizzazione dell’ente ai fini della responsabilità amministrativa ex D.Lgs. 231/01, ma può tutelare anche il datore di lavoro dal punto di vista penale.

Ciò significa che, in sede giudiziaria, la difesa del datore di lavoro non può fondarsi esclusivamente sull’adozione di un sistema di gestione certificato UNI EN ISO 45000, ma deve dimostrare che il modello organizzativo sia conforme ai rigorosi requisiti imposti dall’art. 30 D.Lgs. 81/08.

Il risultato è Il marchio ISO non ha mai salvato nessuno da una condanna. Il modello organizzativo ex art. 30, correttamente implementato e dimostrato in giudizio, sì.

Ritengo che solo un modello organizzativo conforme all’art. 30 del D.Lgs. 81/08 può fungere da esimente per il datore di lavoro e l’ente, anche ai fini della responsabilità amministrativa prevista dal D.Lgs. 231/01.

In sintesi, mentre la ISO 45001 è uno strumento utile per migliorare la gestione della sicurezza, solo il rispetto dei requisiti dell’art. 30 del D.Lgs. 81/08 può avere efficacia difensiva in sede giudiziaria.

Questo principio è stato ribadito anche dalla Cassazione Penale, 19.03.2012, n. 10702, che ha riconosciuto come un modello ex art. 30 possa operare come esimente totale, non solo per la responsabilità amministrativa dell’ente, ma anche per la colpa individuale del datore di lavoro e per la responsabilità civile ex art. 2087 c.c.

La magistratura non si limiterà a verificare la presenza di una certificazione ISO 45001, ma esaminerà se il modello adottato dall’azienda è realmente conforme ai requisiti dell’art. 30 del D.Lgs. 81/08 e se è stato effettivamente attuato.

Senza una verifica del gap di conformità tra ISO 45001 e art. 30, il datore di lavoro e l’ente rimangono esposti a gravi responsabilità.

La certificazione ISO 45001 è utile, ma non sufficiente. Solo un modello organizzativo ex art. 30, verificato e dimostrato in giudizio, può fare la differenza tra assoluzione e condanna.