COMPLIANCE E INNOVATION: EVOLUZIONE, QUADRO NORMATIVO E OPPORTUNITÀ COMPETITIVE PER IMPRESE E PUBBLICA AMMINISTRAZIONE
COMPLIANCE E INNOVATION: EVOLUZIONE, QUADRO NORMATIVO E OPPORTUNITÀ COMPETITIVE PER IMPRESE E PUBBLICA AMMINISTRAZIONE
A cura di Avv. Riccardo Piselli, Avv. Chiara Scardaci, Dott. Erik Klepp
Indice
Significato, evoluzione linguistica e valore strategico per le organizzazioni moderne
La gestione del rischio Cyber e Intelligenza Artificiale
Il quadro normativo europeo e nazionale NIS2 e opportunità nella contrattualistica pubblica
COMPLIANCE E INNOVATION: SIGNIFICATO, EVOLUZIONE LINGUISTICA E VALORE STRATEGICO PER LE ORGANIZZAZIONI MODERNE
Il 29 maggio 2025, in apertura dei lavori del webinar organizzato da Piselli & Partners, viene introdotto il tema della “Compliance e Innovation”, evidenziando, in primo luogo, come questi due concetti siano ormai inscindibili nell’attuale contesto organizzativo e normativo. L’interesse crescente verso la compliance e l’innovazione riflette l’evoluzione dell’attività formativa dello Studio, che ha progressivamente ampliato il proprio raggio d’azione per rispondere alle esigenze emergenti di operatori pubblici e privati.
Video Intervento dell Prof. Mauro Miccio nel Webinar
In particolare, il termine “compliance”, pur derivando dal latino complēre (“compiere”), si è arricchito nel tempo di sfumature che vanno oltre la mera “conformità” normativa: come rilevato anche dall’Accademia della Crusca. Questa trasposizione, dall’ambito medico a quello aziendale, ha portato il concetto di compliance ad assumere il significato di “postura organizzativa”, fondamentale per la resilienza e l’innovazione.
Tale approccio impone alle imprese e alle amministrazioni di considerare la compliance non più solo come adempimento formale o difesa dal rischio sanzionatorio, ma come elemento identitario e leva di competitività strategica: una vera e propria “capacità adattiva”, in grado di incidere sia sulla reputazione esterna sia sull’efficienza e la motivazione interna.
LA COMPLIANCE INTEGRATA
Video Intervento dell’Avv. Chiara Scardaci nel Webinar
Il primo intervento del webinar sottolinea la necessità di adottare per la compliance un approccio integrato. Un approccio frammentario risulta ormai ampiamente superato essendo ancorato a un inappropriato governo del rischio che, a sua volta, è legato all’inesistenza di una visione complessiva degli obblighi a cui è tenuta un’organizzazione, con conseguenze che possono spaziare dal mancato efficientamento delle attività a sanzioni e danno reputazionale.
La compliance integrata consente un approccio strategico alla gestione della conformità normativa e agli adempimenti legati agli obblighi di soft law a cui, in un approccio improntato all’accountability, l’organizzazione può scegliere di sottoporsi. In questo senso, l’adozione di un Compliance Program è senz’altro da auspicare essendo uno strumento che individua gli obiettivi da perseguire andando così ad azzerare, all’interno dei dipartimenti interessati, i rischi di eventuali non conformità.
La visione integrata della Compliance comporta una sinergia tra le diverse funzioni esistenti nell’organizzazione così come tra tutti gli organi di controllo. Le prime sono chiamate a collaborare tra loro per il raggiungimento degli obiettivi che hanno contribuito a definire (logica bottom – up), mentre gli organi di controllo potranno sfruttare le attività comuni per rilevare quelle criticità a loro volta utili per governare il rischio e individuare, quindi, le azioni di mitigazione.
L’accuratezza di un approccio basato sulla gestione del rischio per il governo della conformità aziendale, finalizzato alla corretta comprensione e applicazione delle disposizioni recate dalle norme cogenti e volontarie nonché da Linee Guida e da strumenti regolatori o di indirizzo, rappresenta una metodologia non sostituibile e necessaria per garantire una compliance effettiva ed efficace, con i seguenti vantaggi: risparmio dei costi, maggiore competitività sul mercato, maggiore attrattività e aumento della retention, efficientamento dei processi, premialità nell’ambito delle procedure di selezione del contraente, riduzione in gara delle garanzie da prestare, accesso facilitato ai finanziamenti ESG, reputation improvement con impatto anche sugli istituti bancari, creazione di valore per gli stakeholder, inclusione in catene di valore virtuose sotto il profilo della sostenibilità e della legalità.
Durante il webinar è stato poi sottolineato l’innegabile collegamento esistente tra il piano di compliance e la pianificazione realizzata per le tematiche ESG.
I due piani appaiono ormai connessi e intrecciati e del resto, molto spesso è proprio attraverso gli adempimenti di compliance che la sostenibilità fa il suo ingresso nelle organizzazioni, in modo quasi naturale, andando a rivestire di un significato ancora più elevato, l’insieme di comportamenti virtuosi da tenersi in un’azienda.
Spostando la visione ristretta della conformità alla norma, attraversando l’aderenza volontaria ai sistemi e ai modelli, seguendo il dettato della soft law, si può giungere ad una conformità alla progettualità ESG ed alla valorizzazione in senso SDGs di ogni attività che l’azienda svolge, centrale o complementare al core business.
Gli adempimenti non saranno più intesi come derivanti e quindi connessi solo al dettato legislativo, ma più ampiamente recepiti come adempimenti di conformità anche a quelle regole e procedimenti interni che l’azienda si autoimpone, in una visione di prevenzione al verificarsi delle fattispecie delittuose che accresce il senso e la portata di modelli come quello ispirato al D. Lgs. N. 231/01.
In questo senso, la compliance riguarda al pari della sostenibilità ogni organizzazione indipendentemente dalle dimensioni rappresentate, considerate nella loro unicità, con il proprio contesto. I vantaggi evidenziati infatti, sono comuni anche alle PMI, che al pari delle imprese di più grandi dimensioni potranno sfruttarli accedendo ad una maggiore premialità e attrattività sul mercato.
Richiamando il modello organizzativo (più avanti anche MOG) ispirato al D. Lgs. n. 231/01 (più avanti anche 231), vediamo come lo stesso anticipa diversi strumenti tipici di un Compliance Program e che la sua adozione può rappresentare un ottimo inizio per poi sviluppare un modello di conformità integrata, anche in chiave ESG.
Nel modello previsto dalla 231 l’impresa viene chiamata in primo luogo a dichiarare il suo operato diffondendo il proprio codice etico ovvero l’insieme di quei principi a cui intende improntare il proprio business, anticipando il contenuto di policy più specifiche ad esempio sull’anticorruzione.
Il MOG con la mappatura delle aree di rischio consente un primo passo verso una valutazione e gestione del rischio più puntuale e stratificata.
Nello stesso tempo, indica la necessità di dotarsi di presidi perché le funzioni aziendali operino in trasparenza e legalità, da identificarsi nelle procedure o protocolli.
Ancora, il MOG chiama all’istituzione di un Organismo di Vigilanza, che, a sua volta, dovrà svolgere audit di sorveglianza sul Modello stesso e pertanto sull’organizzazione.
Per finire, l’adozione del MOG richiama anche allo strumento della segnalazione – Whistleblowing.
La sua adozione implica, pertanto, un passo importante verso una presa di coscienza dell’identità aziendale e della necessità di effettuare delle scelte di accountability in un’ottica di miglioramento e monitoraggio continui.
Tuttavia, il contesto in cui si collocano i MOG 231 è profondamente cambiato; la gestione del rischio e gli obblighi di compliance sono parte della strategia d’impresa a partire anche da presidi differenti dal MOG, e ispirati, ad esempio a standard internazionali quali le norme ISO.
In questo senso, sono al momento in fase di studio diverse proposte di modifica del D. Lgs. n. 231/01, che tra i vari punti considerano anche l’integrazione nel MOG del complessivo assetto organizzativo dell’impresa, andando a comprendere l’insieme dei presidi di cui la stessa si è dotata e collegandoli al modello organizzativo, rafforzandone così la valenza esimente (ctrl. position paper Assonime 4/2025)
Durante l’intervento dedicato alla compliance integrata sono state quindi sottolineate le forti interazioni che i sistemi UNI ISO quali ad esempio 9001:2015 (qualità),45001: 2023 (sicurezza sul lavoro),14001:2015(ambiente),50001:2018 (energia), o anche 37001:2016 per l’anticorruzione piuttosto che SA8000:2014 (Responsabilità Sociale), PdR125:2022 (parità di Genere) e ancora 30415:2021 (Diversità e Inclusione) in ambito di CSR, hanno con la compliance e con la sostenibilità. I sistemi, infatti, sono dotati di una serie cospicua di strumenti di pianificazione e monitoraggio, nonché di presidi e organi di controllo che devono essere considerati in un Compliance Program sia come base dello stesso, sia come mezzi per l’identificazione degli obiettivi e per il controllo del loro raggiungimento nel tempo stabilito.
Nel piano di compliance andranno ad essere inseriti quindi, tutti quegli adempimenti derivanti dagli obblighi a cui l’azienda è tenuta, in base al proprio ambito di business, secondo le normative sulla sicurezza e salute dei lavoratori e sul rispetto dell’ambiente.
Ma vi saranno anche gli adempimenti dei sistemi di Soft Law in cui l’azienda è certificata che comportano l’adozione di presidi e procedure interne volte anch’esse a rispettare sicurezza e ambiente, nonché a regolamentare le pratiche legate alla qualità dei prodotti e dei servizi ed a promuovere il risparmio energetico.
In quest’area troviamo di nuovo delle forti connessioni con le tematiche ESG, con l’Agenda 2030 ed i relativi SDGs, come ad esempio nel caso dell’energia e delle emissioni, nonché della relativa rendicontazione, che riveste una importanza ormai innegabile per la CSRD e per i bilanci volontari di sostenibilità, compresi i rilievi tassonomici. Lo stesso dicasi per la legalità ed, in particolare, per l’anticorruzione il cui relativo sistema ispirato alla UNI ISO 37001:2016 richiama perfettamente non solo il goal n. 16 dell’agenda 2030 ma anche il principio n. 10 del Global Compact.
Infine, nei sistemi competenti per la CSR (Corporate Social Responsibility), già citati, i temi della sostenibilità vengono veicolati attraverso la tutela dei diritti dei lavoratori nelle declinazioni della parità di genere e dell’accoglienza e valorizzazione di tutte le diversità in una visione inclusiva che modernizza l’azienda, sposandosi perfettamente, anche in questo caso, con gli SDGs dell’Agenda 2030 (vedi anche i principi del Global Compact).
Nella compliance andranno anche ad essere considerati gli adempimenti legati al settore Innovation e quindi a norme quali la NIS2 (D.Lgs. 4 settembre 2024, n. 138) o al Regolamento AI 2024/1689 ed alle correlate ISO quali UNI ISO/IEC 27001:2023 e UNI ISO/IEC 42001:2023
Altresì dovranno essere considerati anche i sistemi ispirati al rispetto del Diritto Antitrust (Legge 10 ottobre 1990, n. 287) e della Normativa Antiriciclaggio ((D.Lgs. 21 novembre 2007, n. 23)
L’intervento si conclude con l’illustrazione di un possibile Compliance Program che partendo dagli strumenti di identificazione del contesto, di valutazione e analisi del rischio, di costruzione della matrice di doppia materialità, di pianificazione e monitoraggio, di controllo e coinvolgimento in una logica bottom-up, si rivela un efficace ed indispensabile strumento di conformità e di sostenibilità che può essere adottato da tutte le organizzazioni per definire le proprie strategie di business in senso ESG.
COMPLIANCE INTEGRATA, GESTIONE DEL RISCHIO CYBER E INTELLIGENZA ARTIFICIALE: QUADRO NORMATIVO NIS2 E OPPORTUNITÀ NEGLI APPALTI PUBBLICI
Video Intervento dell’Avv. Riccardo Piselli nel Webinar
Nel corso del webinar, in approfondimento verticale rispetto al tema della compliance integrata, viene offerta una panoramica sulla parte Innovation, con un focus sulle più recenti evoluzioni normative in materia di cyber risk e intelligenza artificiale, soffermandosi sull’importanza di adottare un approccio olistico e coordinato alla gestione dei rischi digitali.
Il rischio cyber è ormai una realtà trasversale che riguarda non solo chi opera nel settore IT, ma qualunque organizzazione, pubblica o privata, che utilizzi tecnologia digitale in qualsiasi fase della propria attività. Il Decreto NIS2, di recente attuazione e progressivo completamento, amplia notevolmente il perimetro applicativo, includendo tutte le realtà che, anche indirettamente, siano collegate a soggetti essenziali o strategici per la sicurezza nazionale, con particolare attenzione al rischio di terze parti lungo l’intera supply chain.
La gestione del rischio legato all’intelligenza artificiale, invece, resta meno normata in modo puntuale, anche se il Regolamento europeo IA introduce criteri rigorosi per l’utilizzo di sistemi AI in settori ad alto rischio sociale o manipolativo. Tuttavia, l’IA (in quanto software) è soggetta anch’essa al rischio cyber, richiedendo quindi un coordinamento stretto tra compliance, sicurezza informatica e politiche di protezione dati.
Il quadro normativo europeo e nazionale risulta quindi particolarmente articolato, con sovrapposizioni tra NIS2, DORA (D.Lgs. 2025 n. 23), il Decreto Perimetro (Decreto Legge 105/2019, convertito con Legge 133/2019) e la L. 90/2024. Quest’ultima, all’art. 14, introduce specifiche regole per i contratti pubblici relativi a beni e servizi informatici, imponendo standard elevati di cybersicurezza e criteri di premialità per offerte che privilegino tecnologie sviluppate in Italia, nell’Unione Europea, nei Paesi NATO o partner accreditati. Le stazioni appaltanti sono ora tenute a valutare gli elementi di cybersicurezza nell’attribuzione dei punteggi qualitativi e a prevederli come requisiti minimi nei casi di aggiudicazione al minor prezzo.
Tali innovazioni normative determinano una netta distinzione concorrenziale tra operatori compliant e non compliant, incidendo sia sull’accesso al mercato sia sulle condizioni di partecipazione e selezione nelle procedure pubbliche, con ricadute su tutto il sistema produttivo nazionale.
L’UTILITÀ DEI SISTEMI DI COMPLIANCE NEL MERCATO PUBBLICO E PRIVATO: VANTAGGI, REQUISITI E CERTIFICAZIONI NEL NUOVO CODICE DEGLI APPALTI
Video Intervento dell’Avv. Stefano de Marinis nel Webinar
Nel quadro del D. Lgs. 36/2023, la compliance rappresenta un fattore determinante per la qualificazione e la selezione degli operatori economici (art. 100), attraverso il rispetto di requisiti di ordine speciale come idoneità professionale, capacità economica e tecnica, nonché l’adesione a sistemi di qualificazione nei settori speciali, con particolare rilevanza per forniture e servizi.
Inoltre, l’attenzione a criteri ambientali e sociali, quali la parità di genere, l’inclusione delle categorie svantaggiate e l’applicazione dei Criteri Ambientali Minimi (CAM, art. 57), costituisce elemento premiante nelle procedure basate sull’Offerta Economicamente Più Vantaggiosa (art. 108).
Infine, l’implementazione di sistemi di compliance certificati, tra cui SA 8000, UNI EN ISO 9001, ISO/IEC 27001, Ecolabel, EMAS e UNI ISO 45001, consente la riduzione delle garanzie previste (art. 106, c. 8, All. II.13) e facilita l’accesso ai finanziamenti, anche tramite il riconoscimento del rating di legalità.
Nel mercato privato, l’adozione di sistemi di compliance avanzati rappresenta un criterio distintivo per l’accesso ai finanziamenti e per la selezione in vendor list da parte di operatori di maggiori dimensioni, oltre a garantire una maggiore resilienza rispetto ai rischi normativi e operativi.
COMPLIANCE NELLA CONTRATTUALISTICA PUBBLICA: BENEFICI CONCRETI, RIDUZIONE DEI RISCHI E METODOLOGIE OPERATIVE PER LE IMPRESE
Video Intervento dell’Avv. Alessandro Bonanni nel Webinar
L’integrazione della compliance nei processi aziendali consente alle imprese di ottenere vantaggi concreti, come l’aumento delle probabilità di aggiudicazione delle gare, la riduzione dei costi di partecipazione (in particolare delle garanzie), la prevenzione delle esclusioni dovute a errori procedurali o alla mancanza di requisiti alternativi, e la gestione efficace dei rischi di illecito professionale e penale tramite MOG ex D.Lgs. 231/2001, oltre al contenimento dei rischi patrimoniali nelle diverse fasi della gara.
Questi benefici sono rafforzati dall’adozione di protocolli interni personalizzati, sistemi di tracciabilità dei flussi finanziari e aggiornamento continuo degli standard contrattuali, che consentono di gestire in modo strutturato il rischio normativo e di rafforzare la resilienza organizzativa.
La compliance si rivela un efficace strumento anche in fase esecutiva, dove l’organizzazione è chiamata a declinare l’obbligo in adempimento di cantiere, coinvolgendo diverse figure tecniche per le tematiche ambientali e di sicurezza, ma anche per tutte le attività che possono derivare dalla CSR e ad esempio dall’anticorruzione e dall’attuazione die Protocolli di Legalità
Il coinvolgimento di professionisti esperti è inoltre determinante per assicurare l’adattamento alle evoluzioni normative e tutelare la reputazione aziendale, anche attraverso efficaci misure di self cleaning in caso di criticità.
CONCLUSIONI
L’emergere della compliance come leva di attrattività e resilienza riflette una trasformazione profonda del contesto operativo per imprese e pubbliche amministrazioni. Non più come semplice adempimento, la compliance si afferma oggi come strumento per anticipare i rischi, valorizzare le scelte strategiche e rafforzare la credibilità organizzativa, consentendo al contempo ad ogni organizzazione di accedere a vantaggi ormai indispensabili per accrescere la propria competitività sul mercato ma, soprattutto, per continuare a presenziarlo in maniera vincente.
Video Intervento conclusivo dell Prof. Mauro Miccio nel Webinar