A partre del 9 Gennaio 2026, con l’introduzione del nuovo art. 25-octies.2 nel D.Lgs. 231/2001, le violazioni delle misure restrittive dell’Unione europea entrano formalmente nel catalogo dei reati presupposto della responsabilità amministrativa degli enti. L’aggiornamento non è marginale e alza concretamente il livello di responsabilità nella gestione dei rapporti con le terze parti.

Le sanzioni europee – tradizionalmente gestite nell’ambito della trade compliance e o come presidio di tutela reputazionale – diventano ora un tema di responsabilità diretta per l’Impresa, con possibili sanzioni pecuniarie rilevanti, misure interdittive e impatti sulla continuità aziendale.

La gestione delle misure restrittive non può più essere considerata un controllo occasionale o un adempimento formale. Diventa parte integrante del sistema di governo del rischio e del Modello 231.
La vera questione non è più “conosciamo la normativa?” ma “siamo in grado di dimostrare l’adozione di azioni preventive finalizzate a evitare i rapporti con soggetti sanzionati?”

Il punto centrale: chi sono le nostre controparti?
Le misure restrittive europee non si limitano a colpire singoli nominativi: riguardano anche società, enti, gruppi economici, specifici beni e interi settori produttivi. Le liste sono oggetto di aggiornamenti frequenti e possono estendersi agli amministratori, ai titolari effettivi, alle società controllanti o controllate, agli intermediari finanziari e ai soggetti che operano indirettamente per conto di entità designate.

Senza attuare controlli dedicati, il rischio concreto consiste soltanto nel contrattualizzare un soggetto formalmente inserito in una lista sanzionatoria, senza averne consapevolezza, per effetto di controlli inadeguati o incompleti.

Molte violazioni trovano origine in carenze organizzative: assenza di uno screening sistematico, verifiche effettuate esclusivamente all’avvio del rapporto e mai aggiornate, mancata analisi della titolarità effettiva e della catena partecipativa, controlli non tracciati o privi di adeguata documentazione. In questo scenario, l’ignoranza del rischio non rappresenta una circostanza neutra. In un contesto in cui le sanzioni possono essere parametrate al fatturato e incidere in modo significativo sulla continuità aziendale, la mancanza di un presidio strutturato si trasforma in una vulnerabilità dell’organizzazione.

La verifica dei soggetti sanzionati: da controllo formale a presidio strategico.
La consultazione delle liste ufficiali UE è solo il punto di partenza.

Un sistema efficace di Sanctions Due Diligence dovrebbe:
> essere integrato nei sistemi gestionali (ERP/CRM),
> generare alert automatici,
> prevedere procedure di escalation,
> tracciare ogni verifica effettuata.

Il vero elemento di tutela consiste anche nel dimostrare di aver fatto dei controlli dedicati, in modo strutturato e proporzionato.
Perché in caso di contestazione, la domanda non sarà “eravate a conoscenza della sanzione?”, ma “quali misure avevate adottato per prevenirla?”.

Il rischio reputazionale è immediato.
Oltre alle sanzioni economiche, esiste un rischio reputazionale molto più rapido e difficile da contenere.
Un’azienda che risulti coinvolta in operazioni con soggetti sanzionati può trovarsi a fronteggiare blocchi bancari, sospensione di rapporti con partner internazionali, oltre a danni di immagine verso clienti e investitori.
In molti casi l’impatto reputazionale precede quello giudiziario.

Un cambio di prospettiva.
Un cambio di prospettiva, prima ancora che normativo, è culturale. L’ingresso delle violazioni delle misure restrittive nel catalogo dei reati presupposto del D.Lgs. 231/2001 obbliga le imprese a rivedere il modo in cui guardano alla compliance. Non più un insieme di adempimenti da assolvere per evitare sanzioni, né un passaggio burocratico che rallenta le decisioni commerciali. Piuttosto, un’infrastruttura di protezione del business.

In un contesto internazionale attraversato da tensioni geopolitiche, aggiornamenti continui delle liste sanzionatorie e crescente attenzione delle autorità di vigilanza, la capacità di sapere con chi si sta facendo affari diventa un fattore competitivo. Le imprese che investono oggi in sistemi strutturati di verifica delle controparti non si limitano a ridurre il rischio di sanzioni — che possono incidere in modo significativo anche sul fatturato — ma rafforzano la propria credibilità verso il sistema bancario, consolidano i rapporti con partner internazionali e si presentano ai mercati come interlocutori affidabili e solidi.

La norma traccia il perimetro della responsabilità. Ma la vera differenza la fa la qualità del sistema di controllo interno: la capacità di integrare le verifiche nei processi decisionali, di documentarle, di aggiornarle nel tempo. È lì che si misura la maturità di un’impresa. Non nella mera conoscenza delle regole, ma nella concreta organizzazione per rispettarle.

In conclusione.
Il nuovo art. 25-octies.2 non si limita ad ampliare l’elenco dei reati presupposto della responsabilità amministrativa degli enti. Introduce una concezione più esigente della responsabilità d’impresa: non basta evitare condotte illecite in senso stretto, occorre dimostrare di aver costruito un sistema organizzativo capace di intercettare e prevenire il rischio prima che si traduca in violazione.

In questo scenario, la verifica dei soggetti destinatari di misure restrittive non è più un controllo accessorio affidato alla sola funzione export o all’ufficio legale. Diventa un presidio strutturale di governance che attraversa le scelte commerciali, il procurement, la gestione finanziaria e le relazioni internazionali. Sapere con chi si opera, conoscere gli assetti proprietari, monitorare le evoluzioni delle liste sanzionatorie significa proteggere l’ente da sanzioni pecuniarie e interdittive e tutelarne la reputazione e la continuità operativa.

La responsabilità oggi si misura sulla qualità dell’organizzazione predisposta per prevenire il rischio e sulla capacità dell’impresa di dimostrare l’effettiva efficacia del proprio sistema di controllo interno.

Dalla norma al presidio operativo: il supporto di Cheope.
Cheope supporta le imprese nella strutturazione di presìdi concreti di Sanctions Due Diligence, integrando tecnologia, fonti qualificate e processi di analisi per consentire controlli tempestivi, documentati e difendibili in sede ispettiva. L’obiettivo non è solo intercettare potenziali criticità, ma rafforzare l’idoneità del Modello 231 e la solidità del sistema di controllo interno.

In un contesto in cui la responsabilità dell’ente si misura sulla qualità dell’organizzazione, dotarsi di strumenti adeguati diventa una scelta di governance. Approfondire oggi il proprio livello di esposizione al rischio sanzionatorio significa tutelare la continuità operativa di domani.

Per valutare l’adeguatezza dei vostri presìdi e strutturare un sistema di verifica coerente con il nuovo art. 25-octies.2, il team Cheope è a disposizione per un confronto dedicato.