Questo mese si prende in esame la sentenza n. 22584/2025 della Corte di Cassazione, depositata lo scorso 16 giugno, decisione che offre importanti spunti di riflessione per chi presidia l’adeguatezza dei Modelli 231/2001 e dei sistemi di controllo interno.

Il tema affrontato dalla Corte riguarda la qualifica di “datore di lavoro ex lege” ai fini prevenzionistici, anche al di fuori del Consiglio di Amministrazione, e il rapporto con la delega di funzioni prevista dall’art. 16 del D.Lgs. 81/2008.

Il caso è rilevante non solo per la sua impostazione teorica, ma per i riflessi pratici: riguarda, infatti, responsabilità aziendale, riparto dei poteri e costruzione di assetti organizzativi difendibili in caso di accertamento giudiziario.

Il procedimento nasce dalla contestazione, al presidente del CdA, di non aver predisposto il DVR e nominato l’RSPP per due divisioni operative.  Tali adempimenti erano stati invece eseguiti dai dirigenti preposti, ai quali il presidente aveva conferito procura gestionale.

Il Tribunale aveva assolto l’imputato, ritenendo che i dirigenti fossero, in concreto, datori di lavoro ex lege.  La Corte richiama la definizione dell’art. 2, lett. b), D.Lgs. 81/2008:

“Datore di lavoro è il soggetto titolare del rapporto di lavoro con il lavoratore o, comunque, il soggetto che, secondo l’organizzazione aziendale, ha la responsabilità dell’organizzazione stessa o dell’unità produttiva in quanto esercita i poteri decisionali e di spesa.”

Il termine “comunque” è centrale: secondo la Cassazione, il legislatore ha voluto assicurare la prevalenza del criterio sostanziale su quello formale.

Pertanto:

  • anche in assenza di delega,
  • anche in mancanza di qualifica dirigenziale formale,
  • anche fuori dal Consiglio di Amministrazione,

il soggetto che esercita stabilmente poteri decisionali e finanziari su un’unità produttiva autonoma, è da considerarsi “datore di lavoro” in senso prevenzionistico.

Nel caso in esame, il Tribunale aveva accertato che la struttura organizzativa era ripartita in due divisioni distinte sui piani contabile, amministrativo, gestionale, e che il consiglio di amministrazione della società, di cui l’imputato era presidente dal 2020, nel novembre 2021 aveva delegato al presidente alcune proprie attribuzioni, avvalendosi dello strumento della delega gestoria di cui all’articolo 2381, co. 2, c.c., escludendo tuttavia ogni aspetto relativo alla materia della prevenzione degli infortuni sul lavoro nonché alla tutela della sicurezza e alla salute dei lavoratori sui luoghi di lavoro nei cantieri.

A sua volta, l’imputato, quale presidente del Consiglio di amministrazione, aveva conferito apposita procura speciale ai dirigenti preposti al vertice delle due distinte unità produttive, munendoli di autonomi poteri decisionali e di spesa, ai quali pertanto il Tribunale riconosceva la qualifica di datore di lavoro ex lege in senso prevenzionistico per le singole unità produttive, qualificate quali autonome unità produttive in presenza dei requisiti normativi di autonomia gestoria, finanziaria, i quali infatti, in adempimento alla legge, avevano predisposto sia il DVR che individuato il RSPP, proprio in adempimento ai compiti che competono al datore di lavoro a titolo originario.

* * *

Questa decisione è rilevante anche in ambito D.lgs. 231/2001 perché rafforza un principio chiave: non è sufficiente l’organigramma formale per delimitare le responsabilità prevenzionistiche.

Quando una persona fisica, anche non presente nel CdA, ha poteri effettivi su un’unità produttiva autonoma, può essere considerata Datore di lavoro ex lege e quindi diventare soggetto attivo di reati colposi rilevanti per la normativa 231 (lesioni gravi/gravissime e omicidio colposo, art. 25-septies).

In questo contesto, la responsabilità dell’ente può sorgere anche:

  • in assenza di evento lesivo, se il sistema organizzativo è inadeguato;
  • in presenza di un infortunio, se il modello non è aggiornato o non mappa correttamente i soggetti prevenzionistici;
  • per culpa in eligendo o in vigilando da parte dell’organo apicale (CdA, AD), anche in presenza di procure o deleghe formalmente corrette.

La decisione della Corte evidenzia che i presupposti per essere datore ex lege coincidono con quelli di una valida delega di funzioni ex art. 16 D.lgs. 81/08: autonomia decisionale, potere di spesa, competenza.

Questo genera un effetto di sovrapposizione:

– il dirigente divisionale può essere datore ex lege, anche senza una formale delega;

– la presenza della delega non esclude che il soggetto vada qualificato comunque come datore originario, se di fatto esercita il controllo sull’organizzazione e sul lavoro.

Di conseguenza, le responsabilità non si trasferiscono solo per via formale e se il sistema 231/01 non riflette correttamente questa realtà, l’ente può essere chiamato a rispondere per “colpa organizzativa”.

Cosa dovrebbe prevedere un Modello 231 conforme?

  1. Mappatura dei “datori di fatto”

Individuare chi, pur non essendo formalmente apicale, gestisce in concreto la sicurezza di una linea, sito, cantiere o divisione.

  1. Allineamento tra deleghe formali e poteri sostanziali

Ogni delega deve essere scritta, con accettazione; coerente con l’autonomia decisionale del delegato; supportata da risorse e potere di spesa.

  1. Verifica dei flussi informativi verticali

Il CdA o l’AD deve ricevere report periodici sull’andamento della sicurezza dalle figure delegate o ex lege. La vigilanza non può essere passiva.

  1. Integrazione nei flussi 231

I soggetti con responsabilità prevenzionistica devono essere coinvolti in attività formativa 231; flussi di segnalazione e controllo, audit periodici su DVR, RSPP, formazione e sorveglianza sanitaria.

In definitiva, la sentenza n. 22584/2025 è un chiaro richiamo a non limitarsi alle etichette organizzative.

Ai fini del D.Lgs. 231/2001, il vero rischio non è solo l’evento lesivo, ma anche l’incoerenza tra l’organizzazione formale e quella sostanziale.