9 decisioni per un piano di compliance per PMI nel 2026
Focus PMI, amministratori, imprese familiari e attività in crescita.
Rischio principale Copiare un modello generico senza controlli, formazione né prova di applicazione.
Decisione utile Partire da rischi reali, responsabili chiari ed evidenze proporzionate.
Queste sono le 9 decisioni per creare un piano di compliance per PMI che consigliamo di rivedere:
- 01 Definire l’ambito reale del piano
- 02 Creare una mappa dei rischi proporzionata
- 03 Nominare un responsabile compliance
- 04 Redigere un codice etico comprensibile
- 05 Implantare controlli interni concreti
- 06 Regolare il canale interno di informazione
- 07 Formare il team in modo realistico
- 08 Documentare evidenze di compliance
- 09 Rivedere il piano quando l’impresa cambia
Un piano di compliance per PMI serve a prevenire rischi legali, ordinare controlli interni e dimostrare che l’impresa agisce con diligenza. Non è un documento decorativo: deve aiutare a rilevare inadempimenti, correggerli in tempo e proteggere amministratori, dipendenti e attività.
In Spagna non esiste un obbligo generale per tutte le piccole e medie imprese, ma la compliance è diventata uno strumento pratico. Può essere decisiva se emerge un reato nell’impresa, se un cliente esige controlli, se si partecipa a una gara o se il business opera in settori regolati.
La chiave è che il modello sia proporzionato. Una PMI non deve copiare il sistema di una multinazionale, ma deve identificare rischi reali, assegnare responsabili, formare il team, attivare canali di informazione e rivedere periodicamente i propri controlli.
In questa guida vedrai quali decisioni prendere prima di implantare il piano, quali documenti preparare, quali errori evitare e come collegare compliance penale, canale interno, fiscalità, lavoro, dati e responsabilità degli amministratori.
9 decisioni per creare un piano di compliance
1. Definire l’ambito reale del piano
Il primo passo è decidere che cosa copre il piano. In una PMI può includere compliance penale, protezione dei dati, prevenzione del riciclaggio, rischi di lavoro, fiscalità, contrattazione con fornitori e controlli finanziari.
Il quadro penale è rilevante perché l’articolo 31 bis del Codice Penale spagnolo permette di valorizzare modelli di organizzazione e gestione efficaci per escludere o attenuare la responsabilità. La Circolare 1/2016 della Procura Generale dello Stato aiuta anche a comprendere quali elementi si analizzano nel valutare l’efficacia del modello.
2. Creare una mappa dei rischi proporzionata
La mappa dei rischi identifica dove l’impresa può fallire: pagamenti, contratti, fornitori, regali, dati, fiscalità, sovvenzioni, rapporti di lavoro o sicurezza. Deve ordinare i rischi per probabilità e impatto, senza trattarli tutti come se avessero la stessa urgenza.
Un’impresa industriale, una consulenza tecnologica e un’agenzia immobiliare non hanno la stessa mappa. Ciò che conta è sapere dove può verificarsi un inadempimento serio e quale controllo lo evita.
3. Nominare un responsabile compliance
Ogni impresa ha bisogno di qualcuno che vigili sul funzionamento del modello. Nelle PMI può assumerlo lo stesso organo amministrativo, ma deve essere chiaro chi coordina, chi informa e chi conserva le evidenze.
Se il responsabile non ha tempo, indipendenza minima o formazione sufficiente, il piano perde efficacia. Può essere esternalizzata parte della funzione per guadagnare criterio tecnico, ma la responsabilità ultima non scompare: gli amministratori devono poter dimostrare di aver promosso e supervisionato il sistema.
4. Redigere un codice etico comprensibile
Il codice etico deve spiegare come agisce l’impresa davanti a conflitti di interesse, regali, pagamenti, fornitori, dati, concorrenza, molestie, uguaglianza e uso delle risorse. Deve essere scritto in linguaggio chiaro: se nessuno lo comprende, nessuno lo applica.
Un codice breve, firmato e comunicato spesso è più efficace di un manuale lungo che nessuno consulta. L’utilità sta nel convertire principi generali in regole che il team può usare nelle decisioni quotidiane.
5. Implantare controlli interni concreti
I controlli sono la parte operativa del piano. Possono includere doppia approvazione dei pagamenti, validazione dei fornitori, limiti di spesa, revisioni fiscali, archivio dei contratti e tracciabilità documentale.
L’obiettivo non è frenare il business, ma evitare che una decisione sensibile dipenda da una sola persona senza evidenza. Nelle PMI i controlli devono essere semplici, ripetibili e proporzionati.
6. Regolare il canale interno di informazione
La Legge 2/2023 richiede sistemi interni di informazione per determinati soggetti e stabilisce garanzie di riservatezza, protezione dell’informatore e gestione sicura. Anche quando non tutte le PMI sono obbligate, il canale può essere molto consigliabile.
Un canale gestito male può creare più rischi che soluzioni. Deve definire ricezione, indagine, termini, riservatezza, protezione dei dati e assenza di ritorsioni. Non deve essere una casella di posta dimenticata.
7. Formare il team in modo realistico
Il piano funziona solo se le persone conoscono le regole. La formazione deve adattarsi a ogni profilo: amministrazione, vendite, acquisti, dirigenti, finanza, risorse umane o tecnologia.
Non basta inviare un PDF. Conviene spiegare scenari concreti: regali di fornitori, fatture dubbie, dati personali, conflitti di interesse o uso di informazioni riservate. La formazione deve lasciare evidenza di data, partecipanti, contenuto e comprensione minima.
8. Documentare evidenze di compliance
In compliance, ciò che non si documenta è difficile da provare. Verbali, policy, formazioni, revisioni, comunicazioni, indagini e controlli devono essere conservati in modo ordinato.
L’evidenza è chiave se compare un’ispezione, una denuncia, un procedimento penale o un reclamo di un cliente. Non si tratta di accumulare carte, ma di poter ricostruire decisioni.
9. Rivedere il piano quando l’impresa cambia
La compliance non è statica. Cambia se la PMI apre un nuovo mercato, incorpora soci, assume più dipendenti, inizia a partecipare a gare o entra in un settore regolato.
Deve essere rivista anche se si rileva un’infrazione, se cambia la normativa o se la mappa dei rischi diventa superata. La revisione periodica dimostra che il modello è vivo.
Rischi e controlli che una PMI deve priorizzare
Chi cerca un piano di compliance per PMI di solito non vuole teoria penale astratta: vuole sapere se ne ha bisogno, quanto rischio esiste e come implantare il modello senza paralizzare l’attività. L’intenzione spesso è legata a una gara, a un cliente esigente, alla crescita interna o a una decisione dell’organo amministrativo.
| Rischio | Segnale in una PMI | Controllo proporzionato |
|---|---|---|
| Pagamenti e spese sensibili | Una sola persona approva fornitori, pagamenti, regali o spese di rappresentanza. | Doppia validazione per importo, policy regali e registro autorizzazioni. |
| Contrattazione con terzi | Agenti, commerciali, fornitori critici o collaboratori agiscono in nome dell’impresa. | Onboarding fornitore, contratto, clausole compliance e revisione conflitti. |
| Dati e canale interno | Si ricevono comunicazioni interne senza procedura né protezione dell’informatore. | Canale regolato, termini, riservatezza, responsabile e registro sicuro. |
| Rischio fiscale o contabile | Fatturazione, incassi, sovvenzioni o spese senza tracciabilità sufficiente. | Archivio supporti, revisione periodica e responsabili di approvazione. |
| Responsabilità degli amministratori | L’organo amministrativo non approva né rivede il modello. | Verbale di approvazione, relazione annuale e follow-up delle misure correttive. |
Criterio pratico: una PMI non deve iniziare dal documento più lungo, ma dal rischio più reale. Prima si decide che cosa può succedere, chi lo controlla e quale prova rimane se qualcuno lo chiede tra sei mesi.
Il piano non dovrebbe limitarsi al rischio penale, anche quando questo è centrale. In una PMI un controllo può incidere su un pagamento, su un fornitore, su un conflitto di lavoro, sui dati personali o su un supporto contabile. Per questo il modello deve collegarsi anche all’area commerciale e societaria, dove si prendono molte decisioni operative.
Molte PMI attivano la compliance perché lo richiede un cliente, una gara, un processo di finanziamento o l’ingresso di un nuovo socio. In questi casi il piano non è solo difesa penale: è anche uno strumento per dimostrare affidabilità, governance e qualità contrattuale.
Documenti ed evidenze minime
La compliance non si dimostra con un documento bello. Si dimostra con evidenze: formazioni effettuate, controlli eseguiti, revisioni periodiche, canale interno operativo, indagini documentate, misure correttive e decisioni tracciabili.
| Documento | A che cosa serve | Evidenza da conservare |
|---|---|---|
| Verbale di approvazione | Prova impulso dell’organo amministrativo e ambito del piano. | Data, presenti, accordo, responsabile e calendario di impianto. |
| Mappa dei rischi | Prioritizza rischi penali, corporate, fiscali, di lavoro o dati. | Metodologia, valutazione, controlli esistenti e azioni pendenti. |
| Codice etico e policy | Converte principi in regole applicabili dal team. | Versione approvata, comunicazione al team e accettazione o ricevuta. |
| Registro formazione | Dimostra che le regole sono state spiegate e non solo archiviate. | Data, partecipanti, contenuto, valutazioni e materiali. |
| Revisione periodica | Verifica se il modello è vivo e adattato al business. | Relazione, incidenti, controlli rivisti e misure correttive. |
Errori frequenti nell’impiantare compliance
Copiare un modello da grande impresa
Un piano troppo complesso non viene applicato. La PMI ha bisogno di controlli chiari, responsabili identificabili e documentazione proporzionata. Se il sistema richiede più di quanto la struttura possa sostenere, finirà scollegato dal business.
Creare policy senza follow-up
Un documento senza formazione, controlli e revisione periodica non dimostra una cultura reale di compliance. Il piano deve lasciare traccia di applicazione: decisioni, registri, comunicazioni e misure correttive.
Dimenticare l’organo amministrativo
Gli amministratori devono promuovere, approvare e supervisionare il modello. Delegare compiti non elimina il loro dovere di diligenza. Senza verbali, follow-up e revisione, sarà difficile dimostrare che il sistema aveva sostegno reale.
Aprire un canale interno senza procedura
Un canale di segnalazione o informazione non può essere solo un indirizzo e-mail. Deve regolare ricezione, riservatezza, termini, protezione dell’informatore, indagine, misure correttive e trattamento dei dati.
Come può aiutarti GraciaCalbet
In GraciaCalbet aiutiamo PMI, amministratori e imprese familiari a implantare modelli di compliance proporzionati, collegando diritto penale, commerciale, lavoro, fiscalità e gestione interna. La chiave è che il sistema sia utile per l’impresa e difendibile se compare un problema.
Possiamo disegnare la mappa dei rischi penali e corporate, preparare codice etico, policy e controlli interni, implantare il canale interno di informazione, formare amministratori e team, e rivedere periodicamente il modello e le sue evidenze.
Il lavoro può iniziare con una diagnosi breve: attività, contratti, organigramma, processi di pagamento, fornitori critici, incidenti precedenti e requisiti di clienti o gare. Da lì si decide quali misure sono prioritarie e quali possono restare per una seconda fase.
Domande frequenti (FAQs)
È obbligatorio un piano di compliance per una PMI?
Non esiste un obbligo generale per tutte le PMI, ma può essere obbligatorio per normativa settoriale o requisiti contrattuali. Inoltre, un modello efficace può essere fondamentale per escludere o attenuare la responsabilità penale della persona giuridica.
Che cosa deve includere un piano di compliance per PMI?
Deve includere mappa dei rischi, codice etico, policy interne, controlli, canale di informazione quando applicabile, formazione, responsabile compliance, sistema disciplinare e revisione periodica. La chiave è adattarlo a dimensione, attività e rischi dell’impresa.
Quanto tempo richiede implantare un piano di compliance?
Dipende da dimensione dell’impresa, numero di rischi, documentazione disponibile e capacità decisionale interna. In una PMI, una prima fase proporzionata può includere mappa dei rischi, policy essenziali, controlli e formazione, da completare poi con revisioni e miglioramenti.
Il canale interno di informazione è sempre obbligatorio?
Non per tutte le imprese, ma sì per molti soggetti e consigliabile per molti altri. Se il canale viene aperto, deve essere regolato con procedura, riservatezza, protezione dell’informatore, indagine e trattamento dei dati.
Un modello generico è sufficiente?
Di solito no. Il modello deve essere adattato all’attività, ai rischi reali, alla struttura e alla capacità di controllo dell’impresa. Un documento generico non dimostra applicazione né una cultura reale di compliance.
Quando va rivisto il piano di compliance?
Va rivisto periodicamente e, soprattutto, quando l’impresa apre nuovi mercati, cresce l’organico, cambia la normativa, si rileva un incidente o la mappa dei rischi diventa obsoleta.