Il 2025 rappresenta un anno importante per la normativa antifrode internazionale.
A livello di soft law, a maggio 2025 è stata pubblicata la prima edizione del nuovo standard ISO37003:2025, che si pone come una guida per tutte le organizzazioni in materia di sviluppo, attuazione e mantenimento di un efficace sistema di gestione per il controllo delle frodi. A livello nazionale invece, a partire dal 1 settembre 2025, nel Regno Unito è entrato in vigore il reato Failure to Prevent Fraud Offence (FTPF), introdotto all’interno dell’Economic Crime and Corporate Transparency Act del 2023 (ECCTA).
Il nuovo standard ISO 37003:2025: una guida internazionale per il Fraud Risk Management
L’ISO 37003:2025 rappresenta il nuovo riferimento internazionale per la gestione del rischio frode (Fraud Risk Management) nelle organizzazioni di ogni dimensione e settore.
Questo standard fornisce linee guida strutturate e metodologiche per aiutare imprese ed enti pubblici e privati a prevenire, rilevare e contrastare i comportamenti fraudolenti, con l’obiettivo di ridurre l’impatto economico e reputazionale che questi eventi possono generare.
Le frodi aziendali, interne o esterne, sono oggi tra le minacce più gravi per la sostenibilità e la fiducia di un’organizzazione. Perdite finanziarie, compromissione della reputazione e riduzione della fiducia degli stakeholder, sono solo alcune delle conseguenze di una gestione non adeguata del rischio frode.
In questo contesto, l’ISO 37003:2025 introduce un approccio sistematico e basato sulla governance, che consente di sviluppare una cultura aziendale fondata su integrità, trasparenza e supervisione costante.
Lo standard offre un framework operativo in grado non solo di reagire efficacemente a eventi fraudolenti, ma soprattutto di prevenirli, attraverso la creazione di processi interni solidi, procedure di verifica e una valutazione proattiva dei rischi.
L’importanza del “Tone at the Top” nella prevenzione delle frodi
Come sottolineato anche da altri organismi internazionali, il primo ed imprescindibile elemento di un efficace sistema di gestione del rischio frode è il cosiddetto “Tone at the Top”. Questo concetto identifica il tono e la direzione etica che il Consiglio di Amministrazione e i Manager trasmettono quotidianamente all’interno dell’organizzazione, influenzando percezioni e comportamenti di dipendenti, collaboratori e stakeholder.
Quando si verifica una frode, o viene segnalato un sospetto illecito, spesso è indice di una lacuna nella governance aziendale. Per questo motivo, è essenziale intervenire preventivamente, costruendo un contesto organizzativo sano, in cui la compliance non sia un semplice obbligo formale, ma un punto di partenza per guidare comportamenti coerenti con i valori aziendali.
Un efficace sistema di Fraud Risk Management richiede più di procedure e regolamenti, occorre consolidare una cultura etica aziendale attraverso:
- Processi trasparenti e chiari, che rendano comprensibili le responsabilità e le procedure.
- Messaggi coerenti su etica e integrità, condivisi dai vertici e formalizzati nelle policy aziendali.
- Politiche di “zero risk tollerance” verso le frodi.
- Canali whistleblowing efficaci, capaci di garantire segnalazioni sicure e riservate.
- Controlli preventivi mirati, non solo formali, ma funzionali a individuare precocemente rischi e anomalie.
Creare una cultura aziendale etica non solo riduce le perdite economiche derivanti da frodi interne, ma ottimizza anche i costi di monitoraggio e gestione del rischio. Parallelamente, una governance orientata all’integrità genera significativi benefici reputazionali, incrementando la fiducia di clienti e investitori nei confronti dell’organizzazione.
Il Failure to Prevent Fraud Offence (FTPF) inglese
Prima del 2023, in UK, non era prevista la responsabilità penale per gli enti quando non era possibile dimostrare che i vertici aziendali avessero ordinato o fossero a conoscenza della frode.
L’ECCTA del 2023 ha colmato la lacuna, sancendo una responsabilità penale per le organizzazioni che non mettono in atto procedure ragionevoli a prevenire la commissione di frodi. La sezione 199dell’ECCTA, che prevede il reato di “Failure to prevent fraud” (FTPF), si applica solo alle c.d. “large organizations”, ovvero quelle aziende che soddisfano almeno due dei seguenti criteri:
· più di 250 dipendenti;
· fatturato superiore a £ 36 milioni;
· attivo superiore a £18 milioni.
In base alla normativa vigente, queste organizzazioni possono essere ritenute penalmente responsabili quando, nel corso di un anno finanziario, un associate person (ovvero un dipendente, un agente o chiunque operi per conto dell’ente) commette una frode finalizzata, anche indirettamente, a procurarle un vantaggio, indipendentemente dal coinvolgimento o dalla consapevolezza dei vertici aziendali.
È importante ricordare che l’ECCTA non riguarda esclusivamente le società inglesi, ma possono essere ritenute responsabili del reato di FTPF anche:
· le large organizations non registrate nel Regno Unito ma che hanno un UKnexus, ovvero un collegamento con il Regno Unito (ad esempio quando parte dell’atto fraudolento è stato commesso nel Regno Unito, oppure se il guadagno o la perdita derivante dalla frode si sono verificati nel Regno Unito);
· in caso di holding, quando una società controllata UK (da una controllante non UK) commette la frode, o quando l’atto fraudolento ha effetto nel Regno Unito (in tal caso anche la società controllante non UK potrebbe essere ritenuta responsabile ai sensi del ECCTA).
Al pari del sistema italiano, anche la legge britannica sposta sull’ente l’onere probatorio: attraverso una strict liability,ovvero una responsabilità oggettiva, per cui non è più necessario dimostrare il dolo o la colpa dell’ente, ma è sufficiente che l’associate abbia commesso il reato e che l’ente non abbia adottato delle reasonable prevention procedures, ovvero delle procedure preventive adeguate.
Le conseguenze del reato Failure to Prevent Fraud Offence (FTPF)
Come sopra specificato, anche gli enti non-britannici possono essere coinvolti nei processi per FTPF se operano nel Regno Unito o se hanno un UK nexus, ad esempio nel caso di filiali nel Regno Unito la frode è commessa ai danni di mercati, banche, partner commerciali, clienti, utenti, consumatori o piattaforme inglesi.
Considerato quindi l’enorme impatto che tale normativa può avere anche sulle aziende italiane, è auspicabile che tutte le organizzazioni in qualsivoglia modo toccate dall’ECCTA inizino a dotarsi di procedure preventive adeguate alla gestione del rischio frode.
Nel caso di accertata responsabilità per il reato in esame, oltre alle possibili conseguenze reputazionali, una società può essere condannata al pagamento di un’ammenda senza limiti edittali (c.d.unlimited fines), e l’entità della sanzione è lasciata alla discrezionalità del giudice, che valuterà le circostanze specifiche del caso concreto, la gravità del reato e i benefici finanziari ottenuti.
I servizi offerti da Argo in materia di Fraud Risk Management
Alla luce di questo nuovo quadro normativo, è fondamentale che tutte le imprese, soprattutto quelle che operano nel Regno Unito o che comunque hanno un UK nexus, si dotino di un sistema strutturato di Fraud Risk Management, fondato su misure preventive concrete e verificabili.
In questo scenario, Argo Spa rappresenta un partner di eccellenza nella definizione e nell’attuazione di programmi antifrode efficaci e conformi alla compliance internazionale. Supportiamo le organizzazioni nella definizione di policy e procedure globali, nella mappatura delle associate persons e nella valutazione del relativo rischio di frode. L’attività include Due Diligence su clienti, fornitori e operazioni di M&A internazionali, Fraud Risk Assessment mirati per le aree più sensibili e formazione del personale (anche sui nuovi obblighi FTPF).
Il nostro sistema di Fraud Risk Management prevede, inoltre:
· la gestione sicura dei canali di whistleblowing, conformemente alla Direttiva (EU) 2019/1937, all’ISO37002:2021, al D.lgs. 24/2023 e alla Delibera ANAC n. 311/2023;
· la conduzione di audit periodici volti a monitorare l’efficacia delle procedure antifrode implementate
· il supporto al processo di internal investigations, ovvero della raccolta e analisi di informazioni, condotti all’interno di un’organizzazione, finalizzati ad accertare fatti o comportamenti potenzialmente illeciti, fraudolenti o non conformi a norme interne o esterne, al fine di determinare le responsabilità, prevenire danni reputazionali e legali, e adottare eventuali misure correttive o disciplinari.
Operando secondo le linee guida governative e le best practice internazionali, offriamo un modello di Fraud Risk Management completo, trasparente, conforme e aggiornato, capace di ridurre concretamente il rischio di frode e di tutelare l’integrità e la reputazione aziendale nel tempo.
