Il D.Lgs. n. 47/2026 rafforza il ruolo dell’organo di controllo, chiamato non più soltanto a verificare l’esistenza degli assetti, ma anche il loro concreto funzionamento. La vigilanza si estende al sistema di controllo interno e di gestione dei rischi, ai flussi informativi e alla capacità degli strumenti di monitoraggio di intercettare tempestivamente le criticità.
Con l’entrata in vigore, il 29 aprile 2026, del Decreto attuativo della Legge Capitali (D.Lgs. n. 47/2026, in G.U. n. 86 del 14 aprile 2026), i nuovi artt. 2396-bis–2396-terdecies, c.c., ridisegnano lo statuto dell’organo di controllo. Il baricentro si sposta dalla verifica dell’esistenza dei presidi al presidio del loro concreto funzionamento: dal guardiano formale, al presidio strategico dei rischi.
Il cuore della riforma è l’art. 2396-quinquies, c.c., che eredita il nucleo del previgente art. 2403: l’organo di controllo continua a vigilare sull’osservanza della legge e dello statuto e sul rispetto dei principi di corretta amministrazione. Tuttavia, a differenza del passato, la vigilanza sull’adeguatezza e sul concreto funzionamento del sistema di controllo interno e di gestione dei rischi diventa oggetto espresso di dovere, insieme al coordinamento delle funzioni di controllo. La formula è unica — “organo di controllo” — e vale per i modelli tradizionale, monistico e dualistico.
La norma è costruita in modo speculare all’art. 149, TUF, già applicabile ai sindaci delle società quotate, e il suo ultimo comma replica l’art. 153, TUF; per i sindaci resta ferma la relazione all’assemblea ex art. 2429, comma 2, c.c.. Il messaggio sistematico è netto: lo standard delle quotate scende, di fatto, anche nelle PMI non quotate, coordinandosi con l’art. 2086, comma 2, c.c., e con l’art. 3, Codice della Crisi (CCII). Cambia dunque la natura della domanda di vigilanza: non più “i presidi esistono?” (verifica statica, compliance-based), ma “i presidi funzionano?” (verifica dinamica, risk-based). Il principio di proporzionalità — confermato dalla Norma 3.5, CNDCEC (dicembre 2024) — mantiene unico lo standard e ne calibra l’applicazione su settore, dimensioni, indebitamento e tensioni di continuità.
Vigilare sul SCIGR significa esprimere un giudizio su un sistema, non compilare una checklist. In concreto, l’organo di controllo deve accertare che il sistema identifichi i rischi in modo coerente con natura e dimensioni dell’impresa (proporzionalità), sia integrato nei processi decisionali e non un compartimento separato, intercetti le criticità prima che diventino crisi (funzione anticipatoria), generi flussi informativi tempestivi e adeguati verso l’organo amministrativo e l’organo di controllo, e infine impieghi strumenti di monitoraggio affidabili — e non soltanto esistenti — anche quando incorporano algoritmi o sistemi di intelligenza artificiale.
Il quinto punto segna il salto più delicato: il collegio non valuta se esistano strumenti di monitoraggio, ma se siano affidabili. Un sistema di alert che produce falsi negativi è peggiore dell’assenza di sistema, perché genera un falso senso di sicurezza. Il quadro normativo di riferimento è coordinato: 2396-quinquies per la vigilanza, 2086, c.c., per il dovere di istituire assetti adeguati, art. 3, CCII, per gli output informativi minimi e i segnali tipizzati, art. 2380-bis per la gestione come organizzazione e, per le quotate, l’art. 149, TUF.
La guida operativa più aggiornata è il documento congiunto FNC-CNDCEC del 4 maggio 2026, che ordina l’attività di verifica in tre tipologie di evidenza. È la griglia da tenere sul tavolo durante l’incarico:
- evidenze statiche: comprovano l’esistenza formale del sistema (organigrammi, mansionari, deleghe e procure; procedure e regolamenti interni; segregazione delle funzioni). Rispondono alla domanda “c’è o non c’è”;
- evidenze dinamiche: distinguono gli assetti “di carta” da quelli “vivi” (regolarità delle riunioni e dei flussi informativi; KPI gestionali, audit di secondo livello, incident report e tracciabilità delle decisioni; azioni correttive conseguenti). Rispondono alla domanda “funziona o non funziona”;
- evidenze prospettiche: sono le più delicate e, secondo il documento, decisive per intercettare la crisi (budget economico-finanziario e previsioni di cassa; sostenibilità del debito a 12 mesi; stress test e test pratico del CCII). Rispondono alla domanda se il sistema “reggerà”.
La Riforma sposta il baricentro verso le evidenze dinamiche e prospettiche. Sul piano operativo, il programma di lavoro dell’organo di controllo non può più essere uguale per ogni incarico: intensità e frequenza dei controlli vanno modulate sul profilo di rischio dell’impresa. In pratica, il collegio: acquisisce e legge criticamente la mappa dei rischi predisposta dagli amministratori, senza recepirla acriticamente; monitora i flussi informativi infra-annuali, senza attendere il bilancio; verifica che il sistema rilevi in modo automatico i quattro segnali tipizzati dall’art. 3, comma 4, CCII — debiti retributivi scaduti da almeno 30 giorni; debiti verso fornitori scaduti da oltre 90 giorni e superiori a quelli non scaduti; esposizioni bancarie oltre le soglie dell’ultimo bilancio; debiti verso creditori pubblici (AdE-Riscossione, INPS, INAIL) ex art. 25-novies, CCII. La mancata rilevazione automatica è di per sé evidenza di inadeguatezza dell’assetto.
Vigilare sul SCIGR implica, inoltre, presidiare il coordinamento delle funzioni, elevato dall’art. 2396-quinquies a oggetto autonomo di controllo. Il rischio più frequente non è la duplicazione, ma la frammentazione: funzioni che operano in silos, informazioni che non circolano. Nel modello delle quattro linee di difesa — gestione operativa, funzioni di secondo livello (risk, compliance, legale), internal audit e, come quarta linea, l’organo di controllo — la crisi emerge proprio nelle aree di confine. Il collegio non sostituisce le funzioni: ne presidia l’architettura, verificando protocolli e flussi tra i presidi, con l’attenzione a integrare (senza appoggiarvisi) le segnalazioni del revisore legale e a tenere distinti Modello 231 e adeguatezza degli assetti.
