Business Judgment Rule: una prospettiva sistematica per le funzioni di Risk & Compliance

Business Judgment Rule: una prospettiva sistematica per le funzioni di Risk & Compliance

2 dicembre 2025

di Marco AVANZI

Nell’attuale contesto normativo e regolatorio, caratterizzato da una crescente complessità dei sistemi di governance e da un continuo innalzamento delle aspettative nei confronti degli organi amministrativi, la Business Judgment Rule (BJR) si configura come un principio cardine nella valutazione dell’operato degli amministratori, rappresentando al contempo un criterio di delimitazione della responsabilità gestionale e una guida metodologica per la strutturazione dei processi decisionali.

Tale principio, lungi dall’essere una mera clausola di esonero, si innesta in una visione moderna dell’impresa che valorizza l’adozione di procedure decisionali informate, la robustezza dei sistemi di controllo interni, la qualità dei flussi informativi e l’integrazione organica tra risk management, compliance, internal audit e Modello 231.

Ne deriva che la BJR può essere adeguatamente compresa solo all’interno di un quadro sistemico che comprende gli assetti organizzativi richiesti dall’art. 2086 c.c., le best practice delineate dagli orientamenti in materia di governance, i requisiti del D. Lgs. 231/2001 e le metodologie consolidate di due diligence, tanto interne quanto esterne.

Il perimetro giuridico della Business Judgment Rule

La BJR, così come delineata dalla dottrina e precisata dalla giurisprudenza più recente, stabilisce che le decisioni imprenditoriali, quando adottate in buona fede, sulla base di informazioni complete e adeguate, in assenza di conflitti di interesse e conformemente alla diligenza professionale richiesta dall’incarico, non sono suscettibili di sindacato giudiziale nel merito, essendo valutabili esclusivamente sotto il profilo della logicità e della ragionevolezza ex ante. Questo principio strettamente collegato, dopo la riforma della crisi d’impresa, e integrato, dagli obblighi organizzativi dell’art. 2086 c.c. non opera tuttavia in modo incondizionato: l’amministratore non è protetto quando l’istruttoria è carente, le verifiche preliminari risultano inesistenti o meramente formali, gli assetti organizzativi non risultano adeguati o la decisione appare frutto di arbitrarietà, avventatezza o scelte incoerenti con i dati informativi disponibili.

La giurisprudenza degli ultimi anni ha contribuito in modo significativo a chiarire la portata operativa della BJR, rafforzando un orientamento orientato a privilegiare la qualità del processo decisionale rispetto al risultato economico dell’operazione. Ecco una sintesi dei principali punti focali degli orientamenti giurisprudenziali:

  • il limite dell’insindacabilità coincide con la ragionevolezza ex ante, richiedendo la presenza di un percorso di analisi strutturato, fondato su cautele, verifiche e flussi informativi completi.
  • si esclude un controllo ex post del merito imprenditoriale quando la decisione risulta informata, ragionata e coerente con i dati disponibili al momento della scelta; rilievo particolare viene attribuito ai pareri tecnici e alla valutazione dei rischi.
  • la protezione della BJR non si estende a comportamenti omissivi; l’amministratore deve adottare tutte le misure necessarie per salvaguardare l’interesse societario, anche in assenza di espresse violazioni formali.
  • la diligenza non si valuta in relazione all’esito ma al metodo adottato, con particolare attenzione alla tracciabilità decisionale e alla coerenza delle analisi svolte.

Questo set di orientamenti giurisprudenziali rafforza la necessità per gli amministratori di adottare approcci metodologicamente solidi, allineati alle best practice del risk management e della compliance.

Linee guida, assetti organizzativi e presidi Risk & Compliance

La norma di cui all’art. 2086 richiede la predisposizione di assetti organizzativi, amministrativi e contabili adeguati alla natura e alle dimensioni dell’impresa. Tali assetti, per essere effettivi, devono riflettere i criteri contenuti nelle linee guida sulla governance interna, nonché nelle best practice internazionali (es. COSO Internal Control – Integrated Framework). In quest’ottica, la BJR trova un’applicazione coerente solo quando gli amministratori dispongono di un sistema strutturato di flussi informativi, reporting, escalation e controllo.

Un presidio evoluto di risk management consente di:

  • mappare e valutare i rischi connessi alla decisione (strategici, operativi, legali, reputazionali);
  • sviluppare scenari alternativi attraverso analisi e test;
  • predisporre piani di mitigazione;
  • acquisire e valutare pareri esterni qualificati;
  • conservare una documentazione tracciabile del processo istruttorio.

Tali elementi rappresentano evidenze oggettive che, in sede giudiziale, assumono valore determinante per dimostrare la ragionevolezza ex ante dell’azione amministrativa.

Anche la due diligence, sia interna (organizzativa, fiscale, ESG, finanziaria) sia rivolta alla supply chain, costituisce una componente essenziale del processo informativo. In particolare, il crescente rilievo dei rischi 231, ESG, cybersecurity e continuità operativa, anche alla luce della normativa europea sulla supply chain due diligence, impone verifiche strutturate e proporzionate, favorendo decisioni più solide e difendibili.

Anche il MOG 231 rappresenta un dispositivo organizzativo che, se adeguatamente implementato, rafforza il processo decisionale mediante la mappatura dei rischi-reato, la definizione di protocolli decisionali e controlli, le verifiche dell’Organismo di Vigilanza, la diffusione della cultura del rischio. In tal senso, il Modello 231 costituisce un complemento naturale alla BJR, poiché contribuisce a formalizzare il metodo di analisi e a documentare la diligenza ex ante.

Anche gli organi di controllo interni assumono in questo ambito una rilevanza importante. Compliance, Internal Audit e OdV svolgono una funzione cruciale nel garantire tracciabilità, indipendenza e robustezza delle decisioni. Tra i loro compiti funzionali alla BJR si possono annoverare: i) la revisione del risk assessment aziendale e delle metodologie applicate; ii) la verifica dell’aderenza alle procedure di due diligence; iii) la segnalazione delle anomalie all’OdV e al CdA; iv) la formulazione di report periodici su rischi emergenti, controlli carenti e opzioni strategiche alternative; v)  la costruzione di una memoria organizzativa utile in eventuali contenziosi.

Conclusioni

La Business Judgment Rule, interpretata secondo un’ottica moderna e sistematica, non rappresenta un semplice scudo protettivo per l’organo amministrativo, bensì un metodo di governance che richiede la strutturazione di processi decisionali informati, documentati e coerenti con i principi del risk–based approach. Integrare risk management, due diligence, Modello 231 e controllo interno non è più una scelta discrezionale, ma un requisito essenziale per garantire la difendibilità delle decisioni, rafforzare la resilienza aziendale e consolidare la credibilità verso stakeholder, investitori e autorità di vigilanza. Per le PMI — spesso caratterizzate da risorse limitate e processi meno strutturati — l’adozione di presidi coerenti con la BJR può avvenire attraverso un approccio proporzionale ma metodico, ad esempio, per il tramite delle seguenti azioni:

  • documentare sistematicamente business case, possibili alternative, valutazione dei rischi e motivazione delle scelte;
  • introdurre forme “light” di due diligence, focalizzate su fornitori o operazioni rilevanti;
  • implementare un MOG 231 proporzionato ai rischi effettivi;
  • ricorrere a pareri e competenze specialistiche in situazioni complesse;
  • archiviare in modo ordinato analisi, verbali e pareri;
  • investire in formazione mirata sugli obblighi di diligenza informata.

Intervento di Marco AVANZI | Autore per Risk & Compliance Platform EuropeCompliance, Data Protection & Risk Management c/o Aldi srl

Per approfondimenti, consultare i seguenti link e/o riferimenti:

Codice Civile, artt. 2086, 2392, 2381.

D. Lgs. 231/2001 — Responsabilità amministrativa degli enti.

Direttiva UE Corporate Sustainability Due Diligence (CSDDD).

Norme su amministrazione e controllo della crisi d’impresa (D. Lgs. 14/2019).

Cass. Civ., Sez. I, 22 giugno 2017, n. 15470.

Cass. Civ., Ord., 17 febbraio 2023, n. 4849.

Cass. Civ., Ord., 6 settembre 2024, n. 25260.

Tribunale di Milano, orientamenti vari in tema di responsabilità amministratori e BJR.

EBA Guidelines on internal governance (EBA/GL/2021/05).

COSO Internal Control – Integrated Framework.

ISO 31000:2018 – Risk Management Guidelines.

Linee guida Confindustria sul Modello 231 (aggiornamento 2021).

Documenti dell’Ordine dei Dottori Commercialisti e degli Esperti Contabili sugli assetti organizzativi ex art. 2086 c.c.

Best practice internazionali in materia di enterprise risk management.

Related Items

adeguato assetto organizzativoAdeguati Assetti: il legame fra fattori ESG e crisi d'impresa
Continua a leggere
Prospettive della Riforma 231: un nuovo capitolo per la responsabilità amministrativa degli Enti?Prospettive della Riforma 231: un nuovo capitolo per la responsabilità amministrativa degli Enti?
Continua a leggere
Permacrisi, Resilienza e Governo e Controllo dei Rischi. Apprendere dal passato per fronteggiare le sfide future Permacrisi, Resilienza e Governo e Controllo dei Rischi. Apprendere dal passato per fronteggiare le sfide future 
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *