Vai al contenuto principaleVai al contenuto principale
Vuoi diventare Ambassador?CLICCA QUI
123FormazioneSicurezza · Ambiente · Compliance
Strumento operativo M&A

Due diligence sicurezza sul lavoro per acquisizioni e cessioni aziendali

Checklist operativa, red flag da presidiare e metodo di stima della passività SSL per il commercialista che assiste clienti in operazioni di M&A.

Vai alla checklist SSLRichiedi SSL Quick Audit

Perché la due diligence SSL è fondamentale nelle operazioni M&A

Nelle operazioni di acquisizione, cessione o fusione aziendale, la due diligence sulla sicurezza sul lavoro è spesso trattata come allegato di minor rilievo rispetto alla due diligence fiscale o finanziaria. Questa sottovalutazione espone l'acquirente a passività significative che maturano prima del closing e si manifestano dopo.

Il nodo giuridico centrale è la disciplina del trasferimento d'azienda ex art. 2112 c.c.: il cessionario subentra in tutti i rapporti di lavoro preesistenti con i relativi diritti e obblighi, inclusa la posizione di datore di lavoro ai sensi del D.Lgs 81/08. Da quel momento, le irregolarità ereditate diventano irregolarità proprie, passibili di sanzione in sede di successiva ispezione.

L'art. 2560 c.c. aggiunge un profilo ulteriore: nel trasferimento di azienda commerciale il cedente e il cessionario rispondono in solido dei debiti aziendali risultanti dalle scritture contabili obbligatorie. Le sanzioni amministrative in corso di accertamento o le ingiunzioni di pagamento già emesse possono pertanto ricadere sull'acquirente in regime di solidarietà, indipendentemente da quanto pattuito nel contratto di cessione.

Sul versante penale, le posizioni soggettive di garanzia (datore di lavoro, dirigente, preposto) non si cedono: il procedimento penale avviato contro il cedente non si trasferisce all'acquirente. Tuttavia, se dall'infortunio deriva la responsabilità dell'ente ex D.Lgs 231/01 art. 25-septies (reati di omicidio colposo e lesioni gravi commessi con violazione delle norme antinfortunistiche), l'ente acquisito porta con sé questa esposizione, inclusa la eventuale sanzione interdittiva, che può compromettere l'operatività post-closing.

Checklist due diligence SSL standard

Documentazione da richiedere alla target nella data room. Per ciascuna voce è indicato il riferimento normativo e l'eventuale profilo di alert critico.

1

DVR aggiornato

Alert critico

Art. 28 D.Lgs 81/08

Documento di Valutazione dei Rischi aggiornato, firmato e datato. Verificare data ultima revisione rispetto a cambiamenti organizzativi, infortuni occorsi o introduzione di nuove lavorazioni nell'azienda target. Un DVR mai aggiornato dall'anno di fondazione è un red flag immediato.

2

Nomina RSPP e relativo contratto

Alert critico

Art. 17 c. 1 lett. b) D.Lgs 81/08

Designazione formale del Responsabile del Servizio di Prevenzione e Protezione — interno o esterno — con contratto di servizio in corso di validità. Se il datore di lavoro ha svolto direttamente i compiti di RSPP, verificare il possesso e la validità dell'attestato di formazione (Modulo B + aggiornamenti quinquennali).

3

Verbali RLS / RLST e registro consultazioni

Artt. 47-50 D.Lgs 81/08

Verbali delle riunioni periodiche ex art. 35 (obbligatorie per aziende con più di 15 lavoratori) e delle consultazioni RLS/RLST. L'assenza totale di documentazione RLS in aziende strutturate segnala un sistema di gestione SSL privo di presidio.

4

Attestati di formazione di tutti i lavoratori

Alert critico

Art. 37 D.Lgs 81/08 — Accordo SR 21/12/2011

Raccogliere l'elenco nominativo di tutti i lavoratori con data di assunzione, corso di formazione generale e specifica seguito, data di scadenza dell'aggiornamento. Verificare che nessun lavoratore sia senza attestato e che gli aggiornamenti quinquennali non siano scaduti.

5

Formazione preposti e dirigenti

Alert critico

Artt. 18-19 D.Lgs 81/08 — Accordo Rep. 78/CSR 17/04/2025

Dal 2025 i preposti devono aggiornare la formazione annualmente (2 ore in presenza). Verificare che i responsabili di reparto, i capi turno e i coordinatori abbiano seguito l'aggiornamento annuale. Il mancato adeguamento è una non conformità recente e diffusa.

6

Nomina Medico Competente e protocollo sanitario

Artt. 18 e 41 D.Lgs 81/08

Contratto con il Medico Competente, protocollo sanitario adottato, cartelle sanitarie e di rischio (conservazione: 10 anni, fino a pensionamento per rischi specifici). Verificare che le visite siano state effettuate nei termini e che non vi siano giudizi di non idoneità non gestiti.

7

Giudizi di idoneità in scadenza o non conformi

Alert critico

Art. 41 c. 6 D.Lgs 81/08

Verificare l'elenco dei lavoratori con idoneità parziale, con prescrizioni o con idoneità alla mansione specifica non rilasciata. Lavoratori con giudizio di non idoneità adibiti alla mansione originaria espongono l'azienda a responsabilità penale.

8

Registro infortuni (o SINP per i datori obbligati)

Art. 18 c. 1 lett. r) D.Lgs 81/08

Analisi degli infortuni degli ultimi 5 anni: indice di frequenza, indice di gravità, eventuali infortuni gravi o mortali. Verificare la coerenza tra infortuni denunciati all'INAIL e quelli registrati internamente. Disallineamenti sono un segnale di sommerso.

9

POS per attività edili o di cantiere

Artt. 89 e 131 D.Lgs 81/08

Se l'azienda target svolge attività in cantiere, verificare la presenza di POS aggiornati per ogni commessa attiva e la nomina di figure di cantiere (CSP/CSE). L'assenza di POS in aziende del settore edile o impiantistico è una non conformità grave e potenzialmente fonte di procedimenti penali in corso.

10

DUVRI per contratti d'appalto e d'opera

Art. 26 D.Lgs 81/08

Per ogni contratto di appalto in essere in cui si verificano interferenze tra lavoratori del committente e lavoratori dell'appaltatore, verificare la redazione e l'aggiornamento del DUVRI. Assenza sistematica per aziende con molti fornitori e subappaltatori è una non conformità rilevante.

11

Certificato Prevenzione Incendi e designazioni

DM 03/08/2015 — DM 02/09/2021

CPI in corso di validità per le attività soggette (rilasciato dal Comando VVF competente), designazione e formazione degli addetti antincendio (Livello 1, 2 o 3 in base al rischio). Verificare scadenza del CPI e data degli ultimi aggiornamenti quinquennali degli addetti.

Le voci con "Alert critico" sono quelle la cui assenza espone a sanzione penale o ad arresto del datore di lavoro e richiedono specifica menzione nel report di due diligence.

Red flag più frequenti nelle due diligence SSL

Situazioni ricorrenti riscontrate nelle operazioni M&A, con indicazione dell'impatto sulla valutazione della passività potenziale.

!

DVR mai aggiornato o redatto alla fondazione dell'azienda

Impatto alto

Il DVR deve essere aggiornato ogniqualvolta mutino le condizioni di rischio, a seguito di infortuni significativi, quando l'evoluzione tecnica o organizzativa lo richieda (art. 29 c. 3 D.Lgs 81/08). Un DVR fermo all'anno di costituzione, con attività nel frattempo cambiate, è formalmente e sostanzialmente non conforme.

!

Formazione dei lavoratori scaduta o mai erogata

Impatto alto

L'attestato di formazione lavoratori (8h rischio basso, 12h rischio medio, 16h rischio alto) decade ogni 5 anni se non aggiornato. Lavoratori assunti senza formazione entro 60 giorni o con aggiornamenti quinquennali scaduti da anni configurano una violazione sistematica dell'art. 37 e una passività da quantificare.

!

Medico Competente mai nominato o privo di protocollo sanitario

Impatto alto

Nelle aziende con rischi per cui è obbligatoria la sorveglianza sanitaria (VDT, movimentazione manuale, agenti chimici, biologici, fisici), l'assenza del Medico Competente o la presenza di un incarico formale senza visite effettive è frequente. Configurazione: violazione art. 18 c. 1 lett. a) D.Lgs 81/08 punita con arresto fino a 6 mesi.

!

RSPP mai nominato o posizione vacante

Impatto alto

La designazione dell'RSPP è obbligo indelegabile del datore di lavoro (art. 17 c. 1 lett. b)). L'assenza di qualsiasi nomina — frequente in microimprese trasformate in aziende strutturate — è violazione di per sé sanzionata e segnala un sistema SSL inesistente.

!

Cassaforte penale: procedimenti art. 590 / 589 c.p. pendenti

Impatto alto

La presenza di procedimenti penali per lesioni colpose o omicidio colposo con violazione delle norme antinfortunistiche (art. 590 c. 2 e art. 589 c. 2 c.p.) pendenti a carico del datore di lavoro o di dirigenti è la red flag più critica. In caso di condanna definitiva può configurarsi responsabilità da reato dell'ente ex D.Lgs 231/01 (art. 25-septies), con sanzioni pecuniarie fino a 1.500 quote (€ 387.342,50 massimo) e misure interdittive.

Assenza di DUVRI sistematica in azienda con ampio appalto

Impatto medio

Un'azienda che gestisce appalti interni senza alcun DUVRI redatto per anni rivela un presidio SSL formale carente. In sede di ispezione, ogni contratto di appalto sprovvisto di DUVRI configura una violazione autonoma dell'art. 26 e può alimentare procedimenti in caso di infortuni all'appaltatore.

Registro infortuni con lacune o difformità rispetto a denunce INAIL

Impatto medio

Infortuni denunciati all'INAIL non presenti nel registro interno, o viceversa, segnalano prassi di sommerso o difficoltà documentali. La non congruenza deve essere indagata anche in chiave di potenziali sopravvenienze passive (ricorsi lavoratori, azioni di regresso INAIL).

Stima della passività potenziale SSL nel processo di valutazione

Tabella delle principali sanzioni ex D.Lgs 81/08 e D.Lgs 231/01, utile come base di calcolo per la quantificazione delle contingent liabilities nel SPA.

ViolazioneSanzioneFonte normativa
Mancata redazione o aggiornamento del DVRArresto da 3 a 6 mesi o ammenda da € 3.071,27 a € 7.862,44Art. 55 c. 1 lett. a) D.Lgs 81/08
Mancata nomina RSPPArresto da 3 a 6 mesi o ammenda da € 3.071,27 a € 7.862,44Art. 55 c. 1 lett. b) D.Lgs 81/08
Omessa o insufficiente formazione lavoratoriArresto fino a 2 mesi o ammenda da € 1.315,39 a € 7.862,44Art. 55 c. 5 lett. c) D.Lgs 81/08
Mancata nomina Medico Competente (quando obbligatoria)Arresto fino a 6 mesi o ammenda da € 2.630,77 a € 6.583,59Art. 55 c. 2 D.Lgs 81/08
Omessa sorveglianza sanitariaArresto da 2 a 4 mesi o ammenda da € 1.315,39 a € 5.267,17Art. 58 c. 1 lett. a) D.Lgs 81/08
Responsabilità da reato ente (infortuni gravi/mortali)Da 250 a 1.500 quote (€ 64.557 – € 387.342); misure interdittiveArt. 25-septies D.Lgs 231/01

Metodo di stima delle contingent liabilities SSL

  1. 1.Inventario non conformità: lista delle violazioni documentali rilevate nella data room, classificate per gravità (penale / amministrativa).
  2. 2.Valorizzazione ammende: per ciascuna violazione, applicare la sanzione massima come scenario worst-case e quella minima come scenario best-case.
  3. 3.Probabilità di accertamento: ponderare per la frequenza ispettiva del settore (frequenza media INL per codice ATECO), dati disponibili in INAIL e al Ministero del Lavoro.
  4. 4.Profilo 231: calcolare separatamente il rischio per procedimenti art. 25-septies in corso, con impatto sulle sanzioni pecuniarie e sulle potenziali misure interdittive all'attività.
  5. 5.Indemnity nel SPA: la stima complessiva informa il valore dell'indemnity specifica da negoziare con il cedente o il corrispondente aggiustamento del prezzo.

Disclaimer: le sanzioni riportate sono quelle previste dalla normativa vigente al momento della redazione. La quantificazione definitiva della passività richiede l'analisi del fascicolo specifico da parte di un legale specializzato.

Come 123Formazione supporta il commercialista nelle operazioni M&A

Due servizi dedicati alle fasi pre- e post-closing delle operazioni di acquisizione e fusione.

Pre-closing

SSL Quick Audit per M&A

Audit documentale strutturato sull'intera documentazione SSL della target. Il report include: valutazione per ciascuna voce della checklist, classificazione delle non conformità (critica / significativa / minore), stima orientativa della passività per le violazioni riscontrate.

  • Analisi del DVR e della documentazione RSPP
  • Verifica nominativa degli attestati di formazione
  • Controllo protocollo sanitario e giudizi di idoneità
  • Analisi DUVRI, POS e documentazione cantieri (se applicabile)
  • Ricerca procedimenti penali art. 590/589 c.p. su richiesta
Post-closing

Formazione del personale acquisito

Piano formativo per mettere in regola rapidamente il personale dell'azienda acquisita. Pensato per integrarsi con il piano di onboarding dell'acquirente e rispettare i termini previsti dal D.Lgs 81/08 per i nuovi assunti.

  • Mappatura nominativa delle scadenze formative ereditate
  • Corsi lavoratori, preposti e dirigenti (e-learning e in aula)
  • Aggiornamento formazione addetti antincendio e primo soccorso
  • Coordinamento con Medico Competente per visite di accesso
  • Reportistica di completamento per il dossier post-closing
SSL Quick Audit — Pacchetto M&A

Hai un'operazione M&A in corso? Richiedi il pacchetto Due Diligence SSL.

Un audit documentale strutturato, consegnato in formato report per il dossier di due diligence. Supporto dalla data room al piano formativo post-closing.

  • Analisi dell'intera documentazione SSL della target
  • Classificazione non conformità per gravità e sanzione applicabile
  • Report per il SPA: passività stimate e raccomandazioni
  • Piano formativo post-closing per il personale acquisito
  • Supporto al commercialista nella fase negoziale (indemnity)
  • Coordinamento con RSPP e Medico Competente della target

Come funziona: condividi con noi i documenti della data room SSL (o fornisci accesso alla data room virtuale). Restituiamo il report entro i termini concordati con il tuo studio. Per operazioni urgenti è disponibile un servizio accelerato.

Richiedi pacchetto Due Diligence SSLVai all'hub commercialisti

Il servizio SSL Quick Audit è orientativo e non sostituisce il parere legale per la quantificazione definitiva delle passività. La valutazione di conformità definitiva è a carico del professionista incaricato.

Domande frequenti sulla due diligence SSL in operazioni M&A

Chi risponde delle irregolarità SSL in caso di cessione di ramo d'azienda?

In caso di trasferimento di azienda o di ramo, l'art. 2112 c.c. trasferisce all'acquirente i rapporti di lavoro in essere con tutti i relativi obblighi, inclusa la posizione di datore di lavoro ai sensi del D.Lgs 81/08. Le sanzioni amministrative pregresse imputate all'ente cedente possono riverberarsi sull'acquirente tramite l'art. 2560 c.c. (responsabilità solidale per i debiti dell'azienda ceduta risultanti dalle scritture contabili). Le responsabilità penali personali del cedente non si trasferiscono, ma i procedimenti penali in corso possono incidere sul valore dell'operazione e richiedere garanzie specifiche nel SPA.

Il D.Lgs 231/01 si applica anche alle PMI in operazioni M&A?

Sì, il D.Lgs 231/01 non distingue in base alla dimensione dell'ente: anche una PMI è soggetta alla responsabilità amministrativa da reato. In sede di due diligence occorre verificare se la target ha adottato un Modello Organizzativo 231 (MOG) e un Organismo di Vigilanza, e se il MOG contempla la parte speciale relativa ai reati di omicidio colposo e lesioni colpose con violazione delle norme SSL (art. 25-septies). L'assenza di MOG non è di per sé sanzionata, ma non consente di beneficiare dell'esimente in caso di reato.

Come si stima la passività potenziale SSL nel processo di valutazione?

La stima convenzionale prevede: (1) inventario delle non conformità documentali rilevate; (2) valorizzazione delle ammende applicabili per ciascuna (artt. 55-60 D.Lgs 81/08) come passività certa o probabile; (3) stima della probabilità di accertamento in sede ispettiva (frequenza settoriale degli accertamenti INL/ASL); (4) calcolo separato del rischio 231 per procedimenti in corso o pregressi (sanzione pecuniaria + eventuale sospensione dell'attività). Il totale concorre alla determinazione del prezzo rettificato o all'inserimento di una specifica indemnity nel SPA.

Cosa succede agli attestati di formazione dei lavoratori dopo l'acquisizione?

Gli attestati di formazione seguono il lavoratore indipendentemente dal cambio di datore: restano validi fino alla loro scadenza naturale (aggiornamento quinquennale o biennale per i preposti). Tuttavia, se l'acquirente modifica le mansioni dei lavoratori acquisiti o introduce nuovi rischi legati all'integrazione operativa, sorge l'obbligo di formare nuovamente i lavoratori interessati. Nel piano di post-closing è consigliabile pianificare un audit formativo completo entro 90 giorni dal closing.

Una target con RSPP esterno è meno rischiosa di una con RSPP interno assente?

Non necessariamente. La nomina formale dell'RSPP esterno risolve la violazione dell'art. 17 c. 1 lett. b), ma non garantisce che il servizio sia stato effettivamente erogato: occorre verificare le relazioni annuali, i verbali di sopralluogo, l'aggiornamento del DVR in seguito alle visite e le comunicazioni al Medico Competente. Un RSPP esterno nominato ma inattivo — prassi diffusa nelle PMI — non riduce la passività reale; la riduce solo se si dimostra che ha effettivamente svolto i compiti previsti dall'art. 33 D.Lgs 81/08.

Risorse correlate

Hub commercialisti

Tutti gli strumenti per il professionista e per i suoi clienti.

Sicurezza dello studio professionale

Obblighi SSL del tuo studio: DVR, formazione, sorveglianza sanitaria.

Calcolatore sanzioni

Stima ammende e arresto per violazioni D.Lgs 81/08.

Check conformità sicurezza

Autovalutazione rapida degli obblighi SSL per settore e dimensione.

Compliance check cliente

Check personalizzato per ATECO e numero dipendenti.

Guida ai ruoli D.Lgs 81/08

Datore, RSPP, RLS, preposto, MC, addetti emergenze.