Combattere i fenomeni corruttivi e migliorare il sistema dei controlli interni. Questi i principali obiettivi dei modelli organizzativi previsti dall’impianto normativo del 2001 che, dopo una partenza incerta, sono oggi tra i principali strumenti di riduzione del rischio-reato.
[auth href=”https://www.lefonti.legal/registrazione/” text=”Per leggere l’intero articolo devi essere un utente registrato.
Clicca qui per registrarti gratis adesso o esegui il login per continuare.”]Dalla portata innovativa considerevole, il decreto legislativo 231 dell’8 giugno 2001 ha avuto il gran merito di introdurre, nel nostro ordinamento, la responsabilità amministrativa e penale delle aziende e degli enti per i reati commessi dai soggetti che operano nel contesto operativo delle stesse. Secondo questa legge “rispondono della commissione di alcuni reati, sia il soggetto che li ha commessi, sia l’ente presso il quale questo soggetto presta l’attività lavorativa, sempre che tali reati siano stati compiuti a vantaggio e comunque nell’interesse dell’ente stesso”.
Prima di ciò, vigeva il principio secondo cui societas delinquere non potest, ovvero le aziende erano esenti da responsabilità penale riguardo ai reati commessi dai propri dipendenti, siano essi soggetti in posizione apicale oppure subordinati. Nonostante la natura apparentemente “punitiva” del provvedimento, esso dà alle imprese la possibilità di proteggersi dalla commissione di illeciti ed evitare le pesanti sanzioni previste. Come? In primis adottando preventivamente modelli organizzativi e di gestione, idonei ad individuare e prevenire i reati disciplinati dalla norma e, in secondo luogo, affidando ad un Organismo di vigilanza (Odv), dotato di autonomi poteri di iniziativa e di controllo, il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curarne il loro aggiornamento.
Nel momento in cui è entrato in vigore, le aziende non hanno immediatamente colto le reali potenzialità del decreto e del modello organizzativo previsto, ma ne hanno mal digerito il funzionamento. Era considerato solo una mera esecuzione normativa e uno strumento oneroso in termini sia economici che organizzativi. Con il passare del tempo, si è compresa la sua reale importanza, sia nella gestione dei processi aziendali, che nella prevenzione e lotta ai fenomeni corruttivi.
Per fare il punto sugli impatti aziendali del D.lgs 231, sulla sua diffusione all’interno del tessuto imprenditoriale, sul ruolo dell’Organismo di vigilanza e sulle responsabilità penali introdotte dalla norma, Le Fonti Legal ha intervistato gli esperti in materia: Ascensionato Raffaello Carnà, di Studio Carnà, Lelio della Pietra di TmdpLex, Giuseppe Iannaccone di Studio Legale Avv. Giuseppe Iannaccone e Associati, Francesco Isolabella di Studio Isolabella e Roberto Pisano di Studio legale Pisano.
Impatti aziendali Inizialmente il decreto legislativo non ha riscosso il successo sperato all’interno del tessuto imprenditoriale; solo un ristretto numero di aziende, per la maggior parte di dimensioni grandi o medio-grandi, ha adottato i modelli organizzativi. Successivamente le imprese si sono rese conto dell’importanza di dotarsi di sistemi di prevenzione per limitare il rischio di commissione di reati al loro interno. Come spiega Ascensionato Raffaello Carnà, di Studio Carnà, «nel corso degli anni, è maturata una maggiore consapevolezza da parte degli esponenti aziendali, degli apicali in particolare, circa la necessità, non burocratica, adempimentalistica, della compliance 231. Hanno verificato, infatti, il beneficio non solo in termini “giuridici”, di esimente da responsabilità amministrativa, quanto di indirizzo dell’azione d’impresa consapevole in relazione ai rischi specifici, tipici del settore in cui ciascuna organizzazione opera. Si tratta, in effetti, di un vero e proprio sistema di individuazione e mitigazione dei rischi a tutto vantaggio e beneficio del business. Mi piace pensare alla compliance 231 come ai freni di un’auto da corsa. Non servono per rallentarne la corsa ma, viceversa, per consentire al pilota di andare più veloce. Nessun pilota correrebbe un gran premio con freni “disegnati” solo sulla carta, non effettivi. Così è per l’imprenditore e per il top manager consapevole. Non regole avulse ed astratte dalla realtà. L’approccio burocratico, inoltre, alimenta un ulteriore rischio. L’imprenditore (e gli stakeholders) sono “tranquilli” perché credono di poter disporre di un modello 231 (di un ottimo sistema frenante) che in realtà non è tale, con tutte le conseguenze facilmente immaginabili». Ecco perché è importante che i modelli organizzativi seguano le reali esigenze dell’impresa «e che la compliance sia tarata in modo chirurgico rispetto alle effettive necessità aziendali e, soprattutto, rispetto a ciò che l’azienda può effettivamente sopportare». Come anticipato, la diffusione dei modelli organizzativi non è stata immediata. A lungo è prevalsa fra gli enti interessati la convinzione che fosse solamente un ulteriore adempimento generatore di costi e di responsabilità. Quest’interpretazione della normativa, come sostiene Lelio della Pietra di TmdpLex «ha portato alcune aziende a creare modelli organizzativi di facciata, nel malcelato tentativo di evitare l’applicazione di sanzioni in relazione a comportamenti illeciti sempre più comuni, senza individuare in essi alcuna utilità diretta sul piano gestionale e strategico. Invero, tale fenomeno degenerativo è risultato opportunatamente fronteggiato dalla giurisprudenza, che ha sanzionato questo tipo di approccio, disattendendo il modello in quanto non creato a misura sull’impresa ma copiato da un prototipo soggettivamente inadeguato e quindi privo dei requisiti dell’effettività e dell’efficacia».
Compliance preventiva Con il D.lgs 231/2001 per la prima volta nel nostro ordinamento giuridico si afferma la responsabilità in sede penale dell’ente, che si aggiunge a quella della persona fisica che ha materialmente realizzato il fatto illecito. In tal modo si è permesso al diritto penale italiano di entrare nell’era della compliance preventiva e di inserirsi in un ambito prima rigorosamente riservato al diritto societario. «Il significato letterale del termine compliance è conformità», specifica Francesco Isolabella di Studio Isolabella. «La funzione del D.lgs 231/01 è quella di affrontare il “rischio reato” attraverso l’adozione e l’applicazione da parte degli assetti organizzativi societari di principi di legge capaci di rendere l’attività sociale conforme alla legge». Dello stesso avviso è Giuseppe Iannaccone di Studio Legale Avv. Giuseppe Iannaccone e Associati il quale afferma che «dal 2001 in avanti, in esecuzione delle sempre più pressanti esigenze internazionali esistenti, il nostro ordinamento ha doverosamente introdotto una forma di responsabilità da reato ascrivibile alle persone giuridiche. In questo senso, quindi, è certamente corretto dire che con il D.lgs 231/2001 sia stata introdotta una forma di compliance preventiva, che tuttavia ha tradizionalmente scontato i difetti dello stesso D.lgs 231, qui esemplificativamente sintetizzabili in due profili: il fatto che la redazione del modello organizzativo non sia stata resa obbligatoria per le imprese, ma solo facoltativa, ha rappresentato, almeno inizialmente, un forte disincentivo alla possibilità di intendere la compliance preventiva come un elemento essenziale dell’attività imprenditoriale; il fatto che, per i primi dieci anni del XXI secolo, l’implementazione dei reati presupposto inseriti all’interno del D.lgs 231 è andata fortemente a rilento, ha per lungo tempo frustrato l’efficacia deterrente che si è inteso perseguire con l’introduzione di una responsabilità giuridica ascrivibile all’ente». Secondo Roberto Pisano di Studio legale Pisano «pur con taluni profili critici, e con numerose aree di possibile miglioramento, si deve riconoscere che la disciplina 231 ha condotto ad una riduzione del rischio di commissione dei reati nell’ambito degli enti collettivi e, in ogni caso, ha condotto ad un miglioramento delle procedure di controllo interno anche nella fase successiva alla contestazione degli illeciti, al fine di poter beneficiare delle misure premiali in punto di riduzione delle sanzioni conseguenti all’adozione di condotte cosiddette remediali (cfr. artt. 12 e 17 D.lgs 231)».
Reati penali Gli illeciti previsti dal decreto legislativo 231 sono numerosi e in costante aggiornamento: «Le persone fisiche dirigenti o dipendenti dell’ente», spiega Roberto Pisano «sono soggette a responsabilità penale per un ampio ventaglio di reati cosiddetti presupposto (previsti dagli artt. 24 ss. D.lgs 231); gli enti, al contrario, sono responsabili per l’illecito amministrativo concernente l’omessa adozione, ed efficace attuazione, del modello 231, vale a dire di un modello di organizzazione, gestione e controllo effettivamente idoneo a prevenire reati della stessa specie di quelli contestati ai dipendenti dell’ente (artt. 6-7 D.lgs 231). In ordine alla natura e al fondamento della responsabilità dell’ente, occorre rilevare che le Sezioni Unite della Suprema Corte hanno affermato che il sistema di cui al D.lgs 231 “costituisce un corpus normativo di peculiare impronta, un tertium genus…che coniuga i tratti dell’ordinamento penale e di quello amministrativo” (Cass. pen., Sez. Un., 24 aprile 2014, n. 38343, caso ThyssenKrupp). Ulteriormente, secondo le citate Sezioni Unite, “è da escludere che il sistema violi il principio di colpevolezza…Si deve considerare che il legislatore, orientato dalla consapevolezza delle connotazioni criminologiche degli illeciti ispirati da organizzazioni complesse, ha inteso imporre a tali organismi l’obbligo di adottare le cautele necessarie a prevenire la commissione di alcuni reati, adottando iniziative di carattere organizzativo e gestionale.
Tali accorgimenti vanno consacrati in un documento, un modello che individua i rischi e delinea le misure atti a contrastarli. Non aver ottemperato a tale obbligo fonda il rimprovero, la colpa di organizzazione”. Circa il catalogo dei reati presupposto, idonei a far sorgere la responsabilità dell’ente, esso è davvero molto ampio, essendo stato progressivamente esteso nel corso dell’ultimo quindicennio, sino a ricomprendere tutte le principali fattispecie penali, con l’eccezione dei reati tributari (storicamente soggetti ad un autonomo e articolato apparato sanzionatorio di natura sia penale che amministrativa, secondo il principio del c.d. doppio binario). Tale catalogo comprende i reati societari, la corruzione e i reati contro la pubblica amministrazione, gli abusi di mercato, il riciclaggio e l’autoriciclaggio, i delitti informatici, i reati in materia di salute e sicurezza sul lavoro, i reati ambientali, ecc».
Lotta alla corruzione La natura preventiva della norma trova applicazione nella lotta ai fenomeni corruttivi, che da sempre rappresentano una delle cause per cui le aziende italiane hanno perso appeal agli occhi degli investitori esteri: «La percezione del livello di corruzione riguarda l’intero Paese», commenta Ascensionato Raffaello Carnà. «L’immagine, purtroppo, non è positiva, sebbene in miglioramento, e, spesso, è anche peggiore della realtà. Tale percezione, è naturale, si riverbera sulle aziende nazionali almeno sotto un duplice profilo. Da un lato, impatta negativamente sulla competitività delle nostre all’estero; dall’altro, rende per le aziende straniere meno attrattivo e più rischioso l’investimento in Italia». Per questo motivo si è reso necessario un ulteriore strumento, il D.lgs 231 appunto, che valorizzasse gli assetti organizzativi ed i presidi di contrasto dei fenomeni corruttivi, anche tra privati. «Non è raro» continua Carnà «trovare specifiche policy aziendali di due diligence delle terze parti finalizzate a comprendere e valutare le caratteristiche, anche etico-comportamentali, dei soggetti con cui si valuta di attivare rapporti e partnership. Parimenti, l’impegno a mantenere vivi ed effettivi tali sforzi anticorruzione è, forse, il miglior modo per contribuire a migliorare la percezione ma, soprattutto, a proteggere la reputazione dell’azienda (e del Paese). Sarebbe impensabile, infatti, sostenere anche professionalmente programmi di espansione e sviluppo commerciale senza tali approfondimenti preventivi e di mantenimento nel corso del rapporto. Nelle organizzazioni multinazionali tali approcci sono una consuetudine; lo stanno diventando anche per le aziende di più piccole dimensioni. Su queste, in particolare, si evidenzia che spesso sono oggetto di valutazione da parte dei partner commerciali e che l’implementazione di un sistema di compliance 231 aiuta nella valorizzazione dell’azienda e dei presidi anticorruzione In altri termini, le aziende attente a tali tematiche sono giudicate partner affidabili, con cui potersi accompagnare nel mondo del business sano. Non da ultimo, e con specifico riferimento al percorso di internazionalizzazione, non è raro riscontrare dei modelli organizzativi cosiddetti cross-border. Si tratta di analisi e processi che tengono non solo conto dei rischi “nazionali” ma si spingono a valutare e gestire anche i rischi “simil 231” che caratterizzano il Paese (o i Paesi) in cui si intende operare». Dell’importante del D.lgs 231 nella lotta alla corruzione ne parla anche Lelio della Pietra, che sottolinea come la sua funzione preventiva sia perseguita ricorrendo a modelli di organizzazione e di gestione contenenti una mappatura dei rischi, a protocolli per la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire, alla fissazione delle modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di reati, alla previsione di obblighi di informazione e nei confronti dell’Organismo di vigilanza, ad un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate dal modello. «Inoltre», aggiunge della Pietra «l’efficacia preventiva del decreto legislativo è stata incisa dalla normativa ISO 37001, pubblicata in data 15 ottobre 2016 dall’Organismo mondiale di standardizzazione, finalizzata alla realizzazione di un modello di prevenzione e gestione del rischio corruzione, che può essere adottato anche come linea guida per la redazione del segmento dei modelli organizzativi che inerisce ai rischi reato legati alle attività corruttive».
Whistleblowing Nell’ambito della lotta alla corruzione, l’estensione del whistleblowing, ovvero l’eventuale denuncia di condotte illecite da parte dei dipendenti di una organizzazione, al settore privato, ha imposto alle società dotate di un modello organizzativo 231 di individuare uno o più canali che consentano ai dipendenti di presentare segnalazioni circostanziate nel caso in cui vengano a conoscenza di condotte illecite, rispettando la riservatezza del segnalante. Inoltre, tale modello deve garantire il divieto di ritorsione nei confronti del segnalante, nonché sanzioni nei confronti di chi viola le misure di tutela e di chi formula segnalazioni infondate. Ulteriori novità riguardano il D.lgs 129/2017, entrato in vigore il 3 gennaio 2018, in esecuzione della cosiddetta Mifid 2, che ha modificato il D.lgs 58/1998 (cosiddetto Tuf) e ha riguardato i sistemi interni di segnalazione delle violazioni. «I modelli di organizzazione e controllo previsti ai sensi del D.lgs 231/2001» spiega Giuseppe Iannaccone «prevedono pertanto che oggi l’impresa si adegui al nuovo art. 4-undecies del Tuf, adottando procedure specifiche per la segnalazione al proprio interno, da parte del personale, di atti o fatti che possano costituire violazioni delle norme disciplinanti l’attività svolta, e che siano idonee a garantire la riservatezza dei dati personali del segnalante e del presunto responsabile della violazione, la tutela adeguata del soggetto segnalante contro condotte ritorsive, discriminatorie o comunque sleali conseguenti la segnalazione, nonché l’esistenza di un canale specifico, indipendente e autonomo per la segnalazione».
Organismo di vigilanza Una volta predisposto e correttamente redatto un modello organizzativo, è necessario che ne venga garantito il rispetto. L’art. 6 del decreto legislativo prevede che il compito di vigilare sul funzionamento e l’osservanza del modello organizzativo e di curarne l’aggiornamento, sia attribuito a un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo. Nello specifico, come illustra della Pietra «le attività che l’organismo è chiamato ad assolvere sono costituite dalla vigilanza sull’effettività del modello, che si sostanzia nella verifica della coerenza tra i comportamenti concreti ed il modello istituito; disamina in merito all’adeguatezza del modello; analisi circa il mantenimento nel tempo dei requisiti di solidità e di funzionalità del modello; cura del necessario aggiornamento in senso dinamico del modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni per garantire che il modello si mantenga “adeguato” nel tempo; segnalazione all’organo dirigente, per gli opportuni provvedimenti, di quelle violazioni accertate del modello organizzativo che possano comportare l’insorgere di una responsabilità in capo all’ente. I poteri riconosciuti all’Organismo di vigilanza (Odv) si sostanziano nella capacità di decidere le modalità di esplicazione della propria fondamentale funzione di controllo; nella facoltà di attivarsi nella richiesta di informazioni, dati e documenti verso tutte le componenti interne dell’ente; nella facoltà di eseguire interviste e raccogliere segnalazioni; nella dotazione di risorse proprie ovvero, ove necessario, dalla possibilità di ricorrere a consulenti esterni». La normativa, inoltre individua un diaframma tra grandi aziende e piccole e medie imprese poiché specifica che il “compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento”, può essere svolto direttamente dall’organo dirigente, ovvero l’amministratore della società o al socio responsabile della stessa. «In tal modo», conclude della Pietra «il legislatore si preoccupa di non gravare sulla piccola impresa, obbligandola a sopportare costi eccessivi e non commisurati all’obiettivo della legge». Per quanto riguarda la correlazione tra il requisito di indipendenza dell’Odv e i requisiti di idoneità e di efficacia del modello 231, Francesco Isolabella precisa che l’indipendenza formale dell’Odv sta all’idoneità del modello, così come l’indipendenza sostanziale dell’Odv sta all’efficacia del modello. In altre parole, «mentre il concetto di idoneità identifica un elemento progettuale, astratto e ancora statico, il diverso concetto di efficacia identifica un elemento operativo, concreto e dinamico.
Il modello efficace è il modello che opera in termini coerenti al progetto (che deve essere idoneo). L’indipendenza dell’Odv conferisce tanto idoneità quanto efficacia al modello. Essa è quindi un requisito che richiede il contemporaneo rispetto sia dell’aspetto formale che di quello sostanziale: senza il primo si resta vittime di una presunzione di non indipendenza (con inidoneità del modello), senza il secondo si resta vittime di una certezza di non indipendenza (con inefficacia del modello)».
231 e privacy Un altro tema strettamente correlato ai modelli organizzativi è quello della privacy. Con l’entrata in vigore del nuovo regolamento europeo (Gdpr), essi dovranno fare i conti con la protezione dei dati personali, nel rispetto delle disposizioni europee.
Le norme introdotte dall’Europa presentano molti punti di contatto con le disposizioni del decreto legislativo 231 del 2001: «sebbene le finalità siano differenti, la metodologia alla base di entrambi è, per certi versi, molto simile», dichiara Carnà. «Si basano, infatti, su un risk assessment segue a pag.38
(in un caso, finalizzato ad individuare e gestire i rischi reato 231; nell’altro i rischi privacy), sulla definizione di processi aziendali di prevenzione e gestione dei rischi, sull’implementazione di un sistema di monitoraggio e controllo. Nella prospettiva aziendale, significa, in altri termini, ridurre sforzi e burocrazia per le imprese potendo fare tesoro ed opportuna sinergia tra processi che, sebbene aventi finalità differenti, hanno una comune matrice metodologica. Inoltre, le informazioni provenienti dall’uno sono utili anche per l’altro, il tutto in un virtuosismo sistema di integrazione dei presidi di controllo. Non sono utili approcci atomistici ove a guidare sia solo l’esigenza normativa. L’esigenza normativa deve essere salvaguardata, senza dubbio, ma avendo presente l’unitarietà della gestione aziendale, sintesi di tutti i sistemi di controllo interno».
Da un punto di vista processuale, invece, appare a mio parere censurabile, proprio perché in contrasto con il fatto che la responsabilità dell’ente è legittima solo in quanto sia una responsabilità “per derivazione”, il disposto dell’art. 8 del D.lgs 231/2001, a mente del quale “la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato o non è imputabile”. La mancata estensione ai reati tributari viene sottolineata anche da Pisano che ne ricorda l’assoggettamento ad un autonomo e articolato apparato sanzionatorio di natura sia penale che amministrativa, secondo il principio del cosiddetto doppio binario. «Una spinta normativa nel senso dell’estensione», aggiunge Pisano «quantomeno in rapporto alle frodi Iva transfrontaliere più gravi che ledono gli interessi finanziari dell’Unione, arriva dalla direttiva 2017/1371 approvata dal Parlamento europeo il 5 luglio 2017 (c.d. direttiva Pif), che dovrà essere recepita entro il 6 luglio 2019. Ulteriormente, più che lacune, vi sono numerose aree di possibile miglioramento del sistema di responsabilità degli enti modellato dal D.lgs 231, alla luce dell’esperienza applicativa di oramai oltre un quindicennio.
Tra le molteplici segnalate dalla dottrina, e oggetto di studio ad opera di un’apposita commissione di riforma istituita presso il Ministero della giustizia, due appaiono meritevoli di particolare menzione. La prima concerne una modifica del sistema di responsabilità dell’ente nell’ipotesi di reato commesso dai propri dirigenti c.d. “apicali” (provvisti di poteri di direzione). In rapporto a tale contesto, infatti, nel quadro normativo attuale, è assai difficile (se non addirittura impossibile) per l’ente ottenere l’esclusione da responsabilità, essendo tale esclusione soggetta alla prova, di assai difficile integrazione, che il modello 231 è stato eluso “fraudolentemente” dal proprio dirigente.
In sostanza, un modello di responsabilità per colpa (come detto, cosiddetta “colpa di organizzazione”), rischia di tramutarsi, nell’esperienza applicativa, in un sistema di responsabilità oggettiva, così ponendosi in conflitto con fondamentali valori costituzionali. La seconda area di possibile miglioramento concerne il settore della piccola-media impresa, le cui peculiarità, nell’ottica di parte della dottrina, mal si conciliano con i notevoli oneri organizzativi, burocratici e i costi gestionali di cui al sistema 231, e richiederebbero una disciplina ad hoc sulle stesse modellata, se non addirittura l’esclusione tout court dal sistema 231».
[/auth]
