Il D.lgs. n. 231/2001 sulla responsabilità degli enti
Il D.lgs. n. 231/2001 ha introdotto una grande novità per il diritto d’impresa, ponendo a carico delle società (di ogni tipo, dimensione a attività) una responsabilità amministrativa/penale per una serie di reati commessi da propri amministratori, dirigenti, dipendenti o terzi mandatari, qualora siano stati realizzati nell’interesse o a vantaggio dell’impresa e siano stati resi possibili da carenze della struttura organizzativa dell’impresa stessa. Le società possono sottrarsi a responsabilità – e quindi all’irrogazione delle relative sanzioni – qualora abbiano adottato, prima della commissione del fatto-reato, un idoneo modello organizzativo e gestionale, dotato delle caratteristiche previste nel Decreto 231.
1. La finalità del D.lgs. n.231/2001
Il D.lgs. n. 231 dell’8 giugno 2001 (“Decreto 231”) ha introdotto una grande novità per il diritto d’impresa. Il Decreto 231 pone, infatti, a carico dell’impresa una responsabilità amministrativa/penale in dipendenza di determinati reati commessi da propri amministratori, dirigenti, dipendenti o terzi mandatari qualora realizzati nell’interesse o a vantaggio dell’impresa stessa.
La scelta di punire le persone giuridiche trae origine dall’analisi secondo cui nella moderna realtà socio-economica:
- alcuni illeciti sono ascrivibili non tanto al singolo autore materiale, ma all’ente nel suo complesso; all’interno delle organizzazioni a struttura complessa vi sono una molteplicità di apparati ed il processo decisionale è scandito in una pluralità di fasi governate non già da un singolo individuo ma da diversi gruppi (polverizzazione di responsabilità);
- gli enti sono i soggetti che possono prevenire il rischio di illeciti commessi al loro interno al minor costo;
- la sanzione rivolta solo alle persone fisiche autrici del reato è insufficiente sotto il profilo preventivo, afflittivo e di riparazione dei danneggiati.
Il Decreto 23 sovverte, dunque, il tradizionale principio “societas delinquere non potest” attribuendo al giudice penale la competenza a sanzionare, oltre che o soggetti(persone fisiche) che hanno materialmente commesso il reato, anche l’ente nell’interesse o a vantaggio della quale il reato sia stato commesso, ovvero il suo patrimonio.
L’obiettivo principale della disciplina introdotta dal Decreto 231 è quello di rendere responsabili gli enti degli illeciti – anche penali – che vengono commessi nel loro interesse o a loro vantaggio e che sono resi possibili dalle carenze della struttura organizzativa degli enti stessi (colpa da organizzazione).
L’assunto di fondo del Decreto 231-sulla scia di regolamentazioni straniere, in particolare dei Compliance Programs statunitensi- è che ogni ente deve dotarsi al suo interno di una organizzazione adeguata, funzionale alla prevenzione del rischio di reato. In ottemperanza al principio costituzionale della responsabilità della pena, l’ente risponde non per il reato commesso dalla persona fisica, bensì per non aver fatto quanto era possibile per evitare il reato stesso, cioè per averlo agevolato con il proprio deficit organizzativo.
L’ampliamento della responsabilità mira a coinvolgere nella punizione i taluni illeciti penali il patrimonio degli enti e, in definitiva, gli interessi economici dei soci, i quali, fino all’entrata in vigore del Decreto 231, non pativano conseguenze dalla realizzazione di reati commessi, con vantaggio della società, da amministratori e/o dipendenti. Sul piano delle conseguenze penali, infatti, gli artt. 196 e 197 c.p. prevedono un’obbligazione civile per il pagamento di multe o ammende inflitte, ma solo in caso d’insolvibilità dell’autore materiale del fatto.
A seguito del Decreto 231, dunque, i soci non possono più dirsi estranei al procedimento penale per reati commessi a vantaggio o nell’interesse dell’ente. Ciò, ovviamente, determina un (maggiore) interesse di quei soggetti (soci, associati, ecc.) che partecipano alle vicende patrimoniali dell’ente, al controllo della regolarità e della legalità dell’operato sociale.
Il Decreto 231 prevede la possibilità per l’ente di sottrarsi alla responsabilità amministrativa/penale – e quindi all’irrogazione delle relative sanzioni – qualora, nonostante l’avvenuta commissione di un reato nell’interesse o vantaggio dell’ente, quest’ultimo abbia adottato, prima della commissione del fatto, un modello organizzativo e di gestione (“MOG”) idoneo a prevenire i reati, dotato delle caratteristiche previste nel Decreto stesso. L’adozione di un idoneo MOG funge pertanto da esimente rispetto alla responsabilità penale/amministrativa dell’ente.
Il Decreto 231 prevede che l’ente non risponde di per sé per la mancata adozione di un MOG, bensì solo nel caso in cui la disfunzione organizzativa derivante dalla mancata adozione di un MOG o dall’adozione di un MOG inidoneo abbia agevolato o reso possibile la commissione del reato. L’adozione di un MOG costituisce quindi tecnicamente non un obbligo, bensì un onere, a carico di tutti gli enti rientranti nell’ambito applicativo del Decreto. Di fatto, tuttavia, l’unica possibilità per un ente di sottrarsi alle conseguenze (potenzialmente pesanti) derivanti dalla eventuale commissione di un reato nel suo interesse o vantaggio consiste nell’adozione di un MOG idoneo a prevenire la commissione dei reati; in mancanza, l’ente è soggetto a sanzione.
Peraltro, l’adozione di un idoneo MOG è rilevante ai fini della valutazione di adeguatezza dell’assetto organizzativo, amministrativo e contabile di una società, che rientra tra i doveri degli amministratori, ai sensi dell’art. 2381, 5° co. c.c.
In questo senso, il Tribunale di Milano, con sentenza del 13.2.2008, ha ritenuto che la mancata predisposizione di un MOG idoneo a prevenire i reati previsti dal Decreto determina la responsabilità civile degli amministratori nei confronti della società ex. art. 2392 c.c.
Nel caso di specie, l’amministratore delegato di una società era stato processato in sede penale per reati di corruzione, turbativa d’asta e truffa commessi nell’ambito della sua carica e, a sua volta, la società dallo stesso amministrata era stata condannata ai sensi del Decreto 231 con una sanzione pecuniaria, poiché i reati erano stati compiuti a suo vantaggio. La società ha quindi agìto ai sensi dell’art. 2392 c.c. nei confronti dell’amministratore per “mala gestio”, chiedendone la condanna al risarcimento dei danni cagionati alla società per non aver predisposto un adeguato MOG che avrebbe dovuto impedire la commissione del reato (prelievo indebito dalle casse sociali).
Pertanto, nonostante l’adozione di un MOG non sia obbligatoria per la società ai sensi del Decreto, l’organo gestorio deve quantomeno valutare l’opportunità di adottare un MOG sulla base di un’adeguata analisi dell’esposizione ai rischi-reato e del rapporto costi-benefici della sua adozione; una mancata o inadeguata valutazione equivale a condotta negligente nell’amministrazione della società e dimostra l’incapacità di assicurare un assetto amministrativo, organizzativo e contabile adeguato alla natura e alle dimensioni dell’impresa, ai sensi dell’art. 2381 c.c.
La vera importanza del Decreto 231 risiede peraltro nel fatto che tale normativa ha valorizzato l’importanza dei sistemi di monitoraggio dell’agire imprenditoriale e dei flussi informativi all’interno dell’impresa, incidendo profondamente sui comportamenti delle imprese e costringendole a rivedere i propri processi organizzativi per individuare soluzioni efficienti per la gestione dei rischi.
In questo senso, l’adeguamento al Decreto 231 deve essere percepito, da tutte le imprese (indipendentemente dalla loro dimensione o settore di attività) non solo come un “costo necessario” – cioè una mera attività di compliance – bensì come un’opportunità per migliorare la gestione e l’efficienza aziendale, dal punto di vista organizzativo interno.
2. I soggetti interessati dal D.lgs. 231/2001
Sono soggetti della disciplina di cui al Decreto 231 tutti gli enti con personalità giuridica, indipendentemente dalla forma societaria, dalla loro dimensione e dal loro oggetto; dunque, rientrano nel campo applicativo del Decreto 231 le società di ogni tipo, siano esse di capitali o di persone (o cooperative), comprese le società unipersonali, nonché le associazioni, anche senza personalità giuridica.
Sono invece esclusi dall’applicazione del Decreto 231:
- lo Stato;
- gli Enti pubblici territoriali;
- gli Enti pubblici non economici (ad es. aziende ospedaliere, scuole, università, istituti di assistenza etc.);
- gli Enti con funzioni di rilievo costituzionale;
- le imprese individuali.
Il Decreto 231 si applica inoltre ad un ente italiano anche qualora il reato-presupposto sia stato commesso all’estero. In particolare, l’ente è responsabile qualora (art. 7 Decreto 231):
- abbia la sua sede principale in Italia;
- nei suoi confronti non proceda lo Stato del luogo dove è stato commesso il reato.
Il Decreto 231 si applica altresì ad un ente straniero, qualora il reato-presupposto sia stato commesso in Italia.
In questo senso, il Tribunale di Milano, con ordinanza del 27.4.2004 (caso Siemens), ha respinto l’eccezione di difetto di giurisdizione del giudice italiano, sollevata dalla difesa della Siemens AG (società tedesca), ritenendo che anche una società straniera ha l’obbligo di osservare la legge italiana quando opera in Italia (nel caso di specie, il contratto di appalto in ordine al quale si era configurato il reato di corruzione nei confronti di Enel era stato stipulato da Siemens AG in Italia).
3. Il catalogo dei reati-presupposto
Ai sensi dell’art. 2 del Decreto 231, un ente non può essere ritenuto responsabile per un fatto costituente reato se la sua responsabilità e le relative sanzioni non sono espressamente previste da una legge entrata in vigore prima della commissione del fatto. Il legislatore italiano ha quindi adottato un “modello chiuso”, fondato su una elencazione tassativa di reati – c.d. reati-presupposto – che fungono così da primo criterio obiettivo di imputazione della responsabilità.
Nonostante che la legge delega n. 300/2000 elencasse numerose fattispecie di reato suscettibili di provocare la responsabilità dell’ente, inizialmente il legislatore aveva inizialmente inserito nel Decreto 231 un numero ridotto di reati-presupposto, anche allo scopo di contenere l’impatto sull’organizzazione delle imprese della nuova normativa.
Nella sua formulazione originaria, il Decreto 231 prevedeva la responsabilità per gli enti in caso di commissione di alcuni reati, esclusivamente dolosi, attinenti ai rapporti con la P.A., quali l’indebita percezione di erogazioni, la truffa in danno dello Stato o di un Ente pubblico o per il conseguimento di erogazioni pubbliche, la frode informatica, la concussione e la corruzione.
Dal 2001 ad oggi, il Decreto 231 ha tuttavia numerose e significative modifiche, che hanno progressivamente e sensibilmente ampliato il catalogo dei reati-presupposto, dalla cui commissione può scaturire la responsabilità dell’ente.
Alle fattispecie originarie di reato-presupposto sono stati aggiunti, negli anni successivi, tra gli altri:
- i reati societari previsti nel Codice Civile (false comunicazioni sociali, il falso in prospetto, l’illegale ripartizione degli utili e delle riserve, le illecite operazioni sulle azioni o quote sociali o della società controllante, le operazioni in pregiudizio dei creditori, aggiotaggio);
- il reato di terrorismo, riduzione in schiavitù, tratta di esseri umani, prostituzione e pornografia minorile, mutilazione di organi genitali femminili;
- reati colposi in tema di sicurezza e salute sui luoghi di lavoro ed incolumità pubblica (v. par. 11);
- i reati di riciclaggio e i reati informatici;
- i reati ambientali;
- i reati tributari.
Tra gli ultimi inserimenti di reati presupposto nell’impianto del Decreto 231 figurano, in ordine di tempo, i reati contro il patrimonio culturale (introdotti dalla L. n. 22/2022), i reati in ambito edilizio (introdotti dal DL n.13/2022) e i reati di frode e falsificazione di mezzi di pagamento elettronici (introdotti dal D.lgs. n. 184/2021).
L’ampliamento del catalogo di reati-presupposto non ha seguito una logica di politica criminale; si è passati da un nucleo originario di reati caratterizzati dall’essere commessi nell’ambito di imprese svolgenti un’attività lecita (frodi nell’ambito dei finanziamenti pubblici, corruzioni etc.), a fattispecie di reato non attinenti alla criminalità d’impresa (falsità in monete, terrorismo, riduzione in schiavitù etc.): dal crimine d’impresa (corporate crime) all’impresa del crimine.
Di seguito un riepilogo dei reati-presupposto di cui al Decreto 231 (aggiornato all’ottobre 2022):
- Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o dell’Unione Europea per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico e frode nelle pubbliche forniture.
- Delitti informatici e trattamento illecito di dati.
- Delitti di criminalità organizzata.
- Peculato, concussione, induzione indebita a dare o promettere utilità, corruzione e abuso d’ufficio.
- Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento.
- Delitti contro l’industria e il commercio.
- Reati con finalità di terrorismo o eversione dell’ordine democratico previsti da codice penale e leggi speciali.
- Delitti contro la personalità individuale.
- Reati di abuso di mercato.
- Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro.
- Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché auto-riciclaggio.
- Delitti in materia di strumenti di pagamento diversi dai contanti.
- Delitti in materia di violazione del diritto d’autore.
- Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria.
- Reati ambientali.
- Impiego di cittadini di paesi terzi il cui soggiorno è irregolare.
- Frode in competizioni sportive, esercizio abusivo di gioco o di scommessa e giochi d’azzardo esercitati a mezzo di apparecchi vietati.
- Reati tributari.
- Reato di contrabbando-diritti di confine.
- Delitti contro il patrimonio culturale.
- Riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.
- Responsabilità degli enti per gli illeciti amministrativi dipendenti da reato.
- Reati transnazionali.
4. I presupposti oggettivi della responsabilità dell’ente ai sensi del Decreto 231
Ai sensi dell’art. 5 comma 1 del Decreto 231, presupposto di punibilità dell’ente è che il reato sia stato commesso nell’“interesse” o a “vantaggio” dell’ente.
La responsabilità dell’ente sorge solo qualora il soggetto (apicale o subordinato) abbia commesso il reato agendo con l’intento di perseguire l’interesse della società, oppure qualora quest’ultima ne abbia comunque goduto un vantaggio.
Il profilo dell’interesse è da valutarsi ex ante (cioè prima della commissione del reato) e copre tutte le condotte finalizzate a far ottenere all’ente un beneficio, a prescindere dagli esiti della condotta delittuosa del soggetto agente. L’esempio classico è quello dell’amministratore che corrompe un pubblico funzionario per far conseguire alla società dallo stesso amministrata delle commesse pubbliche.
Il requisito vantaggio è invece da valutarsi (cioè dopo la commissione del reato) e copre le condotte che, sebbene determinate da motivazioni personali dell’autore (persona fisica) comportano comunque un beneficio all’ente, inteso come profitto (ovvero come guadagno economico: si faccia il caso dell’amministratore che falsifica il bilancio della società sottostimando le poste attive e simulando difficoltà finanziarie, allo scopo di far ottenere all’ente vantaggiose dilazioni nei pagamenti da parte dei creditori) o come prodotto del reato (ovvero come bene materiale che si origina dal reato: ad esempio, nella corruzione per atto d’ufficio, l’atto che è stato compiuto dal pubblico ufficiale e per il quale ha ricevuto il denaro).
Nel primo caso (interesse) siamo quindi in presenza di un risultato potenziale e solo auspicato (ma che in realtà potrebbe anche non verificarsi); nel secondo caso (vantaggio) rileva invece il risultato effettivamente conseguito per effetto della commissione del reato.
L’ente non è invece responsabile qualora il reato sia stato commesso per obiettivi squisitamente personali dell’agente e pregiudizievoli dell’interesse, oltre che dei creditori, anche della società in quanto tale (ad esempio, le falsità preordinate a nascondere ammanchi, distrazioni o anche soltanto gravi errori gestionali).
Secondo l’interpretazione prevalente in dottrina e giurisprudenza, i due termini (interesse/vantaggio) devono interpretarsi in modo (non cumulativo, bensì) disgiuntivo. Se quindi il reato è compiuto nell’interesse dell’ente, non occorre anche che questo ne tragga vantaggio, viceversa, se l’ente ha tratto vantaggio dal reato, non occorre che questo sia stato commesso nel suo interesse.
L’alternativa interesse/vantaggio avrebbe tuttavia allargato a dismisura l’area di punibilità dell’ente, in quanto, qualora l’illecito fosse imputabile all’ente ogniqualvolta ricorresse, indifferentemente, una delle due ipotesi, l’ente risponderebbe anche quando il vantaggio consista in una variabile contingente, in un risultato puramente accidentale, non immediatamente rispondente all’interesse per la cui realizzazione l’esponente aziendale ha commesso il reato.
Così ad esempio, nel caso in cui l’amministratore di una società ottenga fraudolentemente dei finanziamenti pubblici con l’intenzione di appropriarseli e dei quali effettivamente si appropri, soddisfacendo tuttavia con parte di essi un creditore sociale che minacciava di denunciarlo, un’applicazione rigida del criterio di non cumulatività dei due requisiti interesse/vantaggio porterebbe alla responsabilità della società in quanto occasionalmente beneficiaria del reato, ma in realtà del tutto estranea alla sua realizzazione.
Per limitare tale conseguenza abnorme, l’art. 5, 2° comma del Decreto 231 prevede che la responsabilità dell’ente non sussiste qualora il reato sia stato commesso nell’esclusivo interesse dell’agente o di un terzo.
Pertanto, l’ente che tragga un vantaggio dal reato, che però non sia stato commesso per perseguire (anche) l’interesse dell’ente stesso, bensì nel solo interesse della persona fisica o di terzi, non può essere sanzionato ai sensi del Decreto 231. L’esclusività dell’interesse in capo al soggetto agente rende dunque irrilevante, ai fini dell’applicazione della sanzione, l’eventuale vantaggio ottenuto di riflesso dall’ente. Anzi, in questi casi l’ente assume normalmente la veste di parte lesa.
Ad esempio, non è punibile l’ente qualora l’amministratore della società ponga in essere una truffa per ottenere finanziamenti pubblici destinati ab initio a venire distratti dal patrimonio della società, oppure commetta falso in bilancio al solo fine di occultare una appropriazione già avvenuta.
In definitiva, dunque, l’ente è responsabile quando:
- la persona fisica che ha commesso il reato ha agito per favorire (anche) l’ente stesso, anche se dalla condotta criminosa l’ente non ha ricavato alcun vantaggio;
- ha comunque ricevuto un vantaggio dalla commissione del reato, a meno che la persona fisica che ha agito non fosse mossa dal proprio esclusivo interesse personale (o di terzi).
L’accertamento dell’interesse/vantaggio va necessariamente eseguito in concreto, potendo una medesima fattispecie astratta di reato risultare funzionale all’ente piuttosto che alla persona fisica del reo, così come non può escludersi che, per le specifiche modalità delittuose, il reato presenti un concorso di vantaggi in capo tanto all’ente quanto all’agente. Vi sono quindi, aldilà di alcune situazioni chiare, tutta una varietà di situazioni ibride di difficile qualificazione. Si pensi ad esempio alle seguenti situazioni:
- amministratore che opera per un interesse proprio (ad esempio di tipo distrattivo) e tuttavia deliberatamente decide di destinare parte delle somme illecitamente conseguite presso enti pubblici ad investimenti aziendali;
- responsabile di unità produttiva per coprire le proprie responsabilità e non perdere il proprio posto di lavoro, corrompe un ufficiale sanitario affinché si astenga dal rapporto di gravi irregolarità emerse nel corso di una ispezione e tali da determinare la chiusura di quello stabilimento.
In questi casi e in casi analoghi, l’accertamento della sussistenza dei requisiti per la punibilità dell’ente è notevolmente complesso deve essere condotto caso per caso.
5. I presupposti soggettivi della responsabilità dell’ente ai sensi del Decreto 231
Affinché sia punibile l’ente, il reato deve essere commesso da persone fisiche che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente ovvero da persone sottoposte alla direzione o alla vigilanza delle prime.
L’ente è quindi responsabile per i reati commessi (nel suo interesse o vantaggio) dai seguenti soggetti:
- soggetti in posizione apicale, con funzioni di rappresentanza, direzione, amministrazione, gestione e controllo, anche di fatto, dell’ente (amministratori, direttori generali, liquidatori, socio unico, socio tiranno, amministratore di fatto), o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale (institori, direttori di stabilimento o ramo aziendale, responsabili di filiale): tali soggetti devono essere in concreto investiti di funzioni gestorie e di controllo, il che esclude la rilevanza dei reati posti ad esempio in essere dai revisori, dagli addetti all’internal auditing e sindaci;
- soggetti sottoposti a direzione o vigilanza dei soggetti apicali (c.d. soggetti sottoposti: dipendenti, collaboratori, agenti, franchisees, concessionari di vendita, ecc.): si tratta di soggetti che non rappresentano l’ente, o comunque le cui scelte non determinano la politica aziendale, essendo esse stesse espressione ed attuazione di decisioni prese da un gruppo di comando al quale essi non partecipano.
L’esimente da responsabilità si atteggia diversamente a seconda che il reato sia stato commesso da un soggetto apicale o sottoposto.
Qualora il reato sia stato commesso da soggetti apicali, anche se all’ente non viene automaticamente addossata la responsabilità del reato commesso dal proprio vertice, la colpevolezza organizzativa dell’ente è presunta, in quanto si presume che il loro operato, dato il rapporto di immedesimazione organica con l’ente, sia espressione della politica dell’impresa.
In questo caso, dunque, ai fini della responsabilità dell’ente l’accusa dovrà provare che:
- è stato commesso uno dei reati-presupposto;
- l’autore è una persona in posizione apicale;
- il reato è stato commesso nell’interesse o a vantaggio dell’ente.
L’ente dovrà invece dimostrare:
- di avere adottato un efficace MOG (mancanza di colpa da organizzazione);
- che il comportamento del soggetto apicale è stato frutto di un comportamento fraudolento, cioè che tale soggetto abbia agìto con la consapevolezza e la volontà di eludere, di “forzare” la rete di precauzioni che la società si è imposta per impedire la commissione di quel reato, spezzando così il legame tra la condotta del reo e l’ente.
Viceversa, qualora il reato sia stato commesso da un soggetto sottoposto, spetta all’accusa l’onere della prova (non soltanto degli stessi fatti costitutivi previsti in caso di reato commesso dai vertici, ma anche) che il reato sia stato commesso a seguito dell’inosservanza degli obblighi di direzione e vigilanza sull’operato del subordinato da parte dei vertici. L’ente andrà invece esente da responsabilità qualora dimostri di avere adottato ed efficacemente attuato un MOG idoneo alla prevenzione del reato.
In questo caso, dunque, la c.d. colpa organizzativa dell’ente (l’inosservanza degli obblighi di direzione e vigilanza sul sottoposto che ha commesso il reato) deve essere provata dal PM, poiché non vige alcuna presunzione di riferibilità del reato all’ente. Viceversa, qualora l’ente dimostri di avere adottato un MOG idoneo ed efficace, non si fa più luogo ad alcuna valutazione circa l’inosservanza degli obblighi di direzione e vigilanza.
6. Il Modello organizzativo e gestionale (MOG) quale esimente da responsabilità
Affinché l’ente possa andare esente da responsabilità, l’ente deve invocare l’esimente consistente nel fatto di avere adottato un MOG idoneo a prevenire reati della stessa specie di quello commesso.
Il MOG deve essere effettivamente idoneo, in concreto, a prevenire i reati: non può quindi essere un’operazione di ‘mera facciata’, un rituale di portata meramente burocratica, bensì uno strumento che dotato di reale efficacia preventiva.
Il MOG deve essere specifico, ovvero costruito “su misura”, calibrato sulle specifiche esigenze dell’ente (dimensioni, tipo di attività, etc.).
La giurisprudenza ha chiarito che il giudizio di idoneità è differente a seconda che si tratti di verificare la portata esimente di un MOG adottato prima della commissione del reato, o la capacità di riduzione o esclusione delle misure cautelari o delle sanzioni di un MOG adottato dopo la commissione del reato:
- nel primo caso il giudice effettua un giudizio di idoneità ex ante (criterio di cd. prognosi postuma): è quindi necessario porsi idealmente al momento dell’illecito per verificare se il rispetto del MOG avrebbe effettivamente potuto prevenire il realizzarsi del reato presupposto
- nel secondo caso il MOG dovrà effettivamente rimuovere le carenze dell’apparato organizzativo dell’ente che hanno favorito la commissione del reato, impedendo che questo si ripeta.
Il Decreto 231 non disciplina dettagliatamente le caratteristiche che un MOG deve possedere per fungere da esimente da responsabilità, limitandosi ad alcune indicazioni abbastanza generiche e a precisare che il MOG può essere redatto anche sulla base di quanto indicato in apposite linee guida predisposte dalle associazioni rappresentative degli enti ed assoggettati poi a valutazione ministeriale. Indicazioni più specifiche sono invece contenute nell’art. 30 del D.lgs. m. 81/2008 per i MOG in tema di prevenzione degli infortuni sul lavoro e di tutela dei lavoratori (v. par. 11)
Negli anni, dottrina e giurisprudenza hanno via via delineato i contenuti e i criteri con i quali devono essere predisposti i MOG, e le associazioni di categoria (in primo luogo Confindustria) hanno emanato delle utili linee guida in proposito. In ogni caso, la redazione del MOG deve essere effettuata da ogni singolo ente sulla base delle proprie caratteristiche, attività e specificità.
L’art. 6, comma 2 del Decreto 231 prevede che un MOG deve possedere le seguenti caratteristiche minime per essere efficace (cioè per fungere da esimente):
- individuazione delle attività nel cui ambito possono essere commessi reati (c.d. mappatura delle aree di rischio);
- previsione di specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
- Individuazione delle modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
- previsione di obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli (OdV);
- previsione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel MOG.
In particolare, i punti nn. 1) e 2) della citata norma si riferiscono ad un tipico sistema di analisi e gestione dei rischi (risk management), il quale si articola infatti in due fasi principali:
- identificazione dei rischi, ossia l’analisi del contesto aziendale per evidenziare dove (in quale are/settore di attività) e secondo quali modalità si possono verificare eventi pregiudizievoli per gli obiettivi indicati dal Decreto.
- progettazione del sistema di controllo (c.d. protocolli per la programmazione della formazione ed attuazione delle decisioni dell’ente), ossia la valutazione del sistema esistente all’interno dell’ente ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente, cioè ridurre ad un livello accettabile, i rischi identificati.
In linea generale, nei sistemi di controllo a tutela dei rischi di business, il rischio si definisce accettabile quando i controlli aggiuntivi “costano” più della risorsa da proteggere (ad esempio: le comuni automobili sono dotate di antifurto, non anche di un vigilante armato).
Nel caso del Decreto 231, la logica economica dei costi non può però essere un riferimento utilizzabile in via esclusiva. D’altra parte, ai fini della applicazione delle norme del Decreto 231 deve essere definita una soglia effettiva che consenta di porre un limite alla quantità/qualità dei controlli preventivi da introdurre per evitare la commissione dei reati considerati, altrimenti virtualmente infinita, con le intuibili conseguenze in termini di operatività aziendale.
Con riferimento al sistema di controllo preventivo da costruire in relazione al rischio di commissione delle fattispecie di reato contemplate dal Decreto 231, la soglia concettuale di accettabilità del rischio, nei casi di reati dolosi, è rappresentata da un sistema di prevenzione tale da non poter essere aggirato se non fraudolentemente (cioè attraverso artifizi e/o raggiri).
In altri termini, il MOG e le relative misure devono essere tali che l’agente non solo dovrà “volere” l’evento reato (ad es. corrompere un pubblico funzionario) ma potrà attuare il suo proposito criminoso soltanto aggirando fraudolentemente le indicazioni dell’ente (ad es. aggirando la procedura sull’autorizzazione alla firma).
Il Decreto 231 non dispone nulla circa l’organo competente all’adozione del MOG. Nelle società (in particolare nelle S.p.A.) l’opzione più ragionevole (da ritenersi comunque corretta) sembra essere quella dell’adozione mediante deliberazione dell’organo amministrativo, non essendo necessaria una delibera dell’assemblea dei soci. Può essere, peraltro, opportuno il parere preventivo del collegio sindacale (che comunque ha un obbligo di vigilare sulla “corretta amministrazione” e sull’adeguatezza del sistema organizzativo della società) e nelle società quotate eventualmente anche del comitato per il controllo sulla gestione.
7. Il sistema disciplinare
L’art. 7, comma 4 del Decreto 231 stabilisce che l’efficace attuazione del MOG richiede l’istituzione di un sistema disciplinare, cioè di un adeguato sistema sanzionatorio per la violazione delle misure previste dal MOG stesso.
La violazione del MOG lede infatti il rapporto di fiducia instaurato con l’ente e deve di conseguenza comportare azioni disciplinari. Ciò:
- a prescindere dall’eventuale instaurazione di un giudizio penale. La valutazione disciplinare dei comportamenti effettuata dai datori di lavoro, salvo il successivo eventuale controllo del giudice del lavoro, non coincide infatti necessariamente con la valutazione del giudice in sede penale, data l’autonomia della violazione delle procedure interne rispetto alla violazione di legge che comporta la commissione di un reato. Il datore di lavoro non è quindi tenuto, prima di agire, ad attendere il termine del procedimento penale eventualmente in corso. I principi di tempestività ed immediatezza della sanzione rendono infatti sconsigliabile ritardare l’irrogazione della sanzione disciplinare in attesa dell’esito del giudizio davanti al giudice penale.
- indipendentemente dal fatto che dalla violazione sia scaturita la commissione di un reato. La violazione del MOG potrebbe infatti costituire una condotta prodromica alla commissione di un reato, o comunque preordinata alla successiva commissione di un reato.
In relazione ai soggetti sottoposti, in caso di rapporto di lavoro subordinato qualsiasi provvedimento sanzionatorio deve rispettare le procedure previste dall’art. 7 dello Statuto dei Lavoratori e/o dai CCNL, dove applicabili, caratterizzati dai principi di tipicità delle violazioni e delle sanzioni, rispetto del contraddittorio, tempestività ed immutabilità della contestazione, proporzionalità. Dovranno quindi essere previste sanzioni sia conservative (richiamo verbale, richiamo scritto, multa non superiore a n. 4 ore, sospensione dal servizio e dalla retribuzione per un max. di 10 gg.) che espulsive (sospensione cautelare, licenziamento).
L’ente deve informare i propri dipendenti del fatto che il MOG costituisce espressione del potere del datore di lavoro di impartire disposizioni per l’esecuzione del lavoro (art.2104 c.c.) e che il mancato rispetto dello stesso costituisce inadempimento alle obbligazioni derivanti dal rapporto di lavoro (art. 2106 c.c.). Nella prassi, il sistema disciplinare viene affisso in un luogo accessibile a tutti i lavoratori, consegnato agli stessi e divulgato attraverso periodici corsi di formazione.
Il potere disciplinare spetta all’organo dell’ente statutariamente competente (es. direttore del personale); non è opportuno che tale potere competa all’OdV, che dovrà comunque essere coinvolto nel procedimento di irrogazione della sanzione (ad es. esprimendo un parere non vincolante circa l’entità della sanzione) e potrà avere il potere di promuovere l’esercizio del potere disciplinare da parte dell’organo competente.
Con riferimento ai soggetti legati da un rapporto di lavoro autonomo o parasubordinato con l’ente (consulenti, agenti, distributori etc.) dovrà essere inserita nel relativo contratto una clausola risolutiva espressa e/o una clausola penale in caso di inosservanza delle disposizioni del codice etico o delle procedure organizzative del modello.
Per quanto riguarda infine i soggetti apicali, e in particolare gli amministratori, il Tribunale di Milano, con ordinanza del 3.12.2004, ha ritenuto non idoneo un MOG che non preveda espressamente la comminazione di sanzioni disciplinari nei confronti degli amministratori, direttori generali e compliance officers che per negligenza ovvero imperizia non abbiano saputo individuare, e conseguentemente eliminare, violazioni del MOG e, nei casi più gravi, perpetrazione di reati.
In tali casi, si dovrà prevedere una sequenza di sanzioni articolata a seconda della gravità della violazione (richiamo formale scritto – decadenza dalla carica per sopravvenuta carenza di onorabilità e professionalità – sospensione dalla carica – revoca).
8. Il Codice etico
Secondo le Linee Guida di categoria ( in particolare Confindustria), la consolidata prassi metodologica e la giurisprudenza, l’adozione di principi etici rilevanti ai fini della prevenzione dei reati di cui al Decreto costituisce un elemento essenziale del sistema di controllo preventivo.
Il codice etico (o codice di condotta) è un documento ufficiale dell’ente (voluto ed approvato dal vertice aziendale) contenente l’insieme dei diritti, doveri e responsabilità dell’ente nei confronti dei “portatori d’interesse” (stakeholders): dipendenti, fornitori, clienti, P.A., azionisti, mercato finanziario, ecc.
Esso mira a raccomandare, promuovere o vietare determinati comportamenti, al di là ed indipendentemente da quanto previsto a livello normativo.
Il compito di vigilare circa l’applicazione e il rispetto del codice etico, di curarne la sua diffusione e l’aggiornamento spetta all’Organismo di Vigilanza. Il codice etico disciplina generalmente i seguenti aspetti:
- Principi etici e di governance aziendale;
- Criteri di condotta con dipendenti e collaboratori;
- Criteri di condotta nelle relazioni con i clienti;
- Criteri di condotta nelle relazioni con i fornitori;
- Criteri di condotta nelle relazioni con la Pubblica Amministrazione;
- Criteri di condotta nelle relazioni con le istituzioni, gli organi regolatori, le organizzazioni politiche e sindacali;
- Criteri di condotta nelle relazioni con altri interlocutori.
9. L’Organismo di Vigilanza
L’art. 6 del Decreto 231 prevede che l’ente può essere esonerato dalla responsabilità conseguente alla commissione dei reati indicati se l’organo dirigente ha affidato il compito di vigilare sul funzionamento e l’osservanza del MOG e di curarne l’aggiornamento ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo: l’Organismo di Vigilanza (OdV).
L’OdV costituisce quindi un elemento di centrale importanza ai fini della corretta ed efficace attuazione del MOG e quindi ai fini della predisposizione di una valida esimente da responsabilità per l’ente.
A dispetto dell’importanza di tale organismo, il Decreto 231 non disciplina l’OdV, limitandosi genericamente ad indicarne il compito (vigilare sul funzionamento e l’osservanza del modello organizzativo e di curarne l’aggiornamento) e a stabilire che esso deve essere dotato di autonomi poteri di iniziativa e controllo. Tale lacuna ha fatto sorgere delicati problemi, soprattutto con riferimento alla composizione e ai poteri dell’OdV, che sono stati solo in parte superati dalle Linee Guida di categoria e dalla giurisprudenza.
Come chiarito dalle linee guida e dalla giurisprudenza, l’OdV deve possedere determinate caratteristiche affinché possa svolgere il proprio ruolo con riferimento al MOG.
A) Autonomia e indipendenza:
La posizione dell’OdV nell’ambito dell’ente deve garantire l’autonomia dell’iniziativa di controllo da ogni forma d’interferenza e/o condizionamento da parte di qualsiasi organo dell’ente (e in particolare dell’organo dirigente). È quindi opportuno:
- inserire l’OdV in una posizione gerarchica la più elevata possibile, prevedendo il “riporto” al massimo vertice operativo aziendale ovvero al CdA nel suo complesso;
- evitare che facciano parte dell’OdV soggetti che svolgano funzioni direttive in aree coinvolte nel rischio-reato (ad es. componenti del CdA);
- prevedere che siano sottratte al potere del solo organo dirigente le decisioni in merito a remunerazione, promozioni e sanzioni a carico dei membri dell’OdV.
B) Professionalità ed onorabilità:
L’OdV deve essere professionalmente capace ed affidabile, dotato di competenze ed esperienze multidisciplinari (di natura giuridica, aziendalistica, ispettiva etc.) necessarie ad assicurare un corretto ed efficace esercizio delle funzioni che è chiamato ad esercitare.
C) Continuità d’azione:
L’OdV deve poter operare senza soluzione di continuità, vale a dire con un impegno anche non esclusivo ma prevalente ed idoneo comunque ad assolvere con continuità, efficienza e presenza i diversi compiti ad esso affidati. L’OdV deve infatti manifestare una propria, autonoma strategia operativa, capace di far emergere le criticità e di proporre i necessari interventi correttivi e di adeguamento.
Affinché l’OdV sia dotato della necessaria continuità d’azione e della necessaria autonomia di iniziativa e l’indipendenza, è indispensabile che all’Odv non siano attribuiti compiti operativi, che ne minerebbero tra l’alto l’obiettività di giudizio nel momento delle verifiche sui comportamenti e sul modello organizzativo.
È altresì opportuno che l’OdV sia destinatario di adeguate risorse finanziarie, delle quali potrà disporre per ogni esigenza necessaria al corretto svolgimento dei suoi compiti (es. consulenze specialistiche per svolgere le sue funzioni, trasferte, ecc.).
L’OdV ha esclusivamente funzioni di sorveglianza e controllo, essendogli preclusa qualsiasi attività di gestione, sia attiva che impeditiva: tale divieto è funzionale alla salvaguardia della imparzialità dell’organo. Una volta segnalata una violazione, la scelta di correre o meno il rischio-reato spetta solo al vertice della società.
In particolare, le funzioni dell’OdV – che sono generalmente formalizzate in un apposito regolamento – sono le seguenti:
- vigilanza sull’effettività del MOG, che si sostanzia nella verifica dell’efficienza ed efficacia del MOG rispetto alla prevenzione ed all’impedimento della commissione dei reati previsti dal Decreto;
- verifica del rispetto delle procedure previste dal MOG, rilevazione degli eventuali scostamenti comportamentali che dovessero emergere dall’analisi dei flussi informativi e dalle segnalazioni e segnalazione all’organo dirigente, per gli opportuni provvedimenti, delle violazioni accertate del MOG che possano comportare l’insorgere di una responsabilità in capo all’ente;
- cura dell’aggiornamento del MOG (in conseguenza di significative violazioni delle prescrizioni del MOG, significative modificazioni dell’assetto interno della Società e/o delle modalità di svolgimento delle attività d’impresa, modifiche normative), che si sostanzia anche nella presentazione di proposte di adeguamento del MOG al CdA).
Per agevolare l’attività di controllo e di vigilanza dell’OdV devono essere attivati e garantiti adeguati flussi informativi. L’OdV deve essere infatti costantemente informato di quanto accade nell’azienda e di ogni aspetto, sia gestionale che operativo, di rilievo. Le informazioni potranno riguardare, ad esempio:
- le decisioni relative alla richiesta, erogazione ed utilizzo di finanziamenti pubblici;
- le richieste di assistenza legale inoltrate dai dirigenti e/o dai dipendenti nei confronti dei quali la magistratura procede per i reati previsti dalla richiamata normativa;
- i provvedimenti e/o notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati di cui al Decreto;
- le commissioni di inchiesta o relazioni interne dalle quali emergano responsabilità per le ipotesi di reato di cui al Decreto231;
- le notizie relative alla effettiva attuazione, a tutti i livelli aziendali, del modello organizzativo, con evidenza dei procedimenti disciplinari svolti e delle eventuali sanzioni irrogate ovvero dei provvedimenti di archiviazione di tali procedimenti con le relative motivazioni.
L’obbligo di informazione dovrà essere esteso a tutti i dipendenti che vengano in possesso di notizie relative alla commissione dei reati o a “pratiche” non in linea con le norme di comportamento che l’ente è tenuto ad emanare nell’ambito del MOG (i c.d. codici etici).
Nel disciplinare un sistema di reporting efficace è opportuno garantire:
- che il reporting non segua la linea gerarchica, in modo che ogni dipendente possa segnalare un fatto direttamente all’OdV;
- la riservatezza (anonimato) della segnalazione, in modo da evitare rappresaglie relative al suo mansionamento e/o alla sua posizione in azienda. E’ quindi opportuno prevedere un sistema di blackmail, che funzioni attraverso linee dedicate di report e segnalazione nei confronti dell’OdV;
- che la segnalazione sia veritiera; è quindi opportuno prevedere misure deterrenti contro ogni informativa impropria, sia in termini di contenuti che di forma.
L’OdV deve essere dotato di tutti i poteri necessari per assicurare una puntuale ed efficiente vigilanza sul funzionamento e sull’osservanza del MOG. È quindi opportuno che:
- le attività poste in essere dall’OdV non possano essere sindacate da alcun altro organismo o struttura aziendale, fermo restando però che l’organo dirigente ha la responsabilità ultima del funzionamento (e dell’efficacia) del MOG;
- l’OdV abbia libero accesso presso tutte le funzioni della Società – senza necessità di alcun consenso preventivo – onde ottenere ogni informazione o dato ritenuto necessario per lo svolgimento dei compiti previsti dal Decreto;
- l’OdV possa avvalersi – sotto la sua diretta sorveglianza e responsabilità – dell’ausilio di tutte le strutture della Società ovvero di consulenti esterni.
Il Decreto 231 non fornisce indicazioni circa la composizione dell’OdV, limitandosi a prevedere che esso debba:
- essere un organo interno all’ente, e
- possedere caratteristiche di autonomia, indipendenza e continuità di azione.
Ciò porta ad escludere che l’OdV possa coincidere con il CdA, dovendosi evitare la coincidenza tra controllante e controllato. Tuttavia il Decreto 231 prevede, per i soli enti di piccole dimensioni, che il ruolo di OdV possa essere attribuito all’organo dirigente.
Parimenti, è da escludere che possa essere impiegato come OdV il Collegio Sindacale, dato che quest’ultimo non svolge un’azione di vigilanza continuativa e svolge funzioni attinenti ad un’importante area a rischio-reato, quella relativa alla formazione e redazione del bilancio (sottoposta a controllo dell’OdV). Peraltro, i sindaci, essendo investiti della responsabilità di valutare l’adeguatezza dei sistemi di controllo interno, sono di fatto degli interlocutori “istituzionali” dell’OdV, e quindi dovranno essere sempre informati dell’eventuale commissione di reati, o di eventuali carenze del MOG.
Il ruolo di OdV può quindi essere concretamente attribuito a:
- comitato per il controllo interno, ove esistente (nelle società quotate), purché composto esclusivamente da amministratori non esecutivi o indipendenti;
- funzione di internal auditing, ove esistente;
- un organismo ad hoc.
In quest’ultima ipotesi – che è quella più frequentemente adottata nella prassi – si pone l’alternativa di prevedere che l’OdV sia composto da soggetti interni all’ente (es. responsabile dell’internal audit, della funzione legale, ecc.) o da soggetti esterni (es. consulenti, esperti, ecc.).
Entrambe le opzioni hanno difetti: una composizione esterna può rendere difficile l’attività di controllo nei confronti dei soggetti apicali, mentre una composizione interna può comportare problemi di indipendenza. Per tale motivo, nella prassi si è affermata una composizione dell’OdV mista (di interni ed esterni), in cui, in ossequio all’indipendenza dell’OdV, la funzione di presidente dovrebbe essere rivestita da un membro esterno, dati i maggiori poteri che il presidente vanta (formalizzati nel regolamento sul funzionamento dell’OdV).
Nella prassi, i membri interni dell’OdV sono spesso costituiti da:
- il responsabile (o un funzionario) dell’area legale, anche allo scopo di assicurare l’indispensabile “sapere giuridico” e le conoscenze in ordine ai rapporti tra le diverse funzioni aziendali. Tale soluzione è tuttavia da evitare quando l’area legale svolga, come talvolta accade, un ruolo attivo (di natura decisionale o consultiva) nelle attività esposte al rischio-reato, dato che in tal caso si innescherebbe un inammissibile conflitto di interessi.
- un membro della funzione di Internal Auditing. In tal caso occorrerà tuttavia evitare che la presenza di tale funzione non condizioni eccessivamente la strategia operativa dell’OdV, dato che l’Internal Auditing è in rapporto di dipendenza con il CdA, con conseguente rischio di riduzione dell’indipendenza dal vertice. Sicuramente auspicabile, per contro, è la possibilità che l’OdV si avvalga, in funziona ausiliaria, alla stregua di un “braccio armato”, dell’Internal Auditing per l’esecuzione della sua attività.
In ogni caso, anche in forza del tenore del Decreto, la competenza a nominare l’OdV spetta al vertice dell’ente (CdA). Infatti, nell’esercizio delle sue funzioni, l’organismo di controllo è chiamato a “dialogare” con il vertice, al quale, oltre ad essere legato contrattualmente, è ovviamente tenuto a riferire sull’attività svolta e sulla presenza di irregolarità o di situazioni a rischio che impongano l’immediato intervento della dirigenza.
Dal punto di vista della responsabilità civile, poiché l’OdV non è un organo societario non si applicano le norme sulla responsabilità degli organi societari. I componenti dell’OdV sono responsabili nei confronti della società dal punto di vista contrattuale, per il mancato o inesatto adempimento dei propri doveri di vigilanza (formalizzati e descritti nel Regolamento dell’OdV).
Sotto questo profilo, i componenti dell’OdV saranno pertanto tenuti al risarcimento dei danni nei confronti della società qualora sia stato commesso un reato e la società non sia in grado di fruire dell’esimente prevista dal Decreto, per effetto della mancanza dell’efficiente vigilanza sul funzionamento e l’osservanza del MOG e sul suo aggiornamento.
Peraltro, i componenti dell’OdV, in quanto professionisti, sono responsabili solo per dolo e colpa grave, ex art. 2236 c.c.
Si è posto il problema circa la possibile responsabilità penale in capo ai membri dell’OdV in caso di commissione di illeciti da parte dell’ente a seguito del mancato esercizio del potere di vigilanza sulla attuazione e sul funzionamento del MOG. La fonte di tale responsabilità potrebbe essere individuata nell’art. 40, co. 2, c.p. e dunque nel principio in base al quale “non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo”.
Pertanto, l’OdV potrebbe risultare punibile a titolo di concorso omissivo nei reati commessi dall’ente, a seguito del mancato esercizio del potere di vigilanza e controllo sull’attuazione del MOG allo stesso attribuito, analogamente a quanto accade per i sindaci, in quanto titolari di una funzione di controllo.
Tuttavia, posto che la responsabilità penale che deriva ai sensi della norma citata sussiste solo quando il destinatario è posto nella posizione di garante del bene giuridico protetto, si evince che all’OdV sono devoluti compiti di controllo non in ordine alla realizzazione dei reati ma al funzionamento ed all’osservanza del MOG. L’attribuzione all’OdV di compiti d’impedimento dei reati non si concilia con la sostanziale assenza di poteri impeditivi, giacché l’OdV non può neppure modificare, di propria iniziativa il MOG esistente, assolvendo, invece, un compito consultivo dell’organo dirigente cui compete il potere di modificare il MOG. L’obbligo d’impedire la realizzazione di reati equivarrebbe ad attribuire compiti e doveri simili a quelli che, nel nostro ordinamento, ha la polizia giudiziaria.
Pertanto, in caso di omessa o insufficiente vigilanza sul MOG da parte dell’OdV nessuna responsabilità a a titolo di concorso omissivo nel reato presupposto dovrebbe sussistere in capo ai componenti dell’OdV.
A diverse conclusioni sembra invece potersi pervenire a seguito del D.lgs. n. 231/2007 che ha posto a carico dell’OdV una serie di obblighi di comunicazione sanzionati penalmente relativi a specifiche infrazioni in tema di operazioni sospette ai fini antiriciclaggio, attribuendo all’OdV compiti di vigilanza non sul funzionamento del MOG bensì sull’osservanza di disposizioni di legge.
10. Le sanzioni previste dal Decreto 231
Il Decreto 231 prevede un articolato quadro si sanzioni per l’ente che non abbia adottato un valido ed efficace OG, in caso di reati-presupposto commessi da apicali o sottoposti a suo vantaggio o nel suo interesse.
In primo luogo, il Decreto 231 prevede sanzioni pecuniarie, che si applicano sempre. L’irrogazione delle sanzioni pecuniarie si articola in due fasi:
- il giudice stabilisce l’ammontare delle quote di sanzione, sulla base di una serie di indici di gravità del reato (gravità del fatto, grado di responsabilità dell’ente, eventuale attività svolta per eliminare o attenuare le conseguenze del fatto);
- il giudice stabilisce il valore monetario della singola quota (fra un minimo di € 258,23 ed un massimo di € 1.549,37), in considerazione delle condizioni economiche e patrimoniali dell’ente. In base a questo sistema, le sanzioni pecuniarie oscillano da un minimo di € 25.852,84 ad un massimo di € 1.549.370,69.
La sanzione può essere ridotta, fino a 2/3, in una serie di casi, ovvero qualora:
- sia accertato il prevalente interesse dell’autore del reato e nessuno o scarso vantaggio per l’ente;
- il danno patrimoniale sia di lieve entità;
- il danno patrimoniale sia stato risarcito;
- sia stato adottato, dopo la commissione del reato, un efficace MOG.
Le sanzioni pecuniarie sono tuttavia, in linea generale, scarsamente efficaci, soprattutto per le medie-grandi imprese, per le quali costituiscono un ordinario rischio d’impresa, ammortizzabile attraverso la stipula di polizze assicurative o la creazione di appositi fondi-rischio.
Per tale motivo, il Decreto 231 prevede anche delle sanzioni interdittive, che hanno maggiore efficacia deterrente ed incisività rispetto a quelle pecuniarie, incidendo direttamente sulla capacità produttiva di reddito dell’ente. Esse costituite da:
- interdizione dell’esercizio dell’attività d’impresa;
- sospensione o revoca di autorizzazioni e licenze;
- divieto di contrattare con la P.A.;
- esclusione e revoca, di finanziamenti, sussidi, contributi, agevolazioni;
- divieto di pubblicizzare beni e servizi.
Le sanzioni interdittive si applicano in caso di commissione di tutti i reati-presupposto, tranne i reati societari e gli abusi di mercato. Esse sono applicabili qualora ricorra almeno una delle seguenti condizioni:
- l’ente ha tratto dal reato un profitto di rilevante entità;
- il reato è stato commesso da soggetti apicali o da sottoposti a causa di gravi carenze organizzative;
- vi è un pericolo di reiterazione degli illeciti.
Il giudice determina il tipo e la durata delle sanzioni interdittive sulla base dei criteri indicati per le sanzioni pecuniarie (gravità del fatto, grado di responsabilità dell’ente, attività svolta per limitare i danni e prevenire futuri illeciti), tenendo conto dell’idoneità delle sanzioni a prevenire illeciti del tipo di quello commesso.
Le sanzioni interdittive hanno di norma di durata temporanea da 3 mesi a 2 anni. Sono applicate in via definitiva se:
- già applicate temporaneamente 3 volte in 7 anni;
- l’ente ha come scopo principale il compimento di reati.
Le misure interdittive non si applicano se prima del processo l’ente abbia posto in essere tutte le seguenti condotte riparatorie:
- abbia risarcito il danno ed eliminato le conseguenze;
- abbia adottato un MOG post factum idoneo a prevenire i reati della stessa specie;
- abbia messo a disposizione il profitto conseguito ai fini della confisca.
Qualora l’ente svolga un pubblico servizio o un servizio di pubblica necessità, la cui interruzione è pregiudizievole per la collettività o quando si prospettano rilevanti ripercussioni sull’occupazione (es. un’impresa di trasporti pubblici), tenuto conto delle dimensioni dell’ente e del territorio in cui è situato, il giudice al posto della sanzione cautelare interdittiva può nominare un commissario giudiziale, dotato di specifici compiti e poteri, tra i quali la prosecuzione dell’attività l’adozione e l’efficace attuazione di un MOG idoneo a prevenire ulteriore commissione di reati.
Le sanzioni interdittive possono anche essere applicate anche in via cautelare, qualora ricorrano i seguenti presupposti:
- il fumus commissi delicti, e cioè una probabilità qualificata e ragionevole della sussistenza nel caso di specie del reato;
- il periculum in mora, e cioè la sussistenza di fondati e specifici elementi circa la probabilità effettiva ed attuale della ripetibilità di reati della stessa specie di quello per cui si procede.
La misura cautelare può essere sospesa se l’ente chiede di poter adottare le condotte “riparatorie” e quindi di procedere agli adempimenti cui la legge condiziona l’esclusione della sanzione (risarcimento integrale del danno, eliminazione delle conseguenze dannose o pericolose ovvero efficace adoperarsi a tal fine, superamento delle carenze organizzative che hanno determinato il reato con l’adozione e l’attuazione di idoneo MOG, messa a disposizione del profitto conseguito ai fini della confisca).
La confisca consegue obbligatoriamente alla sentenza di condanna dell’ente, anche quando esso assolva onere di provare l’assenza di colpa organizzativa. Può essere disposta la confisca:
- del prezzo (denaro o altra utilità data o promessa per indurre a commettere il reato) o del profitto (utilità economica immediata ricavata dal reato) dei reati commessi nell’interesse o a vantaggio dell’ente
- di denaro, beni o altre utilità di valore equivalente, salvo che per la parte che può essere restituita all’eventuale soggetto danneggiato.
In fase cautelare, può essere concesso il sequestro preventivo dei beni (prezzo, profitto, denaro o altre utilità) per i quali è consentita la confisca, senza necessità di provare una pericolosità connessa alla libera disponibilità dei beni stessi.
Dati i rigorosi presupposti che condizionano l’irrogazione delle sanzioni interdittive e la modesta efficacia dissuasiva di quelle pecuniarie, la confisca del profitto, ovvero l’ablazione del vantaggio economico ricavato dall’ente dalla consumazione del reato, costituisce la preoccupazione maggiore degli enti nei cui confronti sia stata aperta un’indagine.
Il termine “profitto” non è definito dal Decreto 231, il che apre il problema circa la sua configurazione come profitto “lordo” (pari a quello complessivamente conseguito dalla commissione dell’illecito, o ricavo) o “netto” (pari all’effettivo guadagno, cioè l’utile al netto dei costi e degli investimenti sostenuti dall’ente prima o durante la commissione del reato).
La Cass. S.U., con sentenza n. 26654/2008, ha precisato in proposito che:
- il profitto del reato ai fini della confisca deve determinarsi al netto dell’effettiva utilità eventualmente conseguita dal danneggiato, nell’ambito del rapporto contrattuale;
- occorre differenziare il vantaggio economico derivante direttamente dal reato (profitto confiscabile) dal corrispettivo incamerato per una prestazione lecita eseguita in favore della controparte, pur nell’ambito di un affare che trova la sua genesi nell’illecito (profitto non confiscabile). Ad es., il corrispettivo ricevuto da un appaltatore, in caso di aggiudicazione per truffa, a fronte dell’adempimento dei propri obblighi contrattuali, non può considerarsi profitto del reato, in quanto l’adempimento (lecito) interrompe il collegamento causale con la condotta (illecita).
11. I reati colposi in tema di sicurezza del lavoro
L’art. 9 L. n. 123/2007, introducendo l’art. 25-septies del Decreto 231, ha esteso la responsabilità amministrativa degli enti ai reati di omicidio colposo e lesioni personali colpose gravi o gravissime, commessi in violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (D.lgs. n. 626/1994). Il D.lgs. n. 81/2008 ha quindi sostituito l’art 25-septies, modificando l’impianto delle sanzioni pecuniarie e interdittive a carico degli enti e graduandole in base alla gravità degli incidenti.
L’introduzione dei reati in tema di sicurezza e salute sui luoghi di lavoro nel novero dei reati presupposto ha ampliato in misura considerevole la platea delle imprese per cui diviene indispensabile adottare un MOG. La natura dolosa dei reati presupposto della responsabilità dell’ente aveva fatto ritenere inutile alla maggior parte delle imprese l’adozione di un MOG.
L’amministrazione e, soprattutto, la gestione del denaro – il “potere di spesa”– è solitamente nelle mani dell’organo dirigente (amministratore unico o CdA) e limitati risultano nella pratica i poteri di dirigenti, preposti e sottoposti in genere. Tale circostanza rende difficilmente configurabile che un reato (es. di corruzione o di truffa), venga commesso a vantaggio dell’ente, da un sottoposto o da un apicale, eludendo fraudolentemente il MOG. In tale contesto, gli organi dirigenti degli enti di piccole e medie dimensioni non intravedevano la necessità di adottare un MOG per sottrarre l’ente ad una responsabilità che aveva come presupposto la commissione di reati che, nelle loro intenzioni e previsioni, non sarebbero stati commessi.
Per tale motivo, l’adozione dei MOG si era avuta soprattutto da parte di grandi gruppi industriali, di banche, di compagnie di assicurazioni, ma non ancora, in modo ampio, da parte della piccola e media impresa. L’inserimento di fattispecie colpose tra i reati presupposto ha invece determinato una maggiore attenzione da parte delle imprese, anche di piccole dimensioni. L’evento colposo è infatti per definizione “non voluto” (art. 43 c.p.), ma proprio perché tale non può esser escluso. Di conseguenza, molte imprese risultano interessate all’adozione del MOG essenzialmente in funzione della prevenzione degli infortuni sul lavoro.
In proposito, l’art. 589 c.p. prevede il reato di omicidio colposo, mentre l’art. 590 c.p. punisce il reato di lesioni personali colpose, gravi (malattia superiore a 40 giorni) o gravissime (indebolimento permanente di un senso o di un organo) commessi in violazione delle norme antinfortunistiche e della tutela dell’igiene e salute del lavoro.
Soggetto attivo dei reati è chiunque sia tenuto ad osservare o far osservare le norme di prevenzione e protezione ai sensi del D.lgs. n. 626/1994, cioè datori di lavoro, dirigenti, preposti, soggetti destinatari di deleghe di funzioni attinenti alla materia della salute e sicurezza sul lavoro, nonché i medesimi lavoratori.
L’inserimento di una fattispecie colposa nell’impianto del Decreto 231, basato su fattispecie di tipo doloso, ha imposto un non facile coordinamento con i presupposti applicativi del Decreto 231, in particolare:
- con l’art. 5 del Decreto, che subordina la responsabilità dell’ente all’esistenza di un interesse o vantaggio per l’ente stesso. Trattandosi di fatti colposi non è agevole individuare quale vantaggio o interesse possa derivare ad un ente dal fatto della morte o delle lesioni di un dipendente determinate da colpa. Per quanto concerne l’interesse, la dottrina ha individuato nella condotta, cioè all’attività d’impresa, piuttosto che nel reato, il parametro di riferimento per il sorgere la responsabilità dell’ente. Il vantaggio deriverebbe invece dall’utilità conseguita (ad es. un risparmio di spesa o di tempi) dalla condotta negligente.
- con l’esimente di cui all’art. 6 del Decreto, che richiede la prova dell’elusione fraudolenta del MOG. L’elusione fraudolenta del MOG appare incompatibile con l’elemento soggettivo dei reati di omicidio colposo e lesioni personali colpose, di cui agli artt. 589 e 590 c.p., di natura colposa.
Nei reati colposi, diversamente da quelli dolosi, l’elemento psicologico colposo del delitto e l’elusione del MOG non costituiscono due momenti distinti di autonomo accertamento, ma coincidono: l’elusione del MOG integra già in sé la violazione della norma precauzionale volta a prevenire l’evento di reato (morte o lesione del lavoratore). Offrendo infatti la prova dell’avvenuta violazione del MOG da parte della persona fisica, l’ente non farebbe altro che ribadire la natura colposa del delitto verificatosi e dunque la circostanza che lo stesso è dipeso da negligenza, imprudenza o imperizia, comunque imputabile ad un difetto di organizzazione interna, ossia ad un cattivo e colpevole funzionamento della macchina aziendale. Insomma, una forma di colpa da organizzazione come tale sempre rimproverabile all’ente.
Pertanto, di fronte a un delitto di omicidio o lesione colposi commesso dal “vertice” aziendale con violazione della normativa antinfortunistica e sulla sicurezza dei lavoratori, la responsabilità dell’ente consegue ipso iure a quella della persona fisica, non avendo la società possibilità di difesa diversa dal dimostrare la mancanza di colpa in capo al proprio esponente.
In definitiva si può concludere che di fatto, con l’entrata in vigore della L. n.123/2007, ogni azienda che registri una consistente frequenza di infortuni gravi, deve considerare inaccettabile il “rischio” di incorrere, oltre che nelle responsabilità civili e penali tipiche della materia, anche nelle ulteriori sanzioni del Decreto, per il fatto di non aver predisposto ed efficacemente attuato un idoneo MOG.
Nei casi di reati di omicidio colposo e lesioni personali colpose commessi con violazione delle norme in materia di salute e sicurezza sul lavoro, la soglia concettuale di accettabilità, agli effetti esimenti del Decreto, è rappresentata (non dall’elusione fraudolenta del MOG, bensì) dalla realizzazione di una condotta violativa del MOG (e dei sottostanti adempimenti obbligatori prescritti dalle norme prevenzionistiche) nonostante la puntuale osservanza degli obblighi di vigilanza previsti dal Decreto da parte dell’apposito organismo.
Il Documento di Valutazione dei Rischi (DVR) e il Documento Unico di Valutazione di Rischi Interferenti (DUVRI) di cui rispettivamente agli artt. 28 e 26 del D.lgs. n. 81/08 da un lato, e il modello disciplinato dall’art. 30 del D.lgs. n, 81/08 dall’altro lato, sono documenti (o meglio, sistemi) del tutto distinti. Una pur completa attuazione del D.lgs. n. 81/08 (DVR, nomine, formazione, etc..) non ha nessuna efficacia esimente ai fini della responsabilità amministrativa dell’ente, e pertanto in caso di infortunio sul lavoro che integri il reato dell’art. 589 o dell’art. 590 c.p. la condanna della società alle sanzioni del D.lgs. 231/01 è inevitabile, per la mancanza dell’adozione del modello.
Se basta guardare al testo dell’art. 30 cit. (e, più in generale, dell’art. 6 del D.lgs. 231/01) per accorgersi che l’adozione del modello richiede l’adempimento di ulteriori e diversi obblighi, che si sostanziano in un sistema complessivo più ampio rispetto a quello che ruota intorno al DVR, va comunque sempre sottolineato che il modello dell’art. 30 non potrà mai dirsi quantomeno “efficacemente attuato”, se a monte non risultino adempiuti tutti gli obblighi sanciti dal D.lgs. 81/08.
Nei delitti di cui agli artt. 589 e 590 c.p. l’elemento soggettivo consiste nella c.d. colpa specifica, ossia nella volontaria inosservanza di norme precauzionali (leggi, regolamenti, ordini o discipline) volte ad impedire gli eventi dannosi (art. 43 c.p.). L’elemento essenziale ed unificante delle varie e possibili forme di responsabilità del datore di lavoro è la mancata adozione di tutte le misure di sicurezza e prevenzione tecnicamente possibili e concretamente attuabili, alla luce dell’esperienza e delle più avanzate conoscenze tecnico-scientifiche. In proposito la Corte Cost. ha precisato (sent. n. 312/1996) che l’obbligo generale di massima sicurezza possibile si riferisce alle misure che nei diversi settori corrispondono ad applicazioni tecnologiche generalmente praticate, sicché penalmente censurata è solo la deviazione del datore di lavoro dagli standard di sicurezza propri, in concreto ed al momento, delle singole diverse attività produttive.
Secondo la giurisprudenza, il nesso di causalità tra la condotta dell’agente e l’evento lesivo è interrotto ogni qual volta la condotta del lavoratore sia strana e imprevedibile e quindi si ponga al di fuori di ogni possibilità di controllo da parte del datore di lavoro. Non determinano quindi responsabilità gli infortuni derivanti dal cd. rischio elettivo, ossia il rischio diverso da quello a cui il lavoratore sarebbe ordinariamente esposto per esigenze lavorative e che questi affronta per libera scelta per soddisfare esigenze personali.
Un problema rilevante che si pone in materia è il coordinamento del MOG previsto dal Decreto con il modello previsto dall’art. 30 del D.lgs. n. 81/2008. Tale norma prevede che laddove l’ente abbia adottato ed efficacemente attuato un Modello di organizzazione e gestione (“MOGS”) idoneo ad assicurare la conformità ai requisiti ed obblighi giuridici in materia di salute e sicurezza sui luoghi di lavoro, possa ottenere l’esclusione della sua responsabilità (c.d. esimente).
L’art. 30 D.lgs. n. 81/2008 tipizza il contenuto del MOGS, elencando i requisiti ed obblighi giuridici che ente deve rispettare per dimostrare la propria diligenza organizzativa. Tale norma prevede inoltre che, in sede di prima applicazione, i MOGS definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28.9.2001 o al British Standard OHSAS 18001:2007 si presumono conformi ai requisiti ivi elencati.
Pertanto, mentre per tutti gli altri reati-presupposto è il giudice penale a valutare il MOG adottato dall’impresa per stabilirne l’efficacia esimente, nel caso dei reati sulla sicurezza e salute sui luoghi di lavoro tale efficacia è sancita direttamente dalla legge. Il giudice potrà quindi valutare esclusivamente la rispondenza del MOGS alle normative tecniche (Linee guida UNI-INAIL – British Standard OHSAS).
Tali normative tecniche contengono la gran parte degli elementi richiesti dal MOG previsto dal Decreto. Tuttavia, due modelli (MOG/MOGS) debbano ritenersi distinti ed autonomi, seppure coordinati tra loro. Nella predisposizione del MOG con riferimento ai reati in esame è quindi necessario:
- fare riferimento alla valutazione dei rischi di cui al MOGS;
- estendere i compiti dell’OdV, il quale dovrà anche verificare il rispetto delle prescrizioni contenute nell’art. 30 D.lgs. 81/2008;
- disciplinare i rapporti tra OdV e soggetti responsabili dell’attuazione delle misure di sicurezza e igiene sul lavoro, regolamentando i relativi flussi informativi (se il rischio-reato è particolarmente elevato, prevedere la presenza del RSPP all’interno dell’OdV);
- inserire i principi di cui all’art. 30 D.lgs. 81/2008 nella parte speciale del MOGS o in un apposito protocollo.
12. Come predisporre un Modello organizzativo e gestionale ai sensi del Decreto 231
12.1 Le fasi attività: la mappatura delle aree di rischio
L’elaborazione di un MOG avviene mediante un processo multidisciplinare, complesso ed impegnativo, che impegna un gruppo di lavoro costituito da varie risorse, aziendali e/o esterne all’azienda, per un periodo di tempo medio-lungo (mediamente, 3-6 mesi). Nella prassi, il MOG si suddivide generalmente in due parti:
1) Parte generale, che comprende i principi fondamentali del MOG, ovvero:
- introduzione circa fonti, genesi, finalità del MOG;
- Codice Etico;
- mappa sintetica delle attività aziendali sensibili;
- tipologia, composizione, regolamento dell’OdV;
- sistema sanzionatorio.
2) Parte speciale (che necessita di frequenti modifiche/integrazioni), che contiene:
- la descrizione dettagliata delle attività sensibili;
- le procedure (protocolli);
- la descrizione dei presidi di controllo (protocolli) per ogni attività sensibile;
- materiale di formazione e informazione.
Negli anni, i consulenti hanno individuato una procedura operativa standard da seguire per la predisposizione di un efficace MOG, che si articola in diverse fasi di lavoro.
Il primo passo nella costruzione di un MOG è l’inventario (mappatura) delle attività/aree aziendali che possono comportare un rischio di reato (c.d. “aree sensibili”).
Così, con riferimento ad esempio ai reati contro la P.A., si tratterà di identificare quelle aree che per loro natura abbiano rapporti diretti o indiretti con la P.A. In questo caso alcune tipologie di processi/funzioni saranno sicuramente interessate (ad esempio le vendite verso la P.A., la gestione delle concessioni da P.A., e così via), mentre altre potranno non esserlo o esserlo marginalmente.
Nel processo di mappatura dei processi/funzioni a rischio, i soggetti sottoposti all’attività di monitoraggio in talune circostanze potrebbero includere anche i soggetti legati all’impresa da meri rapporti di para-subordinazione (ad es. agenti), o da altri rapporti di collaborazione (ad es. partner commerciali).
Occorrerà prestare particolare attenzione tutte le volte in cui, in sede di valutazione del rischio, siano stati rilevati “indicatori di sospetto” (ad esempio, conduzione di trattative in territori con alto tasso di corruzione, procedure particolarmente complesse, presenza di nuovo personale sconosciuto all’ente) afferenti ad una particolare operazione commerciale.
Ogni azienda presenta propri specifici ambiti di rischiosità che possono essere individuati soltanto tramite una puntuale analisi interna; una posizione di rilievo ai fini dell’applicazione del Decreto 231 rivestono, tuttavia, generalmente i processi dell’area finanziaria (v. oltre, par. 12.3).
La mappatura delle aree sensibili costituisce la prima, rilevante attività di analisi che viene svolta in fase di progettazione di un MOG. Tale analisi non può tuttavia ridursi ad un’attività una tantum, ma deve tradursi in un processo continuo (o comunque svolto con una periodicità adeguata), da reiterare con particolare attenzione nei momenti di cambiamento aziendale (apertura di nuove sedi, ampliamento di attività, acquisizioni, riorganizzazioni, ecc.).
La mappatura è completata dall’analisi delle possibili modalità attuative dei reati nelle diverse aree aziendali (individuate secondo il processo di mappatura), in modo da evidenziare e descrivere le potenziali modalità attuative degli illeciti nelle aree a rischio individuate nella fase precedente (analisi dei rischi potenziali – “As is Analysis”).
A tal proposito è utile tenere conto sia della storia dell’ente, cioè delle sue vicende passate, che delle caratteristiche degli altri soggetti operanti nel medesimo settore e, in particolare, degli eventuali illeciti da questi commessi nello stesso ramo di attività.
Ad ogni rischio individuato è utile assegnare un livello di importanza calcolato come rapporto fra probabilità che si verifichi ed entità del danno causato. L’entità del danno può essere calcolata in base al verificarsi o meno del danno all’immagine dell’ente e del danno economico–patrimoniale all’ente stesso.
12.2 Le fasi di attività: la progettazione del sistema di controllo preventivo
Occorre quindi valutare il sistema di controlli preventivi (protocolli) eventualmente esistente e procedere al suo adeguamento ove necessario, o a una sua costruzione quando l’ente ne sia sprovvisto (“Gap Analysis”).
Il sistema di controlli preventivi dovrà essere tale da garantire che i rischi di commissione dei reati, secondo le modalità individuate e documentate nella fase precedente, siano ridotti ad un livello accettabile (cioè tale per cui il rischio-reato si verificherà solo qualora l’autore violi, eluda o aggiri intenzionalmente e fraudolentemente il sistema).
Pur non esistendo delle regole chiare e precise per la costruzione di sistema di controllo preventivo, dalle Linee Guida di categoria (in particolare Confindustria), dalla consolidata prassi metodologica e dalle indicazioni della giurisprudenza si desume che tale sistema consta di alcune componenti.
In primo luogo, il sistema organizzativo deve essere sufficientemente formalizzato e chiaro, soprattutto per quanto attiene all’attribuzione di responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni.
In secondo luogo, le procedure manuali ed informatiche (sistemi informativi) devono regolamentare lo svolgimento delle attività prevedendo opportuni punti di controllo. Una particolare efficacia preventiva riveste la separazione di compiti fra coloro che svolgono fasi (attività) cruciali di un processo a rischio. In questo campo, specifico interesse ricopre l’area della gestione finanziaria (v. oltre, par. 12.3).
In terzo luogo, il sistema di controllo di gestione deve essere in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare. Funzionale a questo è la definizione di opportuni indicatori per le singole tipologie di rischio rilevato (ad esempio, accordi di intermediazione che prevedano pagamenti off-shore) ed i processi di risk assessment interni alle singole funzioni aziendali.
In quarto luogo, il sistema di deleghe e procure deve essere caratterizzato da elementi di “sicurezza” ai fini della prevenzione dei reati e, al contempo, consentire comunque la gestione efficiente dell’attività aziendale.
Come è noto, attraverso la procura la società attribuisce ad alcuni soggetti dei poteri di rappresentanza nei confronti dei terzi, mentre attraverso la delega la società attribuisce ad alcuni soggetti funzioni e compiti all’interno della propria organizzazione.
Secondo l’orientamento consolidato della giurisprudenza, affinché la delega di funzioni consenta di trasferire effettivamente responsabilità specifiche (ivi comprese responsabilità penali) ai soggetti delegati, è necessario che sussistano i seguenti requisiti:
- dimensioni dell’impresa: deve trattarsi di un’impresa medio grande, tale da giustificare la ripartizione di quei compiti che difficilmente potrebbero essere svolti con funzionalità dal CdA.
- capacità personali e professionali del delegato: è necessario che l’incaricato sia persona capace ed idonea all’assolvimento dei compiti trasferitigli.
- effettività della delega: il trasferimento delle attribuzioni deve essere effettivo e reale, e non fittizio, ovvero utilizzato per rinvenire i cd. “capri espiatori”, prestanome su cui far ricadere le sole responsabilità. In questo senso, il delegato deve poter disporre autonomamente delle somme necessarie per l’assolvimento dell’obbligo delegato, sia pure eventualmente entro determinati limiti e con determinati controlli.
- mancata ingerenza del delegante nell’attività del delegato: una volta delegate le funzioni, queste devono essere esercitate esclusivamente dal delegato nei limiti dei poteri ad esso attribuiti (il che non significa assenza di controllo).
- necessità della forma scritta: è necessario un atto espresso del delegante che deve essere accettato dal delegato.
Il sistema delle deleghe e procure deve essere disciplinato da apposita procedura, che garantisca un aggiornamento tempestivo delle procure, stabilendo i casi in cui le procure devono essere attribuite, modificate e revocate e che sia conforme ad una serie di principi.
Per quanto concerne la delega, essa deve:
- essere formale;
- coniugare ciascun potere di gestione alla relativa responsabilità e ad una posizione adeguata nell’organigramma ed essere aggiornata in conseguenza dei mutamenti organizzativi;
- definire in modo specifico ed inequivoco i poteri del delegato, e il soggetto cui il delegato riporta gerarchicamente, ex lege o statutariamente;
- assegnare poteri gestionali coerenti con gli obiettivi aziendali;
- assegnare al delegato poteri di spesa adeguati alle funzioni conferitegli.
Per quanto riguarda la procura, essa deve:
- avere estensione adeguata e coerente con le funzioni delegate;
- essere conferita esclusivamente a soggetti dotati di delega interna o di specifico contratto che descriva i relativi poteri di gestione.
Le componenti del sistema di controllo sopra descritte devono integrarsi organica-mente in un’architettura del sistema che rispetti una serie di principi di controllo, tra i quali:
- “Ogni operazione, transazione, azione deve essere verificabile, documentata, coerente e congrua”. Per ogni operazione vi deve essere un adeguato supporto documentale su cui si possa procedere in ogni momento all’effettuazione di controlli che attestino le caratteristiche e le motivazioni dell’operazione ed individuino chi ha autorizzato, effettuato, registrato, verificato l’operazione stessa.
- “Nessuno può gestire in autonomia un intero processo”. Il sistema deve garantire l’applicazione del principio di separazione di funzioni, per cui l’autorizzazione all’effettuazione di un’operazione, deve essere sotto la responsabilità di persona diversa da chi contabilizza, esegue operativamente o controlla l’operazione.
- “Documentazione dei controlli”. Il sistema di controllo dovrebbe documentare (eventualmente attraverso la redazione di verbali) l’effettuazione dei controlli, anche di supervisione.
In quinto luogo, il sistema di controllo deve essere in grado di escludere che un qualunque soggetto operante all’interno dell’ente possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali. Pertanto è necessario comunicare a tutti i dipendenti dell’ente i contenuti del MOG.
La comunicazione deve riguardare tutte le componenti del MOG: codice etico (v. par.8), poteri autorizzativi, linee di dipendenza gerarchica, procedure, flussi di informazione etc. La comunicazione deve essere capillare, efficace, autorevole (cioè emessa da un livello adeguato), chiara e dettagliata, periodicamente ripetuta.
Infine, deve essere infine sviluppato un adeguato programma di formazione rivolto al personale delle aree a rischio, appropriatamente tarato in funzione dei livelli dei destinatari, che illustri le ragioni di opportunità, oltre che giuridiche, che ispirano le regole e la loro portata concreta. Il MOG deve prevedere il contenuto dei corsi di formazione, la loro frequenza, l’obbligatorietà della partecipazione ai corsi, controlli di frequenza e di qualità sul contenuto dei programmi.
12.3 La gestione delle risorse finanziarie
Tra le aree aziendali “sensibili”, particolare attenzione va prestata ai processi che presuppongono la gestione delle risorse finanziarie, quali:
- Transazioni finanziarie;
- Approvvigionamento di beni e servizi;
- Assunzione personale;
- Liberalità, omaggi, pubblicità;
- Gestione agenti e procacciatori d’affari;
- Contratti di consulenza.
In particolare, uno dei processi tipicamente a rischio è quello dell’approvvigionamento di beni e servizi (c.d. “ciclo passivo”), dato che tutte le società che operano sul mercato acquistano, di fatto, beni da immettere nel proprio ciclo produttivo. Indipendentemente dalle modalità operative con cui si esegue il risk assesment, è indubbio che gli approvvigionamenti, in specie nella fase di liquidazione delle fatture passive, costituiscono un mezzo ricorrente per la formazione di fondi neri da destinare ad attività illecite. In quest’ottica i reati che possono configurarsi in forza di tale illecito sono tipicamente quelli di corruzione.
È quindi opportuno disciplinare nel MOG il processo degli approvvigionamenti in modo da assicurare non soltanto la massima efficienza ed economicità dello stesso (il che implica la chiara identificazione dei ruoli dell’ordinatore, dell’esecutore e del controllore, con la formalizzazione di mansionari e con deleghe di poteri, ad es. per l’emissione degli ordini di fornitura o dei contratti di appalto), ma anche il rispetto di alcuni principi, quali:
- chi decide l’acquisto non può coincidere con chi lo effettua e con chi ne controlla l’effettuazione;
- ciascuna fase del ciclo deve essere tracciata;
- la documentazione inerente i controlli effettuati deve essere conservata.
In particolare, gli aspetti da regolamentare nei relativi protocolli sono:
- richiesta di approvvigionamento: è opportuno identificare le funzioni/figure che, in seno all’organizzazione aziendale, possono richiedere l’acquisto di un bene. La domanda deve essere formalizzata, anche ai fini della successiva autorizzazione, e non deve prevedere la richiesta di ricorso a specifici fornitori, se non in circostanze particolari opportunamente disciplinate.
- l’autorizzazione della spesa deve essere rilasciata da una funzione/figura diversa da quella del richiedente e, in genere, di livello superiore in seno all’organizzazione aziendale. L’autorizzazione è formalizzata (ad es. mediante firma o altro accorgimento nel caso di gestione telematica) e la richiesta è conservata. Qualora siano adottati budget di spesa per funzione, centro di costo o commessa, l’autorizzazione può essere evitata, purché l’acquisto in questione sia contemplato in detti budget e che questi siano stati debitamente approvati.
- selezione del fornitore: il fornitore dovrebbe essere selezionato con criteri trasparenti, richiedendo un congruo numero di offerte in relazione all’importo dell’acquisto; i fornitori interpellati dovrebbero comprovare onestà imprenditoriale, eventualmente attraverso un processo di prequalifica. La comparazione delle offerte dovrebbe essere tracciata.
- emissione dell’ordine: l’ordine, contenente ogni informazione necessaria ai fini della sua gestione, dovrebbe essere firmato da figura dotata di poteri formali (delega o procura); in ogni caso, l’ordinante dovrebbe essere figura diversa dal richiedente.
- controllo del bene acquistato: il controllo del bene acquistato, di norma eseguito dalla figura richiedente, dovrebbe essere tracciato, anche attraverso la semplice firma del documento di trasporto se non ricorrendo all’impiego di un software di gestione.
- liquidazione della fattura: la liquidazione della fattura dovrebbe avvenire esclusivamente in seguito alle registrazioni contabili e ad un controllo incrociato con l’ordine di fornitura (per gli importi) e con il documento di trasporto (per le quantità). Il pagamento dovrebbe essere tracciato e comunque eseguito al fornitore del bene; nessun pagamento in contanti dovrebbe essere consentito se non in determinate, predefinite circostanze e per importi non elevati.
12.4 Case study: il modello organizzativo di una società farmaceutica
Nel 2006 la società italiana Alpha, controllata da una capogruppo con sede in Svizzera, operante nell’ambito dell’industria farmaceutica, ha deciso di adottare un MOG ai sensi del Decreto. Tale decisione è stata assunta per i seguenti motivi:
- nonostante che Alpha, come tutte le società del gruppo, avesse già da tempo in uso un sistema organizzativo e di controllo interno, adottato su impulso della capogruppo svizzera, tale modello, seppure ben articolato e in parte coincidente con quello previsto dal Decreto, non era del tutto conforme a quest’ultimo, anche perché ideato avendo come riferimento un ordinamento straniero;
- si erano verificati alcuni episodi, prodromici rispetto alla commissione di reati, dai quali avrebbe potuto sorgere la responsabilità di Alpha ai sensi del Decreto;
- alcuni recenti scandali avevano interessato importanti società farmaceutiche, ponendo tutto il settore sotto l’attenzione dei media.
Il CdA di Alpha ha quindi incaricato una società di consulenza esterna di elaborare un MOG ai sensi del Decreto 231. Il gruppo di lavoro coinvolto nell’elaborazione del MOG di Alpha ha esaminato, ricorrendo anche ad interviste facilitate, 13 funzioni aziendali e circa 180 attività aziendali di Alpha, delle quali il 70% circa è risultato a rischio di commissione reato.
Le attività a rischio di Alpha sono risultate essenzialmente le seguenti:
- Informazione scientifica
- Congressi, convegni, riunioni scientifiche;
- Incarichi a relatori in occasione di eventi congressuali e a consulenti scientifici
- Donazioni
- Omaggi, gadgets, materiale di lavoro non attinente al medicinale
- Rapporti con la PA (rapporti istituzionali, richiesta di AIC, negoziazione prezzi e rimborsabilità, visite ispettive)
- Rapporti commerciali con farmacie
- Rapporti commerciali con AO/ASL, appalti di forniture, trattative private
Al termine dell’attività di risk mapping, il gruppo di lavoro ha predisposto i seguenti documenti:
- tabella di sintesi delle aree a rischio di reato con riferimento alle attività “sensibili” svolte da Alpha, alle funzioni coinvolte in tali attività, ai potenziali reati associabili;
- documento di dettaglio che riporta, per ciascuna funzione aziendale:
- una breve premessa (ove ritenuta necessaria per una migliore comprensione del contesto di riferimento);
- il funziogramma della Funzione;
- l’elenco delle principali attività svolte dalla Funzione;
- l’elenco delle attività, fra quelle svolte dalla funzione, identificate come “sensibili” ai fini del Decreto;
- per ciascuna attività “sensibile” identificata, analisi del profilo di rischio e osservazioni sull’attività analizzata.
Contemporaneamente, Il gruppo di lavoro ha analizzato il sistema organizzativo e di controllo esistente in Alpha, in ciascuna area.
Al termine dell’analisi, è stato predisposto un documento nel quale:
- è stato descritto il sistema di controllo esistente, area per area;
- è stata espressa una valutazione circa l’efficacia dei sistemi in rapporto alle esigenze espresse dal Decreto;
- sono state formulate osservazioni per procedere alla modifica/integrazione/miglioramento dei singoli sistemi;
- è stato predisposto un action-plan per la modifica/integrazione/miglioramento dei singoli sistemi.
Per approfondire i nostri servizi di assistenza e consulenza in tema di compliance aziendale, visionate la pagina dedicata del nostro sito.
Avv. Valerio Pandolfini
Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.
Le informazioni contenute in questo articolo sono da considerarsi sino alla data di pubblicazione dello stesso; le norme regolatrici la materia potrebbero essere nel frattempo state modificate.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni riportate nell’articolo non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie.
Di conseguenza, il presente articolo non costituisce un (né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.