Normative

Gli strumenti preventivi per l’antimafia nelle imprese

Come le aziende possono svolgere un ruolo nel contrasto all’infiltrazione mafiosa nel tessuto economico del paese. Il decreto legislativo n. 159 del 2011: la comunicazione antimafia e l’informazione antimafia

Aggiornato il 29 Nov 2022

Stefano Piroddi

senior Security manager

Le organizzazioni criminali di tipo mafioso sono sempre più dedite ad attività criminali “in giacca e cravatta” quali il riciclaggio, reinvestimento di capitali, falsa fatturazione, reati fiscali in genere, condotte silenziose e meno evidenti rispetto ai reati violenti in genere ma non per questo meno impattanti nell’ordine pubblico ed economico del contesto sociale in cui vengono perpetrate. Gli strumenti normativi a disposizione dello Stato sono numerosi e di natura diversa, taluni con finalità repressiva, altri con finalità preventiva. Analizziamo due strumenti di natura preventiva per l’antimafia nelle imprese che possono avere una importante valenza anche per gli operatori economici privati.

Decreto legislativo n. 159 del 2011: la comunicazione antimafia e l’informazione antimafia

Le infiltrazioni mafiose nel tessuto economico, nel medio lungo termine, portano a conseguenze che possono divenire disastrose quali:

  • Artificiose variazioni di prezzo di beni e servizi;
  • Concorrenza sleale;
  • Allocazione di risorse in settori non produttivi;
  • Connivenze con il mondo politico e istituzionale;
  • Rischi sulla salute dei consumatori e sulla sicurezza in generale;
  • Danni reputazionali.

Un ruolo rilevante in termini di prevenzione è svolto da due istituti disciplinati dal decreto legislativo n. 159 del 2011: la comunicazione antimafia e l’informazione antimafia.

WHITEPAPER
Rischi ESG all'interno della supply chain: approfondisci come mitigarli in modo proattivo
Sviluppo Sostenibile
Risk Management

La prima è emanata in caso di soggetti che hanno ricevuto, con provvedimento definitivo, una misura di prevenzione di cui al codice antimafia, con conseguente divieto di concludere contratti pubblici e decadenza da licenze, autorizzazioni, concessioni etc.

La seconda attesta la sussistenza di eventuali tentativi di infiltrazione mafiosa tendenti a condizionare le scelte e gli indirizzi di società o imprese determinando l’impossibilità di stipulare contratti con la pubblica amministrazione.

La logica unitaria che ispira il codice antimafia è finalizzata a garantire, attraverso approfonditi accertamenti, una tutela rafforzata alle situazioni estremamente pericolose di coinvolgimento delle organizzazioni criminali in qualsiasi attività di natura imprenditoriale a salvaguardia della libera concorrenza tra le imprese e del buon andamento della pubblica amministrazione.

Ai sensi dell’art. 94 del codice antimafia, in presenza di un “pericolo di infiltrazione mafiosa” viene precluso ogni rapporto con l’Amministrazione con conseguente revoca dell’aggiudicazione o, se la stipula negoziale è già intervenuta, della risoluzione del contratto e può portare anche alla restituzione delle erogazioni già percepite.

La normativa vigente

La normativa vigente prevede l’obbligo per le Amministrazioni di verificare l’assenza del pericolo di infiltrazione mafiosa per i contratti di importo superiore a 150 mila euro (art. 83 del D. Lgs. n. 159/2011) e per alcune tipologie di lavori, considerate ““come maggiormente esposte a rischio di infiltrazione mafiosa” fatta salva la facoltà della stessa Amministrazione di richiedere la documentazione antimafia anche per gare di più modesto valore come previsto anche da alcuni Protocolli di legalità.

È inoltre istituito, presso ogni prefettura, l’elenco dei fornitori, prestatori di servizi ed esecutori di lavori non soggetti a tentativo di infiltrazione mafiosa (c.d. white list) al fine di rendere più efficaci i controlli antimafia nei comparti maggiormente a rischio:

  • estrazione, fornitura e trasporto di terra e materiali inerti;
  • confezionamento, fornitura e trasporto di calcestruzzo e di bitume;
  • noli a freddo di macchinari;
  • fornitura di ferro lavorato;
  • noli a caldo;
  • autotrasporti per conto di terzi;
  • guardiania dei cantieri;
  • servizi funerari e cimiteriali;
  • ristorazione, gestione delle mense e catering;
  • servizi ambientali, comprese le attività di raccolta, di trasporto nazionale e transfrontaliero, anche per conto di terzi, di trattamento e di smaltimento dei rifiuti, nonché le attività di risanamento e di bonifica e gli altri servizi connessi alla gestione dei rifiuti.

L’iscrizione alla white list equivale a certificazione dell’insussistenza delle cause ostative alla partecipazione alle procedure di affidamento di appalti pubblici ed alla stipula dei relativi contratti, quindi una sorta di certificazione dell’assenza di pericolo di infiltrazione mafiosa.

L’attività di raccolta informativa e verifica è affidata alle Prefetture, supportate dalla Direzione investigativa antimafia nelle sue articolazioni territoriali.

Il tentativo di infiltrazione

Siamo in presenza di una misura di carattere preventivo, che prescinde dall’accertamento di eventuali responsabilità penali. Per la sua natura di massima anticipazione della soglia di prevenzione, l’interdittiva antimafia non comporta l’instaurazione di un contraddittorio pieno con il soggetto destinatario escludendo quindi la necessità della comunicazione di avvio del procedimento, in quanto tale adempimento sarebbe in contrasto con il carattere riservato ed urgente delle attività di verifica dei tentativi di infiltrazione.

Per l’emanazione dell’interdittiva è sufficiente il “tentativo di infiltrazione” avente lo scopo di condizionare le scelte dell’impresa, anche se tale scopo non si è in concreto realizzato.

Gli elementi posti a base dell’informativa possono anche non essere oggetto di procedimenti penali o, addirittura, possono aver dato luogo a un proscioglimento in sede penale ma devono fornire la visione d’insieme di tutti gli elementi raccolti nel corso dell’istruttoria, atti a dimostrare la sussistenza del pericolo di condizionamento.

Il codice antimafia individua espressamente alcune fattispecie come indicatori della presenza mafiosa come la condanna per taluni delitti o la mancata denuncia di delitti di concussione e di estorsione da parte dell’imprenditore.

Al di là di tali fattispecie, il Consiglio di Stato individua, a solo titolo esemplificativo, un’ampia casistica di c.d. “elementi spia” che evidenziano una condizione di potenziale condizionamento dell’azienda rispetto alle iniziative della criminalità organizzata di tipo mafioso.

Il condizionamento sull’impresa può essere esercitato anche contro la volontà della stessa, determinando la possibilità che non solo i soggetti affiliati alla mafia e quelli ad essa contigui possano essere oggetto di misure ma persino imprenditori soggiogati.

Per questo, la disciplina volutamente lascia un ampio margine di apprezzamento al Prefetto proprio per l’impossibilità di indicare ex ante tutte le modalità con cui i tentativi di infiltrazione mafiosa si realizzano.

Nella valutazione assumono particolare rilevanza le sentenze di condanna, anche non definitiva, i provvedimenti di rinvio a giudizio per particolari delitti precisati dall’art. 84 del codice antimafia ma anche il semplice deferimento all’Autorità giudiziaria. Tali elementi assumono valore ai fini dell’interdittiva anche se risalenti nel tempo quando siano sintomatici di un condizionamento attuale dell’attività dell’impresa. Anche in caso di assoluzione, le motivazioni addotte dal giudice penale potrebbero essere comunque utilizzate per confermare la validità dell’impianto accusatorio dell’interdittiva.

Assumono altresì rilevo anche le misure di prevenzione antimafia per i delitti espressamente elencati dall’art. 51, comma 3-bis, c.p.p.. e più in generale tutti i provvedimenti del giudice penale, civile, amministrativo, contabile, tributario, dalla cui motivazione emergano elementi di condizionamento (anche in termini di agevolazione) delle associazioni malavitose sull’attività dell’impresa.

Un aspetto specifico riguarda la valutazione dei rapporti di parentela che se da un lato di per sé non certificano il pericolo di infiltrazione (in assenza di altri elementi che evidenzino l’esistenza di una effettiva disponibilità verso le attività dei gruppi criminali) dall’altro rilevano ai fini della dimostrazione logica del condizionamento mafioso nei casi in cui sia evidenziato che l’impresa abbia una conduzione o comunque una gestione di fatto familiare.

Possono assumere rilievo, ai fini dell’interdittiva antimafia, anche le relazioni interpersonali dei titolari, soci, amministratori, dipendenti dell’impresa con soggetti raggiunti da provvedimenti di carattere penale o da misure di prevenzione così come i rapporti di business dell’impresa come, ad esempio, i casi in cui una società si avvale della collaborazione continuativa (in termini di mezzi e personale) di un’altra azienda colpita da interdittiva. Va inoltre posta attenzione alle variazioni nella struttura dell’impresa così come all’adozione di un nuovo modello organizzativo di gestione e controllo.

Un altro elemento di particolare attenzione sono le politiche del personale: l’assunzione di un numero elevato di persone con precedenti penali gravi può certamente far ritenere che vi sia del condizionamento mafioso.

È evidente come l’attività informativa alla base della relazione prefettizia costituisce di fatto una vera e propria “due diligence reputazionale di Stato”, molto approfondita, che tiene conto di elementi di natura così varia da consentire una valutazione a 360° dell’operatore economico oggetto di verifica.

In questi termini l’accesso a tali informazioni consentirebbe alle imprese di prevenire la sottoscrizione di contratti con tali realtà economiche distorte, evitando di correre i rischi derivanti.

La limitata conoscibilità delle informazioni contenute nelle banche dati riguardanti le ditte colpite da interdittiva antimafia, ad oggi non accessibili se non agli apparati statali, impone l’adozione di strumenti alternativi.

È pur vero che la consultazione delle whitelist consente una sorta di “verifica al contrario” e pertanto, le imprese private che richiedono ai propri fornitori di beni e servizi l’iscrizione nelle liste in parola, di fatto inseriscono nel proprio sistema di gestione un importante presidio per la prevenzione dei reati di criminalità organizzata (art. 24-ter d.lgs. 231/2001) “spendibile” anche in termini di modello organizzativo 231.

Ma ciò non è sicuramente sufficiente per una gestione completa del rischio “mafia”.

Alcune best practice possono essere acquisite dando uno sguardo al panorama normativo internazionale quali il Foreign Corrupt Practice Act statunitense, volto a colpire i fenomeni corruttivi internazionali, il Racketeer influenced and corrput organizations act, il Bribery Act inglese del 2010.

Cinque componenti essenziali del sistema di controllo interno

È molto eloquente in tal senso anche il CoSo Report che individua 5 componenti essenziali del sistema di controllo interno ed ovvero:

  1. Control Environment;
  2. Risk Assessment;
  3. Control Activities;
  4. Information & Communication;
  5. Monitoring

A sua volta ognuno dei 5 pilastri contiene una serie di principi fondamentali.

Focalizzando la nostra attenzione sulle attività di controllo i principi individuati sono:

  • L’organizzazione seleziona e sviluppa attività di controllo che contribuiscono alla mitigazione dei rischi per il raggiungimento degli obiettivi a livelli accettabili.
  • L’organizzazione implementa attività di controllo generale sulla tecnologia per supportare il raggiungimento degli obiettivi.
  • L’organizzazione implementa attività di controllo attraverso policy, che che stabiliscono gli obiettivi e procedure che mettono in atto le policy.

Un operatore economico dovrebbe quindi attenersi alle seguenti best practices:

  • Inserire presidi di controllo atti a intercettare i rischi individuati in relazione a ciascuna attività sensibile;
  • Utilizzare di applicativi informatici ed emissione di documentazione finalizzate alla tracciabilità degli atti;
  • Emettere delle procedure certe per l’affidamento per contratti di acquisti e forniture di servizi che prevedano lo svolgimento di attività di due diligence;
  • Implementare procedure di vetting & background check.

Relativamente ai presidi di controllo questi vanno costruiti in maniera del tutto attagliata alle esigenze e ai rischi specifici dell’organizzazione che potranno essere individuati solo attraverso una analisi e valutazione dei rischi ben realizzata a seguito della quale dovranno essere costruite le contromisure più idonee. Un modello organizzativo 231 ben fatto, attivo, e che non sia solo lettera morta, certamente risponde a questo tipo di requisito.

Gli applicativi informatici forniscono un supporto fondamentale in termini di controllo al fine di garantire univocità e tracciabilità di tutte le operazioni oltre che della documentazione a corredo, riducendo fortemente le possibilità di realizzazione di illeciti o comunque esponendo l’attività fraudolenta a una maggiore possibilità di essere individuata. Un altro obiettivo dell’impiego degli strumenti informatici è tracciare gli step autorizzativi al fine di prevenire il compimento di attività illecite.

Le policy per la gestione dei fornitori dovrebbero avere due pilastri fondamentali: in primis sfruttare proprio l’esistenza delle whitelist, richiedendo, per le categorie di imprese per cui è possibile, l’iscrizione all’elenco della prefettura di riferimento. Per le restanti categorie di fornitori di beni e servizi e clienti, o per tutte, a seconda di quella che si deciderà essere la policy aziendale, sarà fondamentale svolgere due diligence reputazionali.

Si tratta di realizzare un sistema di controllo quanto più simile agli accertamenti prefettizi descritti prima, certamente basato su una base dati differente, proprio per la giusta inaccessibilità delle banche dati delle Forze di Polizia, ma comunque che va ad investigare su un ventaglio ampio e variegato di informazioni.

Ma in che modo una organizzazione privata può svolgere una due diligence reputazionale efficace?

Bisogna aver chiaro che l’obiettivo di una due diligence è quello di individuare eventuali condotte, fatti, elementi in genere che possano rilevare (negativamente) in termini etici, criminali o comunque non coerenti con il quadro normativo e con il contesto di riferimento.

Innanzitutto occorre effettuare una riflessione su chi incaricare di una attività così delicata: una struttura interna? Un fornitore esterno? Un sistema misto? Tutto è possibile, l’importante è valutare l’esigenza in termini quantitativi e qualitativi in relazione ai rischi specifici dell’operatore economico.

Vanno quindi verificati in maniera puntuale gli asset proprietari delle società, le cariche, la situazione contabile, bilanci per poi procedere a una analisi sulle persone “rilevanti” quali dei manager, dirigenti, procuratori speciali etc.

Laddove il quadro normativo del paese di riferimento lo permetta, va verificata l’eventuale sussistenza di precedenti penali delle persone fisiche di rilievo, l’eventuale iscrizione nelle c.d. “sanction list” o in liste di parti escluse o con restrizioni in materia di gare d’appalto così come è un ulteriore elemento di rilievo la valutazione dell’affidabilità creditizia.

Alla raccolta di dati di fatto di cui sopra va poi affiancata una imponente attività OSINT che spazi dalla ricerca della storia dell’impresa alla raccolta e analisi di informazioni di stampa, passando per attività di social media intelligence.

Conclusioni

Numerose piattaforme sono disponibili per automatizzare una serie di ricerche in tal senso e rendere più agevole il lavoro, ma è decisivo il ruolo dell’analista che dovrà saper filtrare e aggregare le informazioni acquisite, saperle leggere, interpretare, correlarle e, soprattutto, tradurle in un risultato documentale fruibile al management.

Le procedure di vetting & background check sono un ulteriore presidio importante in termini di prevenzione di inserimento nell’organizzazione di persone, a tutti i livelli, potenzialmente legate a contesti mafiosi che, come abbiamo sopra descritto, costituisce uno degli elementi su cui si basa la ricognizione informativa prefettizia.

Queste best practices costituiscono una buona base di presidi sufficienti a garantire una certa capacità di prevenzione di infiltrazione. Un tale impianto procedurale ha un impatto in termini di costi necessari all’implementazione e mantenimento oltre che di allungamento delle tempistiche dei processi aziendali come, ad esempio, della qualifica di un fornitore. È quindi opportuno soppesare questo effort con quello che è il rischio reputazionale (e non solo) da mitigare al fine di raggiungere un bilanciamento che sia virtuoso per l’impresa, per il mercato e per la comunità in cui l’operatore economico persegue i propri interessi di business.

Il contributo di ogni operatore economico in termini di prevenzione di infiltrazione è basilare per la difesa del sistema economico da elementi patologici.

Articolo originariamente pubblicato il 28 Nov 2022

WHITEPAPER
Cyber Risk : la guida per gestire il rischio in banca
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
P
Stefano Piroddi
senior Security manager
Argomenti trattati

Approfondimenti

R
risk management
S
sicurezza

Articolo 1 di 4