Normative

Il modello di organizzazione e gestione del D.lgs. 231/2001: cosa prevede

La “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, in vigore dal 4 luglio 2001, ha introdotto nell’ordinamento italiano un nuovo regime di responsabilità denominata “da reato”, derivante dalla commissione o tentata commissione di determinate fattispecie di reato nell’interesse o a vantaggio degli enti stessi

22 Mag 2020

Nicolò Ballarini

dottore in Giurisprudenza Università degli Studi di Trento, master in “consulenza legale d’impresa” Luiss Business School

Con il termine compliance si allude, in buona sostanza, all’insieme di regole di carattere normativo, etico, morale, sociale ed organizzativo emanate non solo dal legislatore ma anche da enti pubblici, Organismi di controllo di matrice pubblica, Authority di garanzia ecc. ai quali le aziende devono conformarsi al fine di non incappare nelle sanzioni connesse a una violazione delle medesime e al fine di porre in essere una adeguata gestione degli affari.

Il d.lgs. 231/2001 si atteggia come una sorta di modello etico-organizzativo volto a prevenire la commissione di determinati reati.

Cosa dispone il D.lgs. 231/2001

Come noto, il D.lgs. 231/2001 recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, in vigore dal 4 luglio 2001, ha introdotto nell’ordinamento italiano un nuovo regime di responsabilità denominata “da reato”, derivante dalla commissione o tentata commissione di determinate fattispecie di reato nell’interesse o a vantaggio degli enti stessi. La terminologia utilizzata è frutto di un compromesso lessicale stante il fatto che la responsabilità penale è costituzionalmente definita “personale”, sul punto, nella relazione governativa al predetto decreto è stato altresì precisato che “Tale responsabilità, poiché conseguente da reato e legata (per espressa volontà della legge delega) alle garanzie del processo penale, diverge in non pochi punti dal paradigma di illecito amministrativo ormai classicamente desunto dalla L. 689 del 1981. Con la conseguenza di dar luogo alla nascita di un tertium genus che coniuga i tratti essenziali del sistema penale e di quello amministrativo nel tentativo di contemperare le ragioni dell’efficacia preventiva con quelle, ancor più ineludibili, della massima garanzia.”

I soggetti responsabili

La responsabilità scaturente dal decreto si va ad aggiungere alla responsabilità penale del soggetto che ha materialmente posto in essere l’illecito con il fine di colpire il patrimonio dell’ente beneficiante dei vantaggi derivanti dalla commissione del reato.

I soggetti chiamati a rispondere possono essere suddivisi in due macro-categorie: in primo luogo rilevano i c.d. soggetti apicali, segnatamente coloro che “rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dell’ente stesso” (art. 5, lett. a) e, in secondo luogo, i c.d. sottoposti (art. 5, lett. b) ovvero persone assoggettate alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a.

La responsabilità dell’ente, in ogni caso, rileva solo ed esclusivamente nel caso in cui il reato sia stato commesso nel suo interesse o a suo vantaggio, ne consegue ovviamente che qualora il reato sia stato posto in essere, dai soggetti di cui all’art. 5, nell’interesse esclusivo proprio o di terzi la responsabilità dell’ente non sarà configurabile.

L’ente sarà altresì chiamato a rispondere del reato nel caso in cui l’autore del reato non sia stato identificato o non sia imputabile.

Il modello di organizzazione e gestione dell’ente

L’importanza di modellare un sistema adatto a prevenire le sanzioni correlate alla violazione delle condotte ricomprese dal decreto la si evince dal portato dell’art. 6 in forza del quale infatti l’ente non risponde del reato commesso se prova che:

a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;

b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;

c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;

d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b).

Negli enti di piccole dimensioni i compiti indicati nella lettera b), del comma 1, possono essere svolti direttamente dall’organo dirigente.

Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell’organismo di vigilanza di cui al comma 1, lettera b).

In relazione all’estensione dei poteri delegati e al rischio di commissione dei reati, i modelli devono rispondere alle seguenti esigenze:

a) individuare le attività nel cui ambito possono essere commessi reati;

b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;

c) individuare modalità di gestione delle risorse finanziarie idonee a impedire la commissione dei reati;

d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;

e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

I modelli in questione dovranno altresì prevedere:

a) uno o più canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione;

b) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;

c) il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;

d) nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

WHITEPAPER
Sicurezza OT: tutto quello che c’è da sapere
Sicurezza
Disaster recovery

L’ente è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza è, in ogni caso, esclusa la responsabilità se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio.

L’efficace attuazione del modello richiederà:

a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività;

b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

La responsabilità dell’ente

La responsabilità in capo all’ente si manifesterà allorquando si verificheranno, congiuntamente, tutte le condizioni soggettive ed oggettive: dovrà dunque trattarsi di un ente così come individuato dalla legge (art. 1 d.lgs. 231/2001), la condotta dovrà essere stata posta in essere dai soggetti di cui all’art. 5, dovranno essere integrati gli estremi affinché possa essere configurato uno dei reati la cui commissione farà scattare detta responsabilità, dovrà emergere l’esistenza di una condizione di vantaggio o interesse per l’ente stesso derivante dal reato ed infine dovrà altresì verificarsi la circostanza per cui l’organismo di vigilanza si sarà dimostrato negligente o omissivo o inefficiente.

Negli artt. 6 e 7 del decreto si delineano quelle che possono invece essere definite condizioni esimenti la cui sussistenza può far sì che l’ente vada appunto esente da responsabilità occorre però osservare che dette condizioni si atteggiano in maniera differente.

Nel caso delineato dall’art. 6 (reato posto in essere da soggetto ricoprente una posizione apicale) spetterà all’Ente stesso la dimostrazione di aver predisposto adeguate misure di prevenzione e controllo nonché di aver vigilato sul corretto funzionamento delle stesse, sarà altresì gravato del non semplice onere di provare che il soggetto ha agito violando in maniera fraudolenta i sistemi apprestati; nel caso di cui all’art. 7 invece (trattasi dunque di reato commesso da un soggetto sottoposto) sarà onere precipuo dell’autorità giudiziaria dimostrare il mancato funzionamento dei sistemi di organizzazione, prevenzione e controllo dell’ente.

Materialmente dunque le condotte che l’ente interessato deve porre in essere sono:

  • l’adozione di organizzazione e gestione finalizzato a prevenire la commissione dei reati
  • l’attuazione del modello medesimo
  • la vigilanza sul modello stesso

Il modello organizzativo che l’impresa dovrà istituire dovrà essere caratterizzato da un certo qual grado di dinamicità, nel concreto dovrà palesare eventuali violazioni e come le stesse si sono verificate nel concreto, dovrà essere in grado di fornire adeguate informazioni all’Organismo di vigilanza, dovrà essere in grado di fornire il fall-out che detta eventuale violazione potrà avere nel contesto aziendale-societario nonché garantire una certa stabilità nel corso del tempo ed aggiornarsi adattandosi alle evoluzioni legislative e dell’ambiente di riferimento.

Il corretto funzionamento del modello è di indubbia importanza per l’ente in quanto garantisce quella vigilanza necessaria affinché lo stesso si declini efficientemente ed esplichi la sua funzione esimente nel caso di violazione.

La predisposizione del modello

Nel concreto, la predisposizione del modello dovrà essere preliminarmente volta all’individuazione delle aree aziendali maggiormente esposte ai rischi, segnatamente in un’ottica risk based approach dovranno essere analizzati i processi, i soggetti coinvolti e i loro ruoli nel contesto aziendale, i reati in cui potenzialmente si potrebbe incorrere, dovrà altresì essere idoneo a creare il corretto flusso informativo verso l’organismo di vigilanza, dovrà essere dinamico a tal punto da garantire un tempestivo intervento tenuto conto delle attività di natura finanziaria ed altresì garantire un saldo sistema sanzionatorio per i soggetti che non rispettano lo stesso.

Necessaria, in ogni caso, un’attività di informazione e di formazione del personale dipendente.

Le caratteristiche peculiari del modello devono attenere a specificità, effettività (intesa nell’accezione di essere quanto più pregnante ai tempi) e dinamicità.

Schematicamente la predisposizione del modello può essere suddivisa in tre distinte fasi:

Fase di analisi

  • Individuazione degli ambiti a rischio reato
  • Analisi dei controlli preventivi (as-is; analisi di gap)
  • Predisposizione del modello di sintesi e piano di implementazione

Fase implementativa

  • Implementazione del sistema di controllo interno
  • Definizione e adeguamento della struttura organizzativa
  • Definizione e implementazione degli aspetti procedurali

Fase di monitoraggio

  • Definizione del piano di verifiche da parte dell’organismo di vigilanza
  • Monitoraggio sul corretto funzionamento del modello
  • Aggiornamento sistematico dei rischi derivanti dai reati
  • Utilizzo di indicatori a fini di monitoraggio e analisi

L’organismo di vigilanza

Come tratteggiato nelle righe di cui sopra, l’art. 6 del d.lgs. in questione prevede espressamente che il compito di vigilare sul funzionamento e l’osservanza del modello organizzativo nonché di curarne l’aggiornamento, deve essere di spettanza di un organismo ad hoc istituito dotato di autonomi poteri di iniziativa e controllo.

La persona giuridica interessata sarà infatti esonerata da responsabilità per i reati commessi nel suo interesse o a suo vantaggio nel caso in cui abbia adottato ed efficacemente attuato un modello organizzativo idoneo a prevenire reati della specie di quello verificatosi e abbia istituito al suo interno tale organismo prima della commissione del fatto illecito dovrà altresì dimostrare che non vi sia stata omessa o insufficiente vigilanza da parte di tale organismo.

Nel concreto dovrà:

  • vigilare sull’effettività del modello
  • effettuare disamine circa l’adeguatezza dello stesso
  • effettuare analisi circa il mantenimento nel tempo dei requisiti di funzionalità e solidità del modello medesimo

Stante la vaghezza del portato normativo, sussistono dubbi interpretativi circa la sua concreta struttura e composizione (molteplici gli interventi sul punto di giurisprudenza, dottrina, associazioni di categoria e consulenti), che dovranno in ogni essere integrati, dai soggetti chiamati a svolgere l’attività di vigilanza (o dal soggetto nel caso di organo unipersonale) i requisiti di:

  • autonomia e indipendenza
  • professionalità
  • onorabilità
  • continuità d’azione

Per quel che attiene la composizione si delineano tre possibili soluzioni:

  • l’utilizzo di solo personale interno (in questo modo sarà sicuramente massimizzata l’esigenza dell’efficacia dei controlli ma allo stesso tempo minimizzata quella dell’indipendenza)
  • utilizzo di personale interno ed esterno (con probabile massimizzazione di ambedue le esigenze)
  • utilizzo di solo personale esterno (logicamente in questo caso sarà massimizzata l’indipendenza ma minimizzata l’efficacia dei controlli)

La prassi applicativa ha fatto emergere una tendenziale preferenza verso soluzioni che prevedano un blend di risorse esterne ed interne.

I reati oggetto del decreto

Le fattispecie di reato configurate nel decreto sono svariate ed attengono differenti ambiti applicativi, esemplificativamente le principali sono le seguenti:

Delitti contro la pubblica amministrazione (quali corruzione e malversazione ai danni dello Stato, truffa ai danni dello Stato e frode informatica ai danni dello Stato, indicati agli artt. 24 e 25 del D.Lgs. 231/2001) o contro la fede pubblica (quali falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento, indicati all’art. 25-bis D.Lgs. 231/2001);

Reati societari (quali false comunicazioni sociali, falso in prospetto, illecita influenza sull’assemblea, indicati all’art. 25-ter D.Lgs. 231/2001);

Delitti in materia di terrorismo e di eversione dell’ordine democratico (ricompreso anche il finanziamento ai suddetti fini), indicati all’art. 25-quater D.Lgs. 231/2001;

Delitti contro la personalità individuale (quali lo sfruttamento della prostituzione, la pornografia minorile, la tratta di persone e la riduzione e mantenimento in schiavitù, indicati all’art. 25-quinquies D.Lgs. 231/2001);

Abusi di mercato, indicati dall’articolo 25-sexies D.Lgs. 231/2001);

Pratiche di mutilazione degli organi genitali femminili, indicati dall’art.25-quater 1. del D.lgs. 231/2001);

Reati transnazionali, segnatamente, l’associazione per delinquere, di natura semplice e di tipo mafioso, l’associazione finalizzata al contrabbando di tabacchi lavorati esteri o al traffico illecito di sostanze stupefacenti o psicotrope, il riciclaggio, l’impiego di denaro, beni o altra utilità di provenienza illecita, il traffico di migranti ed alcuni reati di intralcio alla giustizia se rivestono carattere di transnazionalità;

Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art. 25-septies D.Lgs. 231/2001);

Reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita previsti dagli articoli 648, 648-bis e 648-ter del codice penale (art. 25-octies D.Lgs. 231/01);

Delitti informatici e illecito trattamento dei dati (art. 24-bis D.Lgs. 231/2001);

Delitti di criminalità organizzata (art. 24-ter D.Lgs. 231/01);

Delitti contro l’industria e il commercio (art. 25-bis-1 D.Lgs. 231/01);

Delitti in materia di violazioni del diritto d’autore (art. 25-nonies D.Lgs. 231/01);

Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria (art. 25-decies D.Lgs. 231/01);

Reati ambientali e inquinamento del mare da parte delle navi (art. 25-undecies);

Impiego di lavoratori stranieri irregolari (art. 25-duodecies);

Corruzione tra privati (art. 25-ter).

L’elenco è altresì in fase di ampliamento, sulla base di quanto disciplinato dalla legge 300/2000 ed altri interventi normativi in forza dei quali saranno destinati a essere ricompresi: illeciti commessi con strumenti di pagamento, con computer o con dispositivi appositamente allestiti, comportamenti illeciti per l’entrata e il transito di extracomunitari; reati connessi al traffico illecito di stupefacenti e di precursori; Intercettazioni telefoniche, telematiche e ambientali; tutela penale in materia di appalti.

Le sanzioni

Per quel che attiene l’aspetto sanzionatorio, possiamo suddividere le conseguenze derivanti dalla commissione del reato in quattro tipologie:

  • sanzioni interdittive (quali l’interdizione dall’esercizio dell’attività; sospensione o revoca di autorizzazioni/ licenze/ concessioni; mancata ammissione a gare di fornitura della P.A.; esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di quelli concessi; il divieto di pubblicizzare i propri beni o servizi, etc.)
  • sanzioni pecuniarie (le quali vengono calcolate servendosi di un sistema per quote in forza del quale le stesse sono proporzionate al reato e alla gravità della responsabilità dell’azienda)
  • confisca del profitto del reato
  • pubblicazione della sentenza

In ogni caso, in caso di procedimento giudiziale in corso, può evitare tale genere di sanzioni (salva, in ogni caso, l’applicazione di sanzioni pecuniarie) attuando i comportamenti di cui all’art. 17:

  • risarcendo il danno in misura integrale ed eliminando le conseguenze dannose o pericolose del reato o adoperandosi in tal senso
  • eliminando le carenze organizzative che hanno permesso il reato, adottando ed attuando modelli organizzativi idonei alla prevenzione di reati simili
  • mettendo a disposizione i profitti per la confisca

Conclusioni

Nonostante la reticenza iniziale il modello che portava gli oneri imposti dal d.lgs. 231/2001 a essere visti come l’ennesimo adempimento formale (con la gravosa conseguenza che il modello veniva predisposto in maniera del tutto approssimativa e poco attenta ai dettami del legislatore) oggi l’adozione dello stesso è vista come sinonimo di garanzia della bontà delle scelte imprenditoriali, attente ormai non solo alla stesura ma anche all’aggiornamento continuo dello stesso.

Nonostante la facoltatività del modello, sono innumerevoli i casi in cui i vertici societari propendano per la predisposizione dello stesso, segno che l’obiettivo del legislatore che era non tanto imporre alle imprese la creazione di un metaforico scudo per le sanzioni previste, quanto piuttosto perseguire l’obiettivo di responsabilizzazione sociale delle imprese medesime, nell’intento di propulsione del tessuto imprenditoriale verso una concezione etica dell’attività lavorativa, è stato efficacemente raggiunto.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

@RIPRODUZIONE RISERVATA
B
Nicolò Ballarini
dottore in Giurisprudenza Università degli Studi di Trento, master in “consulenza legale d’impresa” Luiss Business School
Argomenti trattati

Approfondimenti

N
normativa nazionale

Articolo 1 di 5