La responsabilità dell’ente nell’ordinamento giuridico italiano

***

Di Maurizio Arena

 

PARTE I

L’introduzione della responsabilità amministrativa – ma di fatto penale – dell’ente nell’ordinamento giuridico italiano

 

I . a  La legge-delega 29 settembre 2000 n. 300: societas delinquere potest

I . b Il Decreto legislativo 8 giugno 2001 n. 231: la disciplina della responsabilità dell’ente

La natura della responsabilità

Il c.d. legame del soggetto: la commissione di determinati reati da parte dei soggetti apicali o dei soggetti sottoposti al controllo degli apicali

Il c.d. legame del fatto: la commissione di determinati reati “nell’interesse o a vantaggio” dell’ente.

Continua: l’adozione dei c.d. compliance programs quali codificazione di regole di legalità preventiva

 

PARTE II

Diritto penale dell’informatica e responsabilità dell’ente

 

II. a De iure condito: la responsabilità dell’ente per il delitto di frode informatica (art 11 comma 1 lett. a) legge 300 e art 24 D. lg. 231)

 

II. b La (futura) responsabilità dell’ente secondo la Convention on cyber-crime

 

PARTE I

L’introduzione della responsabilità amministrativa – ma di fatto penale – dell’ente nell’ordinamento giuridico italiano

 

I. a  La legge-delega 29 settembre 2000 n. 300: societas delinquere potest

Con la legge 29/9/2000 n. 300 lo Stato italiano ha provveduto a ratificare e a dare esecuzione alla Convenzione sulla tutela degli interessi finanziari delle Comunità europee (Bruxelles, 26/7/1995),  alla Convenzione relativa alla lotta contro la corruzione nella quale sono coinvolti funzionari delle Comunità europee o degli Stati membri dell’Unione europea (Bruxelles, 26/5/1997) e alla Convenzione O.C.S.E. sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali (Parigi, 17/12/1997).

Il Parlamento ha poi inserito nel corpo della stessa legge (art 11) una delega al Governo per la disciplina della “responsabilità amministrativa” delle persone giuridiche (eccetto lo Stato e gli enti pubblici che esercitano pubblici poteri) e delle società, associazioni od enti privi della personalità giuridica che non svolgono funzioni di rilievo costituzionale.

Tali soggetti possono essere condannati “in relazione ai reati commessi a loro vantaggio o nel loro interesse, da chi svolge funzioni di rappresentanza o di amministrazione o di direzione, ovvero da chi esercita, anche di fatto, poteri di gestione e di controllo ovvero ancora da chi è sottoposto alla direzione o alla vigilanza delle persone fisiche menzionate, quando la commissione del reato è stata resa possibile dall’inosservanza degli obblighi connessi a tali funzioni”.

La delega prevede la responsabilità dell’ente in relazione alla commissione:

a) dei reati previsti e puniti dagli articoli 316-bis, 316-ter, 317, 318, 319, 319-bis, 319-ter, 320, 321, 322, 322-bis, 640, secondo comma, numero 1, 640-bis e 640-ter, secondo comma, con esclusione dell'ipotesi in cui il fatto è commesso con abuso della qualità di operatore del sistema, del codice penale;

b) dei reati relativi alla tutela dell'incolumità pubblica previsti dal titolo sesto del libro secondo del codice penale;

c) dei reati di cui agli articoli 589 e 590 del codice penale che siano stati commessi con violazione delle norme per la prevenzione degli infortuni sul lavoro o relative alla tutela dell'igiene e della salute sul lavoro;

d) dei reati in materia di tutela dell'ambiente e del territorio, che siano punibili con pena detentiva non inferiore nel massimo ad un anno anche se alternativa alla pena pecuniaria, previsti dalla legge 31 dicembre 1962, n. 1860, dalla legge 14 luglio 1965, n. 963, dalla legge 31 dicembre 1982, n. 979, dalla legge 28 febbraio 1985, n. 47, e successive modificazioni, dal decreto-legge 27 giugno 1985, n. 312, convertito, con modificazioni, dalla legge 8 agosto 1985, n. 431, dal decreto del Presidente della Repubblica 24 maggio 1988, n. 203, dalla legge 6 dicembre 1991, n. 394, dal decreto legislativo 27 gennaio 1992, n. 95, dal decreto legislativo 27 gennaio 1992, n. 99, dal decreto legislativo 17 marzo 1995, n. 230, dal decreto legislativo 5 febbraio 1997, n. 22, e successive modificazioni, dal decreto legislativo 11 maggio 1999, n. 152, dal decreto legislativo 17 agosto 1999, n. 334, dal decreto legislativo 4 agosto 1999, n. 372, e dal testo unico delle disposizioni legislative in materia di beni culturali e ambientali, approvato con decreto legislativo 29 ottobre 1999, n. 490.

In estrema sintesi la legge-delega configura il seguente scenario.

Le sanzioni amministrative verranno irrogate dal giudice penale competente a conoscere del reato commesso dalle persone fisiche prima indicate, in esito al procedimento penale, nel quale – in ogni stato e grado -  dovrà essere assicurata l’effettiva partecipazione e difesa degli enti coinvolti (art 11 lett q).

Nei casi di particolare gravità, in aggiunta alla sanzione pecuniaria, potranno essere disposte alcune sanzioni accessorie di tipo interdittivo (le quali potranno essere applicate anche in via cautelare).

Verrà inoltre istituita un’anagrafe nazionale degli enti sanzionati, una sorta di “casellario amministrativo” per l’individuazione delle società e delle sanzioni loro applicate.

E’ opportuno sin da ora precisare che il decreto legislativo che ha attuato la legge n. 300, nel silenzio di quest’ultima, ha optato per la commisurazione della sanzione pecuniaria “per quote”, che ricalca in parte il sistema dei “tassi giornalieri” già collaudato in altri paesi europei.

In breve: il giudice stabilisce dapprima il numero delle quote in base ai tradizionali indici di gravità dell’illecito; poi, determina il valore monetario della singola quota, tenendo conto delle condizioni economiche dell’ente.

Con questo importante intervento legislativo si è voluto pertanto punire la criminalità di impresa, sia nei casi – meno frequenti – di imprese intrinsecamente illecite (allorchè il reato deriva da una specifica politica criminosa di impresa), sia nei casi di commissione di reati derivante da un difetto di organizzazione o di controllo.

Si è superato, insomma, alla stregua della maggiorparte degli altri ordinamenti europei, il tradizionale principio secondo cui societas delinquere non potest.

Come è stato autorevolmente affermato (G. Sacerdoti), si tratta senza dubbio di una vera e propria “rivoluzione copernicana” per il nostro ordinamento giuridico.

 

I. b Il Decreto legislativo 8 giugno 2001 n. 231: la disciplina della responsabilità dell’ente

Sulla base dell’elaborato redatto dalla Commissione ministeriale presieduta dal dott. Giorgio Lattanzi, il Governo ha optato per un’esecuzione parziale della delega.

In particolare:

La responsabilità dell’ente è prevista solo reati di cui alla lettera a) dell’art 11 (in sostanza, quelli considerati dalle convenzioni recepite): articoli 316-bis, 316-ter, 317, 318, 319, 319-bis, 319-ter, 320, 321, 322, 322-bis, 640, secondo comma, numero 1, 640-bis e 640-ter, secondo comma, con esclusione dell'ipotesi in cui il fatto è commesso con abuso della qualità di operatore del sistema, del codice penale.

Il novero dei reati che possono impegnare la persona giuridica è stato poi ampliato dal d.l. n. 350 del 2001, conv. con legge n. 409 del 2001, in materia di falsificazioni connesse all’entrata in vigore dell’euro.

Il catalogo verrà ulteriormente ampliato dal decreto legislativo attuattivo della legge-delega n. 366 del 2001 di riforma del diritto penale societario, il cui schema preliminare è stato approvato dal Consiglio dei Ministri l’11 gennaio 2002.

Viene introdotta – per rendere effettivo e compatibile con il principio di colpevolezza il giudizio di imputazione soggettiva – una particolare forma di “colpa aziendale”, dovuta alla mancata adozione di modelli di organizzazione e di comportamento volti ad impedire, attraverso la fissazione di regole di condotta, la commissione di determinati reati (analoghi ai c.d. compliance programs già invalsi nell’esperienza degli Stati Uniti).

È stata eliminata dal novero delle sanzioni interdittive la chiusura dello stabilimento, vera e propria sanzione capitale per l’ente.

Non sono state previste l’azione di regresso e l’azione di responsabilità dei soci, sulle quali la legge-delega era stata invece molto puntuale.

 

-  La natura della responsabilità

Si tratta di responsabilità amministrativa o penale?

E’ questo il primo interrogativo da affrontare, per le numerose conseguenze di ordine sostanziale e processuale che possono derivarne.

Sia la legge-delega che il d.lg. n. 231 parlano di responsabilità “amministrativa”, di illecito “amministrativo” e di sanzioni “amministrative”; si specifica poi che si tratta di illeciti amministrativi “dipendenti da reato”.

La relazione di accompagnamento sembra spingersi più avanti, laddove si esprime in termini di “illecito amministrativo a struttura complessa” che integra un tertium genus rispetto all’illecito amministrativo “tradizionale” e all’illecito penale vero e proprio.

Trattasi di un sistema punitivo “che coniuga i tratti essenziali del sistema penale e di quello amministrativo nel tentativo di contemperare le ragioni dell’efficacia preventiva con quelle, ancor più ineludibili, della massima garanzia”.

Le spiegazioni  dotte della Commissione non eliminano del tutto il dubbio di trovarsi di fronte ad una vera e propria “truffa delle etichette”.

Ad avviso di chi scrive si parla di responsabilità amministrativa per evitare lo scontro frontale con il tradizionale ostacolo addotto in subiecta materia da autorevole dottrina: l’art 27 comma 1 Cost, che sancisce il principio della personalità della responsabilità penale.

Si considerino allora i seguenti argomenti:

La sede dell’accertamento della responsabilità dell’ente è il procedimento penale instaurato a carico della persona fisica.

Fino ad oggi era ipotesi eccezionale: basti pensare all’art 24 della legge 689/1981, in caso di connessione obiettiva dell’illecito amministrativo con un reato.

Di regola spetta all’autorità amministrativa l’accertamento dell’illecito amministrativo, con l’eventuale controllo giurisdizionale successivo in sede di opposizione ad ordinanza-ingiunzione.

E’ fenomeno invece già conosciuto l’irrogazione di sanzioni amministrative da parte del giudice penale.

Si consideri ad esempio la sospensione della patente prevista dal Codice della strada e soprattutto l’ordine di demolizione del manufatto abusivo ex art 7 della legge 47/1985.

Tuttavia ci sono alcune differenze rilevanti tra queste ipotesi e il sistema oggi in esame.

In primo luogo tutte le ipotesi menzionate non contemplano un’iniziativa a monte dell’organo inquirente: trattasi infatti di casi in cui il giudice, in aggiunta alla sanzione penale, irroga una sanzione amministrativa.

In secondo luogo la sanzione riguarda lo stesso soggetto autore dell’illecito penale.

Diversamente nel contesto che stiamo esaminando: la sanzione verrà irrogata nei confronti dell’ente, che è soggetto diverso dall’autore del reato.

La normativa generale sull’accertamento è quella contenuta nel codice di procedura penale e nelle disposizioni di attuazione del c.p.p. (art 11 comma 1 lett q) legge 300 e art 34 d.lg. )

Fino ad oggi c’erano soltanto le scarne e poco garantiste disposizioni della legge 689 del 1981.

La posizione processuale dell’ente viene completamente equiparata a quella dell’imputato  (art 35 dlg).

Sotto questo profilo il d.lg. ha decisamente approfondito e “blindato” la direttiva della legge delega sull’effettiva partecipazione e difesa dell’ente in tutte le fasi del procedimento penale.

Va rilevato che è stata seguita la strada indicata dal Progetto di revisione della parte generale del c.p. redatto dalla Commissione presieduta dal prof. Grosso.

La responsabilità dell’ente è autonoma rispetto a quella della persona fisica (artt 8 e 38 dlg)

Si pensi soprattutto ai casi in cui l’imputato esca di scena con il rito abbreviato o con il patteggiamento o all’estinzione del reato per cause diverse dall’amnistia: in queste ipotesi il processo penale prosegue – in tutti i suoi gradi - soltanto nei confronti dell’ente per l’irrogazione di una sanzione amministrativa.

Ad avviso di chi scrive l’introduzione della normativa in esame rende opportuna una riconsiderazione teorica della struttura stessa del procedimento penale, specie con riguardo alla fase processuale stricto sensu intesa.

Il processo penale, in relazione a certi reati e sussistendo alcuni presupposti soggettivi ed oggettivi, rappresenterà la sede di esercizio della pretesa punitiva dello Stato non soltanto nei confronti di una persona fisica ma anche nei confronti di una persona giuridica.

In altri termini nel processo penale troverà applicazione un diritto punitivo tout court (autorevole dottrina parla di c.d. diritto penale-amministrativo o diritto punitivo quasi penale).

Potremmo allora parlare, in relazione all’instaurazione del processo – e in un’ottica che voglia cogliere l’essenza della questione - di “azione punitiva”, complessivamente intesa (id est: enunciazione di una duplice imputazione-contestazione, vale a dire attribuzione di un reato ad una persona fisica e di un illecito amministrativo dipendente da quel reato ad un ente).

Tanto è vero che il d.lg. 231 prescrive che la contestazione dell’illecito amministrativo sia contenuta negli atti tipici di esercizio dell’azione penale ex art 405 c.p.p. (art 59).

Obbligatorietà dell’azione punitiva

Sull’illecito contestato deve intervenire necessariamente una decisione giudiziale.

E’ vero che autorevole dottrina era già da tempo giunta ad affermare l’obbligatorietà  dell’applicazione delle sanzioni amministrative.

E ciò non tanto ricorrendo all’art 112 Cost., quanto invece all’art 97 comma 1 Cost., nel senso di ritenere esistente un principio generale di doverosità dell’esercizio di pubblici poteri, specie con riferimento agli atti diretti alla garanzia dell’osservanza delle norme giuridiche.

Un appiglio, seppur a contrario, veniva comunemente rinvenuto nell’art 18 comma 2 della legge 689 del 1981, concernente la disciplina dei casi in cui l’Autorità amministrativa non ritenga fondato l’accertamento.

Se infatti quest’ultima Autorità deve o archiviare o applicare la sanzione pecuniaria, allora, si può dire che, appresa una notizia di illecito amministrativo, l’Autorità preposta deve sempre arrivare alla conclusione, in un modo o nell’altro (archiviazione o condanna), del procedimento di accertamento.

Nel sistema in esame si deve arrivare necessariamente ad una pronuncia sull’illecito contestato all’ente (esclusione della responsabilità, non doversi procedere, condanna: artt 66, 67, 69 d.lg.), anche ove si concludesse il procedimento a carico dell’imputato.

Secondo l’impostazione della legge delega e del decreto legislativo, ci troveremmo di fronte ad un’azione di responsabilità amministrativa connessa sostanzialmente all’azione di responsabilità penale e quindi, per esigenze di economia, efficienza e garanzia, a quest’ultima avvinta anche proceduralmente.

La connessione sostanziale dipende dal legame con il soggetto (reato commesso da un c.d. soggetto apicale, che può impegnare la persona giuridica, anche per l’omesso controllo del sottoposto) e dal legame con il reato (reato commesso a vantaggio o nell’interesse della persona giuridica).

 

Il c.d. legame del soggetto: la commissione di determinati reati da parte dei soggetti apicali o dei soggetti sottoposti al controllo degli apicali (art 11 lett. e) legge-delega e art 5 comma 1, lett a) e b) d.lg.)

I soggetti apicali sono le persone che rivestono “funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale”, nonché le persone che “esercitano, anche di fatto, la gestione e il controllo dello stesso”.

E interessante rilevare che se il reato è stato commesso da costoro, a livello processuale si prevede una vera e propria inversione dell’onere della prova.

Infatti l'ente non risponde solo “se prova” che:

a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;

b) il compito di vigilare sul funzionamento e l'osservanza dei modelli, di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;

c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;

d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo indicato sub b).

Va rilevato che se si qualifica – come sembrerebbe doversi fare per le considerazioni sopra esposte - la responsabilità dell’ente come penale in senso stretto, l’inversione dell’onere probatorio si porrebbe in contrasto con la presunzione di non colpevolezza di cui all’art 27 comma 2 Cost.

L’ente è altresì responsabile se il reato è commesso da persone sottoposte alla direzione o alla vigilanza del soggetto apicale.

Tuttavia in questo caso, nessuna inversione dell’onere probatorio: sarà il P.M. a dover provare che la commissione del reato da parte del sottoposto è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza.

Il dlg. 231 precisa però che è esclusa l'inosservanza degli obblighi di direzione o vigilanza se l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

 

Il c.d. legame del fatto: la commissione di determinati reati “nell’interesse o a vantaggio” dell’ente (art 11 lett. e) legge-delega e art 5 comma 1 dlg).

Secondo la relazione il concetto di interesse caratterizza in senso marcatamente soggettivo la condotta delittuosa della persona fisica e si accontenta di una verifica ex

ante, quello di vantaggio – che può essere tratto dall’ente anche quando la persona fisica non abbia agito nel suo interesse -  va sempre valutato ex post.

A livello internazionale – anche nella Convenzione sulla criminalità informatica su cui oltre - si parla di benefit, nozione che si riferisce al vantaggio in senso stretto.

I due concetti sono tenuti distinti dalla disgiuntiva: si parla infatti di interesse “o”  vantaggio.

Si può infatti affermare che un soggetto può commettere il reato nell’interesse della società e tuttavia non arrecarle alcun vantaggio.

Ma è anche vero che il soggetto può commettere il reato non nell’interesse della società, e tuttavia questa può beneficiare di un vantaggio.

Tralasciando per il momento l’adozione dei modelli di organizzazione e gestione su cui oltre, si pongono immediatamente due ipotesi problematiche:

quid iuris se il soggetto commette il reato nell’interesse dell’ente, ma quest’ultimo non riceve alcun vantaggio?

In questa ipotesi sembra eccessivo attribuire una responsabilità all’ente sulla sola base di una particolare connotazione soggettiva della condotta della persona fisica.

In altri termini, una particolare ipotesi di dolo specifico non può essere sufficiente a coinvolgere un altro soggetto nel gioco delle responsabilità.

Questa conclusione, però, cozza con il dettato normativo, che considera sufficiente l’aver agito nell’interesse dell’ente.

Cosa accade nell’ipotesi opposta, vale a dire se il soggetto commette il reato nel suo esclusivo interesse, tuttavia procurando un vantaggio all’ente?

In questo caso la responsabilità dell’ente andrà esclusa per espressa disposizione legislativa (art 5 comma 2 dlg).

Va aggiunto che, verosimilmente nella maggioranza dei casi, l’agire nel proprio esclusivo interesse presuppone la consapevole violazione dei modelli interni di organizzazione, la qual cosa manderebbe comunque l’ente esente da responsabilità (cfr. art 6).

 

Continua: l’adozione dei c.d. compliance programs quale codificazione di regole di legalità preventiva

Per evitare una vera e propria imputazione oggettiva del fatto del soggetto apicale all’ente, la Commissione Lattanzi ha optato per la costruzione di una particolare forma di “colpa aziendale”.

In particolare l’ente, se vuole andare esente da responsabilità, deve adottare ed efficacemente applicare, prima della commissione del reato, i “modelli di organizzazione e gestione idonei a prevenire reati della specie di quello verificatosi” (art 6 d.lg.).

Se questi modelli vengono adottati dopo la commissione del reato (con il limite ultimo della dichiarazione di apertura del dibattimento di primo grado), può beneficiare di una riduzione della sanzione, ovvero della non applicazione delle misure interdittive (artt  12 e 17); se vengono adottati a dibattimento iniziato, l’ente al massimo può ottenere la conversione delle sanzioni interdittive in sanzione pecuniaria (art 78)

I modelli prevedono, in relazione alla natura e all'estensione dei poteri delegati e al rischio di commissione dei reati:

a) l'individuazione delle attività nel cui ambito possono essere commessi reati;

b) specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire;

c) le modalità di individuazione e di gestione delle risorse finanziarie destinate all'attività nel cui ambito possono essere commessi reati;

d) obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli;

e) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Ovviamente, più che la formale adozione, rileva l’effettiva attuazione dei modelli.

Tale ultima indicazione dovrà comportare, a sua volta:

1) una verifica periodica;

2) l’eventuale modifica del ‘modello’ quando sono scoperte significative violazioni delle  prescrizioni ovvero quando intervengono mutamenti  nell’organizzazione  o nell’attività;

3) l’adozione  di  un  sistema  disciplinare  idoneo a sanzionare il mancato rispetto delle misure ‘anti-crimine’ indicate nel modello.

 

PARTE II

Diritto penale dell’informatica e responsabilità della persona giuridica

II a De iure condito: la responsabilità dell’ente per il delitto di frode informatica (art 11 comma 1 lett a) legge n. 300 e art 24 d.lg. n. 231)

E’ già vigente la disposizione che prevede la possibilità che un ente possa essere sanzionato in relazione alla commissione del delitto di frode informatica ex art 640 ter comma 2 c.p..

Trattasi precisamente dell’ipotesi aggravata che viene integrata (tramite il rinvio alla figura generale dell’art 640 comma 2 n. 1 c.p.) se il fatto viene commesso a danno dello Stato o di altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare.

In realtà non sembra facilmente configurabile la frode informatica commessa col pretesto di far esonerare qualcuno dal servizio militare.

Il legislatore voleva evidentemente riferirsi soltanto alle condotte criminose che arrecassero un danno allo Stato o ad altro ente pubblico.

Ne è riprova la mancata menzione di questa parte dell’aggravante nell’art 24 del d.lg., che stabilisce il quantum della sanzione applicabile.

Non rileva invece l’altra previsione aggravante, consistente nella commissione del fatto “con abuso della qualità di operatore del sistema”.

Ed è chiara la ragione di questa esclusione: se c’è abuso da parte dell’operatore del sistema, è in radice esclusa la possibilità che quest’ultimo commetta il reato “nell’interesse o a vantaggio” della società.

Sembra innanzitutto necessario delimitare i rapporti tra gli elementi richiesti per integrare il reato di cui all’640 ter c.p. e gli elementi richiesti per poter configurare la responsabilità della società.

Il soggetto apicale risponde se, con un certa condotta (“…alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, …”), “procura a sé o ad altri un ingiusto profitto con altrui danno”;  risponde anche la società, a titolo amministrativo, se la frode è commessa “a suo vantaggio o nel suo interesse”.

Ebbene, pur se si accertasse che l’amministratore ha, con la condotta descritta, effettivamente procurato un profitto alla società, ciò non sarebbe sufficiente per condannare l’ente.

Come visto nella PARTE I, non possiamo considerare il solo versante oggettivo: dovrebbero essere concretamente accertati il legame di interesse richiesto dalla stessa legge, e poi l’adozione e l’efficace attuazione dei compliance programs da parte dell’ente.

In altri termini: la frode potrebbe aver portato un profitto alla società (comunque oggetto di confisca), ma l’amministratore potrebbe averla commessa nel suo esclusivo interesse, violando fraudolentemente i codici di comportamento interni.

In ossequio al principio di legalità della pena, ribadito nell’art 2, il d.lg. n. 231 prevede, per l’ente responsabile, la sanzione pecuniaria fino a cinquecento quote; se l’ente ha tratto dal reato un profitto di rilevante entità ovvero se il reato ha provocato un danno di particolare gravità la sanzione va da duecento a seicento quote.

Si ricordi che ai sensi dell’art 26 dlg., l’ente risponde anche nell’ipotesi in cui il soggetto qualificato commetta un tentativo di frode, a meno che volontariamente impedisca il compimento dell’azione o la realizzazione dell’evento.

Nell’ipotesi del tentativo, le sanzioni pecuniarie ed interdittive sono ridotte da un terzo alla metà: ovviamente per le seconde la riduzione andrà ad operare sulla durata determinata dal giudice .

Per completezza va rilevato che la legge n. 300 con il nuovo art 640 quater c.p. estende le disposizioni dell’art 322 ter, a sua volta introdotto dalla stessa legge, anche alla frode informatica (sempre aggravata come sopra detto).

Vale a dire che in caso di condanna o di c.d. patteggiamento, è sempre ordinata la confisca dei beni che costituiscono il profitto o il prezzo del reato (salvo che appartengano a persona estranea al reato) anche per equivalente.

Sul punto occorre rilevare che di confisca si parla in diverse disposizioni.

Innanzitutto nell’art 322 ter, evidentemente come misura di sicurezza patrimoniale; poi nell’art 11 comma 1 lett. i) della legge 300 e nell’art 9 del d.lg., laddove si prevede – nel novero delle sanzioni amministrative irrogabili alle società - la confisca del profitto o del prezzo del reato, eventualmente per equivalente.

Quest’ultima disposizione, ribadita dall’art 19 d.lg. (che fa salvi i diritti acquisiti dai terzi in buona fede), è di fatto ultronea rispetto alla frode informatica commessa nell’interesse della società, poiché per tale reato è comunque prevista la confisca obbligatoria ex art 640 quater c.p.

In relazione alla frode informatica commessa nel suo interesse o a suo vantaggio, all’ente possono applicarsi, in aggiunta alla sanzione pecuniaria, alcune tra le sanzioni interdittive previste dall’art 9 d.lg.: il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere prestazioni di un pubblico servizio; l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni o servizi.

Non possono invece disporsi né l’interdizione dall’esercizio dell’attività, né la sospensione o revoca delle autorizzazioni o licenze funzionali alla commissione dell’illecito.

Le sanzioni interdittive possono essere disposte quando l’ente ha tratto dalla frode informatica un rilevante profitto o in caso di reiterazione degli illeciti (allorchè l’ente, già condannato in via definitiva, commette un altro illecito dipendente da reato nei cinque anni successivi) (art 13).

 

II. b  La (futura) responsabilità dell’ente secondo la Convention on cyber-crime del Consiglio d’Europa

La Convenzione sulla criminalità informatica, approvata definitivamente il 23 novembre 2001, prevede quattro diverse categorie di reato informatico:

Offences against confidentiality, integrity and availability of computer data and systems (Tit I, artt 2-6)

In particolare vengono previsti e puniti i seguenti reati: illegal access, illegal interception, data interference, system interference, misuse of devices

Computer related offences (Tit II, artt 7-8)

Rientrano in questa categoria la computer related forgery, e la computer related fraud

Content related offences (Tit III, art 9)

Trattasi di uno dei principali argomenti di discussione in relazione all’uso illecito di Internet.

La rete delle reti infatti viene spesso usata come veicolo, di formidabile diffusione e rapidità, di contenuti illeciti, intesi quali manifestazioni di espressioni penalmente rilevanti.

In particolare: offences related to child pornography

Offences related to infringments of copyright and related rights (Tit IV, art 10)

La Convenzione obbliga gli Stati contraenti ad introdurre la responsabilità delle persone giuridiche in relazione a tutte le menzionate categorie di reato informatico.

L’art 12 (Corporate liability) prescrive l’introduzione della responsabilità (civile, penale o amministrativa) dell’ente (legal person) per i reati sopra elencati “committed for its benefit” dai c.d. soggetti apicali.

Tali soggetti sono coloro che esercitano una leading position nell’ente, basata sul power of representation of the legal person; oppure coloro che hanno l’autorità di take decisions on behalf of the legal person; o infine coloro che esercitano un potere di controllo nell’ambito dell’ente.

Secondo la relazione di accompagnamento, sarà necessario che il soggetto apicale abbia agito proprio sulla base dei poteri sopra menzionati.

I soggetti apicali potranno “impegnare” l’ente anche in relazione all’omesso controllo dei sottoposti (lack of supervision or control), se tale difetto ha consentito la commissione del reato, a vantaggio dell’ente, da una persona fisica sottoposta all’autorità dell’apice.

Secondo la relazione, l’omesso controllo dei sottoposti va interpretato nel senso di ricomprendere ogni failure to take appropriate and reasonable measures to prevent employees or agents from committing criminal activities..

Queste misure “appropriate e ragionevoli”, variano a seconda del type of the business, its size, the standards or the established business best practices ecc..

L’adozione delle misure di controllo should not be interpreted as requiring a general surveillance regime over employee communications.

Molto importante la precisazione che un service provider non incorrerà in responsabilità se un reato viene commesso nel suo sistema da un abbonato o da una terza persona, perché l’espressione "acting under its authority" di cui all’art 12 par. 2 si riferisce esclusivamente agli employees and agents acting within the scope of their authority.

Come negli altri strumenti internazionali, si precisa che la responsabilità dell’ente non pregiudica quella penale della persona fisica autrice del reato.

Nel successivo art 13 comma 2 si ribadisce, con una formula ormai tralatizia, anche per il diritto interno di derivazione internazionale, che le sanzioni (penali o non penali) irrogabili all’ente dovranno essere effettive, proporzionate e dissuasive.

I presupposti generali sono praticamente coincidenti con quelli introdotti dalla legge 300/2000 e dal d.lg. 231/2001, seppur ovviamente meno puntuali, posto che comunque la Convenzione dovrà essere recepita con legge statale.

La normativa nazionale prenderà senz’altro in considerazione, ai fini della definizione dei soggetti apicali, anche i soggetti che gestiscono in via di fatto la persona giuridica.

Inoltre, nel solco della normativa ormai entrata in vigore, la responsabilità dell’ente verrà qualificata come “amministrativa dipendente da reato”.

Infine, oltre agli altri presupposti soggettivi ed oggettivi, verrà sancita la facoltà (l’onere) per l’ente di adottare e di attuare effettivamente i compliance programs per poter beneficiare di una causa di non punibilità o di minore punibilità.

Va da sé che la futura legge di esecuzione della Convenzione sulla criminalità informatica farà rinvio, per il procedimento di accertamento della responsabilità dell’ente, alla normativa di cui al Capo III del menzionato D.lg. 231 (artt 34 – 82), che si appresta pertanto a diventare un vero e proprio “Codice del processo all’ente”.

(Maurizio Arena)