Il decreto legislativo n. 231 del 2001 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”), emanato in attuazione della delega contenuta nell’articolo 11 della legge 29 settembre 2000, n. 300, è stato introdotto in un contesto politico nel quale si avvertiva con forza la necessità di individuare forme di responsabilizzazione ex delicto per gli enti.
La richiamata normativa (d’ora in poi il Decreto) ha istituito, quindi, nel sistema giuridico italiano una nuova ed autonoma forma di responsabilità da reato, a carico di enti società associazioni anche sprovviste di personalità giuridica, ponendo a carico di queste onerose sanzioni nell’ipotesi in cui siano stati commessi, ad opera di soggetti ad essi appartenenti e nel relativo interesse o vantaggio, uno o più reati specificatamente indicati dal suddetto Decreto.
Il Decreto prevede (ex articolo 6, 7), una forma di esonero per l’ente dalla responsabilità amministrativa se quest’ultimo dimostra di avere adottato, ed efficacemente attuato, un modello di organizzazione, gestione e controllo idoneo a prevenire la realizzazione dei reati contemplati dalla norma.
L’adozione del Modello (d’ora in poi MOG), infatti, pur non essendo obbligatoria, rappresenta l’unico sistema per evitare l’applicazione delle severe sanzioni previste dal Decreto.
L’articolo 6 indica agli enti un percorso, seppur in maniera essenziale, da intraprendere nella predisposizione del MOG:
Se il reato è stato commesso da soggetti in posizione apicale o subordinata ex art. 5 com 1 lett a) l’ente non risponde se prova che:
– L’organo dirigente ha adottato e efficaciemente attuato, prima della commissione del fatto, MOG idonei a prevenire reti della specie che si sono verificati.
– Il compito di vigilare sul funzionamento e l’osservanza dei MOG di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo
– Le persone hanno commesso il reato eludendo fraudolentemente i MOG.
– Non vi è stato omessa o insufficiente vigilanza da parte dell’ODV.
Per il perfezionamento dell’articolo 6 del Decreto, dunque nell’ipotesi in cui il reato sia stato commesso da un soggetto in posizione apicale, è inoltre necessario fornire la prova che gli apici abbiano commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione.
Risulta chiaro quindi che per usufruire dell’esenzione da responsabilità, si dovrà fornire non solo la prova dell’aver adottato ed efficacemente attuato un MOG idoneo a prevenire il reato verificatosi, quanto che lo stesso sia stato eluso fraudolentemente dal reo.
In riferimento all’art. 6 del Decreto 2312001, è assai complesso immaginare un MOG legislativamente pre-impostato, in quanto non è ipotizzabile che i molteplici elementi necessari ai fini della prevenzione del reato possano essere contemplati in una norma o in una legge.
In tale contesto imprenditoriale la possibile violazione di norme è talmente diversificata che solo un autovalutazione da parte dello stesso ente può determinare un sistema idoneo di cautele.
Per tali ragioni gli articoli 6 e 7 del Decreto offrono una descrizione contenutistica marcatamente essenziale dei MOG; infatti mediante la segnalazione delle «esigenze», assegnano alle stesse imprese il dovere di scegliere ed adeguare le cautele in relazione alla proprie peculiarità aziendali.
Nondimeno, la scelta del Decreto di predisporre un’adozione facoltativa del MOG è significativa, in quanto da un lato indica la volontà del Legislatore di attribuire spazi discrezionali all’ente nelle scelte organizzative aziendali, dall’altra tale scelta costituisce un’ulteriore giustificazione del fatto che sia la stessa società a determinare il contenuto del MOG.
Ancora, aver conferito al giudice penale la valutazione sull’idoneità della compliance aziendale, ha determinato la legittimazione di quest’ultimo ad un esercizio ampiamente discrezionale dei suoi poteri decisionali in materia.
Si evince quindi, da un lato che i requisiti d’idoneità del modello non essendo prefissati dalla legge finiscono per acquistare connotati estremamente vaghi, e dall’altro che la valutazione circa l’idoneità del MOG è rimessa quasi interamente alla valutazione discrezionale del giudice, posto che il Decreto non fornisce alcun riferimento contenutistico realmente significativo.
Si segnala tuttavia che, la Corte di Cassazione, da ultimo, chiudendo il caso Thyssenkrup esclude che l’art. 6 del Decreto configuri un obbligo indeterminato; questo, in realtà sarebbe adeguatamente indirizzato dalla legge che pone le linee dettagliate che guidano l’ente circa il contenuto del MOG da approntare e le caratteristiche che esso e l’organismo di valutazione devono possedere affinchè il sistema di prevenzione possa dirsi efficacemente adottato.
La questione principale è comprendere in quali casi, posto l’ampio potere discrezionale del giudice, si possa giudicare idoneo un MOG.
Proprio in virtù di temperare quest’ultimo potere dell’organo giudicante è stato pensato il comma 3 dell’articolo 6 del Decreto che contempla l’adozione di MOG sulla base di codici comportamentali redatti da associazioni di categoria rappresentative delle imprese, che abbiano ricevuto un vaglio positivo dal Ministero della Giustizia, di concerto con i Ministri competenti.
Ciononostante, il processo inserito dal 3 comma dell’articolo 6 non ha determinato gli esiti tanto attesi, in quanto fu scelta dello stesso Ministero quella di burocratizzare al massimo le procedure di approvazione degli stessi codici, senza utilizzare il valido strumento delle «osservazioni» che avrebbero invece costituito una vera e propria giurisprudenza sui criteri di compliance, pur non ingerendo il campo giurisdizionale.
La valutazione giudiziale di tale materia è fissata sulle caratteristiche individuali dei singoli MOG, da confrontare con la dimensione esistenziale dell’ente, considerando tra l’altro i parametri fissati dal Legislatore per tale accertamento cioè quelli dell’idoneità in relazione all’adozione della compliance e alla sua efficace attuazione.; in tal senso è possibile individuare due distinti momenti, quelli della costruzione e dell’attuazione del MOG, cui si riferiscono gli articoli 6 e 7 del Decreto.
Il profilo della costruzione, comporta che il MOG dovrà includere la mappatura dell’analisi del rischio, focalizzando le attività più inclini al reato, l’individuazione delle contro-misure e verificare se queste siano operative, prevedendo un sistema disciplinare atto a punire le violazioni di quest’ultime; questo primo profilo è definito da una valutazione di idoneità del giudice in termini di astrattezza, secondo una valutazione ex post.
Il secondo momento valutativo, che si esplica in termini di efficacia, è invece quello relativo all’attuazione del MOG; il giudice dovrà non solo appurare la presenza del documento che integra il MOG, ma anche valutare, in base a elementi concreti dipendenti da prove certe, che l’ente abbia effettivamente reso operanti i protocolli di gestione. Questo secondo profilo invece, è definito da una valutazione di idoneità del giudice in termini di concretezza. Il giudice valuterà l’idoneità o meno del MOG in ragione della sussistenza o meno della colpa organizzativa, qualora quindi l’ente non abbia adottato un’organizzazione adeguata, omettendo o violando le regole cautelari poste alla base della stessa struttura del MOG, secondo quanto previsto ex articolo 6 del Decreto.
Il giudizio relativo l’adeguatezza del MOG si concretizza nella verifica di compatibilità delle scelte organizzative d’impresa con i criteri enucleati dal Decreto.
Quest’ultimo ha quindi carattere prognostico, ed ha come target il rilievo di anomalie organizzative, da cui potrebbe essere derivato la commissione di un reato ex Decreto.
La giurisprudenza circa l’accertamento dell’idoneità del modello è risultata pressochè unanime, nel senso che quasi tutte le vicende giudiziarie relative a tale tema si sono concluse con l’ascrizione di responsabilità per l’ente; così, il G.i.p. del Tribunale di Milano, con ordinanza del 20 settembre 2004[1], ha ritenuto inidoneo i MOG per la sussistenza di gravi carenze sia in tema di mappatura delle aree a rischio reato che di trasparente gestione delle risorse finanziarie, di controllo e di intervento disciplinare a tutela della corretta adozione del MOG stesso, di formazione dei dipendenti, di autorevolezza e di indipendenza dell’organo di vigilanza.
Il G.i.p., infatti, ha disposto la nomina di un commissario giudiziale nei confronti di quattro società di vigilanza ai cui amministratori erano ascritti diversi episodi corruttivi finalizzati all’aggiudicazione di pubblici appalti, nonché il delitto di truffa aggravata per aver falsamente attestato il corretto adempimento dei contratti stipulati con il Comune di Milano.
Il giudice trattando da subito il tema dell’idoneità del MOG, non solo ha fornito suggerimenti nel metodo redazionale del MOG stesso, ma ha anche attribuito una posizione prevalente all’organismo di vigilanza ex art. 6 lett. b) del Decreto, la cui composizione deve garantire la conoscenza da parte dei suoi componenti di specifiche competenze ispettive e consulenziali.
Il giudice nella citata sentenza, da un lato, ha sottolineato l’importanza della presenza di un sistema disciplinare che preveda sanzioni verso amministratori, direttori generali e compliance officers, i quali non abbiano saputo gestire e arginare le possibili lacune o/e violazioni del MOG; dall’altro la previsione di controlli cadenzati e a sorpresa volti a prevenire e a vigilare sulle possibili violazione nelle aree di impresa più a rischio.
Nel caso di specie, il giudice ha concluso affermando che, affinchè un MOG possa dirsi idoneo è necessario che sia modellato di volta in volta sull’impresa destinataria, essendo necessaria tra l’altro un oculata analisi dell’osservanza dei singoli protocolli.
(Ancora, il Tribunale di Bari con la sentenza del 18 aprile 2005, ha riconosciuto la responsabilità dell’ente per truffa ai danni dello Stato ex art. 24 del Decreto[2], in virtù dell’inidoneità del MOG, ossia per la mancata predisposizione di un sistema disciplinare atto a sanzionare le possibili violazioni del MOG.)
Anche il G.i.p. del Tribunale di Napoli con ordinanza del 27 Giugno 2007 ha disposto una sanzione interdittiva cautelare del divieto di contrattare con la pubblica amministrazione per un anno a carico dell’ente per inidoneità del MOG[3].
Secondo il G.i.p. infatti, una volta individuate le aree di rischio, la società deve stabilire per ognuna di esse degli specifici protocolli di prevenzione che regolamentino nel modo più stringente ed efficace possibile le attività pericolose, sottoponendo le regole ad un’efficace e costante azione di controllo e presidiandole con altrettante ed adeguate sanzioni.
L’ente, secondo la stessa corte deve procedere ad un’esatta individuazione dei soggetti cui è rimessa l’adozione delle decisioni, all’individuazione dei parametri cui attenersi nelle scelte da applicare per la documentazione dei contatti, delle proposte, di ogni singola fase del momento deliberativo e attuativo della decisione.
Unica (apparente) eccezione è il caso Impregilo del 2009[4], in cui la sentenza del Gip sembrava chiarire che il MOG fosse efficace ed efficiente in quanto adottato in conformità delle linee guida di Confindustria.
In disaccordo con quanto statuito da G.u.p. e Corte d’appello milanesi, la Cassazione ha ritenuto invece non idoneo il modello dell’Impregilo s.p.a, all’epoca della commissione dei reati contestati, annullando con rinvio la pronuncia della Corte di Appello di Milano del 2012.
In merito all’idoneità, la difesa di Impregilo s.p.a. evidenziava come il MOG fosse stato adottato dalla società tempestivamente e in virtù dei suggerimenti contenuti nelle linee guida emanate da Confindustria.
Ad avviso della Suprema Corte invece, il MOG adottato dall’ente non poteva definirsi adeguato ed efficacemente attuato, nonostante avesse fatto proprie le proposte delle organizzazioni di categoria, ed in particolare di Confindustria e Borsa Italiana: in relazione al rischio reato costituito dall’aggiotaggio, il modello adottato da Impregilo s.p.a. avrebbe infatti mostrato i propri limiti nel momento della diffusione dell’informazione “price sensitive”.
In particolare, a mancare sarebbe stato un adeguato controllo in quella fase da parte dell’organismo di vigilanza, dove i vertici sono apparsi vinculis soluti: ossia privi di ogni vincolo di controllo.
[1] Tribunale di Milano, 20 settembre 2004, in Foro it., 2005, II, 528; Caso relativo a fatti di corruzione aggravata e truffa ai danni di un ente pubblico, a carico dei soggetti apicali delle società coinvolte per favorire le stesse, mediante la formazione la di formazione associazione temporanea di imprese, nell’aggiudicazione degli appalti di servizi di vigilanza.
[2] La vicenda si inseriva nell’ambito di un procedimento penale riguardante un’associazione a delinquere finalizzata alla commissione di reati contro la pubblica amministrazione, volti all’aggiudicazione degli appalti dei servizi di pulizia ed ausiliariato banditi da diversi enti pubblici del settore sanitario pugliese – soprattutto aziende AUSL di varie province ed alcuni Comuni -, procedimento in cui venivano emessi provvedimenti cautelari coercitivi nei confronti di numerosi indagati per tali reati, alcuni dei quali commessi in favore delle due società coinvolte.
[3] Il modello adottato dalla capogruppo e dalle controllate è stato ritenuto inadeguato sotto i seguenti profili:
– Non erano specificati i requisiti di professionalità dei componenti dell’ODV;
– non era prevista, quale causa di ineleggibilità/decadenza, la condanna non definitiva per uno dei reati previsti dal d.lgs. 231;
– non erano specificati i requisiti di indipendenza dell’ODV;
– un componente dell’ODV della holding ricopriva la carica di membro del CDA nelle controllate;
– non erano previste sanzioni per la violazione degli obblighi di informazione nei confronti dell’ODV;
– non erano previste sanzioni a carico dei soggetti apicali in caso di violazione dell’obbligo di vigilanza sui soggetti sottoposti;
– non era prevista l’obbligatorietà della formazione del personale;
– per le aree sensibili non erano state adottate “previsioni specifiche, procedure esattamente determinate e determinabili, regole individuate anche nella loro rigida sequenza e funzionalmente dirette a garantire il conseguimento di precisi risultati”.
[4] Tribunale di Milano, Ufficio del Giudice per le indagini preliminari, dott. Manzi, 17 novembre 2009.
Scrivi un commento
Accedi per poter inserire un commento