I modelli ex d.lgs. 231/2001: la struttura e l’adozione

Dopo aver affrontato alcuni temi generali relativi al D.Lgs 231/2001 , passiamo ora ad analizzare più nello specifico i modelli di organizzazione e gestione.

I modelli di organizzazione e gestione (di seguito anche “MOG”) svolgono una serie di importanti funzioni sia durante il procedimento, sia successivamente quando si tratta di quantificare l’eventuale sanzione.

Infatti, ai sensi dell’art. 6 del D.Lgs. 231/2001 (di seguito anche il “Decreto”), nel caso di reato commesso dai vertici dell’azienda, affinché questa vada esente da responsabilità è necessario che sia stato adottato un modello idoneo a prevenire il rischio della commissione di reati, e che questo possieda una serie di caratteristiche specifiche che vedremo nel corso di questo articolo.

Nel caso invece di reato commesso da soggetti sottoposti all’altrui controllo, per l’art. 7 del Decreto è sufficiente, più genericamente, l’aver adottato efficacemente un modello.

Dal punto di vista sanzionatorio, invece, l’adozione di un MOG a valle della commissione del reato determina, ai sensi dell’art. 12 del Decreto, una riduzione delle sanzioni pecuniarie in misura compresa fra un terzo e la metà, oltre ad altri consistenti benefici che esamineremo prossimamente.

È quindi ovvio che, pur non essendo l’adozione di un MOG obbligatoria, la maggior parte degli enti – ed in particolare quelli aventi una certa complessità organizzativa – intraprendano questa scelta per cercare di andare esenti da sanzioni o comunque mitigare la portata delle stesse. A fronte dei dubbi e delle perplessità che spesso accompagnano le decisioni sull’adozione di un modello di organizzazione e gestione, lo Studio Legale Princivalle Apruzzi Danielli è in grado di assistere e guidare i suoi clienti nell’adozione del MOG.

Forti della nostra esperienza in tale campo, in questo articolo cercheremo di rispondere ad alcune delle domande più frequenti che ci sono state sottoposte dai nostri clienti: cosa deve contenere un modello di gestione ed organizzazione per essere ritenuto idoneo? E quali sono gli step da seguire per adottarlo efficacemente?

I contenuti del modello di organizzazione e gestione

Anzitutto, occorre tenere presente che il testo degli artt. 6 e 7 del Decreto si limita a disegnare lo scheletro del MOG e quali siano gli scopi che esso deve conseguire.

Tuttavia, nel tempo la giurisprudenza ha individuato alcuni principi, stabilendo ad esempio che il MOG debba essere innanzitutto specifico, attuale e dinamico. Il canone della specificità impone di tener conto della tipologia, delle dimensioni, dell’attività dell’ente e della sua storia. L’attualità comporta il costante aggiornamento del MOG alle mutate esigenze. La dinamicità assicura il continuo controllo del sistema prevenzionale, mediante il ricorso a sistematiche procedure di ricerca e identificazione dei rischi e controlli periodici sulle attività aziendali sensibili.

Ma come è fatto e come è strutturato un MOG?

In linea generale e cercando di semplificare il più possibile la risposta a questa domanda, possiamo dire che un MOG si divide in due parti: una generale ed una speciale.

La parte generale è tendenzialmente costituita in primis da un richiamo alla normativa di riferimento, ossia al Decreto stesso, dal modello di governance e dai sistemi organizzativi e di controllo interno adottati dall’ente.

Il secondo elemento che figura nella parte generale del modello è il sistema delle procure e delle deleghe, il quale disegna la ripartizione dei poteri e dei doveri all’interno della società.

Altro contenuto fondamentale della parte generale è dato dal Codice Etico, una sorta di tavola dei valori che permeano la cultura d’impresa e della quale i protocolli contenuti nel modello devono costituire concreta attuazione.

La parte generale del MOG deve anche fare riferimento alle modalità di emersione e rilevamento delle violazioni dello stesso, essenziali affinché il modello sia considerato adeguato ed efficace. Un simile sistema (su cui si tonerà più specificamente in un successivo articolo) è detto anche whistleblowing, e dovrebbe prevedere l’obbligo per tutti i soggetti legati all’ente di denunciare le violazioni di cui sono a conoscenza al proprio superiore o ad un apposito organismo.

Il modello deve successivamente menzionare il sistema disciplinare e sanzionatorio previsto in risposta alle violazioni delle prescrizioni in esso contenute, al fine di assicurarne l’effettività.

Infine, la parte generale deve “chiudere” il quadro disciplinando minuziosamente l’istituzione, la composizione, il funzionamento e gli obiettivi dell’Organismo di Vigilanza. Per il ruolo fondamentale che questo elemento riveste nel sistema 231, verranno ad esso dedicati degli articoli a parte, per ora anticipiamo soltanto che tale Organismo ha il compito di vigilare sul funzionamento e sull’osservanza del modello, e di curarne anche l’aggiornamento.

La parte speciale del MOG è invece dedicata all’individuazione e alla regolamentazione delle specifiche attività esposte al rischio della commissione di reati. Più dettagliatamente, la parte speciale del modello deve innanzi tutto fornire una descrizione della struttura dei reati-presupposto della responsabilità dell’ente.

La seconda “tappa” fondamentale è la mappatura delle attività a rischio-reato, anche detta risk assesment, che nelle organizzazioni complesse come un’azienda si sostanzia in una serie di interventi: individuazione delle aree potenzialmente a rischio-reato; selezione delle attività il cui espletamento è connesso al rischio di commissione dei reati, con indicazione delle direzioni e dei ruoli aziendali coinvolti; valutazione del grado di efficacia dei sistemi operativi e di controllo già in essere.

L’ultimo elemento essenziale della parte speciale del MOG è un richiamo, nei loro contenuti essenziali, ai protocolli di gestione del rischio-reato che si è mappato. I protocolli devono essere altamente tassativi, e contenere regole iper-descrittive, che traducano in pratica i principi definiti dal Codice etico. Oltre alla tassatività, i protocolli devono anche essere efficacemente attuati, e non limitarsi ad essere “messi su carta”.

Ulteriori fattori di grande importanza sono le attività d’informazione e di formazione sui contenuti del Modello e dei protocolli di gestione del rischio reato. Infatti, all’interno degli enti, specialmente di grandi dimensioni, è opportuno che vengano attuate iniziative di formazione qualificate e continue sul piano di prevenzione aziendale.

L’adozione del MOG

Sempre per semplificare, si possono quindi distinguere cinque fasi procedimentali che portano alla redazione e all’adozione del modello di organizzazione e gestione.

La fase iniziale consiste in un’analisi conoscitiva della società, che deve riguardare: il tipo di attività da essa svolta; la dimensione della società; la struttura organizzativa; i presidi già in essere all’interno della stessa; i rapporti della società con la Pubblica Amministrazione; l’ambiente di lavoro, per verificare se la società si conformi o meno, e quanto, alle norme anti-infortunistiche e di sicurezza sul lavoro.

Il passo successivo è l’identificazione delle attività sensibili, ossia attività nell’ambito delle quali potenzialmente potrebbero essere commessi i reati presupposto. Questa è una fase estremamente complessa e delicata, in quanto ogni caratteristica specifica dell’organizzazione genera rischi differenti all’interno dei singoli enti. Ciononostante, è possibile trarre alcuni principi generali dalle linee guida delle associazioni di categoria, fra le quali le più rilevanti in relazione al d.lgs. 231/2001 sono quelle pubblicate da Confindustria, che, pur non essendo la regola esaustiva, forniscono comunque utili informazioni circa questa fase della mappatura del rischio.

Il passaggio successivo è la classificazione del rischio in ordine decrescente: in primis i rischi critici, determinati da un danno elevato e da una significativa probabilità di accadimento, i quali non sono prevedibili o controllabili, seguono poi i rischi rilevanti, che presentano una entità del danno e una probabilità di accadimento minori rispetto ai rischi critici, ma che necessitano comunque di essere controllati, infine vi sono i rischi trascurabili, che per la modestia del danno o la scarsa probabilità di accadimento possono essere ignorati.

A questo punto si può procedere all’analisi ed individuazione del sistema di controllo e dei protocolli già esistenti nelle aree a rischio, per valutare la loro capacità di rispondere ai criteri delineati dal d.lgs. 231/2001. Solo dopo aver svolto accuratamente questa analisi, si giunge alla vera e propria predisposizione del modello di organizzazione, gestione e controllo, che dovrà successivamente ricevere l’approvazione da parte dell’organo dirigente.

È evidente che il percorso verso l’adozione ed implementazione di un MOG che risulti adeguato e specifico per il singolo ente, non è esattamente “semplice”.

Nel prossimo articolo andremo quindi ad affrontare la domanda che forse più di tutte preme a chi si appresta ad allinearsi ai dettami del d.lgs. 231/2001: che vantaggi trae l’ente dall’adozione ed efficace implementazione di un MOG?

L’autonomia della responsabilità dell’ente

La natura della responsabilità ex 231/01

Come abbiamo anticipato nell’articolo precedente, la responsabilità dell’ente dipendente da reato è definita dal D.Lgs 231/01 come “amministrativa”, ma in realtà è tale solo formalmente, poiché presenta anche molte caratteristiche di una vera e propria responsabilità penale.

I motivi di questa scelta del legislatore vanno ricercati nel testo della Costituzione; infatti, l’articolo 27 stabilisce che “la responsabilità penale è personale”, e che “le pene (…) devono tendere alla rieducazione del condannato”. Questa previsione negherebbe la possibilità di una estensione del diritto penale alle persone giuridiche, da qui la necessità di qualificare la responsabilità degli enti come amministrativa.

Negli anni si è molto dibattuto sulla natura giuridica della responsabilità ex 231/01, finché la Cassazione non ha raggiunto, tramite varie sentenze susseguitesi negli anni, un orientamento abbastanza consolidato. La Suprema Corte è infatti dell’opinione che la responsabilità degli enti derivante da reato costituisca una forma “ibrida” di responsabilità, che nasce dalla combinazione della responsabilità amministrativa con i principi ed i concetti propri dell’ambito penale. Le Sezioni Unite hanno parlato di “evidenti ragioni di contiguità con l’ordinamento penale (…) quale che sia l’etichetta che si voglia imporre su tale assetto normativo.” (Cass., sez. un., 18 settembre 2014, n.38343).

Chiarita quindi la natura della responsabilità dell’ente, riteniamo opportuno segnalare un’altra peculiarità di tale responsabilità: la responsabilità “amministrativa” delle persone giuridiche è aggiuntiva ed autonoma rispetto a quella in capo all’autore materiale dell’illecito penale. Infatti, quando all’interno di un ente viene compiuto uno dei reati-presupposto elencati nel d.lgs. 231/2001, vengono iscritte presso la Procura della Repubblica competente territorialmente due separate notizie di reato in due appositi registri: una ascrivibile alla persona fisica autrice dell’illecito, ed un’altra in capo all’ente.

Inoltre, la responsabilità ex 231/01 può, in alcuni casi, permanere anche se il processo penale nei confronti della persona fisica che ha commesso il reato non può avere corso.

Ciò può accadere nei casi indicati nell’art. 8, comma 1, d.lgs. 231/2001, ossia quando:

  1. l’autore del reato non è stato identificato o non è imputabile;
  2. il reato si estingue per una causa diversa dall’amnistia.

Entrambe queste fattispecie fanno sorgere nella pratica alcune problematiche che andremo ora ad analizzare, mettendo in luce quali sono state le risposte fornite dalla giurisprudenza.

 

Le vicende estintive e il problema posto dalla prescrizione

Come accennato sopra, l’art. 8, comma 1, lett. b) stabilisce che la responsabilità dell’ente sussiste anche nel caso in cui il reato subisca una vicenda estintiva, con l’unica eccezione rappresentata dall’amnistia (il legislatore ha ritenuto che le valutazioni politiche sottostanti ad un provvedimento di questo tipo valgano anche nei confronti degli enti).

L’autonomia della responsabilità dell’ente rispetto alle vicende estintive del reato presupposto crea dubbi con riguardo alla prescrizione. Infatti, ai sensi dell’art. 60 d.lgs. 231/2001, non si può procedere alla contestazione di cui all’art. 59 (vale a dire la contestazione nei confronti dell’ente, effettuata da parte del Pubblico Ministero, dell’illecito amministrativo dipendente da reato) quando il reato da cui dipende l’illecito amministrativo dell’ente è estinto per prescrizione. Si deduce quindi che, viceversa, il potere di contestazione nei confronti dell’ente permane quando la prescrizione matura invece a contestazione avvenuta.

Parrebbe fin qui un ragionamento piuttosto lineare, sennonché i dubbi in questo ambito sorgono dal fatto che la disciplina della prescrizione dell’illecito dell’ente è diversa da quella penalistica: ai sensi dell’art. 22, infatti, il termine di prescrizione è di cinque anni dalla consumazione del reato, e per effetto dell’interruzione inizia a decorrere un nuovo periodo di prescrizione la cui durata massima non è però prevista. In questo la disciplina della prescrizione dell’illecito dell’ente si discosta da quanto stabilisce l’art. 160, comma 3, del Codice penale, ai sensi del quale invece sono previsti dei termini massimi per l’aumento del periodo di prescrizione dovuto all’interruzione della stessa.

Vi sarebbe quindi il rischio che il processo penale nei confronti dell’ente prosegua, e di conseguenza che la responsabilità dell’ente possa eventualmente venire affermata, anche senza la verifica della colpevolezza della persona fisica autrice materiale del reato.

Sul punto è intervenuta la Cassazione che ha stabilito che in tema di responsabilità degli enti, nel caso di declaratoria di prescrizione del reato presupposto, il giudice deve sì “procedere all’accertamento autonomo della responsabilità amministrativa della persona giuridica nel cui interesse e nel cui vantaggio l’illecito fu commesso”, ma senza che questo accertamento possa “prescindere da una verifica, quantomeno incidentale, della sussistenza del fatto di reato” (Cass. pen., Sez. VI, 25 gennaio 2013, n. 21192).

In altre parole, il giudizio sulla responsabilità dell’ente deve comunque mirare alla pienezza dell’accertamento della sussistenza del reato, nelle sue componenti oggettiva e soggettiva.

Si tratta di un ragionamento solo in apparenza esclusivamente teorico, poiché in realtà ha dei risvolti pratici per l’ente. Nella sostanza, infatti, confermando che si deve trattare comunque di un giudizio che mira ad un accertamento pieno, il chiarimento della Cassazione implica che l’ente possa avere la possibilità, in giudizio, di chiedere l’ammissione e produrre prove utili per escludere o far dubitare della sussistenza del fatto di reato, essendo quest’ultimo una componente fondamentale della fattispecie da cui discende la responsabilità dell’ente.

 

La mancata identificazione dell’autore del reato

Per quanto riguarda l’art. 8, lett. a), mentre l’ipotesi di autore non imputabile, cioè incapace di intendere e di volere, resta sicuramente un caso tendenzialmente teorico, la mancata identificazione della persona fisica che ha commesso il reato è un fenomeno quasi tipico nell’ambito della responsabilità d’impresa. In effetti, si può dire che sia un’evenienza insita nella difficoltà di attribuire responsabilità personali soprattutto nell’ambito di organizzazioni articolate o comunque piuttosto complesse.

Ad esempio, basta pensare ai cosiddetti casi di imputazione soggettivamente alternativa, cioè quelle ipotesi in cui il reato è senz’altro riconducibile ai vertici dell’ente, ossia due o più amministratori, ma manchi la prova della loro responsabilità individuale.

Secondo la lettera dell’art. 8, comma 1, lett. a) del d.lgs. 231/2001, la conseguenza per l’ente è che, anche nei casi in cui per la complessità dell’assetto organizzativo interno non sia possibile riferire la responsabilità penale ad un determinato soggetto, ma risulti comunque accertata la commissione di un reato, l’ente ne dovrà rispondere sul piano della responsabilità amministrativa. Questo, naturalmente, a condizione che comunque sia imputabile all’impresa una colpa organizzativa, una negligenza consistente nell’aver adottato un modello organizzativo carente, o addirittura nel non averlo adottato affatto (tema su cui torneremo approfonditamente nel prossimo articolo).

Questa è la conclusione a cui è giunta la Cassazione in svariate sentenze. Nella sentenza n. 20060 del 4 aprile 2013, ad esempio, la Sezione V della Cassazione penale ha affermato che l’autonomia della responsabilità dell’ente non si riferisce tanto ad una indipendenza dell’illecito amministrativo a suo carico rispetto al reato presupposto: lo dice il termine stesso, l’illecito amministrativo presuppone, e quindi dipende, da quello penale. Piuttosto, la disposizione di cui all’art. 8 segnala l’autonomia delle due condanne sotto il profilo processuale. Nella prassi, quindi, perché vi sia responsabilità dell’ente è necessario che venga compiuto un reato da parte di un soggetto riconducibile all’ente stesso, ma non anche “che tale reato venga accertato con individuazione e condanna del responsabile.”

Tuttavia, come vedremo prossimamente, l’imputazione dell’illecito all’ente si fonda su parametri differenti a seconda che autore materiale del reato presupposto sia un soggetto apicale oppure sottoposto. Per questo motivo, sempre la Cassazione ha delimitato l’autonomia della responsabilità dell’ente ex 231. Infatti, pur ribadendo il principio dell’autonomia della responsabilità dell’ente e della tendenziale irrilevanza della mancata individuazione dell’autore del reato, la Suprema Corte ha affermato che è quantomeno necessario stabilire se l’autore sia un soggetto apicale oppure subordinato (Cass. pen., Sez. VI, sentenza n. 28299 del 7 luglio 2016).