Articolo di approfondimento critico sui contenuti dello Schema di nuove Linee Guida ANAC la cui pubblica consultazione é terminata a fine aprile u.s..
ASA – Azienda Servizi Ambientali S.p.a. é il Gestore Unico del Servizio idrico integrato per l’Autorità idrica toscana.
Dotata del Modello di organizzazione, gestione e controllo ai sensi e per gli effetti del d.lgs. n. 231/2001, ha ora provveduto alla nomina del nuovo Organismo di Vigilanza, che si é insediato.
L’Autorità Nazionale Anticorruzione (“ANAC”), nell’espletamento delle proprie funzioni attribuitegli dalla legge n. 190/2012 (art. 1) – come ridisegnate dalla successiva legge n. 114/2014 – ha fino ad oggi adottato molteplici ed importanti provvedimenti, tra cui i Piani Nazionali Anticorruzione (“PNA), nonché le Linee Guida, volti a fornire istruzioni e supporti ermeneutici agli enti collettivi destinatari delle prescrizioni del c.d. “Pacchetto Anticorruzione nella P.A.”. Tale intendendosi la cit. l. n. 190/2012 sulla Fraud prevention, il d.lgs. n. 33/2013 sulla Trasparenza amministrativa ed altri provvedimento legislativi di settore.
Rispetto al chiaro dettato della l. n. 190 del 6 novembre 2012 c.s.m., l’Autorità ha operato un’operazione ermeneutica di forte dilatazione dell’ambito soggettivo di applicazione, includendovi oltre alle tipiche Amministrazioni pubbliche, anche organismi privatistici ad esse assimilati (ad es. le società a partecipazione pubblica).
Con il medesimo approccio interpretativo, correlandosi alle successive novellazioni legislative in materia, l’ANAC ha confermato tale inclusione, così “forzando” il dettato dell’art. 1, comma 34 della l. 190 che espressamente disponeva l’applicazione delle sole prescrizioni di cui ai commi 15-33 (peraltro, in materia di trasparenza) anche agli organismi di diritto privato in controllo pubblico.
In ogni caso, tale lettura estensiva, oltre a risultare “ultra legem” ed, anzi, “modificativa” rispetto ad una norma di legge ordinaria – in violazione al principio di gerarchia delle fonti di cui agli artt. 1 e 4 preleggi al Codice civile – ha innescato problematiche applicative di non poco conto, producendo disallineamenti, deficit di coerenza sistematica e rischi di disfunzionalità.
Ciò che era stato originariamente delineato dal Legislatore in modo “tailored” per le Amministrazioni propriamente pubblicistiche elencate sub d.lgs. n. 165/2001, difficilmente poteva essere recepito secondo le indicazioni dei PNA promulgati da parte di enti collettivi pur equiparati alle amministrazioni pubbliche, ma aventi configurazione giuridica propriamente privatistica.
L’Autore di questa sintetica nota, avendo al tempo prontamente sollevato e approfondito tale problematica, pone ora in risalto la novella legislativa recentemente intervenuta col d.lgs. n. 97 del 25 maggio 2016, in attuazione delle legge delega n. 124/2015 sulla Riorganizzazione del comparto delle Amministrazioni pubbliche.
L’art. 41 di esso ribadisce espressamente la natura prettamente amministrativa e regolamentare del PNA dell’ANAC (qualificandolo “atto di indirizzo per le P.A…. (omissis) ai fini dell’adozione dei propri PTPC…. e per gli altri soggetti di cui all’art. 2 bis, comma 2, d.lgs. n. 33/2013, ai fini dell’adozione di misure di prevenzione della corruzione, integrative di quelle adottate ai sensi del d.lgs. n. 231/2001....”), privi quindi di valenza obbligatoria, men che meno, derogatoria rispetto a disposizioni di norme di legge sovra ordinate.
Con ciò, viene ristabilito il rapporto di subordinazione dei P.N.A. alla legge e viene ribadita la natura di essi quali vademecum volti ad orientare e supportare gli organismi nell’azione di autorganizzazione ed adozione dei presidi Anticorruzione, secondo il principio di proporzionalità e libertà di autorganizzazione.
Per l’effetto, le problematiche e le anomalie sollevate dalle disposizioni dei PNA finora promulgati dall’ANAC risultano stemperate e superate, così affrancando gli enti privatistici assimilati alle P.A. dall’obbligatoria conformazione a soluzioni ed opzioni – a titolo indicativo, in tema di integrazione dei Modelli 231 in chiave Anticorruzione, ovvero di profilazione degli Organismi di Vigilanza per l’espletamento delle funzioni attribuite al Responsabile della Prevenzione della Corruzione – invero opinabili se non, probabilmente, inefficaci.
* * *
(Per ulteriori approfondimenti si rinvia all’articolo dell’Autore dal titolo:
“LA (PROVVIDA) QUALIFICAZIONE LEGISLATIVA DELLA NATURA GIURIDICA DEL PIANO NAZIONALE ANTICORRUZIONE DELL’A.N.A.C.” in corso di pubblicazione dalla Rivista “La responsabilità amministrativa delle società e degli enti”, Ed. Plenum, n. 4/2016.
(Pubblicato in www.riv.231.it n. 2/2016)
ABSTRACT
Ha assunto ormai le dimensioni di una vera pandemia la proliferazione del virus denominato “Cryptoloker”, un malware che attacca ed invalida l’operatività di web di utenti privati e pubblici.
I cybercriminali, sempre più agguerriti e con strumenti sofisticati, penetrano nel sistema informatico mediante un messaggio di posta elettronica, o un allegato e ne criptano il contenuto, bloccandone l’utilizzo.
Il pagamento di un riscatto entro un termine perentorio è l’unica possibilità per evitare la definitiva distruzione dell’intero database.
Il fenomeno ormai noto, non è ancora indagato nelle implicazioni giuridiche, anche afferenti il d.lgs. n. 231/2001, che condizionano l’opzione operativa rimessa all’utente estorto.
Il dilemma è: se pagare il riscatto – mediante la richiesta moneta bitcoin, non tracciabile – o rigettare l’illecito dictat, nell’osservanza dei principi di legalità e, magari, dei principi etici e valoriali proclamati dal proprio Codice etico e/o Modello 231 adottato – va ricordato, portante prescrizioni obbligatorie per gli esponenti aziendali, pena l’irrogazione di una sanzione disciplinare interna -.
Dilemma la cui scelta oscilla tra un approccio corretto, ma economicamente invalidante ed altro pragmatico, ma non conforme ai principi di compliance e, diremmo, prima ancora morali. Il pagamento del riscatto apre al recupero dell’operatività del sistema informatico “sequestrato” – restando, comunque, una certa alea riguardo all’affidabilità del Cybercriminale – , evitando all’utente una serie di pregiudizi economici rilevanti: la distruzione del sistema informatico attaccato, il costo della rielaborazione ex novo dello stesso, la perdita di operatività durante il “sequestro”, la compromissione degli interessi degli Stakeholders, ecc.
La situazione si complica nel caso in cui l’ente collettivo destinatario dell’attacco informatico attraverso il virus risulti un’impresa medio/grande, operante in un ambito sensibile o titolare di un prezioso database, ovvero un’istituzione o un ente della P.A. (un ministero, un’azienda pubblica, un ospedale).
Complicazione non solo derivante dalla più grave compromissione economica di interessi diffusi o di rilevanza pubblica (si immagini, rispetto ad un Ospedale il blocco dell’operatività dei sistemi informatici serventi la funzionalità delle sale operatorie), ma anche dai vincoli giuridici connessi all’esercizio di detta scelta.
A tale riguardo, infatti, l’esistenza ed operatività di un congruo Compliance Program potrebbe impedire l’accettazione del ricatto mediante il pagamento del riscatto ai criminali informatici. Ad es. perché una tale condotta resta esclusa dai principi etico-comportamentali; o perché il Modello 231, declinando i vincoli special-preventivi a tutela della non commissibilità ad es. di un Reato societario ex combinato degli artt. 25 ter, Decreto e 2621 ss cod. civ., impedisce l’utilizzo per il pagamento del riscatto sia della disponibilità finanziaria aziendale che, men che meno, di provvista disponibile su “fondi neri” o su c/c non ufficiali (es. aperti presso istituti localizzati in Paesi rientranti nella “black-list“).
Nei casi in cui il riscatto risulti di ingente valore, in quanto parametrato dal Cybercriminale proprio sul valore intrinseco (sensibile o economico) dei dati contenuti nel Sistema informatico “sequestrato”, la stessa corresponsione di un ingente importo a favore della criminalità (magari anche estera, certo non facilmente rintracciabile, sia per le schermature informatiche attivate che a cagione del pagamento effettuato mediante “moneta virtuale”), giacché effettuata “nell’interesse/vantaggio” della società destinataria del virus, potrebbe anche realizzare la commissione di una fattispecie di reato di “finanziamento della criminalità” di cui al Catalogo 231. con la “paradossale” conseguenza dell’imputabilità della medesima società per responsabilità per illecito da reato ex d.lgs. n. 231.
Orbene: quali risultano gli strumenti di tutela apprensibili dagli enti collettivi ?
Riteniamo non solo i sofisticati sistemi antivirus e di back-up giornaliero. Anche perché i Cybercriminali lavorano senza posa – e ahinoi con successo – per superare tutte le barriere che i tecnici informatici internazionali (talora supportati anche da hakers consulenti) riescono a frapporre loro.
Ancora una volta il solo approccio utile riposa nella fattiva ed efficace azione special-preventiva del MOG. Che passa per la pubblicizzazione della scelta consapevole operata dalla società di non voler mai accettare siffatti ricatti, scegliendo sempre la soluzione della denuncia e collaborazione con le Forze dell’Ordine. Scelta da dichiarare e pubblicizzare ex ante sul proprio sito aziendale e coram populo.
Poi, un’attenta implementazione di misure di sicurezza informatica per il presidio giornaliero del proprio sistema informatico e telematico. Inoltre, lo sviluppo di peculiari ed effettive procedure di Cyber Risk Assessment e Managment, a cominciare dalla mappatura e ponderazione dell’intensità di siffatti rischi rispetto all’ente empirico.
Ancora, l’adozione di misure comportamentali e sistemi di controllo – ancor più laddove la mappatura dei rischi-reato abbia dato esito positivo in tal senso – che inibiscano ogni forma d’indebito utilizzo di disponibilità finanziarie aziendali (sia lecite, che illecite), da parte di qualsiasi esponente aziendale (apicale o sottoposto), nell’ottica di procedere al pagamento del riscatto indebitamente richiesto.
Da ultimo, una fattiva e proattiva collaborazione con la Polizia Postale e delle Comunicazioni, la sola ad essere dotata di strumenti oltreché sofisticati, idonei alla difficile individuazione del Cybercriminale, nonché al recupero della somma eventualmente corrisposta mediante un’operazione “assistita”, ovverosia di pagamento di moneta “informaticamente segnata”, la cui movimentazione possa essere tracciata; il tutto effettuato secondo le istruzioni e con la gestione della medesima Polizia.
Il fenomeno in esame, in continua evoluzione, impone strumenti efficaci e di pronta adozione.
Per ora, con il presente approfondimento, abbiamo inteso rilevare il problema e sensibilizzare l’interesse degli operatori economici.
Uno dei temi di attuale interesse per gli addetti ai lavori risulta l’adeguamento alla normativa nota come “Pacchetto Anticorruzione” da parte degli Enti previdenziali privati, ossia le Casse nazionali di previdenza categoriali.
Trattasi di enti aventi configurazione giuridica associativa o di fondazione, operanti secondo il diritto privato, di nuova costituzione, ovvero trasformati da pubblici a privati ai sensi del d.lgs. n. 509/1994.
Nonostante la loro natura privatistica, coesistono alcuni caratteri propriamente pubblicistici, come ad es. la soggezione al controllo della Corte dei Conti, la nomina pubblica di componenti degli Organi amministrativi e di controllo, l’esercizio della vigilanza da parte dei Ministeri del Lavoro e di quello dell’Economia, l’applicazione della normativa sugli Appalti pubblici, ecc. Oltre allo svolgimento di un servizio pubblico garantito dall’art. 38 della Costituzione.
Ciò in quanto, la contribuzione obbligatoria di stampo solidaristico, posta a carico degli iscritti, realizza una forma indiretta di erogazione pubblica (orientamento giurisprudenziale del Consiglio di Stato). Circostanza che sostanzia la ricorrenza di uno dei requisiti che qualificano l’ente come organismo di diritto pubblico, ex art. 1, par. 9, dir 2004/18/CE. Tant’é che l’ISTAT ha incluso gli Enti previdenziali tra le amministrazioni pubbliche inserite nel conto economico consolidato ai fini dell’applicazione delle norme di finanza pubblica..
Tuttavia tale interpretazione non risulta unanimemente condivisa. Infatti, taluni eccepiscono che le Casse non sono destinatarie di alcun finanziamento o contribuzione pubblica e che i contributi versati dagli iscritti, costituendo delle forme di accantonamento obbligatorio di parte del reddito professionale, rivestano natura retributiva e privatistica (orientamento di alcuni TAR).
La coesistenza, talora inconciliabile, di tratti privatistici e pubblicistici rende, in ogni caso, complicata l’elaborazione del Modello di organizzazione, gestione e controllo con finalità penal-preventiva ai sensi e per gli effetti del d.lgs. n. 231/2001. Infetti, non risulta impresa agevole la conciliazione, specie in un’ottica funzionale del Modello, di alcuni aspetti disomogenei: a titolo indicativo, si pensi alla Mappatura del rischio-reati, relativamente all’art. 25 ter, Reati societari, le cui fattispecie previste dagli artt. 2621 e ss c.c. presuppongono la natura di società di capitali dell’ente.
Ancora, ai fini della mappatura dei reati nei confronti della P.A. , risulta determinante la riconoscibilità o meno delle qualifiche di “pubblico ufficiale2 o di “incaricato di pubblico servizio” in capo agli esponenti aziendali della cassa, onde rilevare la potenzialità commissiva della concussione o di fattispecie corruttive.
O ancora, si pensi alla difficoltà di elaborazione del Codice etico e dei Protocolli comportamentali in cui realizzare il coordinamento, contenutistico e funzionale, con i molteplici e distinti atti e documenti di normazione interna ed esterna, come regolamenti e procedure definite dalle Authorities pubbliche, vincoli pubblicistici in tema contabile, bilancistico, di reporting e rendicontazione, norme di natura speciale in deroga alle prescrizioni del diritto comune, ecc.
A ciò si aggiunga che l’Autorità Anticorruzione (A.N.A.C.) nelle recenti Linee Guida (Determinazione n. 8 del 17 giugno 2015), ha ritenuto tali enti riconducibili alla categoria degli “Organismi privatistici solo partecipati da soggetti pubblici”. Per l’effetto, assoggettandoli ad alcune prescrizioni della legge n. 190/2012, nonché al disposto dell’art. 1, commi da 15 a 32 della stessa in materia di Trasparenza amministrativa.
Obblighi di natura organizzativa, operativa, informativa e di controllo limitati rispetto a quelli diversamente imposti agli Organismi di diritto privato soggetti al controllo ex art. 2359 c.c. da parte di soggetti propriamente pubblici, come individuati dall’art. 1, d.lgs. n. 165/2001.
Ciò nondimeno, le Linee Guida ANAC attribuiscono alle Amministrazioni pubbliche esercenti la vigilanza e la partecipazione negli Enti di previdenza professionale il compito di sollecitarli all’adozione dei Modelli 231, da coordinare con l’adozione di semplificati presidi e strumenti di prevenzione dei fenomeni di maladministration. Trattasi di interventi di Risk Assessment e di Risk Management volti non solo a prevenire la verificazione dei reati corruttivi ex d.lgs. n. 231, ma anche di eventi e fenomeni non aventi rilevanza penale, ma sintomatici di una cattiva amministrazione.
Conseguentemente, le Casse previdenziali private si trovano a “dover” adottare il Modello penal-preventivo ex d.lgs. n. 231 – del quale alcune di esse risultano ancora sprovviste -, peraltro dovendolo integrare (ovvero coordinare mediante l’elaborazione di documento a latere) con semplificati Protocolli anti-corruzione (sebbene non sostanzianti il Piano Triennale di Prevenzione della Corruzione) ex legge n. 190/2012.
Operazione resa difficile dalla non corrispondenza, nè simmetria tra ratio, finalità e contenuti rispettivamente del d.lgs. n. 231/2001 e della legge n. 190/2012.
A ciò si aggiunga che nonostante la limitata applicazione della normativa Anticorruzione alle Casse private – come dichiarato dalle Linee Guida ANAC – l’associazione di categoria ADEPP ha assunto determinazioni di altro tenore.
Ha emanato un proprio Codice di comportamento in chiave Anticorruzione e Trasparenza, nonché Linee Guida per i propri Associati – sebbene non fossero obbligati in tal senso dalla legge 190 cit. – che adottano volontariamente misure organizzative, informative e di controllo proprio in direzione della prevenzione della corruzione e per la trasparenza amministrativa.
Ne risulta un duplice input operato, indirettamente, dall’ANAC e, direttamente, dall’ADEPP nel senso della doverosità (ovvero dell’opportunità) dell’adozione dei presidi Anticorruzione (anche) da parte degli Enti di previdenza professionale, da coordinare con gli “obbligatori” Modelli 231.
Input rispetto al quale, per i motivi qui sintetizzati, va attualmente registrata una sorta di ritrosia e di non accondiscendenza da parte degli enti associati.
Dal 1 gennaio 2015 è entrata in vigore la nuova fattispecie di Autoriciclaggio di cui all’art. 648 ter 1 c.p., introdotta dall’art. 3 della legge 15 dicembre 2014 n. 186.
Superando le storiche resistenze incentrate nel principio del “ne bis in idem” sostanziale, la nuova figura prevede e sanziona le attività di reimpiego (tipiche e tassative) dei proventi illeciti nel mercato economico legale, da parte del medesimo autore di un delitto non colposo, in modo da ostacolare concretamente l’identificazione.
Trattasi di un reato proprio (che può essere commesso solamente dall’autore o dal concorrente nella realizzazione del reato-fonte), plurioffensivo (in quanto lede le regole della concorrenza, del mercato e pregiudica l’amministrazione della Giustizia) e caratterizzato dal dolo generico (consapevolezza e volontà delle condotte tipiche).
L’impianto sanzionatorio è definito in funzione della gravità del reato-fonte. La sanzione base prevede la reclusione da 2 a 8 anni e la multa da E 5.000 a E 25.000.
Ex art. 3, 5° comma, l. 186 cit. l’autoriciclaggio è stato inserito nel catalogo dei reati-presupposto ex d.lgs. n. 231/2001, sub art. 25 octies: pertanto, anche tale nuova fattispecie può sostanziare il reato che, se compiuto dal soggetto organico, nell’interesse/vantaggio dell’ente collettivo, può comportare la responsabilità amministrativa per illecito di questo ultimo.
La cornice edittale delle sanzioni comminabili è articolata in alcune circostanze attenuanti (2° e 6° comma) e aggravanti (comma 5°), nonché in una causa di esclusione della punibilità dell’autore (4° alinea).
Proprio la prescrizione di cui al 4° comma offre un interessante spunto di riflessione.
Il testo recita:” “Fuori dei casi di cui ai commi precedenti, non sono punibili le condotte per cui il denaro, i beni o le altre utilita’ vengono destinate alla mera utilizzazione o al godimento personale”.
Secondo il letterale tenore, l’azione del mero e personale utilizzo o godimento del denaro, dei beni e delle altre utilità provenienti dal reato-base non comporterebbe la punibilità dell’autore, giacché difetterebbe la tipica e necessaria azione (successiva) della re-immissione dei proventi criminali, produttiva dell’effetto di money laundering. L’esempio di scuola é quello del furto della bicicletta poi giornalmente utilizzata dal ladro.
Tale essendo il tratto tipico del nuovo reato, ne risulterebbe carente un fattore costitutivo e, conseguentemente, la ragione del sanzionamento. Il testo del comma cit., tuttavia, presenta un contenuto involuto: non risulta specificato il senso dei lemmi “utilizzazione”, “godimento” e “personale”.
Non solo. Problematico appare anche il senso da attribuire all’incipit “Fuori dei casi di cui ai commi precedenti”. Va prospettandosi una prima interpretazione di tale inciso, nel senso che l’esenzione di responsabilità ricorrerebbe allorché difettino, nel caso concreto, i fattori costitutivi del reato, richiesti dall’art. 648 ter 1, primo comma.
Se ciò è corretto, in presenza di un reato-fonte, ancorché commesso dal medesimo soggetto (autore o concorrente) il quale abbia successivamente operato la re-immissione dei proventi illeciti in attività economiche, finanziarie, imprenditoriali o speculative, ma non anche l’azione del concreto ostacolo (effettiva efficacia causale) all’individuazione della provenienza di essi, non potrebbe scattare la sua punibilità.
Si immagini la commissione di un reato non colposo (es. truffa ai danni dello Stato, o un reato tributario): se l’impiego personale del denaro derivante si accompagnasse alla trasparente rappresentazione contabile e bilancistica, ovvero rimanesse sul c/c dell’impresa, la fattispecie prevista dalla norma non potrebbe dirsi realizzata.
Certamente, l’interpretazione del quarto comma dell’art. 648 ter 1 c.p. costituirà oggetto di particolare attenzione da parte di dottrina e giurisprudenza, rappresentando (presumibilmente) “l’exit strategy” difensiva per il soggetto imputato di tale reato.
La ricostruzione del senso corretto dell’inciso iniziale, nonché del richiesto “mero utilizzo personale” del frutto del reato-fonte, condizioneranno l’operatività di tale prescrizione. Basti pensare alle implicazioni del concetto di “godimento” (se da intendersi quale semplice utilizzo, anche statico, ovvero necessaria valorizzazione) e a quello di “personale” (se da intendersi come esclusivo, o ricomprendente anche l’utilizzo da parte di soggetti a sé prossimi).
Ma a tale problema ermeneutico, non il solo per il 648 ter 1 c.p., si aggiungono anche difficoltà applicative. La (voluta) mancata tipizzazione legislativa dei molteplici ed eterogenei reati-fonte impegnerà non poco l’operatore in sede di “mappatura” e di ponderazione delle potenzialità commissive di tale reato nel contesto del proprio ambito aziendale.
Del pari, impegnativa sarà l’ideazione di efficaci misure di prevenzione e controllo delle condotte post-reato-base, idonee ad impedire sia la re-immissione nel circuito economico dei proventi criminali, che il comportamento di ostacolo all’identificazione della loro provenienza.
In un’epoca di globalizzazione, contraddistinta dalle incertezze e complessità, risulta amplificata l’esigenza dell’impresa di prevenire e gestire le minacce al raggiungimento degli obiettivi aziendali.
Negli ultimi anni Sistemi di Risk Assessment, sempre più evoluti, sensibili e poliedrici, sono divenuti lo strumento indispensabile alla conduzione e alla salvaguardia del business d’impresa.
Lo S.C.I. – Sistema di controllo integrato (con i famosi framework, come il Co.So. Report e le successive elaborazioni, come l’E.R.M.) é il prototipo del sistema di gestione e controllo di molteplici ed eterogenei fattori di rischio aziendale, tanto interdipendenti e correlati, da poter condizionare o nullificare le performances ed il raggiungimento dei target di periodo.
A ben vedere, però, trattasi di sistemi gestionali – ormai informatizzati e sofisticati – la cui ratio riposa nella gestione di fattori di rischiosità aziendale, che tecnicamente vengono definiti quali “esternalità negative del ciclo d’impresa“. Fattori di rischio, o meglio variabili – sempre presenti e insiti nella conduzione dell’impresa – che devono essere rilevati, mappati e gestiti nella loro complessità ed interdipendenza, proprio al fine di poter realizzare il risultato favorevole nel business intrapreso.
Una domanda allora sorge spontanea: quando occorra rilevare, identificare e graduare non una rischiosità aziendale, quanto la verificabilità di un evento negativo ed eccezionale, qual’é la commissione di un reato (rectius, di un “reato presupposto” di cui al catalogo ex d.lgs. n. 231/2001), può detto framework di stampo squisitamente aziendalistico realizzare tale obiettivo ? E realizzare compiutamente i risultati all’uopo richiesti dall’art. 6, d.lgs. n. 231/2001 ?
In altri termini, l’art. 6 richiede che venga rilevata, censita e graduata l’effettiva potenzialità commissiva di un fatto di reato tipico presso la specifica realtà aziendale, alla luce dei caratteri peculiari di essa.
Valutazione questa di stampo propriamente giuridico-penalistico (più che economico), che involge principi e categorie giuridiche – come la natura “propria” o “comune” del reato; l’elemento soggettivo (dolo o colpa) in capo all’autore, ecc.- e una sensibilità non propriamente “aziendalistica”. Percorso valutativo questo, che deve essere condotto rispetto alle (ormai) centinaia di fattispecie di reato ricomprese nel catalogo “mobile” ex 231.
A marcare la differenza concettuale e funzionale tra le due distinte tipologie di Risk Mapping muove anche la considerazione che i fattori di ponderazione del processo di Assessment aziendale – ossia: i) la “Probabilità dell’evento” e ii) il suo “Impatto economico” – non sembrano coerenti e funzionali a tal fine.
A ben vedere, la verificazione di un rischio aziendale compromette in varia misura l’obiettivo economico, ma resta possibile resettare il sistema, tarare nuovamente e diversamente il fattore di rischio ignorato o non correttamente gestito e centrare l’obiettivo successivamente, es. nel prossimo esercizio sociale. Diversamente, la verificazione di un reato configura la realizzazione di un evento di carattere illecito dagli effetti irrevocabili per l’ente.
Basti pensare al sanzionamento dell’ente, alla compromissione della sua affidabilità ed immagine commerciale, alla sottoposizione dell’ente ad un procedimento giudiziale, all’impatto sulla struttura organizzativa ed operativa, oltre al nocumento e al danno prodotto in capo ai terzi (il mercato e/o la collettività).
Detto ciò, una rilevazione e graduazione del rischio-reato, ove risulti inaffidabile, non corretta, non esaustiva, approssimativa, diciamo effettuata con strumenti non idonei e congruenti, impedirà altresì l’elaborazione di efficaci ed effettive misure penal-preventive idonee a nullificare o a ridurre ad un livello “accettabile” il rischio precedentemente mappato.
Alla luce di quanto sopra, ciò che da tempo vado sostenendo é che la frequente applicazione “surrogata” della metodica del Risk Assessment in chiave di costruzione del Modello organizzativo ai sensi del decreto legislativo 231/2001 – i.e. della Mappatura dei rischi-reato – può dar luogo a (tendenziali) incongruenze, disfunzionalità, non conformità, se non anche sviamenti rispetto alla prevenzione del “reato”, allorché si intenda equipollente alla propria operazione di Mappatura dellle potenzialità commissive di un reato tipico.
Approccio questo divenuto oggi frequente. E peggio, portato di una semplificazione e pericolosa omogeneizzazione di due tecniche intrinsecamente “infungibili” per diversità dei criteri valutativi, della natura del rischio valutato, della finalità perseguita.
L’importante pronuncia dei Giudici togati sul noto disastro della Thyssen Krupp riveste un importante rilievo per i profili trattati in materia di d.lgs. n. 231/2001.
Infatti, fissa definitivamente alcuni importanti principi: la natura personale della responsabilità “amministrativa” imputabile all’ente collettivo a titolo di deficit organizzativo, quindi, responsabilità propria, diversa ed ulteriore rispetto a quella propriamente penale dell’autore del reato-presupposto.
Poi, la rilevanza del nesso oggettivo di imputabilità dell’ente (“interesse/vantaggio”) rispetto alla tipologia di reati colposi come, appunto, quelli di cui all’art. 25 septies.
Da ultimo, l’identificazione del profitto economico maturato dal soggetto metagiuridico a fronte della commissione del reato colposo.
Ciò nondimeno, a parere di chi scrive, la stessa pronuncia offre almeno due spunti di riflessione aggiuntivi rispetto a quelli finora evidenziati dai primi commentatori.
Il primo riguarda la dichiarata illusorieta’ dell’assunto secondo cui il governo del rischio di reato – in specie colposo – sia incentrato nella conformazione alle (sole) regole legali precostituite.
Rispetto a rischi rari e complessi ciò che riveste un rilievo centrale è invece l’auto-normazione. Che deve attingere anche al sapere extragiuridico, allo sviluppo delle conoscenze ed alla tecnologia al momento disponibili.
Affermazione questa che ritengo impatti sulla “super-valutazione” della tecnica del Risk Assessment, la cui applicazione è frequentemente traslata dal campo propriamente aziendalistico a quello della prevenzione del reato, ove risulta incentrata nel checking della Compliance.
Tale verifica non può risultare esaustiva ai fini della Mappatura ove si limiti a verificare la conformità dell’agire al dettato normativo relativo (ad oggi) ad oltre 200 fattispecie di reato-presupposto. Fattispecie astratte, che non esplicitano le variegate modalità attuative la cui individuazione rispetto all’ente empirico definisce e perimetra lo specifico rischio-reato. Permettendo, altresì, l’approntamento di una concreta ed efficace azione special-preventiva per mezzo del Protocolli comportamentali.
Il secondo passaggio che ritengo meriti di essere evidenziato riguarda la valutazione del deficit di autonomia ed indipendenza del membro dell’OdV, giacchè responsabile aziendale di altre funzioni.
La prevalenza dell’aspetto sostanziale su quello formale in punto di requisiti dell’OdV trova cosi’ ennesima conferma dopo la recente pronuncia della Cass. Pen. sul noto caso Impregilo.
Al di la della compatibilita’ formale del profilo dell’Organismo, situazioni di coincidenza del ruolo di “controllante/controllato” in capo al componente dell’OdV inficiano irrimediabilmente l’effettivita’ del Modello 231 adottato.
Conclusione questa che ravviva la polemica su alcune recenti novellazioni legislative, come quella che ha introdotto la discutibile figura dell’”Organismo sindacale” (art. 6, comma 4 bis, d.lgs. cit.).
Tra le interessanti integrazioni apportate con la recente revisione del testo vogliamo evidenziarne un paio, quanto mai opportune.
A nostro parere, la prima necessaria raccomandazione rivolta agli enti collettivi associati ha ad oggetto la procedura di Mappatura delle potenzialità commissive di reato presupposto. Stante la numerosità ed eterogeneità delle fattispecie attualmente ricomprese nel catalogo “mobile” viene raccomandato che l’operazione di rilevazione, ponderazione graduazione del rischio abbia “riguardo ad ogni singola fattispecie di reato cui si applica il decreto 231, quale sia il rischio specifico di commettere qual determinato reato ed introdurre principi etici ad hoc”.
Affermazione questa che evoca, in un sol colpo, prassi invalse e frequenti errori frutto di superficialità ed approssimazione, come la mappatura delle sole macro-categorie di reato, nonché la valutazione del rischio effettuata ignorando i requisiti soggettivi ed oggettivi richiesti dal cod. pen. per ciascuna fattispecie di reato. Errori questi che impattano, inesorabilmente, nella correlata azione special-preventiva attuata mediante l’elaborazione dei Protocolli comportamentali.
Altra direttiva degna di nota riguarda l’elaborazione del Sistema disciplinare. Richiamando la Giurisprudenza consolidatasi, si ricorda (pag. 50) che il Modello 231 non è idoneo alla concessione del beneficio d’esimente qualora non preveda l’espressa declinazione di sanzioni disciplinari per ciascuna tipologia di violazione ed, in particolare, nei confronti dei soggetti apicali.
E’ invero frequente riscontrare nel Modelli implementati anche da importanti gruppi e imprese una puntuale regolamentazione sanzionatoria dei comportamenti, attivi o omissivi, di dipendenti e quadri, mentre un’opaca e sfuggente previsione sanzionatoria caratterizza i comportamenti indebiti di organi sociali e top management.
Sub Cap IV, in tema di Organismo di Vigilanza, risulterà sicuramente interessante l’indicazione data dalle Guidelines (pag. 60) – sebbene con specifico riguardo alle strutture organizzative complesse – della possibilità di istituire una ”struttura dedicata”, interna ed a tempo pieno, a supporto dell’OdV.
Struttura coincidente con l’Organismo quando composto da membri endo-aziendali, da identificabile con una Segreteria tecnica, nel caso di OdV a composizione esterna.
Ebbene, siamo dell’avviso che tale supporto – paragonabile ad una Segreteria societaria in staff al bord – pur quando privo di mansioni operative, se venga legittimato ad espletare una funzione consultiva (pur non vincolante) e pareristica in merito alla costruzione del Modello, esorbiti dalle proprie competenze e incida sulle funzioni peculiari ed esclusive dell’Organismo di Vigilanza.
Se poi le competenze debbano estendersi alla review periodica del Compliance Program e/o al coordinamento dell’erogazione dei Moduli formativi “231” o, ancora, al coordinamento con organi e responsabili aziendali, c’è da ritenere che la richiesta “inerenza” (art. 6) venga ad essere declinata in termini di sostanziale internalizzazione della funzione dell’OdV, riservando all’ufficio collegiale un mero ruolo di supervisore esterno della vigilanza.