La recente sent. Trib. Pen. Milano, 25 gennaio 2025 n. 1070, aderendo all’orientamento dato dall’arresto della S.C. sent. n. 23.401/2022 nota come Impregilo bis, ha operato la validazione di un Modello 231 privo della tradizionale struttura documentale unitaria ed organica, ma avente foggia destrutturata e dal contenuto diffuso, ricostruito ex post per relationem.

L’accertata esistenza, adeguatezza ed effettività di siffatto Compliance Program ha portato i Giudici ambrosiani ad escludere il deficit organizzativo della società imputata di illecito da reato ex art. 25, Falsità delle comunicazioni sociali per condotta di taluni apicali.

Il nuovo approccio ermeneutico opera la validazione di una nuova morfologia del tipico Modello di legalità preventiva ex d.lgs. 231/2001.

I Giudici valorizzano i presidi esistenti in chiave anti-reato, sebbene non rispondenti alla tradizionale struttura, condivisa negli anni da Dottrina e Giurisprudenza. Intendiamo il tipico Modello 231 di carattere “monistico” costituito da un documento unitario in cui sono compresenti, come componenti essenziali: Codice etico, Protocolli comportamentali generali, Matrici di mappatura e graduazione delle concrete potenzialità commissive dei reati presupposto, Protocolli di parte speciale e Sistema Disciplinare interno. Viene invece validato dai giudici un nuovo archetipo di MOG avente foggia diremmo “stellare”, a raggiera, mediante rinvii a componenti esterni, individuabili ex post in via fattuale.

Orbene, pur condividendo tale nuova ermeneusi, permangono tuttavia perplessità su alcuni passaggi motivazionali riguardanti i contenuti di siffatto MOG. Resta infatti difficile condividere l’effettuata equiparazione tra Protocolli comportamentali Speciali, prescrizioni propriamente anti-reato, con le ordinarie procedure aziendali, risultato della mera procedimentalizzazione delle attività di gestione aziendale. Del pari non corretta risulta l’equiparazione operata tra Protocolli Speciali e le Policy di Gruppo, auto-regolamentazione per la pianificazione ed omogeneizzazione dei comportamenti dovuti da tutti i soggetti operanti entro le singole società controllate ed eterodirette dalla Capogruppo.

Da ultimo, una riserva permane anche sull’accertata “fraudolenta elusione” delle prescrizioni del Modello, da parte di taluni apicali, ritenuti unici responsabili della realizzazione del reato de quo, ciò escludendo la responsabilità per illecito della societas.

Infatti, la palese violazione delle prescrizioni comportamentali in materia contabile-bilancistica commessa dai soggetti apicali sembra testimoniare l’inadeguatezza ed ineffettività di esse in chiave di crime prevention. Senza necessità di una condotta volontaria di aggiramento di esse (mediante artifici e raggiri). Inoltre le medesime violazioni, in quanto reiterate, avrebbe dovuto/potuto essere rilevate dagli organi interni, ovvero dall’OdV deputato alla vigilanza continuativa sul Modello adottato.

(PER UN APPROFONDIMENTO DEL TEMA RINVIAMO AL NOSTRO ARTICOLO PUBBLICATO DALLA RIVISTA “RESPONSABILITA’ AMMINISTRATIVA DELLE SOCIETA’ E DEGLI ENTI, TORINO PLENUM, N. 1/2025, PAGG: 105 E SS).

Il tema è di grande attualità, alimentato dal pressing legislativo comunitario (in primis, Dir. UE 2922/2464, Corporate Sustainability Reporting Directive del 16 dicembre 2022 e Proposta di Dir. UE C. S.Due Diligence del 23 febbraio 2022). Il Legislatore italiano ha dapprima prescritto (art. 2428 c.c.) nuovi indicatori per la Relazione sulla gestione delle società, ha introdotto la figura della Società Benefit (Legge Stabilità 2016) nonché ha richiesto agli “enti di interesse pubblico” la redazione dell’Informativa Non Finanziaria (d.lgs. 254/2016). La sensibilizzazione al tema eco-sociale ha trovato altresì coronamento nella novellazione degli artt. 9 e 41 della Costituzione.

Gli interessi e le aspettative degli Stakeholders non sono più fattori trascurabili, sia in sede strategica, che di gestione, per le imprese maggiori e i player economici, che perseguendo il successo sostenibile possono creare valore nel lungo termine.  

Orbene, se le regole per lo sviluppo eco-socio-sostenibile e la conformazione ai parametri E.S.G. rivestono, in verità, una valenza meramente esortativa e persuasiva, sostanziantesi in obblighi informativi e di reporting, privi di un correlato sistema sanzionatorio, la letteratura prevalentemente aziendalistica ne enfatizza i vantaggi: valore reputazionale, fidelizzazione della clientela e (soprattutto) merito creditizio.

Ma v’è di più. Sebbene sia richiesto alle imprese maggiori l’impegno a limitare le esternalità negative del proprio ciclo d’impresa impattanti sulla collettività (Stakeholders), un’esegesi diremmo “ardita” arriva ad introiettare interessi e finalità propriamente extra-sociali, facendone il fine preponderante dell’impresa ordinaria. In un sol colpo, sconfessando lo scopo lucrativo quale elemento identitario ed indispensabile al modello di impresa societaria(art. 2247), sacrificando le aspettative della Proprietà e vanificando la tradizionale dicotomia tra Enti no profit ed Enti for profit.

A ben vedere il nuovo modello di business non produce solo vantaggi, ma genera effetti giuridici sostanziali, ad impatto multidisciplinare in sede civilistico-contrattuale, societaria e penale. . Solleva problematiche in merito alla discrezionalità gestionale esercitabile dagli amministratori, alla modalità di contemperamento di interessi tendenzialmente antagonisti, oltre ad imporre un reset organizzativo della Corporate governance, della Compliance, del Risk Assessment e della Crime prevention. Ma anche problematiche organizzative ed operative: come, in che sede, con quale modalità e con quale vincolo obbligatorio realizzare l’interlocuzione con i propri Stakeholders, potenzialmente incisi dagli effetti della gestione imprenditoriale?

Nella perdurante vaghezza e carenza di definiti criteri applicativi, siamo dell’avviso che fuor da facili slogan proprio gli effetti giuridici conseguenti ed indotti debbano essere conosciuti, ponderati ed assimilati dalle imprese effettivamente intenzionate ad adottare l’opzione gestionale sostenibile. Un diverso approccio potrà produrre un’escalation del pernicioso fenomeno del Greenwashing.  

Sandro Bartolomucci

Quale co-Fondatore, ho il piacere di comunicare l’avvenuta costituzione dell’Associazione privata denominata “SustainAbility Hub”, avente lo scopo di far crescere la consapevolezza dell’importanza dei temi legati alla Sostenibilità, diffondendone la cultura e la prassi normativa così da rendere concrete le idee di Sviluppo sostenibile e bilanciato.

Quindi, non solo un obiettivo di promuovere la Cultura e l’opzione gestionale dell’impresa conformemente ai parametri ESG; ma attraverso il confronto e l’esperienza di esperti in materia, la realizzazione di attività di studio, di ricerca, di formazione e di elaborazione di prassi e di soluzioni concrete e calibrate sulla realtà dell’ente empirico, volte a “mettere a terra” regole e principi normativi talora aventi, prevalentemente, valenza evocativa e di moral suasion.

info@sustainability-hub.it

Website:Sustainability-hub.it (sito in allestimento)

“COMPLIANCE INTEGRATA, SISTEMI DI CONTROLLO E SOSTENIBILITA’. Le chiavi per un coordinamento funzionale”

DIPERTIMENTO DI DIRITTO, ECONOMIA E CULTURE – DIDEC

CONFERENZA SUL TEMA:

“CORPORATE GOVERNANCE E PREVENZIONE DEI REATI. IL COMPLIANCE PROGRAM EX D.LGS. N. 231/2001”

Avv. SANDRO BARTOLOMUCCI

Docente, pubblicista, Presidente di OdV

INTERVENGONO

Prof. Serenella Rossi e Prof. Chiara Perini

Venerdì 14 maggio 2021, ore 11-13

Sempre più frequentemente il Legislatore adotta il criterio Risk based nella disciplina di ambiti settoriali o di aspetti particolari. E’ accaduto con la legge 190/2012 in tema di Antiriciclaggio, col GDPR, Reg. UE 679/2016 per la Privacy. Ma anche a livello codicistico, con l’art. 2428, Relazione sulla gestione in ambito societario e, da ultimo, con la novellazione dell’art. 2086  (giusta d.lgs. 14/2019) sulla Crisi d’impresa e l’insolvenza.

Ciò nondimeno, in ciascuna di tali normative la tipica metodica viene  declinata mediante criteri, logiche e finalità peculiari e distintive dello specifico aspetto/ambito normato.

Diversamente, la prassi invalsa del frequente e semplicistico utilizzo acritico delle tecnica del Risk Assessment aziendalistico in chiave di rilevazione e graduazione dei rischi-reato elencati dal Catalogo 231, risulta foriera di errori di risultato, nonché disfunzionale al fine richiesto.

Detta tecnica, nata nel 1992 col Co.So.Report e poi elaborata fino all’E.R.M., risponde all’obiettivo di rilevare e graduare le rischiosità tipiche ed insite nel processo imprenditoriale (cc.dd. “esternalità negative del ciclo d’impresa“), poco avendo a che fare con la diversa rilevazione di un rischio di “reato”.

L’applicazione di essa, ove non declinata attraverso gli istituti e le categorie propriamente giuridico-penalistiche (i.e. natura del reato, rilevazione dei requisiti soggettivi/oggettivi richiesti dalla singola norma incriminatrice, circostanze aggravanti/attenuanti, elemento psichico nell’agente, ecc.) non risulta idonea a realizzare gli output richiesti dall’art. 6 del Decreto 231.

Una Mappatura inadeguata al censimento dei singoli rischi-reato impedisce la corretta ed efficace azione di elaborazione di correlati Protocolli comportamentali special-preventivi, idonei a gestire (se non neutralizzare) le singole potenzialità di reato rilevate.

In verità, neanche i due tipici driver di cui si serve il Risk Assessment – ossia la “Probabilità” e “l’Impatto economico” – si conformano alla puntuale determinazione della magnitudo di un rischi di reato. Ad es., l’Impatto pregiudizievole viene correlato al rischio del sanzionamento dell’ente (i.e. condanna a sanzione pecuniaria o interdittiva), quando invece un afflittivo pregiudizio economico si produce molto prima della condanna dell’ente: già al momento della pubblicizzazione sui media delle indagini giudiziarie a suo carico.

A ben vedere, laddove la verificazione di un rischio impattante sul ciclo imprenditoriale impedisce il raggiungimento di il target di periodo prefissatosi dall’impresa, attraverso un re-setting della variabile negativa realizzatasi, resta possibile raggiungerlo nel futuro. Diversamente, la realizzazione di un fatto di reato qualificato ai fini 231, produce uno actu sempre un risultato (negativo) irreversibile per l’ente.

Tali riflessioni critiche all’insegna della non surrogabilità, dell’infungibilità e della non assimilabilità tra Risk Assessment aziendalistico e operazione di Mappatura delle potenzialità commissive dei reati di cui al numerus clausus  trovano recenti spunti di conferma giurisprudenziale.

La sent. Cass. Pen. 22 giugno 2017 n. 41.768 ha ribadito la diversità e non equiparabilità sostanziale e funzionale tra MOG 231 e i vari sistemi di gestione aziendale (anche certificati) come ad es. l’ISO UNI 9001.

Più di recente la sent. Cass. Pen. 28 maggio 2019 n. 29.538, con specifico riguardo ai due sistemi richiamati dall’art. 30, T.U. Sicurezza Lavoro (i.e. UNI INAIL e l’OHSAS18001) ha specificato che la sancita conformità di essi al sistema prevenzionale richiesto dal d.lgs. n. 81/2008 (i.e. presunzione relativa di conformità), non garantisce ex se tale risultato liberatorio con la sola adozione.

Ancorché ci si doti di uno dei due sistemi gestionali Antinfortunistici, resta in capo all’ente l’onere probatorio della concreta implementazione di esso, dell’adattamento alle caratteristiche dell’ente empirico, nonché del suo aggiornamento periodico.

Conclusivamente, é raccomandabile agli operatori l’effettuazione della nevralgica operazione di Mappatura dei rischi-reato mediante gli strumenti propriamente giuridici e nella stretta adesione al dettato dell’art. 6 del Decreto.

In tale ottica, risulterà essenziale il tracciamento dell’iter logico-applicativo approntato, predisponendo materiale documentale (“carte di progetto e di lavoro”) idoneo a tracciare e motivare il risultato dell’operazione. A dar conto del motivo che ha prodotto il riconoscimento o l’esclusione della concreta vigenza di un tipico rischio-reato; come a motivare l’assegnazione allo stesso di un determinato indice di gravità.

Tale documentazione risulterà, altresì, indispensabile all’ente per assolvere (nell’eventualità) l’onere probatorio in sede processuale post delictum, nonché a sostanziare ed agevolare la valutazione giudiziale di adeguatezza ed effettività dell’unitario Compliance Program adottato dall’ente.

In tale ottica e strumentalità, la predisposizione anticipata e volontaria di tale allegazione documentale può permettere, in una fase priva dello stress derivante da indagini giudiziali e dalla stessa verificazione di un reato, del materiale attestante (e comprovante alla bisogna) la conformità, completezza e vigenza del proprio MOG. Facilitando e concorrendo all’auspicata dichiarazione giudiziale di adeguatezza ed effettività dello stesso (rectius, esclusione del deficit organizzativo imputabile all’ente collettivo).

L’innovativo Regolamento comunitario n. 679/23016 (GDPR), in vigore dal 25 maggio u.s., opera la sostanziale riforma delle regole del T.U. Privacy, d.lgs. n. 196/2003 che presiedono al corretto e sicuro trattamento dei dati personali delle persone fisiche.

Non più incentrato nella riservatezza del dato personale delle persone fisiche, quanto alla liceità e correttezza dei trattamenti dei dati personali,  il GDPR realizza tale obiettivo responsabilizzando il Titolare (accountability) ed onerandolo della previa ricognizione, nonché dell’elaborazione ed implementazione di un efficace assetto organizzativo dl data protection idoneo a prevenire trattamenti lesivi dei diritti e delle libertà degli interessati, oltre che conformato alle prescrizioni del GDPR.

Obiettivo perseguibile non solo recependo ed adeguandosi alle regole comportamentali definite dal GDPR e garantendo l’esercizio degli estesi diritti degli Interessati, ma operando un’attenta e congrua autorganizzazione, che passa per la rilevazione e la graduazione delle rischiosità connesse all’effettuazione dei trattamenti e, conseguentemente, all’implementazione di misure prevenzionali, di monitoring e di sicurezza tecnica ed organizzativa.

Tale doverosa autorganizzazione prevenzionistica evoca l’archetipo del d.lgs. n. 231/2001 e i suoi innovativi strumenti di Assessment and Management del “rischio-reato”.

Accostamento questo, tuttavia, non scevro da semplicistiche ed improprie assimilazioni, specie sul versante applicativo, frutto di una traslazione generalizzante della tecnica di analisi del rischio, che sollecita una riflessione comparativa tra i due distinti impianti normativi.

In verità, mancano nel GDPR i contenuti del paradigma normativo proprio del D.lgs. 231, quale corpus autonomo e autoreferenziale (di natura sostanzialmente penalistica), destinato segnatamente alla rilevazione e gestione delle potenzialità commissive dei “reati presupposto” da parte degli organici (apicali e sottoposti), realizzati nell’interesse/vantaggio” dell’ente collettivo.

Diverso risulta, altresì, il sistema sanzionatorio, con l’accertamento della violazione del GDPR rimessa al Garante Privacy (e non al giudice penale), secondo un criterio di accertamento tipicamente di “compliance” e con possibile erogazione di misure sanzionatorie prevalentemente amministrativo-peculiarie (non anche interdittive, come nel Decreto) e senza prefigurazione dell’ottenimento di un beneficio d’esimente da responsabilità per il Titolare.

Quanto alla tecnica di Risk Assessment, condivisa da entrambe le normative, ne va rilevata la diversa declinazione in ragione della diversa natura delle rispettive rischiosità: l’operazione di trattamento di dati violativa della legge e, nell’altro caso, la commissione di un reato (comportamento avente i requisiti soggettivi ed oggettivi richiesti per la realizzazione della fattispecie penale prevista).

Non ultima, l’importante asimmetria data dalla tipica facoltatività dell’adozione del MOG 231 in luogo dell’obbligatoria e compliant organizzazione di data protection per il Titolare dei trattamenti, per il cui adempimento é ad esso imposto l’onere probatorio.

Taluni primi commenti del GDPR sembrano proporre un’erronea e fuorviante assimilazione tra i due diversi impianti normativi nonché un’equiparazione tra i due diversi strumenti prevenzionali di rischiosità affatto diverse, favorendo in tal modo pericolosi e “onerosi” errori applicativi.

Pubblicato su www.rivista231.it, sub “Interventi” un mio primo commento ad un’importante e recentissima pronuncia della Suprema Corte che rigettando il ricorso di due società di capitali condannate per responsabilità amministrativa ex d.lgs. n. 231/2001, ha confermato la valutazione negativa dei Giudici di prime cure circa l’esistenza per esse di un valido Modello penal-preventivo.

Segnatamente, tale carenza é risultata dovuta all’erroneo convincimento delle società che la dotazione di Sistemi aziendali di gestione, anche certificati (nel caso ISO UNI EN 9001) potesse rivestire rilievo e valenza equipollente e surrogatoria.

I Sistemi gestionali aziendali, in verità presentano regolamentazione, struttura, contenuti e finalità affatto diversi e peculiari: per essi l’approccio Risk based é rivolto alla rilevazione e gestione di peculiari fattori di rischiosità (rectius, non reati) tipici del ciclo d’impresa.

Il principio riveste grande rilievo ribadendo la centralità e vincolatività dell’art. 6, Decreto nella costruzione e funzionalità del Compliance Program idoneo alla concessione giudiziale del beneficio d’esimente all’ente collettivo.