Articolo di approfondimento critico sui contenuti dello Schema di nuove Linee Guida ANAC la cui pubblica consultazione é terminata a fine aprile u.s..
ASA – Azienda Servizi Ambientali S.p.a. é il Gestore Unico del Servizio idrico integrato per l’Autorità idrica toscana.
Dotata del Modello di organizzazione, gestione e controllo ai sensi e per gli effetti del d.lgs. n. 231/2001, ha ora provveduto alla nomina del nuovo Organismo di Vigilanza, che si é insediato.
L’Autorità Nazionale Anticorruzione (“ANAC”), nell’espletamento delle proprie funzioni attribuitegli dalla legge n. 190/2012 (art. 1) – come ridisegnate dalla successiva legge n. 114/2014 – ha fino ad oggi adottato molteplici ed importanti provvedimenti, tra cui i Piani Nazionali Anticorruzione (“PNA), nonché le Linee Guida, volti a fornire istruzioni e supporti ermeneutici agli enti collettivi destinatari delle prescrizioni del c.d. “Pacchetto Anticorruzione nella P.A.”. Tale intendendosi la cit. l. n. 190/2012 sulla Fraud prevention, il d.lgs. n. 33/2013 sulla Trasparenza amministrativa ed altri provvedimento legislativi di settore.
Rispetto al chiaro dettato della l. n. 190 del 6 novembre 2012 c.s.m., l’Autorità ha operato un’operazione ermeneutica di forte dilatazione dell’ambito soggettivo di applicazione, includendovi oltre alle tipiche Amministrazioni pubbliche, anche organismi privatistici ad esse assimilati (ad es. le società a partecipazione pubblica).
Con il medesimo approccio interpretativo, correlandosi alle successive novellazioni legislative in materia, l’ANAC ha confermato tale inclusione, così “forzando” il dettato dell’art. 1, comma 34 della l. 190 che espressamente disponeva l’applicazione delle sole prescrizioni di cui ai commi 15-33 (peraltro, in materia di trasparenza) anche agli organismi di diritto privato in controllo pubblico.
In ogni caso, tale lettura estensiva, oltre a risultare “ultra legem” ed, anzi, “modificativa” rispetto ad una norma di legge ordinaria – in violazione al principio di gerarchia delle fonti di cui agli artt. 1 e 4 preleggi al Codice civile – ha innescato problematiche applicative di non poco conto, producendo disallineamenti, deficit di coerenza sistematica e rischi di disfunzionalità.
Ciò che era stato originariamente delineato dal Legislatore in modo “tailored” per le Amministrazioni propriamente pubblicistiche elencate sub d.lgs. n. 165/2001, difficilmente poteva essere recepito secondo le indicazioni dei PNA promulgati da parte di enti collettivi pur equiparati alle amministrazioni pubbliche, ma aventi configurazione giuridica propriamente privatistica.
L’Autore di questa sintetica nota, avendo al tempo prontamente sollevato e approfondito tale problematica, pone ora in risalto la novella legislativa recentemente intervenuta col d.lgs. n. 97 del 25 maggio 2016, in attuazione delle legge delega n. 124/2015 sulla Riorganizzazione del comparto delle Amministrazioni pubbliche.
L’art. 41 di esso ribadisce espressamente la natura prettamente amministrativa e regolamentare del PNA dell’ANAC (qualificandolo “atto di indirizzo per le P.A…. (omissis) ai fini dell’adozione dei propri PTPC…. e per gli altri soggetti di cui all’art. 2 bis, comma 2, d.lgs. n. 33/2013, ai fini dell’adozione di misure di prevenzione della corruzione, integrative di quelle adottate ai sensi del d.lgs. n. 231/2001....”), privi quindi di valenza obbligatoria, men che meno, derogatoria rispetto a disposizioni di norme di legge sovra ordinate.
Con ciò, viene ristabilito il rapporto di subordinazione dei P.N.A. alla legge e viene ribadita la natura di essi quali vademecum volti ad orientare e supportare gli organismi nell’azione di autorganizzazione ed adozione dei presidi Anticorruzione, secondo il principio di proporzionalità e libertà di autorganizzazione.
Per l’effetto, le problematiche e le anomalie sollevate dalle disposizioni dei PNA finora promulgati dall’ANAC risultano stemperate e superate, così affrancando gli enti privatistici assimilati alle P.A. dall’obbligatoria conformazione a soluzioni ed opzioni – a titolo indicativo, in tema di integrazione dei Modelli 231 in chiave Anticorruzione, ovvero di profilazione degli Organismi di Vigilanza per l’espletamento delle funzioni attribuite al Responsabile della Prevenzione della Corruzione – invero opinabili se non, probabilmente, inefficaci.
* * *
(Per ulteriori approfondimenti si rinvia all’articolo dell’Autore dal titolo:
“LA (PROVVIDA) QUALIFICAZIONE LEGISLATIVA DELLA NATURA GIURIDICA DEL PIANO NAZIONALE ANTICORRUZIONE DELL’A.N.A.C.” in corso di pubblicazione dalla Rivista “La responsabilità amministrativa delle società e degli enti”, Ed. Plenum, n. 4/2016.
(Pubblicato in www.riv.231.it n. 2/2016)
ABSTRACT
Ha assunto ormai le dimensioni di una vera pandemia la proliferazione del virus denominato “Cryptoloker”, un malware che attacca ed invalida l’operatività di web di utenti privati e pubblici.
I cybercriminali, sempre più agguerriti e con strumenti sofisticati, penetrano nel sistema informatico mediante un messaggio di posta elettronica, o un allegato e ne criptano il contenuto, bloccandone l’utilizzo.
Il pagamento di un riscatto entro un termine perentorio è l’unica possibilità per evitare la definitiva distruzione dell’intero database.
Il fenomeno ormai noto, non è ancora indagato nelle implicazioni giuridiche, anche afferenti il d.lgs. n. 231/2001, che condizionano l’opzione operativa rimessa all’utente estorto.
Il dilemma è: se pagare il riscatto – mediante la richiesta moneta bitcoin, non tracciabile – o rigettare l’illecito dictat, nell’osservanza dei principi di legalità e, magari, dei principi etici e valoriali proclamati dal proprio Codice etico e/o Modello 231 adottato – va ricordato, portante prescrizioni obbligatorie per gli esponenti aziendali, pena l’irrogazione di una sanzione disciplinare interna -.
Dilemma la cui scelta oscilla tra un approccio corretto, ma economicamente invalidante ed altro pragmatico, ma non conforme ai principi di compliance e, diremmo, prima ancora morali. Il pagamento del riscatto apre al recupero dell’operatività del sistema informatico “sequestrato” – restando, comunque, una certa alea riguardo all’affidabilità del Cybercriminale – , evitando all’utente una serie di pregiudizi economici rilevanti: la distruzione del sistema informatico attaccato, il costo della rielaborazione ex novo dello stesso, la perdita di operatività durante il “sequestro”, la compromissione degli interessi degli Stakeholders, ecc.
La situazione si complica nel caso in cui l’ente collettivo destinatario dell’attacco informatico attraverso il virus risulti un’impresa medio/grande, operante in un ambito sensibile o titolare di un prezioso database, ovvero un’istituzione o un ente della P.A. (un ministero, un’azienda pubblica, un ospedale).
Complicazione non solo derivante dalla più grave compromissione economica di interessi diffusi o di rilevanza pubblica (si immagini, rispetto ad un Ospedale il blocco dell’operatività dei sistemi informatici serventi la funzionalità delle sale operatorie), ma anche dai vincoli giuridici connessi all’esercizio di detta scelta.
A tale riguardo, infatti, l’esistenza ed operatività di un congruo Compliance Program potrebbe impedire l’accettazione del ricatto mediante il pagamento del riscatto ai criminali informatici. Ad es. perché una tale condotta resta esclusa dai principi etico-comportamentali; o perché il Modello 231, declinando i vincoli special-preventivi a tutela della non commissibilità ad es. di un Reato societario ex combinato degli artt. 25 ter, Decreto e 2621 ss cod. civ., impedisce l’utilizzo per il pagamento del riscatto sia della disponibilità finanziaria aziendale che, men che meno, di provvista disponibile su “fondi neri” o su c/c non ufficiali (es. aperti presso istituti localizzati in Paesi rientranti nella “black-list“).
Nei casi in cui il riscatto risulti di ingente valore, in quanto parametrato dal Cybercriminale proprio sul valore intrinseco (sensibile o economico) dei dati contenuti nel Sistema informatico “sequestrato”, la stessa corresponsione di un ingente importo a favore della criminalità (magari anche estera, certo non facilmente rintracciabile, sia per le schermature informatiche attivate che a cagione del pagamento effettuato mediante “moneta virtuale”), giacché effettuata “nell’interesse/vantaggio” della società destinataria del virus, potrebbe anche realizzare la commissione di una fattispecie di reato di “finanziamento della criminalità” di cui al Catalogo 231. con la “paradossale” conseguenza dell’imputabilità della medesima società per responsabilità per illecito da reato ex d.lgs. n. 231.
Orbene: quali risultano gli strumenti di tutela apprensibili dagli enti collettivi ?
Riteniamo non solo i sofisticati sistemi antivirus e di back-up giornaliero. Anche perché i Cybercriminali lavorano senza posa – e ahinoi con successo – per superare tutte le barriere che i tecnici informatici internazionali (talora supportati anche da hakers consulenti) riescono a frapporre loro.
Ancora una volta il solo approccio utile riposa nella fattiva ed efficace azione special-preventiva del MOG. Che passa per la pubblicizzazione della scelta consapevole operata dalla società di non voler mai accettare siffatti ricatti, scegliendo sempre la soluzione della denuncia e collaborazione con le Forze dell’Ordine. Scelta da dichiarare e pubblicizzare ex ante sul proprio sito aziendale e coram populo.
Poi, un’attenta implementazione di misure di sicurezza informatica per il presidio giornaliero del proprio sistema informatico e telematico. Inoltre, lo sviluppo di peculiari ed effettive procedure di Cyber Risk Assessment e Managment, a cominciare dalla mappatura e ponderazione dell’intensità di siffatti rischi rispetto all’ente empirico.
Ancora, l’adozione di misure comportamentali e sistemi di controllo – ancor più laddove la mappatura dei rischi-reato abbia dato esito positivo in tal senso – che inibiscano ogni forma d’indebito utilizzo di disponibilità finanziarie aziendali (sia lecite, che illecite), da parte di qualsiasi esponente aziendale (apicale o sottoposto), nell’ottica di procedere al pagamento del riscatto indebitamente richiesto.
Da ultimo, una fattiva e proattiva collaborazione con la Polizia Postale e delle Comunicazioni, la sola ad essere dotata di strumenti oltreché sofisticati, idonei alla difficile individuazione del Cybercriminale, nonché al recupero della somma eventualmente corrisposta mediante un’operazione “assistita”, ovverosia di pagamento di moneta “informaticamente segnata”, la cui movimentazione possa essere tracciata; il tutto effettuato secondo le istruzioni e con la gestione della medesima Polizia.
Il fenomeno in esame, in continua evoluzione, impone strumenti efficaci e di pronta adozione.
Per ora, con il presente approfondimento, abbiamo inteso rilevare il problema e sensibilizzare l’interesse degli operatori economici.
Uno dei temi di attuale interesse per gli addetti ai lavori risulta l’adeguamento alla normativa nota come “Pacchetto Anticorruzione” da parte degli Enti previdenziali privati, ossia le Casse nazionali di previdenza categoriali.
Trattasi di enti aventi configurazione giuridica associativa o di fondazione, operanti secondo il diritto privato, di nuova costituzione, ovvero trasformati da pubblici a privati ai sensi del d.lgs. n. 509/1994.
Nonostante la loro natura privatistica, coesistono alcuni caratteri propriamente pubblicistici, come ad es. la soggezione al controllo della Corte dei Conti, la nomina pubblica di componenti degli Organi amministrativi e di controllo, l’esercizio della vigilanza da parte dei Ministeri del Lavoro e di quello dell’Economia, l’applicazione della normativa sugli Appalti pubblici, ecc. Oltre allo svolgimento di un servizio pubblico garantito dall’art. 38 della Costituzione.
Ciò in quanto, la contribuzione obbligatoria di stampo solidaristico, posta a carico degli iscritti, realizza una forma indiretta di erogazione pubblica (orientamento giurisprudenziale del Consiglio di Stato). Circostanza che sostanzia la ricorrenza di uno dei requisiti che qualificano l’ente come organismo di diritto pubblico, ex art. 1, par. 9, dir 2004/18/CE. Tant’é che l’ISTAT ha incluso gli Enti previdenziali tra le amministrazioni pubbliche inserite nel conto economico consolidato ai fini dell’applicazione delle norme di finanza pubblica..
Tuttavia tale interpretazione non risulta unanimemente condivisa. Infatti, taluni eccepiscono che le Casse non sono destinatarie di alcun finanziamento o contribuzione pubblica e che i contributi versati dagli iscritti, costituendo delle forme di accantonamento obbligatorio di parte del reddito professionale, rivestano natura retributiva e privatistica (orientamento di alcuni TAR).
La coesistenza, talora inconciliabile, di tratti privatistici e pubblicistici rende, in ogni caso, complicata l’elaborazione del Modello di organizzazione, gestione e controllo con finalità penal-preventiva ai sensi e per gli effetti del d.lgs. n. 231/2001. Infetti, non risulta impresa agevole la conciliazione, specie in un’ottica funzionale del Modello, di alcuni aspetti disomogenei: a titolo indicativo, si pensi alla Mappatura del rischio-reati, relativamente all’art. 25 ter, Reati societari, le cui fattispecie previste dagli artt. 2621 e ss c.c. presuppongono la natura di società di capitali dell’ente.
Ancora, ai fini della mappatura dei reati nei confronti della P.A. , risulta determinante la riconoscibilità o meno delle qualifiche di “pubblico ufficiale2 o di “incaricato di pubblico servizio” in capo agli esponenti aziendali della cassa, onde rilevare la potenzialità commissiva della concussione o di fattispecie corruttive.
O ancora, si pensi alla difficoltà di elaborazione del Codice etico e dei Protocolli comportamentali in cui realizzare il coordinamento, contenutistico e funzionale, con i molteplici e distinti atti e documenti di normazione interna ed esterna, come regolamenti e procedure definite dalle Authorities pubbliche, vincoli pubblicistici in tema contabile, bilancistico, di reporting e rendicontazione, norme di natura speciale in deroga alle prescrizioni del diritto comune, ecc.
A ciò si aggiunga che l’Autorità Anticorruzione (A.N.A.C.) nelle recenti Linee Guida (Determinazione n. 8 del 17 giugno 2015), ha ritenuto tali enti riconducibili alla categoria degli “Organismi privatistici solo partecipati da soggetti pubblici”. Per l’effetto, assoggettandoli ad alcune prescrizioni della legge n. 190/2012, nonché al disposto dell’art. 1, commi da 15 a 32 della stessa in materia di Trasparenza amministrativa.
Obblighi di natura organizzativa, operativa, informativa e di controllo limitati rispetto a quelli diversamente imposti agli Organismi di diritto privato soggetti al controllo ex art. 2359 c.c. da parte di soggetti propriamente pubblici, come individuati dall’art. 1, d.lgs. n. 165/2001.
Ciò nondimeno, le Linee Guida ANAC attribuiscono alle Amministrazioni pubbliche esercenti la vigilanza e la partecipazione negli Enti di previdenza professionale il compito di sollecitarli all’adozione dei Modelli 231, da coordinare con l’adozione di semplificati presidi e strumenti di prevenzione dei fenomeni di maladministration. Trattasi di interventi di Risk Assessment e di Risk Management volti non solo a prevenire la verificazione dei reati corruttivi ex d.lgs. n. 231, ma anche di eventi e fenomeni non aventi rilevanza penale, ma sintomatici di una cattiva amministrazione.
Conseguentemente, le Casse previdenziali private si trovano a “dover” adottare il Modello penal-preventivo ex d.lgs. n. 231 – del quale alcune di esse risultano ancora sprovviste -, peraltro dovendolo integrare (ovvero coordinare mediante l’elaborazione di documento a latere) con semplificati Protocolli anti-corruzione (sebbene non sostanzianti il Piano Triennale di Prevenzione della Corruzione) ex legge n. 190/2012.
Operazione resa difficile dalla non corrispondenza, nè simmetria tra ratio, finalità e contenuti rispettivamente del d.lgs. n. 231/2001 e della legge n. 190/2012.
A ciò si aggiunga che nonostante la limitata applicazione della normativa Anticorruzione alle Casse private – come dichiarato dalle Linee Guida ANAC – l’associazione di categoria ADEPP ha assunto determinazioni di altro tenore.
Ha emanato un proprio Codice di comportamento in chiave Anticorruzione e Trasparenza, nonché Linee Guida per i propri Associati – sebbene non fossero obbligati in tal senso dalla legge 190 cit. – che adottano volontariamente misure organizzative, informative e di controllo proprio in direzione della prevenzione della corruzione e per la trasparenza amministrativa.
Ne risulta un duplice input operato, indirettamente, dall’ANAC e, direttamente, dall’ADEPP nel senso della doverosità (ovvero dell’opportunità) dell’adozione dei presidi Anticorruzione (anche) da parte degli Enti di previdenza professionale, da coordinare con gli “obbligatori” Modelli 231.
Input rispetto al quale, per i motivi qui sintetizzati, va attualmente registrata una sorta di ritrosia e di non accondiscendenza da parte degli enti associati.
Dal 1 gennaio 2015 è entrata in vigore la nuova fattispecie di Autoriciclaggio di cui all’art. 648 ter 1 c.p., introdotta dall’art. 3 della legge 15 dicembre 2014 n. 186.
Superando le storiche resistenze incentrate nel principio del “ne bis in idem” sostanziale, la nuova figura prevede e sanziona le attività di reimpiego (tipiche e tassative) dei proventi illeciti nel mercato economico legale, da parte del medesimo autore di un delitto non colposo, in modo da ostacolare concretamente l’identificazione.
Trattasi di un reato proprio (che può essere commesso solamente dall’autore o dal concorrente nella realizzazione del reato-fonte), plurioffensivo (in quanto lede le regole della concorrenza, del mercato e pregiudica l’amministrazione della Giustizia) e caratterizzato dal dolo generico (consapevolezza e volontà delle condotte tipiche).
L’impianto sanzionatorio è definito in funzione della gravità del reato-fonte. La sanzione base prevede la reclusione da 2 a 8 anni e la multa da E 5.000 a E 25.000.
Ex art. 3, 5° comma, l. 186 cit. l’autoriciclaggio è stato inserito nel catalogo dei reati-presupposto ex d.lgs. n. 231/2001, sub art. 25 octies: pertanto, anche tale nuova fattispecie può sostanziare il reato che, se compiuto dal soggetto organico, nell’interesse/vantaggio dell’ente collettivo, può comportare la responsabilità amministrativa per illecito di questo ultimo.
La cornice edittale delle sanzioni comminabili è articolata in alcune circostanze attenuanti (2° e 6° comma) e aggravanti (comma 5°), nonché in una causa di esclusione della punibilità dell’autore (4° alinea).
Proprio la prescrizione di cui al 4° comma offre un interessante spunto di riflessione.
Il testo recita:” “Fuori dei casi di cui ai commi precedenti, non sono punibili le condotte per cui il denaro, i beni o le altre utilita’ vengono destinate alla mera utilizzazione o al godimento personale”.
Secondo il letterale tenore, l’azione del mero e personale utilizzo o godimento del denaro, dei beni e delle altre utilità provenienti dal reato-base non comporterebbe la punibilità dell’autore, giacché difetterebbe la tipica e necessaria azione (successiva) della re-immissione dei proventi criminali, produttiva dell’effetto di money laundering. L’esempio di scuola é quello del furto della bicicletta poi giornalmente utilizzata dal ladro.
Tale essendo il tratto tipico del nuovo reato, ne risulterebbe carente un fattore costitutivo e, conseguentemente, la ragione del sanzionamento. Il testo del comma cit., tuttavia, presenta un contenuto involuto: non risulta specificato il senso dei lemmi “utilizzazione”, “godimento” e “personale”.
Non solo. Problematico appare anche il senso da attribuire all’incipit “Fuori dei casi di cui ai commi precedenti”. Va prospettandosi una prima interpretazione di tale inciso, nel senso che l’esenzione di responsabilità ricorrerebbe allorché difettino, nel caso concreto, i fattori costitutivi del reato, richiesti dall’art. 648 ter 1, primo comma.
Se ciò è corretto, in presenza di un reato-fonte, ancorché commesso dal medesimo soggetto (autore o concorrente) il quale abbia successivamente operato la re-immissione dei proventi illeciti in attività economiche, finanziarie, imprenditoriali o speculative, ma non anche l’azione del concreto ostacolo (effettiva efficacia causale) all’individuazione della provenienza di essi, non potrebbe scattare la sua punibilità.
Si immagini la commissione di un reato non colposo (es. truffa ai danni dello Stato, o un reato tributario): se l’impiego personale del denaro derivante si accompagnasse alla trasparente rappresentazione contabile e bilancistica, ovvero rimanesse sul c/c dell’impresa, la fattispecie prevista dalla norma non potrebbe dirsi realizzata.
Certamente, l’interpretazione del quarto comma dell’art. 648 ter 1 c.p. costituirà oggetto di particolare attenzione da parte di dottrina e giurisprudenza, rappresentando (presumibilmente) “l’exit strategy” difensiva per il soggetto imputato di tale reato.
La ricostruzione del senso corretto dell’inciso iniziale, nonché del richiesto “mero utilizzo personale” del frutto del reato-fonte, condizioneranno l’operatività di tale prescrizione. Basti pensare alle implicazioni del concetto di “godimento” (se da intendersi quale semplice utilizzo, anche statico, ovvero necessaria valorizzazione) e a quello di “personale” (se da intendersi come esclusivo, o ricomprendente anche l’utilizzo da parte di soggetti a sé prossimi).
Ma a tale problema ermeneutico, non il solo per il 648 ter 1 c.p., si aggiungono anche difficoltà applicative. La (voluta) mancata tipizzazione legislativa dei molteplici ed eterogenei reati-fonte impegnerà non poco l’operatore in sede di “mappatura” e di ponderazione delle potenzialità commissive di tale reato nel contesto del proprio ambito aziendale.
Del pari, impegnativa sarà l’ideazione di efficaci misure di prevenzione e controllo delle condotte post-reato-base, idonee ad impedire sia la re-immissione nel circuito economico dei proventi criminali, che il comportamento di ostacolo all’identificazione della loro provenienza.