Premessa
Dopo anni di attesa, sono state emanate le nuove “Linee Guida per la costruzione dei Modelli di organizzazione, gestione e controllo ai sensi del Decreto Legislativo 8 giugno 2001, n. 231” (le “Linee Guida”), con la medesima premessa: “Confindustria si propone, mediante le presenti Linee Guida, di offrire alle imprese che abbiano scelto di adottare un modello di organizzazione e gestione una serie di indicazioni e misure, essenzialmente tratte dalla pratica aziendale, ritenute in astratto idonee a rispondere alle esigenze delineate dal decreto 231”.
In considerazione di tale funzione ispiratrice, si analizzano di seguito le principali novità delle Linee Guida da considerare nell’attività di predisposizione ovvero aggiornamento dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001 (i “Decreto 231”) nonché nell’attuazione dei medesimi.
Interesse o vantaggio
Nonostante non vi siano modifiche sostanziali ai concetti di interesse o vantaggio, le Linee Guida forniscono alcuni riferimenti alle recenti pronunce giurisprudenziali in materia; in particolare, si richiama l’orientamento relativo alla nozione di interesse in chiave finalistica della condotta[1] nonché la giurisprudenza che ha interpretato i concetti di interesse o vantaggio in termini di risparmio di spesa per l’ente (ad esempio, risparmio di costi per la sicurezza in relazione ai reati commessi in violazione della normativa in materia di salute e sicurezza sul lavoro)[2].
Tassatività dei reati presupposto
Nella parte iniziale le Linee Guida evidenziano come il principio di tassatività dei reati presupposto di cui al Decreto 231 sia stato scosso dall’introduzione all’interno dell’art. 25-octies del Decreto 231 del reato di autoriciclaggio.
Ampiamente discussa è la possibilità che tramite il reato di autoriciclaggio la responsabilità 231 possa essere estesa a tutti i reati-fonte ovvero che la stessa debba essere limitata al caso in cui il reato-fonte dell’autoriciclaggio rientri nel novero dei reati presupposto di cui al Decreto 231.
In proposito, le Linee Guida evidenziano come un’interpretazione estensiva comporterebbe un rinvio indeterminato a ulteriori fattispecie, con la conseguente e principale difficoltà di predisporre adeguati presìdi.
Importanza dell’attività informativa e formativa per l’attuazione del Modello
Anche se con un mero inciso nel testo, le Linee Guida indicano l’effettuazione di adeguate iniziative di formazione e informazione del personale come uno dei tre principali requisiti per l’efficace attuazione del modello di organizzazione, gestione e controllo (assieme alla periodica verifica e aggiornamento del documento e alla previsione di un sistema disciplinare idoneo).
Concorso dell’extraneus nel reato “proprio”
Le Linee Guida ribadiscono come il concorso nel reato possa rilevare ai fini della responsabilità della società anche nell’ipotesi del cosiddetto concorso dell’extraneus nel reato “proprio” e richiamano la recente giurisprudenza in base alla quale “ai fini dell’applicabilità dell’art. 117 c.p., che disciplina il mutamento del titolo del reato per taluno dei concorrenti, è necessaria, per l’estensione del titolo del reato proprio al concorrente extraneus, la conoscibilità della qualifica soggettiva del concorrente intraneus”[3].
Pertanto, il dipendente che concorre con un pubblico ufficiale nella commissione di un reato nell’interesse o a vantaggio della società può rispondere a titolo di concorso dell’extraneus nel reato “proprio” commesso dal pubblico ufficiale in caso di: (i) consapevolezza della funzione di pubblico ufficiale del soggetto contattato; (ii) consapevolezza dell’antigiuridicità della condotta richiesta; (iii) partecipazione attiva alla concretizzazione della condotta stessa.
Sistemi di compliance integrata e di compliance fiscale
Nel capitolo relativo all’“individuazione dei rischi e protocolli”, Confindustria introduce la trattazione:
- del sistema integrato di gestione dei rischi, che permetterebbe grazie a una “compliance integrata”: (i) una razionalizzazione delle attività (in termini di risorse, persone, sistemi, ecc.) evitando duplicazioni anche in termini di verifiche e azioni correttive; (ii) un miglioramento dell’efficacia ed efficienza delle attività di compliance, anche con riferimento alle procedure aziendali; (iii) un’agevolazione nella condivisione delle informazioni, tramite risk assessment congiunti in vari ambiti e manutenzione periodica dei programmi di compliance; (iv) un maggiore coordinamento e collaborazione – attraverso l’adozione di specifici meccanismi – dell’attività svolta dai principali attori aziendali (tra i quali, Datore di Lavoro, Dirigente Preposto, responsabile compliance, responsabile internal audit, Collegio Sindacale, ecc.);
- dei sistemi di controllo ai fini della compliance fiscale, nell’ottica di un approccio integrato rispetto all’introduzione dei reati tributari nel novero dei reati presupposto ex Decreto 231; in tale contesto, l’adozione da parte di alcune società di un Tax Control Framework (TFC) e l’implementazione di un “sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale”[4] danno la possibilità di orientare i modelli di organizzazione, gestione e controllo verso un efficace contenimento dei rischio di commissione dei reati fiscali. Nonostante le numerose analogie tra sistemi di controllo fiscale e modelli di organizzazione gestione e controllo (i.e. attività di monitoraggio, testing, reporting, flussi informativi ecc.), le Linee Guida precisano che l’adozione di tali sistemi – seppur di grande supporto – non sarebbe sufficiente ai fini dell’esimente della responsabilità ex Decreto 231, in quanto non contemplerebbe: (i) tutti gli altri reati e illeciti amministrativi richiamati dal Decreto 231 e i sistemi di prevenzione dei medesimi; (ii) un organismo di vigilanza e un sistema di flussi informativi nei confronti dello stesso; (iii) un sistema disciplinare; (iv) un sistema di whistleblowing, ecc.
Whistleblowing
A seguito delle modifiche apportate dalla Legge 30 novembre 2017 n. 179, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, i modelli di organizzazione, gestione e controllo devono contenere un sistema di segnalazioni conforme a quanto previsto dall’art. 6, comma 2-bis del Decreto 231 in relazione a: canali di segnalazione, garanzia della riservatezza del segnalante; divieto di atti ritorsivi e integrazione del sistema disciplinare.
In relazione all’attuazione di tale disciplina, le Linee Guida evidenziano come – al di là del rispetto delle disposizioni dettate in materia di privacy – la riservatezza del segnalante deve essere tenuta distinta dall’anonimato, in considerazione del fatto che per garantire al segnalante un’adeguata tutela è necessario che lo stesso sia riconoscibile. Ciò non esclude la possibilità di segnalazioni anonime, che, tuttavia, per essere maggiormente attendibili dovrebbero essere consentite solo se adeguatamente documentate o dettagliate.
Quanto all’utilizzo di modalità informatiche atte a garantire la riservatezza dell’identità del segnalante – oltre a un richiamo alle indicazioni fornite dall’ANAC – le Linee Guida evidenziano la possibilità di utilizzare piattaforme informatiche ovvero l’attivazione di apposite caselle di posta elettronica. Le procedure in materia di whistleblowing dovranno andare, quindi, di pari passo con l’attivazione degli strumenti informatici prescelti dalle società.
Per quanto riguarda la scelta del destinatario delle segnalazioni, questa dovrà essere effettuata in base alle dimensioni e all’organizzazione della società (o di un gruppo societario). Le Linee Guida indicano i seguenti possibili destinatari: l’Organismo di Vigilanza; il responsabile della funzione compliance; un comitato formato da varie funzioni (ad esempio, legale, internal audit, compliance, HR); un ente o soggetto esterno dotato di comprovata professionalità, che si occupi di gestire la prima fase di ricezione delle segnalazioni in coordinamento con la società e funga da filtro delle medesime; il datore di lavoro delle PMI.
In ogni caso, anche se non prescelto come destinatario delle segnalazioni, l’Organismo di Vigilanza dovrà essere coinvolto in funzione dell’attività di controllo svolta su tematiche rilevanti in relazione alla disciplina di cui al Decreto 231.
Infine, in considerazione della recente Direttiva (UE) 2019/193 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione” – in base alla quale verrà istituito l’obbligo per i soggetti giuridici privati con oltre cinquanta dipendenti di creare un sistema di segnalazione interno – Confindustria auspica che il recepimento della stessa avvenga disgiuntamente dal Decreto 231, onde evitare il configurarsi per tutte le PMI di un obbligo di adozione del modello di organizzazione, gestione e controllo.
Comunicazioni di informazioni non finanziarie
Le Linee Guida dedicano nuovo e autonomo paragrafo alle comunicazioni delle informazioni non finanziarie (DNF) ex D.Lgs. 30 dicembre 2016, n. 254, fornendo dettagli circa il contenuto (temi sociali, diritti umani, ambiente, anticorruzione, ecc.) e lo scopo delle medesime.
In tale ambito, assume sicuramente rilevanza – come evidenziato nelle Linee Guida – il modello di organizzazione, gestione e controllo, la cui descrizione deve essere riportata all’interno della DNF.
Sanzioni interdittive
Vengono evidenziate le modifiche apportate al Decreto 231 dalla Legge 9 gennaio 2019, n. 3, cosiddetta (cosiddetta Legge Spazzacorrotti) in ambito sanzionatorio. In proposito, si ricorda l’avvenuto inasprimento delle sanzioni interdittive per i reati presupposto di cui all’art. 25 (da 4 a 7 anni se il reato è commesso da un soggetto in posizione apicale, da 2 a 4 se il reato è commesso da un sottoposto) e la previsione (al comma 5-bis all’art. 25) di una diminuzione della durata delle sanzioni interdittive nel caso in cui, “prima della sentenza di primo grado l’ente si è efficacemente adoperato per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, per assicurare le prove dei reati e per l’individuazione dei responsabili ovvero per il sequestro delle somme o altre utilità trasferite e ha eliminato le carenze organizzative che hanno determinato il reato mediante l’adozione e l’attuazione di modelli organizzativi idonei a prevenire reati della specie di quello verificatosi”.
Gruppi di imprese
All’interno del paragrafo dedicato alla “responsabilità della holding per il reato commesso nella controllata”, le Linee Guida richiamano una delle principali sentenze in materia che ha chiarito come l’interesse o vantaggio dell’ente debbano essere riscontrati in concreto[5]. In base a tale pronuncia – evidenziano le Linee Guida – la responsabilità ex Decreto può estendersi alle società collegate solo a condizione che: (i) all’interesse o vantaggio di una società si accompagni anche quello concorrente di altra società e (ii) la persona fisica autrice del reato presupposto sia in possesso della qualifica soggettiva necessaria, ai sensi dell’art. 5 del Decreto 231.
Organismo di Vigilanza e Codice di Corporate Governance
In relazione ai requisiti di autonomia e indipendenza dell’Organismo di Vigilanza, le Linee Guida sottolineano come gli stessi appaiano assicurati “riconoscendo all’Organismo in esame una posizione autonoma e imparziale, prevedendo il ‘riporto’ al massimo vertice operativo aziendale, vale a dire al Consiglio di Amministrazione nonché la dotazione di un budget annuale a supporto dell’attività di verifica tecniche necessarie per lo svolgimento dei compiti ad esso affidati dal legislatore”[6].
Vengono, inoltre, effettuate alcune precisazioni in merito al ruolo dell’Organismo di Vigilanza alla luce del nuovo Codice di Corporate Governance (già Codice di Autodisciplina) per le società quotate.
Posta la possibile coincidenza tra organo di controllo e organismo di vigilanza, il Codice di Corporate Governance prende in considerazione anche la possibilità che il Collegio Sindacale non assuma il ruolo di Organismo di Vigilanza, suggerendo in tal caso una composizione mista dell’Organismo.
Qualora, infatti, Organismo di Vigilanza e Collegio Sindacale non coincidano, l’organo amministrativo dovrà valutare l’opportunità di nominare all’interno dell’Organismo di Vigilanza almeno un amministratore non esecutivo e/o un membro dell’organo di controllo e/o titolare di finzioni legali o di controllo della società al fine di assicurare un coordinamento tra i diversi soggetti coinvolti nel sistema di controllo e di gestione dei rischi.
La scelta sulla composizione dell’Organismo di Vigilanza deve, inoltre, essere formalizzata all’interno della relazione sul governo societario.
Il Codice di Corporate Governance ha avuto modo di esprimersi altresì – come richiamato dalle Linee Guida – in merito all’Organismo di Vigilanza formato da soli membri esterni all’ente, considerando tale scelta “[…] compatibile con il Codice purché sia assicurato – mediante il supporto delle funzioni aziendali e la cura di adeguati flussi informativi – un adeguato coordinamento con i soggetti coinvolti nel sistema di controllo interno e di gestione dei rischi”[7].
Obblighi di informazione nei confronti dell’Organismo di Vigilanza
All’interno di tale paragrafo viene posta in evidenza la necessità di flussi informativi tra organi di controllo nei seguenti termini: il Collegio Sindacale informa l’Organismo in caso di carenze o violazioni rilevanti del modello di organizzazione, gestione e controllo e in caso di eventi o anomalie che rientrino nell’aree “sensibili” alla commissione dei reati presupposto; specularmente, l’Organismo di Vigilanza è tenuto a comunicare al Collegio Sindacale le carenze eventualmente riscontrate nella valutazione circa la concreta attuazione del modello di organizzazione, gestione e controllo (ad esempio, nell’ambito delle verifiche sui processi sensibili ai reati fiscali, sui rischi di condotte corruttive, sulla commissione dei reati societari, ecc.).
Le Linee Guida aggiungono, poi, l’opportunità di uno scambio di flussi informativi anche tra internal audit e OdV sugli esiti delle verifiche ispettive che abbiano rilevanza “231” al fine di evitare la duplicazione di attività e il rischio di un “cortocircuito informativo”.
Appendice
All’interno dell’“Appendice: Case Study”, in calce alle Linee Guida, vengono analizzati i reati presupposto, tra cui le fattispecie di nuova introduzione, alla luce delle novità normative (ad esempio, in materia di antiriciclaggio, di market abuse, ecc.) e giurisprudenziali intervenute dall’ultimo aggiornamento delle Linee Guida (nel 2014) ad oggi.
[1] Cass. pen., Sez. II, 9 gennaio 2018, n. 295; Cass. pen, Sez. IV, 29 gennaio 2020 n. 3731.
[2] Cass. pen, Sez. III, 3157/2019; Cass. pen., n. 3731/2020 (ibid.).
[3] Cass. pen., Sez. VI, 7 giugno 2019, n. 25390.
[4] Tali strumenti risultano necessari per avere accesso al regime di adempimento collaborativo introdotto nel nostro ordinamento dal D.Lgs. 5 agosto 2015, n. 128.
[5] Cass. pen., Sez. II, 9 dicembre 2016, n. 52316.
[7] Linee Guida, p. 84, ove viene richiamata la risposta fornita dal Comitato per la Corporate Governance alla prima raccolta di Q&A funzionali all’applicazione del Codice di Corporate Governance.
