Diversi anni fa durante uno dei tanti convegni a cui sono intervenuto in veste di relatore sul tema della 231 un partecipante mi avvicinò e mi disse, sa ho elaborato un sistema di certificazione del modello organizzativo ex D.Lgs. 231/2011, una vera e propria novità assoluta.
Gli risposi, mi dispiace per lei ma già altri l’hanno preceduta, e lui con tono piccato mi disse e chi sarebbero costoro?
Sono i 165 Tribunali italiani perché, allo stato, l’unica istituzione che può certificare la validità ed efficacia di un modello organizzativo ex D.Lgs. 231/2001 è il Tribunale o, in alcuni casi, la Procura della Repubblica.
L’aneddoto, assolutamente veritiero, rende bene l’idea dello stato dell’arte a distanza di oltre 20 anni dall’entrata in vigore della normativa in tema di responsabilità amministrativa degli enti.
Il legislatore dell’epoca con la legge n° 300 del 29 settembre 2000 ha introdotto nel nostro ordinamento il principio volto ad attribuire la responsabilità penale anche in capo alle persone giuridiche, demolendo un principio costituzionale fino a quel momento insormontabile, ovvero che “La responsabilità penale è personale” (art. 27 Cost.) e, di conseguenza, modificando il vecchio brocardo latino da “societas delinquere non potest” in “societas delinquere potest”.
Dal lontano anno 2000 ad oggi sono trascorsi molti anni ma, fondamentalmente, l’impianto normativo della 231 nel suo complesso è rimasto invariato anche se, nel corso degli anni, il legislatore ha inserito fra i reati presupposto la maggior parte dei reati presenti nel codice penale e nelle leggi speciali.
Sono stati inseriti illeciti molto diversi, e per certi aspetti completamente distanti gli uni dagli altri ad esempio, reati in tema di terrorismo, reati societari, reati relativi alla mutilazione degli organi genitali femminili ed all’impiego di cittadini terzi il cui soggiorno è irregolare ed ancora a delitti informatici, reati in materia fiscale.
Il D.lgs. 231/2001 è diventato un enorme contenitore dei reati più svariati con l’ovvia conseguenza che diventa sempre più difficile escludere la responsabilità tramite l’adozione e, la corretta attuazione del modello organizzativo e del controllo dell’ODV.
Inoltre, salvo il caso in cui si adotti un modello semplificato, ex art. 30 T.U. 81/08, appare evidente come non ci sia una differenziazione nella disciplina 231 fra piccole, medie imprese e grandi imprese, senza considerare che le piccole imprese costituiscono la quasi totalità del sistema produttivo italiano. A ciò si aggiunga che, le grandi imprese avendo strutture organizzative complesse meglio si adattano all’adozione dei modelli organizzativi, con la ovvia conseguenza che le PMI hanno notevoli difficoltà ad adottare un MOGC
- sia in termini di costi elevati per la realizzazione ma,
- anche per la mancanza di specifiche figure di supporto all’interno dell’azienda (assenza di un compliance manager, di un internal audit, di un risk manager).
La prima difficoltà in cui ci si è imbattuti fin dagli albori della normativa 231 è che non esisteva un modello organizzativo tipo a cui fare riferimento, l’unica norma di riferimento era l’art. 6 il quale al comma 1 prevede che, l’ente non risponde del reato se prova che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b).
Mentre al comma 2 stabilisce che, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze:
a) individuare le attività nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Le scarne informazioni presenti nel predetto comma 2 dell’art. 6 sono le uniche indicazioni che la norma forniva, e tutt’ora fornisce, per la redazione di un modello organizzativo ex D.Lgs. 231/2001, di conseguenza, ci si rende conto delle enormi difficoltà in cui si sono trovate le società, ed i rispettivi consulenti, allorquando si sono approcciati con una normativa del tutto nuova nel suo genere ed hanno dovuto redigere i primi pionieristici modelli organizzativi.
Gli unici punti di riferimento erano e, tutt’ora sono, che per andare esente da responsabilità l’ente prima della commissione del reato deve aver adottato ed efficacemente attuato modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; ma nulla viene esplicitato su come questi modelli debbano essere redatti, quali caratteristiche devono rispettare, o le procedure da adottare, non vi è traccia di tutto ciò nella norma.
Per andare incontro alle esigenze degli enti, Confindustria nel giugno 2001, in concomitanza con l’introduzione della normativa, predisponeva delle linee guida ma, è bene precisare che le predette linee guida erano, e sono, delle indicazioni di massima che non forniscono un modello standard di riferimento a cui rapportarsi.
Nel corso degli anni alle linee guida di Confindustria si sono affiancati i principi consolidati per la redazione dei modelli organizzativi e l’attività dell’organismo di vigilanza redatti dal Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili nonché, le varie linee guida pubblicate delle singole Associazioni di Categoria che in linea di massima si assomigliavano tutte nei contenuti.
Da ultimo, nel giugno 2021 Confindustria ha pubblicato, a distanza di 20 anni, le nuove linee guida aggiornate, stante anche le profonde modifiche giurisprudenziali apportate alla normativa, nonché lo sterminato numero di reati presupposto inseriti nel corso degli anni ma, fondamentalmente non sono altro che una rivisitazione aggiornata e rivista di quelle del 2001.
Il vero punto dolente della questione è che ad oggi non esiste un modello organizzativo standard certificato a cui fare riferimento né, tantomeno, esistono enti in grado di certificare la validità e l’efficacia di un modello 231.
In realtà, esistono varie normative che sono di fatto riconosciute come valide ai fini del D.Lgs. 231/01, come la ISO 45001:2018 (salute e sicurezza sul lavoro la ISO 14001 (sistemi di gestione ambientale), la ISO 37001 (gestione per la prevenzione della corruzione), la ISO 37301 (compliance management systems) ma, nessuna di queste può certificare un modello organizzativo ex D.Lgs. 231/2001.
Le citate norme ISO sono perfettamente integrabili con i modelli organizzativi ex D.Lgs. 231/2001, tanto è vero che, nella realizzazione di un MOGC le predette certificazioni costituiscono il punto di partenza da cui iniziare ad elaborare il modello ma, nonostante ciò, non basta aver conseguito delle certificazioni per dichiarare la validità e l’efficacia di un modello organizzativo, questo perché la normativa 231 è una procedura molto complessa che coinvolge diversi ambiti normativi con risvolti nel campo penale-processuale.
Ed è proprio questo uno dei più grandi problemi in cui ci si imbatte allorquando si adotta un modello organizzativo ex D.Lgs. 231/2011, ovvero la valutazione preventiva dell’idoneità dello stesso, visto che, in teoria qualsiasi modello è valido ed efficace fino a quando non viene sottoposto alla valutazione giurisdizionale.
Solo in conseguenza della commissione di un reato gli organi inquirenti sono incaricati di valutare se il modello organizzativo ha i requisiti per essere considerato valido ed efficace, prima di allora non vi è possibilità di avere una valutazione preventiva certa.
Sarà il P.M., che dopo aver acquisito la notizia di reato, incaricherà un CT a cui demanderà il compito di valutare l’idoneità del modello.
Ma, anche in questo caso, mutatis mutandis, ritorniamo al punto di partenza; in base a quali principi il CT incaricato valuterà l’idoneità del modello organizzativo?
Non potrà far altro che rifarsi alle varie linee guida, alla giurisprudenza, all’esperienza.
Ed a proposito di giurisprudenza sono stati molteplici gli influssi che in questi anni la giurisprudenza ha avuto sulla normativa 231.
Da ultimo, con la sentenza 23401/2022 la VI Sezione Penale della Suprema Corte ha finalmente chiarito, si spera una volta per tutte:
- i requisiti di idoneità del modello organizzativo,
- l’ambito di intervento dell’Organismo di Vigilanza,
- oltre ad aver dato una interpretazione dei profili relativi all’elusione fraudolenta del modello e
- del meccanismo probatorio posto a carico dell’ente ai fini dell’esonero dalla responsabilità.
Sono principi di notevole importanza che giungono dopo decenni di contrasti, ripensamenti e mutamenti di indirizzi giurisprudenziali che non hanno fatto sì che si potesse avere una linea unica di pensiero a cui adeguarsi.
La Suprema Corte con la sentenza citata, in primis ribadisce un principio cardine nella procedura penale, ovvero che nella normativa ex D.Lgs. 231/2001 non è previsto alcuna inversione dell’onere probatorio, come ritenuto dai più fino a quel momento, poiché, il fondamento della responsabilità dell’ente è costituito dalla “colpa di organizzazione“, essendo tale deficit organizzativo quello che consente la piena ed agevole imputazione all’ente dell’illecito penale.
Un altro punto di notevole interesse, evidenziato dagli ermellini riguarda il giudizio relativo all’idoneità del modello organizzativo; secondo i giudici è indiscutibile che si deve partire dal presupposto che un reato sia stato effettivamente consumato, anche perché opinando diversamente, infatti, qualora un reato venisse realizzato, essendosi il modello rivelatosi, nei fatti, incapace di prevenirne la commissione, la clausola di esonero della responsabilità dell’ente non potrebbe mai trovare applicazione e la citata disposizione normativa sarebbe, di fatto, inutiliter data.
Per la Cassazione, la commissione del reato non equivale a dimostrare che il modello non sia idoneo ma, anzi, il rischio reato viene ritenuto accettabile quando il sistema di prevenzione non possa essere aggirato se non fraudolentemente, a conferma del fatto che il legislatore ha voluto evitare di punire l’ente secondo un criterio di responsabilità oggettiva.
Il modello costituisce uno degli elementi che concorre alla configurabilità o meno della colpa dell’ente, nel senso che la rimproverabilità di quest’ultimo e, di conseguenza, l’imputazione ad esso dell’illecito sono collegati all‘inidoneità od all’inefficace attuazione del modello stesso, secondo una concezione normativa della colpa: in estrema sintesi, l’ente risponde in quanto non si è dato un’organizzazione adeguata, omettendo di osservare le regole cautelari che devono caratterizzarla, secondo le linee dettate dal citato articolo 6.
Da quanto innanzi detto ne consegue che il giudice, nella sua valutazione, dovrà collocarsi idealmente nel momento in cui il reato è stato commesso e verificarne la prevedibilità ed evitabilità qualora fosse stato adottato il modello “virtuoso“, secondo il meccanismo epistemico-valutativo della c.d. “prognosi postuma“, già sperimentato in altri ambiti del diritto penale.
Il modello organizzativo, dovrà essere testato dal giudice non nella sua globalità, bensì in relazione alle regole cautelari che risultano violate e che comportano il rischio di reiterazione di reati della stessa specie. È all’interno di questo giudizio che occorre accertare la sussistenza della relazione causale tra reato ovvero illecito amministrativo e violazione dei protocolli di gestione del rischio.
Occorre stabilire, una volta per tutte, quale debba essere il parametro sul quale va calibrato il giudizio di adeguatezza del modello organizzativo.
L’articolo 6, comma 4, nel prevedere che i modelli possano essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti e comunicati al Ministero della Giustizia, per eventuali osservazioni di concerto con i Ministeri competenti, esprime l’esigenza d’introdurre un meccanismo che fissi parametri orientativi per le imprese e le società, al fine di ridurre il rischio di una disomogeneità interpretativa ed attuativa nella valutazione giudiziale dei modelli. L’approvazione dei codici di comportamento da parte del Ministero della Giustizia dovrebbe, dunque, assicurare una certa omogeneità nell’àmbito del territorio nazionale circa le caratteristiche fondamentali dei modelli per le diverse categorie d’imprese, rappresentando, per la stessa autorità giudiziaria, un importante parametro di riferimento, sebbene non vincolante.
Diversamente, le linee-guida elaborate dagli enti rappresentativi di categoria non potranno rappresentare la regola organizzativa esclusiva ed esaustiva.
L’articolo 6, comma 4, Decreto Legislativo cit. prevede un procedimento funzionale, almeno nelle intenzioni del legislatore, da un lato, a fissare, attraverso le c.d. linee guida, parametri orientativi per le imprese nella costruzione del “modello organizzativo”; dall’altro, a temperare la discrezionalità del giudice nella valutazione dell’idoneità del modello stesso.
Tuttavia, occorre prendere atto che il percorso in ordine ai criteri di progettazione e implementazione del modello da parte dell’impresa è frutto di un processo di auto-normazione, in cui è l’impresa, anche tenendo presenti le indicazioni delle associazioni di categoria, che individua le cautele da porre in essere per ridurre il rischio di commissione dei reati.
Vi è, quindi, la necessità che il modello sia quanto più singolare possibile, perché, solamente se calibrato sulle specifiche caratteristiche dell’ente (dimensioni, tipo di attività, evoluzione diacronica), esso può ritenersi effettivamente idoneo allo scopo preventivo affidatogli dalla legge.
Di contro, in presenza di un modello organizzativo conforme a quei codici di comportamento, il giudice sarà tenuto specificamente a motivare le ragioni per le quali possa ciò nonostante ravvisarsi la “colpa di organizzazione” dell’ente, individuando la specifica disciplina di settore, anche di rango secondario, che ritenga violata o, in mancanza, le prescrizioni della migliore scienza ed esperienza dello specifico àmbito produttivo interessato, dalle quali i codici di comportamento ed il modello con essi congruente si siano discostati, in tal modo rendendo possibile la commissione del reato.
Nel lontano 2010 l’agenzia di ricerche e legislazione, Arel, aveva formulato una proposta di riforma della normativa 231.
La proposta aveva ad oggetto la possibilità che un ente terzo certificasse il modello di organizzazione gestione e controllo e, in particolare, la sua idoneità ed efficacia in modo tale da creare uno standard unico a cui fare riferimento.
La certificazione, sarebbe stata affidata a soggetti inseriti in un apposito albo tenuto presso il Ministero della Giustizia, ed avrebbe dovuto definire le caratteristiche professionali e di indipendenza dei soggetti abilitati ad ottenere la certificazione, ed inoltre i criteri generali di idoneità del modello e delle procedure.
In questa ottica un ente terzo, seguendo delle linee normative prestabilite, dopo aver valutato il modello organizzativo poteva certificarne la conformità ad una predetta norma.
Questo sistema avrebbe fatto sì che i modelli avessero avuto un unico standard di riferimento sia in fase di realizzazione che, di valutazione successiva da parte della magistratura con minori possibilità che si creassero disparità di valutazioni.
Del resto non si sarebbe inventato nulla di nuovo, anzi, bastava replicare quanto già avviene nella normativa relativa al trattamento dei dati personali, esiste l’Autorità Garante della Privacy che emette provvedimenti e a cui si possono richiedere pareri, che, di certo, sono di ausilio all’attività del c.d. Data Protection Officer (DPO).
Un primo importante passo verso la certificazione del modello 231 si è avuta con l’introduzione della norma ISO 37301 ovvero la norma di certificazione dei sistemi di gestione per la compliance, capace di indirizzare le organizzazioni nell’adozione di un efficace complesso di misure organizzative, con l’obiettivo di governare i rischi aziendali in maniera integrata e permettere di fare dialogare le procedure ed i controlli, riferibili anche a sistemi normativi differenti, evitando sovrapposizioni e reciproche interferenze.
Nel 2021 Accredia – Ente Italiano di Accreditamento – con una propria circolare tecnica ha dichiarato che, in un’ottica di compliance integrata, ci si attende che la norma ISO 37301 porti un beneficio anche alla gestione dei Modelli di Organizzazione e Gestione (MOG) ai sensi del D. Lgs. 231/2001.
In definitiva possiamo concludere che, ad oggi, la situazione resta praticamente immutata.
Le aziende che decidono di adottare un modello organizzativo ex D.Lgs. 231/2001 non potranno mai avere la certezza che, in caso di commissione di un reato, quel modello reggerà il vaglio di un P.M. o di un Tribunale.
Inoltre, come è noto ai più, l’adozione del modello 231 non è obbligatoria, anche se dopo la riforma del Codice della Crisi d’Impresa e l’introduzione nell’art. 2086 C.C. del comma secondo l’adozione di un modello organizzativo per l’imprenditore è divenuto a mio modesto parere obbligatorio visto il tono imperativo della norma: “L’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.