Adeguatezza e idoneità dei Modelli di Organizzazione e Gestione e Controllo ex D.lgs. n. 231/2001 di Marcello Martinez

Il termine Modello Organizzativo, o più precisamente Modello di organizzazione, gestione e controllo (MOGC) è utilizzato nell’ordinamento giuridico italiano nell’ambito delle disposizioni del D.lgs. 8 giugno 2001, n. 231. Il Decreto recante la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, in attuazione della Legge delega n. 300/2000, ha introdotto in Italia la responsabilità diretta delle aziende, in sede penale, per i reati commessi nell’interesse o a vantaggio delle stesse. È stata attribuita al giudice penale la competenza a giudicare, in parallelo, la responsabilità dei soggetti cui è attribuita la commissione del reato e la responsabilità dell’azienda nell’interesse o a vantaggio della quale il reato sarebbe stato commesso . In particolare, l’art. 9 prevede specifici tipi di sanzioni da applicare alle aziende nel caso di riconosciuta loro responsabilità.
Il presupposto essenziale per l’applicazione del decreto è che gli illeciti sia-no commessi nell’interesse o a vantaggio delle aziende da parte di: a) soggetti in posizione apicale; b) soggetti in posizione subordinata.
Il Decreto prevede espressamente che, a determinate condizioni, l’azienda possa essere esente da responsabilità. In particolare, nel primo caso, laddove il reato sia commesso da soggetti in posizione apicale, la responsabilità amministrativa dell’azienda sarà esclusa (art. 6 e art. 7 del decreto) se essa prova la sussistenza di tutte queste condizioni:
• ha adottato ed efficacemente attuato modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi, prima della commissione del reato;
• le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e gestione;
• il compito di vigilare sul funzionamento e l’osservanza dei modelli e di cu-rare il loro aggiornamento è stato affidato ad un organismo dell’impresa, dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza e Controllo, di seguito OdV);
• non vi è stata omessa o insufficiente vigilanza da parte dell’OdV.
Nel secondo caso, ossia laddove il reato sia commesso da persone sottoposte alla direzione o alla vigilanza dei soggetti in posizione apicale, la responsabilità dell’azienda sussiste nel caso in cui la commissione del reato sia stata re-sa possibile dall’inosservanza degli obblighi di direzione e vigilanza che i soggetti apicali hanno verso tali persone. Si prevede, però, all’art. 7, comma 2, che: “in ogni caso, è esclusa l’inosservanza degli obblighi di direzione e vigilanza se l’impresa, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi”.
La responsabilità dell’azienda è, infine, esclusa (art. 5, comma 2 del decreto) se gli autori del reato hanno agito nell’interesse esclusivo proprio o di terzi.
Ovviamente in tutti i casi rimane inalterata la responsabilità degli autori del reato.
Va immediatamente detto che l’adozione di un MOGC, come anche la no-mina dell’Organismo di vigilanza di cui all’art. 6, non è un adempimento obbligatorio per le aziende , nonostante in alcuni casi sia fortemente raccomandato se non addirittura indotto . Da questo punto di vista, dunque, i MOGC assumono una connotazione diversa rispetto agli assetti organizzativi, che in-vece rappresentano come visto un elemento obbligatorio per l’esercizio dell’attività societaria e imprenditoriale in genere. Il legislatore comunque introduce il concetto di idoneità di modelli organizzativi, che secondo gran parte della dottrina giuridica è una declinazione, in un ambito particolare, del concetto dell’adeguatezza già analizzato. Per questo motivo, anche le disposizioni del D.lgs. n. 231/2001 si pongono pienamente nella ratio di quelle già viste norme del Codice civile che sanciscono il principio di “adeguatezza nel go-verno societario”. Infatti, la dottrina giuridica e la giurisprudenza hanno ampiamente sottolineato come la mancata adozione o l’inidoneità di un MOCG configuri la presenza di una “colpa organizzativa” o “colpa dell’organizzazione” . Questa colpa ovviamente va imputata all’azienda, in-tesa come persona giuridica, se si verifica uno dei reati previsti, se si presenta-no le condizioni previste dal decreto e se non è stato adottato il MOGC o se il MOGC è considerato “inidoneo” dall’autorità giudiziaria. In questo caso l’azienda incorrerà, a seguito di pronuncia giudiziaria, nelle previste sanzioni pecuniari ed amministrative . Sempre e solo nella situazione appena descritta, si può configurare anche una colpa organizzativa degli organi di amministrazione e gestione. Infatti, in questo caso, ma solo in questo caso, anche gli amministratori potrebbero essere considerati inadempienti e dunque responsabili della non “idonea” adozione del MOGC .
Ma cosa intende il legislatore dunque per MOGC? Nel D.lgs. n. 231/2001 il legislatore fornisce, alcuni indizi. Nel comma 2 dell’art. 6, chiarisce che si tratta di un insieme di “protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”, adottati dopo avere individuato “le attività nel cui ambito possono essere commessi reati”. A questi elementi si devono aggiungere: “un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”; “modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati”; “obblighi di informazione nei confronti dell’organismo (OdV) deputato a vigilare sul funzionamento e l’osservanza dei modelli” nonché al comma 2 bis dell’art. 6 anche canali di segnalazione degli illeciti conformi ai principi del cosiddetto whistleblowing . Nell’art. 7, comma 3 poi il D.lgs. ulteriormente specifica che: “Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure ido-nee a garantire lo svolgimento dell’attività nel rispetto della legge e a scopri-re ed eliminare tempestivamente situazioni di rischio”.
Nonostante vi siano alcune prescrizioni, tuttavia, è opinione condivisa dalla dottrina giuridica che anche in questo caso il legislatore abbia lasciato all’autonomia delle aziende la definizione concreta di propri MOGC ex D.lgs. n. 231/2001 . Infatti, lo stesso D.lgs. n. 231/2001 evoca il ricorso a forme di normazione di tipo integrativo laddove prevede che (art. 6, comma 3): “I modelli di organizzazione e di gestione possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento redatti dal-le associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati”. Esistono pertanto numerose Linee guida, anche settoriali, che approfondiscono e definiscono le modalità di elaborazione dei modelli, distinguendone specificità e principi in funzione della natura delle aziende, e anche in funzione della loro dimensione .
Anche nel caso dei MOGC, dunque, vale il principio di proporzionalità e/o di multi-contingenza (si veda capitolo 1 del presente volume) nonché di adeguamento temporale degli stessi. Si richiede infatti la costruzione e il continuo aggiornamento di soluzioni organizzative “su misura” e non la mera approva-zione formale di un documento “universale” delle cui disposizioni poi magari non si trova traccia nella vita aziendale che segue altre dinamiche e accadi-menti. D’altronde lo stesso D.lgs. n. 231/2001 dispone che (art. 7, comma 4): “L’efficace attuazione del modello richiede: a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività”.
Deve tuttavia evidenziarsi che i MOGC quali intesi dal legislatore, quali interpretati dalla dottrina giuridica e quali esplicitati dalle disposizioni regolatorie di tipo professionale o associativo, ma anche quali richiesti dalla giurisprudenza, hanno un oggetto meno esteso di quello invece attribuibile e dalle stesse fonti attribuito agli assetti organizzativi . Il MOGC ha infatti una sua preci-sa finalità: ridurre per l’azienda il rischio che vengano commessi i reati specificamente indicati dal Dlgs 231/2001 e s.m.i. Indubbiamente da tale punto di vista i MOCG devono applicare, come visto anche nel caso degli assetti organizzativi, alcuni principi di procedimentalizzazione al fine di “trasformare l’incertezza non misurabile in rischio misurabile”, ma ovviamente non investono (come invece è richiesto agli assetti organizzativi, amministrativi e contabili) tutto il complesso delle attività aziendali. Sicuramente il legislatore, interpretando la rilevanza di specifiche tematiche e lo sviluppo delle normative comunitarie e nazionali, di volta in volta ha integrato il cosiddetto “catalogo dei reati ex D.lgs. n. 231/2001”, ma ovviamente ne risultano escluse specifiche fattispecie che invece assumono rilievo anche in termini di responsabilità degli organi aziendali. A titolo esplicativo, il documento congiunto Confindustria, ABI e CNDCEC e Consiglio forense richiede che il MOGC sia integrato con quei sistemi di controllo con i quali ha evidenti aree di complementarità: il sistema ex D.lgs. n. 81/2008 relativo alla salute e sicurezza nei luoghi di lavo-ro; il modello di supporto alle funzioni del Dirigente Preposto Legge n. 262/2005 (per gli Enti quotati); le certificazioni in ambito anticorruzione (ISO 37001); le certificazioni aziendali in campo ambientale (ISO 14001); le certificazioni OHSAS, 18001 che rafforzano il funzionamento dei presidi in ambi-to salute e sicurezza nei luoghi di lavoro; i sistemi di gestione della sicurezza delle informazioni (ISO 27001). Anche la lettura della Giurisprudenza sostiene una visione di “Modello 231 integrato” . Per le considerazione sopra esposte la pratica professionale raccomanda che il MOGC, al fine di favorire un approccio unitario nella gestione del rischio, non si aggiunga in maniera aprioristica e irrazionale a tutte le altre strutture di conformità e controllo esistenti, ma, ove possibile, realizzi una sinergica sovrapposizione e coincidenza con le procedure e i protocolli già adottati nell’ambito del complessivo Sistema di Controllo aziendale, garantendo inoltre una continuità d’azione. In concreto, sempre secondo il suddetto documento congiunto, un MOGC deve recepire, se preesistenti, e predisporre ex novo, laddove necessario:
• regole formali che definiscono i ruoli e le responsabilità relative ai processi analizzati oltre che opportune modalità di tracciabilità e ricostruzione dei processi decisionali;
• principi di comportamento e azioni di controllo sulle attività svolte tali da prevenire comportamenti a rischio in ambito 231/2001;
• policy aziendali di gestione e prevenzione dei conflitti di interessi;
• procedure di controllo ad ogni livello operativo;
• predisposizione di sistemi informativi per l’intercettazione di anomalie;
• procedure di registrazione di ogni fatto di gestione con adeguato grado di dettaglio;
• procedure formalizzate per la gestione delle risorse finanziarie;
• deleghe specifiche formalizzate;
• procedure formalizzate per la redazione dei contratti.
A queste tipologie di protocolli si aggiungono un Codice Etico e, nel caso delle aziende a controllo pubblico, un Codice di comportamento, documenti nei quali è contenuto l’insieme dei diritti, doveri e responsabilità dell’azienda nei confronti degli stakeholders (dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario, ecc.). Tale Codici mirano a racco-mandare, promuovere o vietare determinati comportamenti e possono conte-nere un apparato sanzionatorio disciplinare, parametrato alla gravità delle eventuali infrazioni commesse.
In sostanza, è consolidato il principio secondo il quale il MOGC deve esse-re compatibile con l’assetto organizzativo aziendale inteso in senso ampio, di cui deve evidenziare punti di forza e debolezza solo in termini di capacità di prevenzione dei reati previsti dal D.lgs. n. 231/2001. Ma, anche in questo caso, va evitato il rischio di cadere nella tentazione di mettere in atto un’attività di vigilanza di tipo formale basata sulla mera rilevazione di presenza o assenza nel MOGC di requisiti standard e “universali”, magari rilevati con generiche check list. Va evidenziato con grande chiarezza invece che la costruzione di un MOGC deve porsi l’obiettivo di raggiungere un doppio grado di adeguatezza, che va intesa sia come specificità sia come idoneità.
In primo luogo, anche la principale dottrina giuridica perviene alla conclusione che assetti e modelli sono diversi dal punto di vista dell’ambito: “il campo operativo degli assetti appare decisamente più ampio: i modelli di organizzazione e gestione sono infatti previsti solo con l’intento di prevenire la commissione di determinati reati e con il fine di evitare la responsabilità patrimoniale dell’ente” . Un MOGC rappresenta dunque uno dei componenti di un assetto organizzativo e più precisamente un particolare tipo di sistema di coordinamento e controllo. In questo senso va di nuovo applicato il principio della multi-contingenza per cui un MOGC di un’azienda risulterà “adeguato” laddove costruito rispettando quel principio che nella documentazione professionale viene chiamato di specificità aziendale cioè di adeguatezza alle caratteristiche di un’azienda e che devono essere richiamate nel più vasto concetto di assetto organizzativo. Anche il MOGC, in quanto sistema di coordinamento e controllo e dunque elemento dell’assetto, deve essere approvato dagli organi sociali e deve risultare, in coerenza alla prospettiva di proporzionalità e/o multi-contingenza, allineato (fit) e dunque adeguato, alle altre scelte di volta in volta effettuate in merito agli altri componenti dell’assetto organizzativo. Parimenti si esprime anche la principale giurisprudenza, a partire dalla nota Tribunale di Milano, GIP, 9 novembre 2004 – Esame dell’idoneità dei modelli di organizzazione, gestione e controllo ex artt. 6 e 7 D.lgs. n. 231/2001: “Deve subito sottolinearsi che le scelte organizzative dell’impresa sono proprie dell’imprenditore. Il D.Lgs 231/2001 non può dunque essere interpretato nel senso di una intromissione giudiziaria nelle scelte organizzative dell’impresa ma nel senso di una necessaria verifica di compatibilità di queste scelte con i criteri di cui al D.Lgs. 231/2001. Ciò che il decreto richiede è che l’imprenditore adotti modelli di organizzazione idonei a ridurre il rischio che si verifichino, nella vita dell’impresa, (art. 6 del D.lgs. 231/2001). I modelli – in quanto strumenti organizzativi della vita dell’ente – devono qualificarsi per la loro concreta e specifica efficacia e per la loro dinamicità; essi devono scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formale”.
In secondo luogo, il MOGC dovrà essere dotato di una sua adeguatezza intrinseca, da rilevarsi rispetto agli obiettivi che il legislatore, la dottrina giuridica e la giurisprudenza gli assegnano. Tale concetto di adeguatezza coincide con quello di “idoneità” previsto proprio dal D.lgs. n. 231/2001. Di nuovo, a tal proposito, può essere utile richiamare quanto espresso dal Trib. Milano, GIP, ordinanza 9 novembre 2004: “In questo senso dovrà dimostrare di essere idoneo a prevenire i reati previsti dal decreto: Il modello peraltro potrà de-terminare questi effetti favorevoli nei confronti dell’ente solo ove lo stesso sia concretamente idoneo a prevenire la commissione di reati nell’ambito dell’ente per il quale è stato elaborato; il modello dovrà dunque essere concreto, efficace e dinamico, cioè tale da seguire i cambiamenti dell’ente cui si riferisce. La necessaria concretezza del modello, infatti, ne determinerà ovviamente necessità di aggiornamento parallele all’evolversi ed al modificarsi della struttura del rischio di commissione di illeciti”.
Anche tale concezione di adeguatezza, nel senso dunque di idoneità, va declinata in senso non generico ma va modulata sulle caratteristiche dell’azienda . In sostanza il MOGC dovrà essere realizzato nell’ambito di una sofisticata metodologia di analisi e diagnosi (assessment) che tenga conto dell’assetto organizzativo aziendale e delle sue dinamiche di cambiamento . Ai fini della verifica dell’idoneità del MOGC, il legislatore, come  nel caso degli assetti, attribuisce un ruolo fondamentale ad un processo dinamico di interazione fra organi diversi, che rappresentano l’origine e la destinazione di intensi e continuativi flussi informativi. Addirittura, con il D.lgs. n. 231/2001 viene individuato uno specifico Organismo di Vigilanza obbligatorio ai fini degli effetti esimenti del modello. Le modalità di costituzione e di funzionamento di tale Odv anche in relazione o sovrapposizione ad altri organi, esulano dell’obiettivo che si vuole perseguire in questo scritto. Basti dire che la sua presenza funzionale rafforza ancora di più quel principio che supera la tentazione di adottare una vigilanza formale di tipo ispettivo, e invece valorizza una concezione di progettazione organizzativa che per i MOGC, come già per gli assetti, nasce dal continuo confronto e coinvolgimento di organi di amministrazione, gestione e di controllo al fine di innescare dinamiche relazioni di sviluppo e miglioramento aziendale.
In conclusione, sia in tema di assetti che di MOGC, la dottrina giuridica ha pienamente apprezzato un significativo avvicinamento tra “il mondo del diritto dell’impresa e quello delle scienze economico aziendali” . Sono evidenti gli sforzi mesi in atto per recepire, anche nell’ambito delle considerazioni dottrinali, strumenti percepiti come specifico risultato della disciplina dell’organizzazione aziendale. Si individuano infatti nell’organigramma, nel funzionigramma, nel mansionario, nel sistema di deleghe e poteri, nelle procedure, e nei flussi informativi gli elementi cardine per l’interpretazione dell’adeguatezza di un assetto e anche di un MOGC. Tali documenti sono sicuramente utili in una prima fase preliminare di analisi e diagnosi, in quanto tipici strumenti di rappresentazione e regolazione. Tuttavia, essi consentono di evidenziare solo alcune limitate caratteristiche di un assetto organizzativo e possono condizionare e limitare un completo giudizio di adeguatezza. Probabilmente ancora l’integrazione e il dialogo fra le due discipline deve essere rinforzato e approfondito.