Modello 231: come evitare la condanna per ‘compliance’ troppo generica

L’annosa questione della *responsabilità amministrativa degli enti, sancita dal D. Lgs. 231/2001, torna prepotentemente alla ribalta nel panorama giuridico ed economico italiano. L’illusione di una protezione derivante dalla mera adozione formale di modelli organizzativi si infrange contro la dura realtà di condanne che colpiscono aziende ritenute carenti nell’implementazione di misure di controllo realmente efficaci. Un caso emblematico, che possiamo definire “caso X” per preservare la riservatezza delle parti coinvolte, funge da monito per tutte le imprese: l’adeguamento alle normative non può limitarsi a un mero esercizio burocratico, ma deve tradursi in un impegno concreto e costante verso la prevenzione del rischio reato. Questa vicenda sottolinea la necessità di un approccio più sostanziale alla compliance, che coinvolga la cultura aziendale e la reale applicazione dei controlli interni.

La responsabilità amministrativa degli enti: un’analisi del d.lgs. 231/2001

Il D. Lgs. 231/2001 rappresenta una pietra miliare nel diritto penale d’impresa, introducendo la responsabilità diretta degli enti per i reati commessi nel loro interesse o a loro vantaggio da soggetti apicali o sottoposti. Questa normativa ha superato il tradizionale principio del “societas delinquere non potest”, aprendo la strada a sanzioni pecuniarie e interdittive che possono avere un impatto significativo sulla vita delle aziende. L’obiettivo primario del decreto è incentivare le imprese a dotarsi di sistemi di controllo interni idonei a prevenire la commissione di reati, promuovendo una cultura della legalità e della responsabilità. L’esenzione dalla responsabilità è subordinata all’adozione e all’efficace attuazione di un Modello di Organizzazione, Gestione e Controllo (MOG), che deve rispondere a specifici requisiti.

Il MOG deve prevedere l’individuazione delle attività a rischio reato, la definizione di protocolli di controllo, la nomina di un Organismo di Vigilanza (OdV) dotato di autonomi poteri di iniziativa e controllo, e l’implementazione di un sistema disciplinare. Tuttavia, come evidenziato dal “caso X” e da altre sentenze recenti, la mera adozione formale di un MOG non è sufficiente a garantire l’esenzione da responsabilità. È necessario che il modello sia effettivamente idoneo a prevenire reati della stessa specie di quello commesso, che i controlli siano concretamente applicati e che l’OdV svolga un ruolo attivo di vigilanza e verifica. La giurisprudenza ha chiarito che il giudizio sull’idoneità del MOG deve essere effettuato ex ante, valutando se, al momento della commissione del reato, il modello avrebbe potuto ragionevolmente prevenirlo. In caso contrario, l’ente può essere ritenuto responsabile, anche in presenza di un MOG formalmente valido.

Il caso della società condannata per modello 231 “troppo generico”

Un recente caso, portato all’attenzione dalla sentenza n. 21704 del 22 maggio 2023 della Cassazione penale, illustra chiaramente i rischi di un approccio superficiale alla compliance. Una società è stata condannata a una sanzione pecuniaria di 100.000 euro per omicidio colposo, nonostante avesse adottato un MOG e nominato un OdV. Il reato era consistito nella morte di un lavoratore a causa di un infortunio sul lavoro, dovuto a una serie di violazioni delle norme sulla sicurezza. La Cassazione ha confermato la condanna, ritenendo che il MOG adottato dalla società fosse “troppo generico”, carente nella “presa in carico” dei rischi specifici connessi all’attività svolta dal lavoratore e limitato a “generiche indicazioni sulle dotazioni strumentali e l’aggiornamento dei requisiti minimi di sicurezza”. La corte ha sottolineato che la difesa non era riuscita a dimostrare che lo specifico rischio era stato considerato nel modello organizzativo, evidenziando come la “linea politica” dell’ente non fosse orientata all’implementazione della sicurezza. Inoltre, il reato era stato commesso da soggetti apicali, evidenziando una “scorretta impostazione della attività produttiva” che si era tradotta in un risparmio di costi nel settore della sicurezza.

Questo caso mette in luce l’importanza di un’analisi dei rischi accurata e specifica, che tenga conto delle peculiarità dell’attività aziendale e del settore di riferimento. Non basta elencare genericamente i rischi potenziali, ma è necessario valutarli concretamente e definire protocolli di controllo mirati a prevenirli. Inoltre, è fondamentale che l’alta dirigenza sia coinvolta attivamente nell’implementazione del MOG, promuovendo una cultura della sicurezza e della legalità a tutti i livelli dell’organizzazione. La sentenza della Cassazione evidenzia che la mera esistenza di un MOG e di un OdV non è sufficiente a escludere la responsabilità dell’ente, se questi strumenti non sono effettivamente idonei a prevenire i reati e se la “linea politica” dell’azienda non è orientata alla compliance.

Best practices per un modello organizzativo efficace

Per superare l’approccio formale alla compliance e rendere i modelli organizzativi realmente efficaci, è necessario adottare una serie di “best practices” che coinvolgano tutti i livelli dell’organizzazione. In primo luogo, è fondamentale effettuare una mappatura dei rischi accurata e specifica, utilizzando check list e parametri di rischio che tengano conto delle peculiarità dell’attività aziendale e del settore di riferimento. A seguito di questa disamina iniziale, è essenziale procedere alla formulazione di specifici controlli di prevenzione, quali per esempio scrupolose procedure di due diligence per clienti e fornitori, efficaci sistemi di approvazione delle spese, chiari codici di condotta etica, sicuri canali interni di segnalazione e report periodici all’OdV. Un altro elemento cruciale è rappresentato dai presidi di controllo, ovvero le barriere operative poste in corrispondenza dei punti critici individuati. Come sottolineato nelle linee guida, è fondamentale separare le funzioni, in modo che chi esegue una determinata attività non possa anche controllarne l’esito.

I protocolli 231, ovvero le norme strategiche di prevenzione, devono essere declinati in procedure operative chiare e dettagliate, che descrivano come svolgere concretamente le attività sensibili aziendali e attuare le regole del modello. È essenziale che l’Organismo di Vigilanza svolga un ruolo attivo di monitoraggio e controllo, verificando l’effettiva implementazione del modello, l’osservanza delle procedure e l’adeguatezza dei controlli. L’OdV deve essere dotato di autonomi poteri di iniziativa e controllo, di risorse adeguate e di competenze multidisciplinari. Inoltre, è importante che l’OdV sia indipendente e autonomo rispetto all’organo amministrativo, per garantire che possa svolgere il suo ruolo di vigilanza in modo imparziale ed efficace. La nomina dell’OdV deve essere effettuata con criteri rigorosi, privilegiando soggetti dotati di esperienza e competenza in materia di compliance e diritto penale d’impresa. L’OdV deve avere accesso a tutte le informazioni rilevanti per lo svolgimento del suo mandato e deve essere in grado di segnalare tempestivamente eventuali anomalie o violazioni al vertice aziendale.

Un ulteriore elemento fondamentale per l’efficacia del MOG è la formazione del personale. Tutti i dipendenti devono essere adeguatamente informati sui rischi connessi all’attività aziendale e sui protocolli di controllo da seguire. La formazione deve essere periodica e mirata, tenendo conto delle specificità delle diverse funzioni aziendali. È importante che la formazione sia interattiva e coinvolgente, per favorire la consapevolezza dei rischi e l’adozione di comportamenti responsabili. Infine, è essenziale che l’azienda implementi un sistema disciplinare efficace, che preveda sanzioni adeguate per la violazione dei protocolli di controllo. Il sistema disciplinare deve essere applicato in modo rigoroso e imparziale, per garantire che tutti i dipendenti siano consapevoli delle conseguenze della violazione delle regole.

Superare la compliance formale: un imperativo per la sostenibilità aziendale

Il panorama normativo e giurisprudenziale in materia di responsabilità amministrativa degli enti è in continua evoluzione, rendendo sempre più necessario un approccio proattivo e dinamico alla compliance. Le aziende non possono più limitarsi a “copiare e incollare” modelli organizzativi standard, ma devono adattare i propri sistemi di controllo alle specificità della propria attività e ai rischi concreti che devono affrontare. Superare la compliance formale e abbracciare un approccio sostanziale alla prevenzione del rischio reato è un imperativo per la sostenibilità aziendale nel lungo periodo.

Un MOG efficace non è solo uno strumento per evitare sanzioni, ma anche un’opportunità per migliorare la governance aziendale, rafforzare la reputazione e creare valore sostenibile nel tempo. Le aziende che investono nella compliance dimostrano un impegno verso la legalità e l’etica, attirando investitori, clienti e talenti di qualità. Inoltre, un sistema di controllo interno efficiente può contribuire a migliorare l’efficienza operativa, ridurre i costi e prevenire frodi e illeciti. In un contesto economico sempre più complesso e globalizzato, la compliance non è più un costo, ma un investimento strategico per la crescita e la prosperità delle imprese.

In conclusione, il “caso X” ci ricorda che la lotta alla criminalità d’impresa non può essere delegata esclusivamente alle autorità giudiziarie, ma richiede un impegno attivo e responsabile da parte di tutti gli operatori economici. Le aziende devono essere consapevoli dei rischi connessi alla propria attività e devono dotarsi di strumenti di controllo interni efficaci, che coinvolgano tutti i livelli dell’organizzazione. Solo in questo modo sarà possibile superare la compliance formale e costruire un sistema economico più sano, trasparente e sostenibile.

Amici, riflettiamo un attimo su questa vicenda. L’articolo 27 della Costituzione Italiana ci ricorda che la responsabilità penale è personale. Questa norma fondamentale del nostro ordinamento giuridico, però, sembra quasi scricchiolare di fronte alla complessità del diritto penale d’impresa, dove la responsabilità si estende agli enti, alle società, alle organizzazioni.

Un concetto legale avanzato applicabile in questo contesto è quello della colpa di organizzazione*. Non si tratta di punire l’ente per il reato commesso dal singolo, ma per non aver saputo strutturare un’organizzazione interna capace di prevenire tali reati. È come se l’azienda fosse ritenuta colpevole di aver “creato le condizioni” per la commissione del reato.

Questa nozione ci spinge a una riflessione più profonda. Non basta rispettare formalmente le regole, ma è necessario un impegno costante, una vera e propria “cultura della legalità” che permei ogni aspetto dell’attività aziendale. Forse, dovremmo interrogarci su come tradurre questo concetto in pratica, su come rendere le nostre aziende non solo “conformi”, ma anche “responsabili”.