Art. 7 - Soggetti sottoposti all’altrui direzione e modelli di organizzazione dell’ente

1. Nel caso previsto dall’articolo 5, comma 1, lettera b), l’ente è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza.

2. In ogni caso, è esclusa l’inosservanza degli obblighi di direzione o vigilanza se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

3. Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio.

4. L’efficace attuazione del modello richiede:

a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività;

b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Stralcio della relazione ministeriale di accompagnamento al D. Lgs. 231/2001

3.5 Segue. I criteri di imputazione soggettiva nel caso di reato commesso dai sottoposti

Meno problematica si è rivelata l’attuazione della delega in rapporto ai soggetti sottoposti, la commissione dei reati da parte dei quali appare, d’altro canto, statisticamente più rara e comunque suscettibile di determinare un giudizio di minore riprovazione nei confronti del soggetto collettivo (ciò, quanto meno in relazione alla particolare tipologica di delitti contemplata nello schema di decreto).

All’affermazione generale della responsabilità dell’ente quando la commissione del reato sia stata resa possibile dal mancato adempimento degli obblighi di direzione o vigilanza (art. 7, comma 1, che ricalca sul punto la delega), il legislatore delegato ha fatto seguire norme interpretative volte a specificare con maggiore precisione a quali condizioni ricorra la colpa dell’ente.

È infatti chiaro che, se nelle realtà collettive a struttura semplice appare sufficiente affermare un generale obbligo di vigilanza, ed idonea la relativa violazione ad impegnare immediatamente la responsabilità amministrativa della società, non altrettanto può dirsi per quanto riguarda le realtà organizzative complesse, caratterizzate da un’articolazione di competenze che fanno capo ad una pluralità di centri decisionali.

Qui, il richiamo a generici standard di diligenza avrebbe rischiato di rivelarsi una vuota clausola di stile, inidonea ad indirizzare il giudice nell’accertamento dell’illecito amministrativo in capo all’ente, con la conseguenza di rendere particolarmente gravoso il suo compito, ovvero, al contrario, di spingerlo ad affermare indiscriminatamente la sua responsabilità attraverso il ricorso a “formulette pigre”, fatalmente destinate a scivolare verso forme di ascrizione meramente oggettiva.

Al tempo stesso, l’onere, per l’ente, di dotarsi di modelli di organizzazione e di gestione improntati alla massima effettività risponde alla qualificante funzione preventiva cui si ispira il nuovo sistema, traducendosi in una maggiore razionalizzazione nell’impiego delle risorse e nella predisposizione dei controlli interni.

Tanto premesso, i modelli in esame devono diversificarsi in relazione allo specifico rischio-reato da prevenire: il che comporta, per l’ente, l’onere di assumere misure  organizzative e materiali – che garantiscano lo svolgimento dell’attività nel rispetto della legge e consentano la scoperta e l’eliminazione delle situazioni di irregolarità da cui possa scaturire il rischio suddetto.

Peraltro, la scelta (su cui infra) di limitare l’operatività del sistema ai delitti contro la pubblica amministrazione o comunque offensivi del patrimonio pubblico, ha indotto alla massima semplificazione del modello (viceversa, ove il decreto legislativo avesse preso in considerazione tutti i reati indicati nella delega, riconducibili a forme criminali più tipicamente “d’impresa”, sarebbe stata opportuna una differenziazione dei programmi in rapporto alle differenti fonti e caratteristiche del rischio, con la conseguenza di un più elevato tasso di tipizzazione normativa).

Anche qui (come per i vertici), al momento della “posizione” del programma preventivo è necessario si accompagni quello del suo effettivo funzionamento. Così, ai fini dell’efficace attuazione del modello, la norma richiede, tra l’altro, il suo aggiornamento costante, oltre alla predisposizione di un sistema disciplinare funzionante.

Le previsioni non intendono ovviamente essere tassative e fanno comunque salvi ulteriori protocolli comportamentali che, nel caso concreto, consentano di azzerare o di minimizzare il rischio. Infine, è opportuno sottolineare come, a differenza che nel caso di reato commesso da persona in ruolo apicale, qui l’onere di provare la mancata adozione ovvero la mancata attuazione del modello da parte dell’ente gravi sull’accusa.

La ragione è chiara (nulla poena sine culpa) e  lo si ribadisce  discende dalla gravità delle conseguenze suscettibili di prodursi in capo all’ente sul piano sanzionatorio. La puntualizzazione riveste peraltro un’importanza non secondaria anche nei casi in cui la misura sia applicata in fase cautelare, mettendo così al riparo dall’eventualità di un eccesso nel ricorso a misure cautelari potenzialmente assai invasive.

 

Rassegna di giurisprudenza

Soggetti sottoposti all’altrui direzione

La locuzione “soggetti sottoposti all’altrui direzione” deve essere interpretata ricomprendendo non solo i dipendenti, ma anche i soggetti che prestano all’ente la loro opera lavorativa di parasubordinati o autonomi, operando su direttive e vigilanza dell’ente stesso (prestatori di collaborazioni coordinate e continuative, consulenti, agenti etc.).

Un sistema di deleghe esterne potrebbe infatti essere utilizzato per prassi elusive della responsabilità dell’ente al quale, pertanto, dovrebbe essere attribuito il conseguente onere di configurare i modelli organizzativi prevedendo la vigilanza anche sull’attività dei collaboratori esterni (GIP Tribunale di Milano, pronuncia del 27 aprile 2004).

 

Modelli organizzativi

Nel caso di soggetto non apicale, la circostanza che l’adozione del MOG valga ad escludere ai sensi dell’art. 7 la responsabilità dell’ente implica che in tale ipotesi il legislatore abbia ritenuto non addebitabile all’ente un profilo di colpa di organizzazione, tale da rendere ravvisabile, un’effettiva immedesimazione della responsabilità dovendosi quindi considerare il reato come estraneo alla sfera di operatività e concreta interferenza dell’ente.

In assenza di un MOG idoneo, la colpa di organizzazione risulta comunque sottesa ad un deficit di direzione o vigilanza-incentrata su un sistema di regole cautelari -, che abbia in concreto propiziato il reato (Sez. 6, 54640/2018).

La colpa di organizzazione, da intendersi in senso normativo, è fondata sul rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo, dovendo tali accorgimenti essere consacrati in un documento che individua i rischi e delinea le misure atte a contrastarli, incombendo, tuttavia, sull’ente l’onere – con effetti liberatori – di dimostrare l’idoneità di tali MOG a prevenire reati della specie di quello verificatosi. Onere che non può certamente considerarsi assolto attraverso la sola circostanza dell’esistenza del MOG (SU, 38343/2014).

Il D. Lgs. 231/2001, come puntualizzato dalle Sezioni unite (SU, 38343/2014), coniuga i tratti dell’ordinamento penale e di quello amministrativo. Il sistema che ne discende, di tertium genus, configura una ipotesi di responsabilità per fatto proprio colpevole e, una volta provato l’illecito, ricade sull’ente l’onere di dimostrare di avere efficacemente adottato, prima della commissione del reato, MOG idonei a prevenire i reati della specie di quello verificatosi (Sez. 4, 31210/2016).

Con riferimento ai gruppi di società, ciascuna di esse, ovvero sia la holding che le controllate, ha l’onere di adottare un autonomo ed adeguato MOG, a prescindere dall’opportunità, evidenziata anche dalla dottrina, di coordinare le varie iniziative assunte al riguardo (Sez. 2, 52316/2016).

Nella valutazione dell’adeguatezza di un MOG, il giudice non può usare, come parametri di valutazione, suoi personali convincimenti o sue soggettive opinioni, ma deve far riferimento alle linee direttrici generali dell’ordinamento (e in primis a quelle costituzionali: art. 41, comma 3, Cost.), ai principi della logica e ai portati della consolidata esperienza (Sez. 5, 4677/2014).

L’approntamento di un MOG, ai sensi dell’art. 6, comma 1, lett. b), non è sufficiente ad esimere una società da responsabilità amministrativa, essendo anche necessaria l’istituzione di una funzione di vigilanza sul funzionamento e sull’osservanza di modelli, attribuita a un organismo dotato di autonomi poteri di iniziativa e controllo.

Tuttavia, iniziativa e, principalmente, controllo, possono essere ritenuti effettivi e non meramente cartolari, soltanto ove risulti la non subordinazione del controllante al controllato: non a caso, l’art. 6, comma 2, lett. d), prevede una serie di obblighi di informazione nei confronti dell’organo di vigilanza, al fine evidente di consentire l’esercizio autonomo del potere (di vigilanza, appunto); inoltre, l’art. 6, comma 2, lett. e), prevede un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel MOG (ovviamente per rendere credibile il potere di controllo) (Sez. 5, 4677/2014).

La responsabilità dell’ente, ai sensi del D. Lgs. 231/2001, non trova certamente fondamento nel non aver impedito la commissione di un reato. Né si potrebbe, per converso e ricorrendo a un riconoscibile paralogismo, affermare che, poiché (in ipotesi) un reato è stato commesso, allora è certo che il MOG era inadeguato.

Non si tratta, infatti, di mettere a fuoco una nuova figura di atteggiamento psicologico improntato a colpa (una sorta di culpa in ordinando o componendo, sottospecie ipotetica – probabilmente – della già nota culpa in vigilando), ma di valutare la adeguatezza del MOG (che deve essere) approntato per impedire che i vertici dell’azienda – individuati ai sensi dell’art. 5 comma 1, lett. a) – commettano determinati reati. Il giudice penale non è chiamato, in questa occasione, a valutare una condotta umana, ma il “frutto” di tale condotta, vale a dire l’apparato normativo prodotto in ambito aziendale.

Il giudizio, dunque, prescinde da qualsiasi apprezzamento di atteggiamenti psicologici (per altro, impossibile in riferimento alla volontà di un ente), e si sostanzia in una valutazione del MOG concretamente adottato dall’azienda, in un’ottica di conformità/adeguatezza del predetto MOG rispetto agli scopi che esso si propone di raggiungere.

Non si tratta, dunque, di responsabilità oggettiva, atteso che l’oggetto dell’esame (l’articolato normativo che esplicita un protocollo comportamentale) è comunque conseguenza di un’attività volontaria e consapevole di chi lo ha elaborato, approvato e reso esecutivo, ma si tratta, invece, di un giudizio strettamente normativo.

Né si dica che, nel far ciò, il giudice finisce per sostituire un suo MOG ideale a quello suggerito dalle più accreditate organizzazioni di categoria. Il terzo comma del ricordato art. 6 stabilisce che i MOG possono (non devono) essere adottati sulla scorta dei codici di comportamento redatti dalle associazioni rappresentative, ma, naturalmente, non opera alcuna delega disciplinare a tali associazioni e alcun rinvio per relationem a tali codici, che, appunto, possono certamente essere assunti come paradigma, come base di elaborazione del MOG in concreto da adottare, il quale, tuttavia, deve poi essere “calato” nella realtà aziendale nella quale è destinato a trovare attuazione.

Il fatto che tali codici di comportamento siano comunicati al Ministero della Giustizia, che, di concerto con gli altri ministeri competenti, può formulare osservazioni, non vale certo a conferire a tali modelli il crisma della incensurabilità, quasi che il giudice fosse vincolato a una sorta di ipse dixit aziendale e/o ministeriale, in una prospettiva di privatizzazione della normativa da predisporre per impedire la commissione di reati.

Naturalmente, il giudice non potrà avere come parametri di valutazione suoi personali convincimenti o sue soggettive opinioni, ma dovrà far riferimento – come è ovvio – alle linee direttrici generali dell’ordinamento (e in primis a quelle costituzionali: cfr. art 41 comma 3 Cost.), ai principi della logica e ai portati della consolidata esperienza (Sez. 5, 4677/2014).

L’approntamento di un MOG non basta ad esimere una società da responsabilità amministrativa, essendo anche necessaria la istituzione di una funzione di vigilanza sul funzionamento e sull’osservanza di modelli, attribuita a un organismo dotato di autonomi poteri di iniziativa e controllo.

Ciò, d’altra parte, è quel che pretende l’art. 6 al punto b) del comma 1. Ma perché iniziativa e, principalmente, controllo, siano effettivi e non meramente “cartolari”, si deve presupporre la non subordinazione del controllante al controllato.

Tanto ciò è vero, che il comma 2 del medesimo articolo prevede (sub d) obblighi di informazione nei confronti dell’organo di vigilanza, evidentemente per consentire l’esercizio “autonomo” del potere (di vigilanza, appunto), nonché (sub e) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel MOG (ovviamente per rendere “credibile” il potere di controllo). Se così non fosse, evidentemente, il controllo previsto dall’art. 6 si ridurrebbe a un mero simulacro.

Peraltro, il Decreto 231/2001 parte dal presupposto che un efficace MOG può essere violato (e dunque il reato che si vuole scongiurare può essere commesso) solo se le persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente (art. 5 comma 1 lett. a) abbiano operato eludendo fraudolentemente il MOG stesso.

Dunque la natura fraudolenta della condotta del soggetto apicale (persona fisica) costituisce, per così dire, un indice rivelatore della validità del MOG, nel senso che solo una condotta fraudolenta appare atta a forzarne le “misure di sicurezza”. Occorre dunque chiarire che cosa sia una condotta fraudolenta, essendo evidente che essa non può consistere nella mera violazione delle prescrizioni contenute nel MOG.

Ebbene lo stesso concetto di frode, se pure non deve necessariamente coincidere con gli artifizi e i raggiri di cui all’art. 640 CP, non può non consistere in una condotta ingannevole, falsificatrice, obliqua, subdola.

La fraus legi facta di romanistica memoria, ad es., comportava la strumentalizzazione di un negozio formalmente lecito, allo scopo di eludere un divieto di legge. Si tratta, insomma, di una condotta di “aggiramento” di una norma imperativa, non di una semplice e “frontale” violazione della stessa (Sez. 5, 4677/2014).

La mancata adozione di moduli organizzativi da parte dell’ente, secondo il chiaro dettato dell’art. 6 comma 1 lett. c) esclude che si possa configurare l’”elusione fraudolenta” che scrimina la responsabilità dell’ente medesimo, perché il comportamento omissivo è inequivoco sintomo di aderenza alle scelte dell’apicale (Sez. 2, 12989/2013).

Il codice etico, pur non espressamente contemplato dal D. Lgs. 231/2001, può certamente concorrere alla realizzazione delle finalità di adeguatezza organizzativa proprie di tale disciplina, ma non può surrogare la mancata adozione di un MOG e, quindi, di un più vasto ed articolato sistema di cautele organizzative a contenuto cautelare finalizzato a minimizzare il rischio che i soggetti incardinati nella struttura dell’ente possano commettere le varie tipologie di reati cui è connessa la responsabilità dell’ente.

Tale assunto è stato, peraltro, espressamente evidenziato nella giurisprudenza di merito sin dagli albori applicativi del D. Lgs. 231 (GIP Tribunale Milano, 27 aprile 2004), che ha rilevato come l’efficacia esimente del MOG si fonda su elementi (mappatura dei rischi di reato; procedure aziendali; istituzione dell’OIV) non presenti nel mero codice etico (Sez. 5, 38243/2018).

I compiti dei membri dell’OIV, così come quelli di un consiglio di amministrazione, non si dilatano fino a decidere se nell’ambito di semplici operazioni tecniche – nel caso le modalità di carico di una nave – si debba utilizzare una specifica modalità di lavoro o meno (fattispecie in cui i componenti dell’OIV sono stati prosciolti poiché il reato omissivo può essere posto in essere soltanto da soggetti gravati da uno specifico obbligo di predisporre le cautele omesse, obbligo che non grava né sull’OIV né sui membri del Consiglio di Amministrazione, trattandosi di scelte di politica aziendale ed incombenze validamente delegate ai responsabili) (Sez. 1, 18168/2016).

Nella trama sistematica della responsabilità da reato degli enti, la persona giuridica che abbia omesso di adottare ed attuare il MOG non risponde del reato presupposto commesso da un suo esponente in posizione apicale soltanto nell’ipotesi in cui lo stesso abbia agito nell’interesse esclusivo proprio o di terzi (Sez. 6, 36083/2009, richiamata da Sez. 5, 38243/2018).

È carente la motivazione di un’ordinanza cautelare allorché non spiega la ragione per la quale, pur essendo state rinnovate le cariche sociali delle varie società riconducibili all’indagato e pur essendosi dotati gli enti in questione di MOG atti a prevenire la commissione di reati ai sensi del D. Lgs. 231/2001 e di un OIV, nondimeno residuerebbe ancora un pericolo concreto ed attuale che l’indagato medesimo, attraverso le società in questione (cioè facendo riferimento alle specifiche modalità e circostanze del fatto), possa reiterare reati della stessa specie.

Sul punto l’ordinanza impugnata deve quindi esser annullata con rinvio; il TDR, ridefinito il perimetro cognitivo al fine del giudizio di gravità indiziaria, è tenuto a verificare in concreto, quanto al quadro cautelare, se ed in che misura i MOG adottati siano idonei a neutralizzare il pericolo di recidiva, se l’OIV sia effettivamente indipendente e quindi se esista ancora il pericolo concreto ed attuale che l’indagato possa reiterare reati della stessa specie di quelli ravvisabili nel presente procedimento (Sez. 6, 45486/2018).

Il delitto di aggiotaggio è, per così dire, “un delitto di comunicazione” (esso infatti è commesso da “chiunque diffonde notizie false, ovvero pone in essere operazioni simulate o altri artifici concretamente idonei a provocare una sensibile alterazione del prezzo di strumenti finanziari ovvero a incidere in modo significativo sull’affidamento che il pubblico ripone nella stabilità patrimoniale di banche o di gruppi bancari...”).

È dunque, appunto, sul versante della comunicazione che il MOG (e dunque il controllo) deve mostrare la sua efficacia (Sez. 5, 4677/2014).

La delega di funzioni esclude la riferibilità di eventi lesivi ai deleganti soltanto se tali eventi siano il frutto di disfunzioni occasionali (e non anche nel caso in cui siano determinati da difetti strutturali aziendali o del processo produttivo, come per l’appunto nel caso di specie).

E, d’altra parte, per espressa previsione di legge (art. 17 TUSL) la redazione del DVR è compito specifico del datore di lavoro, e, in quanto tale, insuscettibile di formare oggetto di delega (Sez. 4, 29731/2017).

Il  datore di lavoro ha l’obbligo di analizzare e individuare con il massimo grado di specificità, secondo la propria esperienza e la migliore evoluzione della scienza tecnica, tutti i fattori di pericolo concretamente presenti all’interno dell’azienda, avuto riguardo alla casistica concretamente verificabile in relazione alla singola lavorazione o all’ambiente di lavoro, e, all’esito, deve redigere e sottoporre periodicamente ad aggiornamento il DVR previsto dall’art. 28 TUSL, all’interno del quale è tenuto a indicare le misure precauzionali e i dispositivi di protezione adottati per tutelare la salute e la sicurezza dei lavoratori (Sez. 4, 20129/2016).