Quale responsabilità per l’organismo di vigilanza?

Dobbiamo chiederci, in particolar modo, se si tratta di un nuovo organismo di controllo che sia in grado di impedire l’azione illecita dei soggetti appartenenti all’organizzazione aziendale.

Occorre focalizzare l’attenzione sui rischi che potrebbero derivare da un atteggiamento di dolosa inerzia da parte dell’organismo di vigilanza rispetto al compimento di reati derivanti da un’inosservanza del modello di cui lo stesso fosse a conoscenza.

Il punto di partenza di tale analisi è caratterizzato dall’esatta definizione dei poteri e dei doveri attribuiti a questa struttura innovativa, che viene ad innestarsi all’interno dell’organigramma societario.

La caratteristica peculiare dell’organismo in esame è rappresentata dallo svolgimento di funzioni di impulso e di critica nei confronti dell’organo dirigente finalizzate alla prevenzione di situazioni pregiudizievoli per l’ente e, più estensivamente, per gli stakeholders.

La nozione di controllo ex art. 6 del D. Lgs. n. 231/2001 deve essere intesa in termini esclusivi di potere-dovere di accertamento.

Devono, pertanto, ritenersi estranei all’organismo di vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti e poteri disciplinari o sanzionatori diretti.

Tale valutazione rispecchia l’intenzione del legislatore di prevedere un organismo in grado di agire liberamente nella sua attività di supporto all’organo dirigente in quanto la possibile minaccia di una responsabilità penale potrebbe danneggiarne l’efficienza e la funzionalità.

All’organismo di vigilanza non sono attribuiti concreti poteri di gestione: esso verifica l’effettiva tenuta del modello, ne valuta la capacità preventiva dei reati, ne predispone l’aggiornamento.

Da ciò possiamo dedurre che si tratti di una nuova istanza di controllo inidonea ad intervenire direttamente sull’organizzazione interna dell’ente.

L’adozione e la concreta attuazione del modello sono, invece, riservate all’organo dirigente ai sensi dell’art. 6, comma 1, lettera a).

L’organismo di vigilanza è elemento di un sistema di organizzazione e gestione istituito su base volontaria; il che significa che la funzione in esame è autonomamente definita dal singolo ente sulla base delle proprie esigenze.

Chiarite le finalità da perseguire attraverso l’attività di sorveglianza, è necessario valutare i presupposti dell’imputazione della responsabilità penale nei reati commissivi mediante omissione (o omissivi impropri).

Innanzitutto il soggetto inattivo deve essere titolare di un “obbligo giuridico di impedire l’evento” in modo che la sua condotta non venga valutata più semplicemente inattiva, ma omissiva, poiché inosservante di quell’obbligo.

Affinché l’omissione possa essere parificata all’azione e, quindi, essere considerata causa dell’evento, è necessario anche che quest’ultimo sia conseguenza certa o altamente probabile di detta omissione.

Per individuare se sia configurabile una responsabilità penale per omesso impedimento dell’evento in capo al titolare dell’organismo di vigilanza non possiamo prescindere da detto coefficiente di parificazione dell’inazione all’azione; in caso contrario si prospetterebbe un’ipotesi di responsabilità per fatto altrui, in violazione dell’art. 27, comma 1, Cost.

Per affermare l’esistenza di un obbligo di vigilanza sull’altrui attività in capo all’organismo, che abbia per contenuto la tutela di beni penalmente protetti, è necessario rinvenire la fonte di detto obbligo.

Non si può non rivolgere l’attenzione alle disposizioni del D. Lgs. n. 231/2001 dato che rappresentano le uniche disposizioni attraverso le quali il legislatore ha inteso disciplinare la costituzione, il funzionamento e gli obblighi dell’organismo di vigilanza.

Si tratta di individuare il significato ed il contenuto dell’attività che l’ordinamento comanda al soggetto sorvegliante per verificare se sia tale da indicare o meno la rilevanza dell’omesso intervento dello stesso ai sensi dell’art. 40, comma 2, c.p.

Nell’individuazione di una posizione di garanzia non si può assolutamente prescindere dal fatto che la norma giuridica abbia effettivamente imposto l’uso di un determinato potere a salvaguardia del bene giuridico.

E’ evidente come per ammettere la responsabilità penale dell’organismo di vigilanza ai sensi dell’art. 40, comma 2, c.p., sia necessario distinguere i diversi obblighi e rintracciare quelli posti a carico della struttura di controllo quale garante del bene giuridico protetto.

L’obbligo deve avere, oltre che un contenuto giuridico, in conformità al principio di legalità, una connotazione specifica, in aderenza al principio di determinatezza poiché deve contribuire a tipizzare il reato omissivo improprio.

Anche i soggetti destinatari dell’obbligo devono essere determinati, trattandosi di una posizione che grava su determinate categorie di individui che devono essere ben individuate.

Essi, inoltre, devono essere dotati di poteri giuridici impeditivi dell’evento offensivo intesi, da un lato, come vigilanza sull’insorgenza di situazioni di pericolo, dall’altro, come possibilità materiale di intervento sulle stesse, in ottemperanza al principio ad impossibilia nemo tenetur.

Ciò soltanto giustifica che l’omesso impedimento da parte del garante dell’offesa al bene possa essere parificato al corrispondente comportamento attivo, secondo la clausola di equivalenza prevista dall’art. 40, comma 2, c.p.

Anche secondo il consolidato orientamento giurisprudenziale l’obbligo giuridico di impedire l’evento è connesso all’esistenza di una specifica posizione di garanzia del soggetto nei confronti di un determinato bene giuridico.

La responsabilità per omesso impedimento dell’evento si basa sulla pregressa assegnazione ad un soggetto di una posizione di protezione o di controllo da cui dipende la sicurezza di beni giuridici appartenenti ad altri individui; posizione su cui questi, pertanto, fanno affidamento.

Può, pertanto, concludersi nel senso che l’organismo è titolare di un mero obbligo di sorveglianza e non di un più incisivo obbligo di garanzia penalmente rilevante che implichi l’impedimento dell’evento altrui.

Possiamo escludere, infatti, che l’organismo di vigilanza possieda quei penetranti poteri giuridici di intervento a tutela del bene giuridico altrui che rappresentano il presupposto sul quale si edifica la posizione di garanzia.

L’analisi sin qui condotta dimostra, invero, come i poteri di cui sia titolare l’organismo di vigilanza siano di mera iniziativa, di controllo e di informazione; quindi, non possono essere ritenuti sufficienti ad impedire un reato altrui in quanto l’organismo in questione non è in grado di reagire alle eventuali violazioni del modello riscontrate e di correggere i comportamenti inosservanti delle prescrizioni che integrano gli estremi dei reati rilevanti ai fini del D. Lgs. n. 231/2001.

Di conseguenza, tali poteri spettano unicamente ai titolari del potere di gestione dell’ente, nel quale l’organismo di vigilanza, come più volte sottolineato, non deve in alcun modo ingerirsi.

Permanendo un potere di intervento degli amministratori in termini di attività di vigilanza e controllo sul funzionamento del modello, pur nell’affidamento del compito stesso ad una struttura autonoma ed indipendente, viene sicuramente meno uno dei presupposti per il sorgere, in capo all’organismo di vigilanza, di un’autonoma posizione di garanzia.

Un esempio su tutti può essere quello relativo alla funzione di aggiornamento del sistema di prevenzione: in tal caso viene prevista la cura del modello da parte della struttura di controllo attraverso un’azione di proposta e di impulso ma non necessariamente la diretta attuazione delle modifiche, che competono all’organo dirigente.

La supervisione avviene, quindi, sulla base di criteri interni, la cui rilevanza esteriore sotto il profilo penalistico non può tradursi in un obbligo giuridico di impedire l’evento.

In questi termini, l’organismo di vigilanza sarebbe destinatario di una posizione di mera sorveglianza, ossia un obbligo giuridico di rango inferiore rispetto ad un’autentica posizione di garanzia ed irrilevante ai fini dell’art. 40, comma 2, c.p.

Inoltre, sotto il profilo dell’imputazione oggettiva dell’evento, la deficienza dei poteri di controllo e di interdizione in capo al soggetto indicato come garante farebbe venir meno anche la sussistenza del rapporto di causalità o giudizio di equivalenza, in conseguenza dell’inidoneità dei poteri del garante ad esercitare la propria funzione di controllo”.

Il legislatore, quindi, impone all’organismo di vigilanza l’adempimento di un intervento meno incisivo, un’obbligazione di mezzi, in quanto prevede che la struttura di controllo agevoli semplicemente l’impedimento dell’evento, che rappresenta, di conseguenza, solo un eventuale effetto mediato dell’efficacia della condotta ascrivibile al compliance officer; in tal modo non si realizza la clausola di equivalenza causale azione-omissione contenuta nell’art. 40, comma 2, c.p.

Quanto detto non esclude che possa configurarsi una responsabilità penale dei singoli componenti dell’organismo di vigilanza, ove gli stessi abbiano preso parte direttamente, attraverso l’omissione delle proprie funzioni di vigilanza, ad un illecito compiuto da altri.

In tal caso la norma da invocare sarebbe l’art. 110 c.p., che disciplina il concorso di persone nel reato e presuppone non solo la volontaria partecipazione alla condotta criminosa posta in essere dal soggetto agente, ma anche un apporto causalmente collegato alla mancata realizzazione dell’evento.

In definitiva questa analisi dimostra come mancano entrambi i presupposti necessari al costituirsi di una posizione di garanzia in capo all’organismo di vigilanza: da un lato, l’assenza di una previsione espressa che permetta un aggancio di responsabilità penale stricto sensu (l’art. 6 del decreto in esame, infatti, tace sul punto) ed imponga un’obbligazione di risultato, vale a dire un obbligo di impedimento dell’evento; dall’altro, il potere, giuridico e naturalistico, di intervento a tutela del bene protetto.

In ogni caso il mancato adempimento delle funzioni dell’organismo di vigilanza, il cui corretto svolgimento costituisce uno dei presupposti necessari per l’esonero dell’ente dalla responsabilità amministrativa, potrà determinare una responsabilità civile, oltre che disciplinare, dei componenti inerti.

Tale responsabilità potrà avere natura contrattuale, in virtù dell’incarico conferito, nei confronti dell’ente (ex art. 1218 c.c.) ovvero aquiliana, nei confronti dei lavoratori o di altri terzi danneggiati (ex art. 2043 c.c.).

Il mancato o insufficiente controllo da parte dell’organismo di cui all’art. 6 del D. Lgs. n. 231/2001 provocherebbe, pertanto, all’interno dell’ente conseguenze di tipo esclusivamente contrattuale, quali lo scioglimento dell’organo per inadempimento, la revoca di alcuni componenti, ecc.

Il tema della responsabilità dell’organismo di vigilanza va, però, analizzato anche alla luce di un recente intervento legislativo.

Con l’art. 52 del D. Lgs. n. 231/2007 (relativo all’attuazione della direttiva 2005/60/CE concernente la prevenzione di attività di riciclaggio e di finanziamento del terrorismo) non solo si estende la gamma dei reati presupposto, ma si introducono anche specifici obblighi di comunicazione in capo alla struttura di controllo.

In particolare le eventuali violazioni riscontrate dovranno essere comunicate dall’organismo di vigilanza:

a) all’Autorità di Vigilanza di settore, in relazione agli atti o ai fatti di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una violazione delle disposizioni emanate dall’Autorità di Vigilanza circa le modalità di adempimento degli obblighi di adeguata verifica del cliente, l’organizzazione, la registrazione, le procedure e i controlli interni (art. 7, comma 2);

b) al titolare dell’attività o al legale rappresentante o a un suo delegato le infrazioni alle disposizioni relative alla segnalazione di operazioni sospette (art. 41);

c) al Ministero dell’economia e delle finanze le infrazioni delle disposizioni relative alle limitazioni all’uso del contante e dei titoli al portatore (art. 49) e al divieto di utilizzo di conti e libretti di risparmio anonimi o con intestazione fittizia;

d) all’Unità di Informazione Finanziaria (UIF) le infrazioni alle disposizioni relative all’obbligo di registrazione in archivio unico informatico (art. 36).

Inoltre il mancato rispetto di questi obblighi di comunicazione è espressamente sanzionato dalla previsione contenuta nel quinto comma dell’art. 55 del D. Lgs. n. 231/2007, che recita: “Chi, essendovi tenuto, omette di effettuare la comunicazione di cui all’art. 52, comma 2, è punito con la reclusione fino ad un anno e con la multa da 100 a 1000 euro”.

Mediante la previsione di questi obblighi il D. Lgs. n. 231/2007 assegna all’organismo in esame nuovi compiti, che esulano dai poteri di mera iniziativa e controllo ad esso precedentemente assegnati e comportano, soprattutto, un aggravio delle sue responsabilità.

E’ interessante notare come il decreto antiriciclaggio attribuisca al compliance officer il compito di vigilare sull’osservanza delle disposizioni appositamente definite come di prevenzione alla commissione di reati e la cui inosservanza comporta sanzioni di natura penale.

Di conseguenza l’organismo di vigilanza non dovrà semplicemente vigilare sull’attuazione dei modelli, ma direttamente ed in modo più pregnante, sul rispetto, da parte della società, della normativa antiriciclaggio.

All’originario ruolo di supporto al vertice aziendale si affianca, quindi, un nuovo obbligo di comunicazione direttamente nei confronti di soggetti esterni all’ente, quali le Autorità di vigilanza del settore, il Ministero dell’economia e delle finanze, l’UIF, prevedendo, di fatto, una sorta di obbligo di denuncia sconosciuto nella normativa sin qui vigente.

Attribuendo a tale organismo rilevanza esterna, viene snaturata completamente la sua componente volontaria in quanto assistiamo alla trasformazione di un soggetto la cui attività deve rispondere per legge a determinati obblighi.

Potrebbe, quindi, delinearsi una struttura di controllo eteronormata, con funzioni dettagliatamente previste dalle disposizioni antiriciclaggio, che ridimensionano, di conseguenza, l’attività di autoregolamentazione dell’ente nel definirne le attività.

L’organismo ne esce fortemente modificato anche nei rapporti interni: ora il compliance officer dialoga direttamente con le pubbliche autorità competenti, le quali possono utilizzare le relative comunicazioni come elementi d’indagine, mentre in precedenza i risultati dei controlli restavano all’interno dell’organizzazione.

L’organismo di vigilanza è tenuto anche a variare il proprio compito di rilevare le anomalie eventualmente riscontrate nell’operatività dell’ente in quanto deve rispettare le indicazioni provenienti dal legislatore e non basarsi esclusivamente, come nella disciplina previgente, sulla propria sensibilità professionale ed esperienza pregressa.

Da tali valutazioni possiamo osservare come il compliance officer, che per la prima volta il legislatore prevede espressamente accanto ai tipici organi societari deputati al controllo sulla gestione, assume un profilo di rischio sensibilmente più elevato che potrebbe prefigurare, in caso di inadempimento, la responsabilità penale ex art. 40, comma 2, c.p.

Dobbiamo chiederci, in particolar modo, se si tratta di un nuovo organismo di controllo che sia in grado di impedire l’azione illecita dei soggetti appartenenti all’organizzazione aziendale.

Occorre focalizzare l’attenzione sui rischi che potrebbero derivare da un atteggiamento di dolosa inerzia da parte dell’organismo di vigilanza rispetto al compimento di reati derivanti da un’inosservanza del modello di cui lo stesso fosse a conoscenza.

Il punto di partenza di tale analisi è caratterizzato dall’esatta definizione dei poteri e dei doveri attribuiti a questa struttura innovativa, che viene ad innestarsi all’interno dell’organigramma societario.

La caratteristica peculiare dell’organismo in esame è rappresentata dallo svolgimento di funzioni di impulso e di critica nei confronti dell’organo dirigente finalizzate alla prevenzione di situazioni pregiudizievoli per l’ente e, più estensivamente, per gli stakeholders.

La nozione di controllo ex art. 6 del D. Lgs. n. 231/2001 deve essere intesa in termini esclusivi di potere-dovere di accertamento.

Devono, pertanto, ritenersi estranei all’organismo di vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti e poteri disciplinari o sanzionatori diretti.

Tale valutazione rispecchia l’intenzione del legislatore di prevedere un organismo in grado di agire liberamente nella sua attività di supporto all’organo dirigente in quanto la possibile minaccia di una responsabilità penale potrebbe danneggiarne l’efficienza e la funzionalità.

All’organismo di vigilanza non sono attribuiti concreti poteri di gestione: esso verifica l’effettiva tenuta del modello, ne valuta la capacità preventiva dei reati, ne predispone l’aggiornamento.

Da ciò possiamo dedurre che si tratti di una nuova istanza di controllo inidonea ad intervenire direttamente sull’organizzazione interna dell’ente.

L’adozione e la concreta attuazione del modello sono, invece, riservate all’organo dirigente ai sensi dell’art. 6, comma 1, lettera a).

L’organismo di vigilanza è elemento di un sistema di organizzazione e gestione istituito su base volontaria; il che significa che la funzione in esame è autonomamente definita dal singolo ente sulla base delle proprie esigenze.

Chiarite le finalità da perseguire attraverso l’attività di sorveglianza, è necessario valutare i presupposti dell’imputazione della responsabilità penale nei reati commissivi mediante omissione (o omissivi impropri).

Innanzitutto il soggetto inattivo deve essere titolare di un “obbligo giuridico di impedire l’evento” in modo che la sua condotta non venga valutata più semplicemente inattiva, ma omissiva, poiché inosservante di quell’obbligo.

Affinché l’omissione possa essere parificata all’azione e, quindi, essere considerata causa dell’evento, è necessario anche che quest’ultimo sia conseguenza certa o altamente probabile di detta omissione.

Per individuare se sia configurabile una responsabilità penale per omesso impedimento dell’evento in capo al titolare dell’organismo di vigilanza non possiamo prescindere da detto coefficiente di parificazione dell’inazione all’azione; in caso contrario si prospetterebbe un’ipotesi di responsabilità per fatto altrui, in violazione dell’art. 27, comma 1, Cost.

Per affermare l’esistenza di un obbligo di vigilanza sull’altrui attività in capo all’organismo, che abbia per contenuto la tutela di beni penalmente protetti, è necessario rinvenire la fonte di detto obbligo.

Non si può non rivolgere l’attenzione alle disposizioni del D. Lgs. n. 231/2001 dato che rappresentano le uniche disposizioni attraverso le quali il legislatore ha inteso disciplinare la costituzione, il funzionamento e gli obblighi dell’organismo di vigilanza.

Si tratta di individuare il significato ed il contenuto dell’attività che l’ordinamento comanda al soggetto sorvegliante per verificare se sia tale da indicare o meno la rilevanza dell’omesso intervento dello stesso ai sensi dell’art. 40, comma 2, c.p.

Nell’individuazione di una posizione di garanzia non si può assolutamente prescindere dal fatto che la norma giuridica abbia effettivamente imposto l’uso di un determinato potere a salvaguardia del bene giuridico.

E’ evidente come per ammettere la responsabilità penale dell’organismo di vigilanza ai sensi dell’art. 40, comma 2, c.p., sia necessario distinguere i diversi obblighi e rintracciare quelli posti a carico della struttura di controllo quale garante del bene giuridico protetto.

L’obbligo deve avere, oltre che un contenuto giuridico, in conformità al principio di legalità, una connotazione specifica, in aderenza al principio di determinatezza poiché deve contribuire a tipizzare il reato omissivo improprio.

Anche i soggetti destinatari dell’obbligo devono essere determinati, trattandosi di una posizione che grava su determinate categorie di individui che devono essere ben individuate.

Essi, inoltre, devono essere dotati di poteri giuridici impeditivi dell’evento offensivo intesi, da un lato, come vigilanza sull’insorgenza di situazioni di pericolo, dall’altro, come possibilità materiale di intervento sulle stesse, in ottemperanza al principio ad impossibilia nemo tenetur.

Ciò soltanto giustifica che l’omesso impedimento da parte del garante dell’offesa al bene possa essere parificato al corrispondente comportamento attivo, secondo la clausola di equivalenza prevista dall’art. 40, comma 2, c.p.

Anche secondo il consolidato orientamento giurisprudenziale l’obbligo giuridico di impedire l’evento è connesso all’esistenza di una specifica posizione di garanzia del soggetto nei confronti di un determinato bene giuridico.

La responsabilità per omesso impedimento dell’evento si basa sulla pregressa assegnazione ad un soggetto di una posizione di protezione o di controllo da cui dipende la sicurezza di beni giuridici appartenenti ad altri individui; posizione su cui questi, pertanto, fanno affidamento.

Può, pertanto, concludersi nel senso che l’organismo è titolare di un mero obbligo di sorveglianza e non di un più incisivo obbligo di garanzia penalmente rilevante che implichi l’impedimento dell’evento altrui.

Possiamo escludere, infatti, che l’organismo di vigilanza possieda quei penetranti poteri giuridici di intervento a tutela del bene giuridico altrui che rappresentano il presupposto sul quale si edifica la posizione di garanzia.

L’analisi sin qui condotta dimostra, invero, come i poteri di cui sia titolare l’organismo di vigilanza siano di mera iniziativa, di controllo e di informazione; quindi, non possono essere ritenuti sufficienti ad impedire un reato altrui in quanto l’organismo in questione non è in grado di reagire alle eventuali violazioni del modello riscontrate e di correggere i comportamenti inosservanti delle prescrizioni che integrano gli estremi dei reati rilevanti ai fini del D. Lgs. n. 231/2001.

Di conseguenza, tali poteri spettano unicamente ai titolari del potere di gestione dell’ente, nel quale l’organismo di vigilanza, come più volte sottolineato, non deve in alcun modo ingerirsi.

Permanendo un potere di intervento degli amministratori in termini di attività di vigilanza e controllo sul funzionamento del modello, pur nell’affidamento del compito stesso ad una struttura autonoma ed indipendente, viene sicuramente meno uno dei presupposti per il sorgere, in capo all’organismo di vigilanza, di un’autonoma posizione di garanzia.

Un esempio su tutti può essere quello relativo alla funzione di aggiornamento del sistema di prevenzione: in tal caso viene prevista la cura del modello da parte della struttura di controllo attraverso un’azione di proposta e di impulso ma non necessariamente la diretta attuazione delle modifiche, che competono all’organo dirigente.

La supervisione avviene, quindi, sulla base di criteri interni, la cui rilevanza esteriore sotto il profilo penalistico non può tradursi in un obbligo giuridico di impedire l’evento.

In questi termini, l’organismo di vigilanza sarebbe destinatario di una posizione di mera sorveglianza, ossia un obbligo giuridico di rango inferiore rispetto ad un’autentica posizione di garanzia ed irrilevante ai fini dell’art. 40, comma 2, c.p.

Inoltre, sotto il profilo dell’imputazione oggettiva dell’evento, la deficienza dei poteri di controllo e di interdizione in capo al soggetto indicato come garante farebbe venir meno anche la sussistenza del rapporto di causalità o giudizio di equivalenza, in conseguenza dell’inidoneità dei poteri del garante ad esercitare la propria funzione di controllo”.

Il legislatore, quindi, impone all’organismo di vigilanza l’adempimento di un intervento meno incisivo, un’obbligazione di mezzi, in quanto prevede che la struttura di controllo agevoli semplicemente l’impedimento dell’evento, che rappresenta, di conseguenza, solo un eventuale effetto mediato dell’efficacia della condotta ascrivibile al compliance officer; in tal modo non si realizza la clausola di equivalenza causale azione-omissione contenuta nell’art. 40, comma 2, c.p.

Quanto detto non esclude che possa configurarsi una responsabilità penale dei singoli componenti dell’organismo di vigilanza, ove gli stessi abbiano preso parte direttamente, attraverso l’omissione delle proprie funzioni di vigilanza, ad un illecito compiuto da altri.

In tal caso la norma da invocare sarebbe l’art. 110 c.p., che disciplina il concorso di persone nel reato e presuppone non solo la volontaria partecipazione alla condotta criminosa posta in essere dal soggetto agente, ma anche un apporto causalmente collegato alla mancata realizzazione dell’evento.

In definitiva questa analisi dimostra come mancano entrambi i presupposti necessari al costituirsi di una posizione di garanzia in capo all’organismo di vigilanza: da un lato, l’assenza di una previsione espressa che permetta un aggancio di responsabilità penale stricto sensu (l’art. 6 del decreto in esame, infatti, tace sul punto) ed imponga un’obbligazione di risultato, vale a dire un obbligo di impedimento dell’evento; dall’altro, il potere, giuridico e naturalistico, di intervento a tutela del bene protetto.

In ogni caso il mancato adempimento delle funzioni dell’organismo di vigilanza, il cui corretto svolgimento costituisce uno dei presupposti necessari per l’esonero dell’ente dalla responsabilità amministrativa, potrà determinare una responsabilità civile, oltre che disciplinare, dei componenti inerti.

Tale responsabilità potrà avere natura contrattuale, in virtù dell’incarico conferito, nei confronti dell’ente (ex art. 1218 c.c.) ovvero aquiliana, nei confronti dei lavoratori o di altri terzi danneggiati (ex art. 2043 c.c.).

Il mancato o insufficiente controllo da parte dell’organismo di cui all’art. 6 del D. Lgs. n. 231/2001 provocherebbe, pertanto, all’interno dell’ente conseguenze di tipo esclusivamente contrattuale, quali lo scioglimento dell’organo per inadempimento, la revoca di alcuni componenti, ecc.

Il tema della responsabilità dell’organismo di vigilanza va, però, analizzato anche alla luce di un recente intervento legislativo.

Con l’art. 52 del D. Lgs. n. 231/2007 (relativo all’attuazione della direttiva 2005/60/CE concernente la prevenzione di attività di riciclaggio e di finanziamento del terrorismo) non solo si estende la gamma dei reati presupposto, ma si introducono anche specifici obblighi di comunicazione in capo alla struttura di controllo.

In particolare le eventuali violazioni riscontrate dovranno essere comunicate dall’organismo di vigilanza:

a) all’Autorità di Vigilanza di settore, in relazione agli atti o ai fatti di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una violazione delle disposizioni emanate dall’Autorità di Vigilanza circa le modalità di adempimento degli obblighi di adeguata verifica del cliente, l’organizzazione, la registrazione, le procedure e i controlli interni (art. 7, comma 2);

b) al titolare dell’attività o al legale rappresentante o a un suo delegato le infrazioni alle disposizioni relative alla segnalazione di operazioni sospette (art. 41);

c) al Ministero dell’economia e delle finanze le infrazioni delle disposizioni relative alle limitazioni all’uso del contante e dei titoli al portatore (art. 49) e al divieto di utilizzo di conti e libretti di risparmio anonimi o con intestazione fittizia;

d) all’Unità di Informazione Finanziaria (UIF) le infrazioni alle disposizioni relative all’obbligo di registrazione in archivio unico informatico (art. 36).

Inoltre il mancato rispetto di questi obblighi di comunicazione è espressamente sanzionato dalla previsione contenuta nel quinto comma dell’art. 55 del D. Lgs. n. 231/2007, che recita: “Chi, essendovi tenuto, omette di effettuare la comunicazione di cui all’art. 52, comma 2, è punito con la reclusione fino ad un anno e con la multa da 100 a 1000 euro”.

Mediante la previsione di questi obblighi il D. Lgs. n. 231/2007 assegna all’organismo in esame nuovi compiti, che esulano dai poteri di mera iniziativa e controllo ad esso precedentemente assegnati e comportano, soprattutto, un aggravio delle sue responsabilità.

E’ interessante notare come il decreto antiriciclaggio attribuisca al compliance officer il compito di vigilare sull’osservanza delle disposizioni appositamente definite come di prevenzione alla commissione di reati e la cui inosservanza comporta sanzioni di natura penale.

Di conseguenza l’organismo di vigilanza non dovrà semplicemente vigilare sull’attuazione dei modelli, ma direttamente ed in modo più pregnante, sul rispetto, da parte della società, della normativa antiriciclaggio.

All’originario ruolo di supporto al vertice aziendale si affianca, quindi, un nuovo obbligo di comunicazione direttamente nei confronti di soggetti esterni all’ente, quali le Autorità di vigilanza del settore, il Ministero dell’economia e delle finanze, l’UIF, prevedendo, di fatto, una sorta di obbligo di denuncia sconosciuto nella normativa sin qui vigente.

Attribuendo a tale organismo rilevanza esterna, viene snaturata completamente la sua componente volontaria in quanto assistiamo alla trasformazione di un soggetto la cui attività deve rispondere per legge a determinati obblighi.

Potrebbe, quindi, delinearsi una struttura di controllo eteronormata, con funzioni dettagliatamente previste dalle disposizioni antiriciclaggio, che ridimensionano, di conseguenza, l’attività di autoregolamentazione dell’ente nel definirne le attività.

L’organismo ne esce fortemente modificato anche nei rapporti interni: ora il compliance officer dialoga direttamente con le pubbliche autorità competenti, le quali possono utilizzare le relative comunicazioni come elementi d’indagine, mentre in precedenza i risultati dei controlli restavano all’interno dell’organizzazione.

L’organismo di vigilanza è tenuto anche a variare il proprio compito di rilevare le anomalie eventualmente riscontrate nell’operatività dell’ente in quanto deve rispettare le indicazioni provenienti dal legislatore e non basarsi esclusivamente, come nella disciplina previgente, sulla propria sensibilità professionale ed esperienza pregressa.

Da tali valutazioni possiamo osservare come il compliance officer, che per la prima volta il legislatore prevede espressamente accanto ai tipici organi societari deputati al controllo sulla gestione, assume un profilo di rischio sensibilmente più elevato che potrebbe prefigurare, in caso di inadempimento, la responsabilità penale ex art. 40, comma 2, c.p.