Responsabilità degli enti alla luce della più recente giurisprudenza

Osservazioni emerse dalla lettura della giurisprudenza più recente in tema di colpa in organizzazione, modelli di organizzazione, gestione e controllo e organismo di vigilanza
responsabilità degli enti alla luce della più recente giurisprudenza
responsabilità degli enti alla luce della più recente giurisprudenza

Responsabilità degli enti alla luce della più recente giurisprudenza

Clicca qui per scaricare le slide


Abstract

Nel presente scritto, gli autori annotano alcune osservazioni emerse dalla lettura della giurisprudenza più recente in tema di colpa in organizzazione, modelli di organizzazione, gestione e controllo e organismo di vigilanza. A margine, gli autori compendiano tali osservazioni in alcune slide, così messe a disposizione dei lettori per eventuali eventi formativi.


Abstract

In this paper, the authors note some observations that emerged from the reading of the most recent jurisprudence about fault in organization, compliance programs and supervisory body. On the sidelines, the authors summarize these observations in some slides, thus made available to readers for any training events.


Benché a prima vista “eccentrici” rispetto alle questioni di stretto diritto e procedura penale delle società, i modelli di organizzazione, gestione e controllo e l’organismo di vigilanza si pongono esattamente al centro del sistema della responsabilità degli enti.

«I modelli di organizzazione e gestione costituiscono il vero cardine del nuovo sistema di responsabilità delle persone giuridiche», si scriveva già ai primi “vagiti” della normativa [1]. Per precisare, poi, a disciplina più matura, che «l’avere elaborato e adottato un modello idoneo di organizzazione non basta a esimere la società da responsabilità amministrativa, essendo anche necessaria l’istituzione di una funzione di vigilanza sul funzionamento e sull’osservanza di modelli attribuita a un organismo dotato di autonomi poteri di iniziativa e di controllo» [2].

Le principali e ancora aperte questioni sostanziali e procedimentali gravitano, inter alia, intorno al tema, posto dal legislatore nell’art. 6, co. 1, lett. a, d.lgs. 231/2001, dell’idoneità dei modelli a prevenire reati. Espressione, quella dell’“idoneità a prevenire”, che il legislatore non sembra, per vero, utilizzare in molte altre occasioni. Nel codice penale, per esempio, tale espressione può rintracciarsi soltanto una volta, nell’art. 437, co. 1.

Che cosa significa, allora, “modelli idonei a prevenire”?

Muovendo, per esempio, dalla definizione di “prevenire” elaborata in Treccani, i modelli potrebbero dirsi idonei nel solo caso in cui contengano «tutte le precauzioni necessarie perché un evento negativo o dannoso non si verifichi» [3]. Postulato, questo, forse dogmaticamente esatto in ambiente “da laboratorio”, dai precipitati tuttavia empiricamente inattuabili atteso il numero enciclopedico di reati presupposto (più di 220) e standard per la gestione e il controllo interni, nel tempo fisiologicamente moltiplicati in ragione della crescente complessità del contesto economico di riferimento e ulteriormente raffinati grazie al progressivo consolidamento della migliore scienza ed esperienza.

Il risultato applicativo di tale assioma? Modelli sempre giudizialmente dichiarati inidonei ed enti incolpati sempre condannati. La conseguenza? Segregare la colpa in organizzazione entro forme di responsabilità oggettiva – tali per cui la verificazione stessa del reato, tentato o consumato, proverebbe l’inidoneità dei modelli – e, quindi, depotenziare alcune tra le ragioni fondanti dello slancio endoaziendale verso la conformità normativa.

A possibile rimedio della “trappola del topo” potrebbe porsi un’interpretazione “alternativa” dell’idoneità alla prevenzione, intesa come capacità dei gestori aziendali di prendere le precauzioni “possibili” perché un evento negativo o dannoso non si verifichi. Un concetto, quello di “possibilità”, pressocché assente nella giurisprudenza: «è da considerarsi ‘colpa di organizzazione’ dell’ente ogni mancanza propria dell’organizzazione produttiva complessa» [4].

La “possibilità” delle precauzioni andrebbe, poi, oggettivamente misurata – senz’altro già a livello intraorganizzativo, ma anche nell’eventuale giudizio penale – secondo un duplice criterio: la “priorità” e la “proporzionalità” delle precauzioni in rapporto all’“intensità” dei rischi di reato[5]. A seconda, cioè, del livello di rischio di volta in volta registrato, l’ideale gerarchia crescente delle precauzioni potrebbe essere la seguente: per un livello basso, il codice etico [6] e le disposizioni generali dei modelli[7]; per un livello medio, le disposizioni speciali dei modelli[8]; per un livello alto, le norme interne di secondo livello[9].

Malgrado le indicazioni della più recente giurisprudenza di legittimità [10] e di taluni arresti di merito – atteso che «una cosa è il reato, altra cosa è il fatto addebitabile all’ente» [11], «è onere specifico del pubblico ministero precisare in che cosa si concretizzi l’inidoneità assunta a base dell’accusa» [12]le evidenze empiriche restituiscono, tuttavia, uno sconfortante scenario di segno contrario. Per esempio, presso il Tribunale meneghino, da sempre tra i più attivi a livello nazionale nell’applicazione giudiziaria della disciplina, tra i (soli) 195 provvedimenti emessi nei confronti di enti negli anni giudiziari dal 2016 al 2021 [13], in uno soltanto la carenza di colpa in organizzazione è stata presa in considerazione dai giudici per il proscioglimento [14].

Complice l’eccezionale complessità della valutazione giudiziale dell’idoneità ed efficace attuazione dei modelli, che richiede approcci metodologici specifici e rigorosi ancora oggi estranei a quota parte della magistratura, la giurisprudenza più recente [15] inizia, piuttosto, a virare l’attenzione sull’odv, più facile bersaglio essendo le sue attività di più agevole indagine rispetto a quelle proprie della struttura complessa. Al riguardo, si rendono urgenti talune rettifiche, prima che l’odv sia stabilmente immolato a comodo “capro espiatorio”.

L’odv è un “organismo”, ossia un “ufficio” o una “funzione”, e non un “organo” sociale dell’ente. Sul punto, la norma è chiara già nella formulazione letterale: «organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo» (art. 6, co. 1, lett. b, d.lgs. 231/2001). Altrettanto chiara è la Relazione ministeriale al d.lgs. 231/2001: «la societas si avval[e] di una struttura che deve essere costituita al suo interno» [16].

Conseguentemente, l’odv non è dotato di poteri gestori, quindi anche impeditivi. A differenza, infatti, degli organi sociali tipici (assemblea dei soci, organo amministrativo, organi di controllo, ecc.), «all’organismo di vigilanza non s[ono] attribuiti compiti operativi» [17]. Perciò, «l’obbligo di vigilanza non comporta di per sé l’obbligo di impedire l’azione illecita» [18].

È, quindi, censurabile quanto è dato leggersi in talune recenti pronunce di merito: «un più accorto esercizio delle funzioni di controllo avrebbe certamente scongiurato» la commissione del reato [19]; «il modello organizzativo […] non è stato adeguatamente attuato attese le gravi carenze nell’esercizio della funzione di vigilanza da parte dell’organismo a ciò deputato» [20].

Tant’è che non si è dovuto attendere troppo tempo prima che la Corte di cassazione intervenisse correggendo il tiro: «la sentenza impugnata appare affetta da evidenti errori in diritto, […] attribuendo all’organismo di vigilanza compiti incardinati nel sistema di gestione […] del tutto estranei ai compiti che l’art. 6, d. lgs. 231/2001 assegna a tale organismo, che sono quelli di sorvegliare e verificare la funzionalità e l’osservanza dei modelli organizzativi»[21].

In conclusione, l’odv, in quanto, a sua volta, misura (tra le misure) di controllo dei modelli [22], non «esplica[…] […] una funzione impeditiva». Esso, «collocan[dosi], per lo più, a ragguardevole distanza dalle modalità di condotta che integrano la tipicità del reato […] assum[e] una funzione prevalentemente ‘frappositiva’, volta a rendere ‘disagevole’ la consumazione del reato, ‘incidendo’ sulle condotte prodromiche al suo avveramento» [23].

Perciò, si esclude la responsabilità penale [24] e civile dell’odv, quest’ultima in forza, per esempio, dell’art. 1227, co. 2, c.c., per cui «il risarcimento [da parte dell’organismo] non è dovuto per i danni [da reato] che il creditore [l’organo dirigente o, comunque, l’ente] avrebbe potuto evitare usando l’ordinaria diligenza» [25].

Proprio in quanto misura di controllo dei modelli, è, quindi, opportuno che l’organo dirigente intrattenga con l’odv il rapporto il più stretto e leale possibile, regolandone continuativamente le “frequenze” di intervento – autonomo, una volta efficacemente “sintonizzato”, nelle singole declinazioni operative – in ragione della variazione dei rischi, per il cui governo è, però, l’organo dirigente stesso a doversi mantenere saldamente “al timone”.

Ciò, peraltro, non solo in ottica preventiva dei rischi di reato, ma anche in fase di reazione a un (rischio di) reato già inverato. Reazione da intendersi, a sua volta, come prevenzione di ulteriori reati analoghi [26]. Anche la reazione a condotte illecite o violazioni dei modelli già tentate o consumate costituisce, infatti, parte integrante della struttura e della logica di funzionamento dei modelli stessi [27]. Del resto, è dal 2001 che «l’efficace attuazione del modello richiede […] l’eventuale modifica dello stesso quando s[ia]no scoperte significative violazioni delle prescrizioni» (art. 7, co. 4, lett. a, d.lgs. 231/2001). Non dirigere e controllare anche tale processo può, quindi, fondare un rimprovero per “colpa in organizzazione della reazione”.

Per tentare di vincere la sfida, uno dei principali temi del futuro è rappresentato dal “coordinamento” tra i diversi sistemi di gestione e dalla “collaborazione” tra i rispettivi “controllori” [28].

Il tema è suggerito, inter alia, dall’introduzione del codice della crisi e dell’insolvenza ex d.lgs. 14/2019, in particolare dall’aggiunta, operata per il tramite dell’art. 375, co. 2, del nuovo co. 2 dell’art. 2086, c.c. In forza di tale aggiunta, l’imprenditore ha, infatti, «il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale» [29].

Atteso il progressivo incremento dei vari sistemi di gestione e, conseguentemente, dei loro “controllori” [30], il coordinamento e la collaborazione tra i medesimi si pongono, quindi, quale condizione imprescindibile per l’efficace funzionamento dell’assetto complessivamente inteso.

Con un’importante precisazione.

Coordinamento tra sistemi di gestione non significa “immedesimazione” dell’intero corpus normativo aziendale nei modelli [31]. Del pari, la collaborazione tra “controllori” non può tradursi nel “tirare per la giacca” il solo odv, affibbiando allo stesso il ruolo solitario di “arbitro unico” di un nuovo “meta-sistema” comprensivo di qualsivoglia strumento di autonormazione interna. Una cosa sono, infatti, i modelli e l’odv, la cui matrice risiede in atti a impulso “volontario” [32]; cosa differente è, invece, l’assetto organizzativo, amministrativo e contabile, le cui componenti sono tutte “cogenti” e sovente rigidamente disciplinate dal legislatore.

È, perciò, evidente che adempimenti obbligatori non possano essere rimessi a congegni volontari, pena il “cortocircuito della prevenzione”, esso stesso potenziale espressione di colpa in organizzazione. I sistemi di gestione e i rispettivi controlli devono, piuttosto, conservare la propria “autonomia di mezzi e fini”, ma devono, al contempo, essere posti in stretto dialogo tra loro, sì da non generare carenza di presidi, o, per converso, sovrapposizione di ruoli o duplicazione di verifiche e azioni correttive.

Di una simile complessità dovrà tenere conto anche il giudice penale, il quale, «nell’accertamento della responsabilità amministrativa dell’ente […] non è chiamato a valutare una condotta umana, ma il ‘frutto’ di tale condotta, vale a dire l’apparato normativo prodotto in ambito aziendale» [33].

Clicca qui per scaricare le slide

***

[1] Tribunale di Bari, sezione g.i.p., 18 aprile 2005.

[2] Corte d’Appello di Milano, sezione II, 21 marzo 2012 (deposito 8 giugno 2012), n. 1824.

[3] Cfr. https://www.treccani.it/vocabolario/prevenire/.

[4] Cassazione penale, sezioni unite, 24 aprile 2014 (deposito 18 settembre 2014), n. 38343.

[5] I concetti di “priorità” e “proporzionalità” delle precauzioni sono presenti, ancorché in forma per il momento ancora embrionale, in parte della giurisprudenza di merito: «l’obbligo di fattibilità dei modelli va correlato ai rischi specifici di commissione degli illeciti, avuto riguardo alle dimensioni, all’organizzazione, alla natura dell’attività svolta e alla stessa ‘storia’ operativa dell’ente, di guisa che più elevato è il pericolo nel caso concreto, più urgente e prioritario è l’obbligo di adozione dello strumento organizzativo» (Tribunale di Novara, sezione g.u.p., 1° ottobre 2010). Nello specifico, «l’efficacia, la specificità e la dinamicità appaiono elementi strutturali dei compliance programs cui si voglia attribuire una concreta idoneità ad assolvere le funzioni a cui sono destinati. […] Il modello dovrà essere dunque concreto, efficace e dinamico, cioè tale da seguire i cambiamenti dell’ente cui si riferisce. La necessaria concretezza del modello, infatti, ne determinerà ovviamente necessità di aggiornamento parallele all’evolversi e al modificarsi della struttura del rischio di commissione di illeciti» (Tribunale di Milano, sezione g.i.p., 20 settembre 2004). Nello stesso senso, cfr. Tribunale di Napoli, sezione g.i.p., 26 giugno 2007: «i modelli, in quanto strumenti organizzativi della vita dell’ente, devono qualificarsi per la loro concreta e specifica efficacia e per la loro dinamicità: essi devono scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formale. […] Per rendere cioè il modello non un mero strumento di facciata, dotato di un valore solo formale, ma uno strumento concreto e soprattutto dinamico, idoneo a conformarsi costantemente con il mutamento della realtà operativa e organizzativa della persona giuridica».

[6] Per ricorrere alla catalogazione presente nella norma UNI ISO 37301:2021, il codice etico può dirsi espressione della “leadership” dell’organo dirigente. Esso rappresenta, cioè, il “compendio” della “cultura organizzativa”, ossia dei valori, delle convinzioni e delle condotte che favoriscono il rispetto delle leggi. Il grado di penetrazione nel tessuto aziendale dei messaggi così veicolati dipenderà, poi, dalla quotidiana messa a disposizione di risorse adeguate all’osservanza delle leggi, in termini di investimenti, struttura organizzativa, competenze, tempo, tecnologie, infrastrutture, servizi di supporto e via discorrendo.

[7] Le disposizioni generali possono dirsi manifestazione della “pianificazione” dell’organo dirigente (UNI ISO 37301:2021).

[8] Le disposizioni speciali rappresentano il “supporto” prestato da delegati e dirigenti (UNI ISO 37301:2021), i quali elaborano, a tale fine, protocolli formalizzati.

[9] Le norme interne di secondo livello rappresentano le “attività operative” di tutti i soggetti coinvolgi (UNI ISO 37301:2021). Esse trovano espressione in prassi o procedure basate su buone pratiche, ispirate, cioè, a standard o riferimenti autorevoli selezionati in ragione dei rischi concreti. Nell’ambito delle attività operative rientrano anche i controlli automatici e/o le verifiche tecniche periodiche effettuate da esperti esterni negli ambiti di rischio considerati.

[10] Cfr. Cassazione penale, sezione IV, 15 febbraio 2022 (deposito 10 maggio 2022) n. 18413. Ivi, la Corte chiarisce che «l’assenza del modello, la sua inidoneità o la sua inefficace attuazione non sono ex se elementi costitutivi dell’illecito dell’ente, tali essendo, oltre alla compresenza della relazione organica e teleologica tra il soggetto responsabile del reato presupposto e l’ente (c.d. immedesimazione organica ‘rafforzata’), la colpa di organizzazione, il reato presupposto e il nesso causale che deve correre tra i due». Precisa la Corte che i «profili [di responsabilità degli amministratori], di per sé, nulla hanno a che vedere con l’elemento ‘colpa di organizzazione’, che caratterizza la tipicità dell’illecito amministrativo imputabile all’ente; tale elemento costituisce, per così dire, un modo di essere ‘colposo’, specificamente individuato, proprio dell’organizzazione dell’ente, che abbia consentito al soggetto (persona fisica) organico all’ente di commettere il reato». Perciò, «l’elemento finalistico della condotta dell’agente deve essere conseguenza non tanto di un atteggiamento soggettivo proprio della persona fisica quanto di un preciso assetto organizzativo ‘negligente’ dell’impresa, da intendersi in senso normativo, perché fondato sul rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo». Infatti, «le condotte colpose dei soggetti responsabili della fattispecie criminosa (presupposto dell’illecito amministrativo) rilevano se riscontrabile la mancanza o l’inadeguatezza delle cautele predisposte per la prevenzione dei reati previsti dal d.lgs. 231/2001. La ricorrenza di tali carenze organizzative, in quanto atte a determinare le condizioni di verificazione del reato presupposto, giustifica il rimprovero e l’imputazione dell’illecito all’ente, oltre a sorreggere la costruzione giuridica per cui l’ente risponde dell’illecito per fatto proprio (e non per fatto altrui)». Concludono gli Ermellini nel senso che «la sentenza impugnata appare affetta da evidenti errori in diritto, in quanto ha offerto una inammissibile lettura della norma di cui all’art. 25-septies, in base alla quale l’affermazione della responsabilità dell’ente consegue indefettibilmente alla sola dimostrazione della sussistenza del reato presupposto e del rapporto di immedesimazione organica dell’agente».

[11] Tribunale di Milano, sezione g.i.p., 25 gennaio 2005.

[12] Tribunale di Milano, sezione g.u.p., 6 ottobre 2011. Nello stesso senso, cfr.: Tribunale di Milano, sezione X, 28 settembre 2021 (deposito 24 dicembre 2021), n. 9501, il quale rimprovera che «l’istruttoria non [ha] recato alcun elemento a sostegno dell’inidoneità del modello organizzativo a prevenire la consumazione dei delitti», benché fosse «preciso onere dell’accusa evidenziarne lacune e carenze a cagione delle quali poteva essere favorita la commissione dei reati in contestazione»; Cassazione penale, sezione VI, 18 febbraio 2010 (deposito 16 luglio 2010), n. 27735, anche secondo la quale «grava[…] […] sull’accusa l’onere di dimostrare […] la carente regolamentazione interna».

[13] Il numero irrisorio di provvedimenti apre, peraltro, interrogativi con riguardo al rispetto del principio di obbligatorietà dell’annotazione dell’illecito amministrativo, chiaramente sancito nell’art. 55, co. 1, d.lgs. 231/2001 («il pubblico ministero che acquisisce la notizia dell’illecito amministrativo dipendente da reato commesso dall’ente annota immediatamente, nel registro di cui all’articolo 335 del codice di procedura penale, gli elementi identificativi dell’ente unitamente, ove possibile, alle generalità del suo legale rappresentante nonché il reato da cui dipende l’illecito»). Al riguardo, sarebbe interessante verificare il numero e la qualità dei decreti motivati di archiviazione direttamente emessi dai pubblici ministeri a norma dell’art. 58, d. lgs. 231/2001. In ogni caso, la scarsa applicazione giudiziaria della disciplina sembra restituire l’immagine di una giustizia mossa «da intenti preventivi o declamatori in funzione pedagogica, più che sanzionatori e reattivi» (ZACCARIA, G., Postdiritto. Nuove fonti, nuove categorie, Bologna, 2022, 10).

[14] Il dato è tratto dall’incontro di studio «La giurisprudenza del Tribunale di Milano in materia di responsabilità da reato degli enti ex d.lgs. 231/2001» del 27 maggio 2022 presso il Dipartimento di Scienze Giuridiche “Cesare Beccaria” dell’Università degli Studi di Milano, in occasione del quale sono stati presentati i risultati della ricerca condotta dell’Osservatorio diretto da Marco Maria Scoletta.

[15] Cfr. Tribunale di Milano, sezione II, 15 ottobre 2020 (deposito 7 aprile 2021), n. 10748, il quale rimprovera all’«organismo di vigilanza – pure munito di penetranti poteri di iniziativa e controllo, ivi inclusa la facoltà di chiedere e acquisire informazioni da ogni livello e settore operativo […], avvalendosi delle competenti funzioni […] – [di avere] sostanzialmente omesso i dovuti accertamenti (funzionali alla prevenzione dei reati, indisturbatamente reiterati)». Secondo il Tribunale, «l’organismo di vigilanza [avrebbe] assistito inerte agli accadimenti, limitandosi a insignificanti prese d’atto, nella vorticosa spirale degli eventi […] che un più accorto esercizio delle funzioni di controllo avrebbe certamente scongiurato. Così, purtroppo, […] non resta che rilevare l’omessa (o almeno insufficiente) vigilanza da parte dell’organismo, che fonda la colpa di organizzazione di cui all’art. 6, d.lgs. 231/2001». Nello stesso senso, cfr. Tribunale di Vicenza, 9 marzo 2021 (deposito 17 giugno 2021), n. 348, il quale rimprovera, a sua volta, che «i verbali dell’odv […] danno conto di una attività assolutamente inconsistente […], che si esaurisce in un esercizio formale della funzione, limitata a un confronto con il responsabile della funzione compliance e il presidente del collegio sindacale su alcune tematiche di poco spessore, senza programmazione di alcuna autonoma attività di verifica, sostanzialmente delegata e appiattiva su quella effettuata dall’audit (cioè l’organo dipendente gerarchicamente dai controllati) e senza alcun minimo accenno a tematiche attinenti a effettive criticità rilevate, nemmeno quelle afferenti i casi più eclatanti». Il Tribunale segnala come «l’attività dell’odv fosse davvero minimale» e che «non risulta essere mai stato effettuato alcun intervento sanzionatorio da parte dell’odv» (sic!) e conclude nel senso che «il modello organizzativo […] non è stato adeguatamente attuato attese le gravi carenze nell’esercizio della funzione di vigilanza da parte dell’organismo a ciò deputato».

[16] Cfr. https://www.aodv231.it/images/documenti/21558-4a3-10-Relazione%20ministeriale%20accompagnatoria.pdf, 9. In tale senso, cfr., in giurisprudenza, Tribunale di Milano, sezione V, 4 agosto 2012, n. 9258, il quale precisa, senza possibilità di fraintendimento, che «l’organismo di vigilanza costituisce un soggetto necessariamente indipendente dalla società della cui vigilanza è incaricato, e ciò deve reputarsi sufficiente per negare che esso possa avere natura di organo sociale».

[17] CONFINDUSTRIA, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231, in https://www.confindustria.it/wcm/connect/68e8ada9-cbfa-4cad-97db-82ba3cc3e963/Position+Paper_linee+guida+modelli+organizzazione_giugno2021_Confindustria.pdf?MOD=AJPERES&CACHEID=ROOTWORKSPACE-68e8ada9-cbfa-4cad-97db-82ba3cc3e963-nFyjPuZ, 2021, 77.

[18] CONFINDUSTRIA, ivi, 91.

[19] Tribunale di Milano, sezione II, 15 ottobre 2020 (deposito 7 aprile 2021), n. 10748.

[20] Tribunale di Vicenza, 9 marzo 2021 (deposito 17 giugno 2021), n. 348.

[21] Cassazione penale, sezione IV, 15 febbraio 2022 (deposito 10 maggio 2022) n. 18413.

[22] Tant’è che la prova che «non vi [sia] stata omessa o insufficiente vigilanza da parte dell’organismo» incombe sull’ente (art. 6, co. 1, lett. d, d.lgs. 231/2001).

[23] PIERGALLINI, C., Note in tema di prevenzione del rischio-corruzione nel contesto societario, in Legisl. pen., 2021, II, 13.

[24] Cfr. CONFINDUSTRIA, ivi, 91 s.: «fermo restando il generale dovere di vigilanza dell’odv e l’impossibilità per l’ente di beneficiare dell’esonero dalla responsabilità nel caso in cui vi sia stata omessa vigilanza, sono opportune alcune considerazioni rispetto all’eventuale insorgere di una responsabilità penale in capo all’odv, nel caso di illeciti commessi in conseguenza del mancato esercizio del potere di vigilanza sull’attuazione e sul funzionamento del modello. La fonte di detta responsabilità potrebbe essere individuata nell’articolo 40, comma 2, del codice penale e, dunque, nel principio in base al quale ‘non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo’. Pertanto, l’organismo di vigilanza potrebbe risultare punibile a titolo di concorso omissivo nei reati commessi dall’ente, a seguito del mancato esercizio del potere di vigilanza e controllo sull’attuazione di modelli organizzativi allo stesso attribuito. Al riguardo, però, è opportuno tenere presente che l’obbligo di vigilanza non comporta di per sé l’obbligo di impedire l’azione illecita. Quest’ultimo obbligo, e la responsabilità penale che ne deriva ai sensi del citato articolo 40, comma 2, del codice penale, sussiste solo quando il destinatario è posto nella posizione di garante del bene giuridico protetto. Dalla lettura complessiva delle disposizioni che disciplinano l’attività e gli obblighi dell’organismo di vigilanza sembra evincersi che a esso siano devoluti compiti di controllo in ordine non alla realizzazione dei reati ma al funzionamento e all’osservanza del modello, curandone, altresì, l’aggiornamento e l’eventuale adeguamento ove vi siano modificazioni degli assetti aziendali di riferimento. Una diversa lettura, che attribuisse all’odv compiti d’impedimento dei reati, mal si concilierebbe con la sostanziale assenza di poteri impeditivi, giacché l’organismo di vigilanza non può neppure modificare di propria iniziativa i modelli esistenti e assolve, invece, a un compito consultivo dell’organo dirigente. Peraltro, l’obbligo d’impedire la realizzazione di reati equivarrebbe ad attribuire compiti e doveri simili a quelli che, nel nostro ordinamento, ha la polizia giudiziaria. Infine, si sottolinea che, secondo l’opinione prevalente, l’obbligo di impedire la realizzazione dei reati non è previsto neanche in capo ai pubblici ufficiali e agli incaricati di pubblico servizio che, a differenza dell’organismo di vigilanza, hanno il dovere di segnalare all’autorità giudiziaria i reati di cui siano venuti a conoscenza nell’esercizio delle proprie attività. Tale situazione non muta con riferimento ai delitti colposi realizzati con violazione delle norme in materia di salute e sicurezza sul lavoro e di tutela dell’ambiente. Anche in questo caso l’organismo di vigilanza non ha obblighi di controllo dell’attività, ma doveri di verifica della idoneità e sufficienza dei modelli organizzativi a prevenire i reati».

[25] La poca giurisprudenza finora pronunciatasi sul punto ha, infatti, ritenuto «l’amministratore delegato e presidente del consiglio di amministrazione […] tenuto al risarcimento della sanzione amministrativa di cui all’art. 10, d.lgs. 231/2001, nell’ipotesi di condanna dell’ente a seguito di reato, qualora non abbia adottato o non abbia proposto di adottare un modello organizzativo» (Tribunale di Milano, sezione VIII, 13 febbraio 2008, n. 1774).

[26] Non a caso il Tribunale di Milano, sezione II, 15 ottobre 2020 (deposito 7 aprile 2021), n. 10748 ha appuntato la propria attenzione (anche) sulle iniziative promosse dall’ente “dopo” la consumazione del reato, intervenuta, con riguardo alle operazioni “Santorini” e “Alexandria”, in data 29 aprile 2013. I verbali di riunione dell’odv presi in considerazione dal collegio meneghino sono, infatti, oltre a quello del 29 gennaio 2013, quelli del 17 marzo 2014, 17 aprile 2015, 19 maggio 2015 e 4 novembre 2015. Il cuore del rimprovero è, quindi, che i reati fossero stati «indisturbatamente reiterati» per via della negligente inazione dell’ente.

[27] Che senso avrebbero, altrimenti, i «canali che consentano […] di presentare […] segnalazioni circostanziate di condotte illecite […] o di violazioni del modello di organizzazione e gestione dell’ente» (art. 6, co. 2-bis, lett. a, d.lgs. 231/2001)?

[28] La stessa CONFINDUSTRIA, ivi, 43 segnala che «il modello di organizzazione e gestione previsto dal decreto 231 spesso incrocia altri sistemi di prevenzione e gestione di rischi già previsti e implementati nell’organizzazione aziendale».

[29] La norma si colloca entro il solco del più generale dovere organizzativo dell’imprenditore da tempo sancito nell’ordinamento. Si pensi, per esempio, agli artt. 41, co. 3, Cost. («la legge determina i programmi e i controlli opportuni perché l’attività economica pubblica e privata possa essere indirizzata e coordinata a fini sociali»), 2082, c.c. («è imprenditore chi esercita professionalmente un’attività economica organizzata al fine della produzione o dello scambio di beni o di servizi») e 2555, c.c. («l’azienda è il complesso dei beni organizzati dall’imprenditore per l’esercizio dell’impresa»).

[30] Per esempio: ai modelli ex artt. 6 e 7, d.lgs. 231/2001 corrisponde l’odv; ai modelli ex art. 30, d.lgs. 81/2008, che rilevano con riguardo all’art. 25-septies, d.lgs. 231/2001, corrispondono il datore di lavoro, i preposti, ecc.; al tax control framework, o sistema di gestione e controllo del rischio fiscale, che rileva con riguardo all’art. 25-quinquiesdecies, d. lgs. 231/2001, corrispondono il collegio sindacale, i revisori, ecc.; al sistema di compliance privacy e GDPR, che rileva con riguardo all’art. 24-bis, d.lgs. 231/2001, corrisponde il data protection officer (DPO); al piano triennale di prevenzione della corruzione e della trasparenza (PTPCT), che rileva con riguardo all’art. 25, d. lgs. 231/2001, corrisponde il responsabile della prevenzione della corruzione e della trasparenza (RPCT); all’antitrust compliance program, che rileva con riguardo all’art. 25-bis.1, d.lgs. 231/2001, corrisponde il responsabile del programma di compliance antitrust; al sistema antiriciclaggio, che rileva con riguardo all’art. 25-octies, d.lgs. 231/2001, corrispondono la funzione antiriciclaggio, la funzione di revisione interna e il responsabile delle segnalazioni di operazioni sospette; al sistema di gestione per la qualità di cui alla norma UNI EN ISO 9001:2015, che rileva con riguardo all’art. 25-bis.1, d.lgs. 231/2001, corrisponde il quality manager.

[31] Contra, cfr.: CONFINDUSTRIA, ivi, 42 s., secondo la quale un «approccio integrato dovrebbe […] contemplare procedure comuni che garantiscano efficienza e snellezza e che non generino sovrapposizione di ruoli (o mancanza di presidi), duplicazioni di verifiche e di azioni correttive, in termini più ampi, di conformità rispetto alla copiosa normativa di riferimento, laddove tali ruoli rispettivamente incidano e insistano sui medesimi processi. Le società tenute al rispetto delle diverse normative dovrebbero valutare l’opportunità di predisporre o integrare tali procedure tenendo conto delle peculiarità sottese a ciascuna di esse, portando a sintesi gli adempimenti, individuando le modalità per intercettare e verificare gli eventi economici e finanziari dell’impresa nell’ottica del corretto agire. Per dare attuazione a una gestione integrata di questo tipo occorre quindi anche definire specifici e continui meccanismi di coordinamento e collaborazione tra i principali soggetti aziendali interessati tra i quali, a titolo esemplificativo, il dirigente preposto, la funzione compliance, l’internal audit, il datore di lavoro, il responsabile AML (per le imprese che ne sono tenute), il collegio sindacale, il comitato per il controllo interno e la revisione contabile (ai sensi dell’art. 19, d.lgs. 39/2010) e l’odv (che ha pur sempre il compito di vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento)»; GRADILONE, M.R., Il rapporto con il corpus normativo aziendale, in PIVA, D. (a cura di), La responsabilità degli enti ex d.lgs. 231/2001 tra diritto e processo, Torino, 2021, 430, secondo la quale «il corpus normativo aziendale si pone rispetto al Modello 231 in un rapporto di completa immedesimazione tanto da far sì che l’idoneità preventiva del sistema di regole di cui esso si compone può essere garanzia di buon funzionamento del Modello mentre, all’opposto, la sua inefficacia […] può compromettere irreversibilmente l’efficacia preventiva del MOG, presentandosi come la potenziale causa del giudizio sulla sussistenza della colpa di organizzazione».

[32] Cfr. Cassazione penale, sezione VI, 23 giugno 2006 (deposito 2 ottobre 2006), n. 32627, la quale chiarisce che «nella normativa contenuta nel d.lgs. 231/2001 […] non si prevede alcuna forma di imposizione coattiva dei modelli organizzativi, la cui adozione, invece, è sempre spontanea».

[33] Cassazione penale, sezione V, 18 dicembre 2013 (deposito 30 gennaio 2014), n. 4677.