normative
Non è ipotizzabile un unico modello organizzativo unico per ogni tipologia di realtà aziendale. Il modello deve essere correlato alla natura, alla dimensione dell’organizzazione e al tipo di attività svolta. Di Rolando Dubini.

L’avvocato Rolando Dubini ha realizzato per PuntoSicuro in questi anni molti articoli di analisi e commento relativi ai vari aspetti del D.Lgs. n. 231/2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000,n. 300”.Torniamo oggi a parlarne con riferimento alla struttura del modello di organizzazione, gestione e controllo 231.

Le disposizioni del D.Lgs. n. 231/2001 non prevedono uno schema aprioristico di modello di organizzazione, gestione e controllo 231. D’altra parte è fortemente evidenziata l’esigenza (art. 7, comma 3) di realizzare un modello coerente e correlato con la natura e le dimensioni della struttura organizzativa, nonché con le peculiarità dell’attività svolta: detto articolo difatti prevede che il modello sia relazionato “alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta”, e includa tutte le “misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio”.

Per quel che attiene la dimensione, che è spesso direttamente proporzionale al grado di complessità aziendale, solitamente in una grande azienda il modello 231 dovrà essere maggiormente articolato e prevedere una maggiore formalizzazione al fine di favorire la corretta implementazione e applicazione dello stesso a tutti i livelli dell’organizzazione; mentre la peculiarità dell’attività svolta incide sulla tipologia di reati-presupposto da prevenire.
Non è quindi ipotizzabile un modello unico, idoneo per ogni tipologia di realtà aziendale: questo significa che la forma del modello è libera, non essendo previsti modelli legali prefissati. Il modello 231 può definirsi “il compendio, diverso e personalizzato in ogni persona giuridica, del sistema di prevenzione che, rispondendo al decreto, è necessario precostituire onde non subire gli effetti automatici negativi della normativa in oggetto” [Circolare della Guardia di Finanza n. 83607/2012].
L’ente può, perciò, predisporre il proprio modello organizzativo 231 in piena autonomia, e/oppure utilizzare i modelli redatti dalle associazioni di categoria alle quali è riconosciuto dalla legge il potere di redigere codici di comportamento di portata generale.

L’idoneità dei citati codici di comportamento di categoria, ex art. 6 comma 3, deve essere valutata, preventivamente, dal Ministero della giustizia, cui devono essere preventivamente inviati, di concerto con i Ministeri competenti, che, entro trenta giorni, devono formulare le proprie osservazioni. Il Ministero con il D.M. n. 201/2003 ha emanato il c.d. Regolamento, destinato alla fattispecie delle “Linee guida interassociative”, per l’emissione coordinata di modelli delle aziende riunite in associazioni. Nella relazione illustrativa si legge che tale previsione normativa (elaborazione delle linee guida), suscettibile di fornire al giudice un prezioso termine di confronto per la valutazione dell’idoneità dei singoli programmi, consente la formalizzazione dell’idoneità tecnico-operativa dei modelli organizzativi predisposti dalle citate associazioni di categoria (evitando in tal modo la proliferazione di codici “di comodo” o di “mera facciata”) e, nel contempo, assolvere ad una importante funzione di orientamento degli enti. Va però sottolineato che la mera validazione dell’idoneità tecnico-operativa dei modelli organizzativi da parte del Ministero della giustizia non attribuisce ex se, in caso di adozione da parte degli enti, la completa esenzione da responsabilità, posto che competerà comunque alla competente Autorità Giudiziaria valutare la congruità del modello rispetto alle previsioni normative, non potendosi riconoscere efficaci a scusante a quei codici di comportamento che, anche se non hanno ricevuto osservazioni critiche, deviano dall’impronta, strutturale e funzionale, che la legge assegna ai modelli.
Se è vero che la positiva valutazione ministeriale dei codici di comportamento, ai quali si fossero ispirate le società e gli enti nella costruzione dei loro modelli di prevenzione, non è affatto vincolante per il giudice, è altrettanto vero, però, che nell’attività di valutazione da parte dell’Autorità Giudiziaria (A.G.) la validazione ministeriale, sulla cui base il modello è stato costruito, rappresenta un’autorevole opinione, che potrà anche essere disattesa, ma in presenza di valide motivazioni.

Pertanto, fatta salva l’utilità di fare riferimento a dette linee guida di portata generale, non può non sottolinearsi l’esigenza di adottare e predisporre protocolli 231 originali, aderenti alla singola realtà organizzativa. Ciò consente l’adozione di modelli più adeguati, efficienti, efficaci ed idonei a prevenire i reati e a tutelare la società: difatti, affinché il modello di organizzazione e gestione possa dispiegare efficacemente i propri effetti, è necessario che venga specificatamente pensato e progettato, secondo un approccio “su misura”, per quel determinato ente nel quale dovrà trovare applicazione.

I contenuti fondamentali
I componenti essenziali del modello 231 risultano da una combinazione di elementi:

1-descrizione introduttiva della struttura organizzativa della società e delle sue principali attività svolte;

2- “mappatura oggettiva” preventiva, detta di “identificazione dei rischi”, ossia l’analisi descrittiva delle aree funzionali interne esposte, per ciò che in esse avviene in concreto, al rischio di commissione, da parte degli appartenenti alla persona giuridica, di uno o più dei reati responsabilizzanti, con annessa la specificazione preventiva delle potenziali modalità di commissione dei reati stessi;
La giurisprudenza ha evidenziato che “il modello deve rappresentare l’esito di una efficace analisi di rischio e di una corretta individuazione delle vulnerabilità oggettive dell’ente in rapporto alla sua organizzazione ed alla sua attività” (cfr. G.I.P. presso il Tribunale di Napoli, ordinanza in data 26.06.2007), e deve, altresì, tener conto delle caratteristiche degli altri soggetti operanti nel settore nonché della storia, anche giudiziaria, dell’ente (G.I.P. presso il Tribunale di Milano, ordinanza in data 09.11.2004). Il Tribunale di Milano, Sezione XI, con l’ordinanza di riesame in data 28 ottobre 2004, ha statuito che “non può essere considerato idoneo a prevenire i reati e ad escludere la responsabilità amministrativa dell’ente un modello aziendale di organizzazione e gestione, adottato ai sensi degli artt. 6 e 7 D.Lgs. 8 giugno 2001 n. 231, che non preveda strumenti idonei a identificare le aree di rischio nell’attività della società e a individuare gli elementi sintomatici della commissione di illeciti, quali la presenza di conti correnti riservati all’estero, l’utilizzazione di intermediari esteri al fine di rendere più difficoltosa la scoperta della provenienza dei pagamenti, la periodicità dei pagamenti in relazione alle scadenze delle gare di appalto indette dalla società”.

3- “mappatura normativa”, attraverso la definizione del sistema implicito di prevenzione/ contenimento dei rischi e delle conseguenti modalità operative interne (i protocolli di contromisure esplicite) istituite, più o meno appositamente in rapporto al D.Lgs. n. 231/2001, per l’efficace prevenzione della suddetta commissione potenziale di reati, comprensive delle misure in tema di informazione permanente nei confronti dell’ ODV interno e di gestione delle risorse finanziarie.
La polizia giudiziaria “dovrà verificare che i processi a rischio siano presidiati da una adeguata separazione dei compiti impedendo che un’unica funzione possieda capacità decisionale autonoma in ordine ai processi a rischio” [Circolare della Guardia di Finanza n. 83607/2012];

4- approntamento, ai sensi dell’art. 6, comma 2, lettera d), di un adeguato sistema disciplinare – sanzionatorio interno per le violazioni dei precetti contenuti nel modello, volto a punire la mancata osservanza dei protocolli ivi previsti nonché delle norme del codice (etico) interno, che esprime i principi di “deontologia aziendale” che l’ente riconosce come suoi propri ed ai quali deve essere informato il comportamento di tutti i suoi appartenenti.
La predisposizione di un adeguato sistema sanzionatorio per la violazione delle regole di condotta imposte ai fini della prevenzione dei reati presupposto di cui al decreto in commento, e, in generale, delle procedure interne previste dal modello organizzativo stesso costituisce elemento essenziale per la sua effettività.
L’attività della polizia giudiziaria “sarà sempre rivolta ad accertare che l’adozione delle regole del modello e di quelle di condotta non si risolva in una mera clausola di stile, ma rifletta un’attenzione costante dell’ente verso la verifica dei comportamenti dei suoi componenti” [Circolare della Guardia di Finanza n. 83607/2012]. La giurisprudenza ha chiarito che la progettazione di un adeguato sistema disciplinare non si può fondare su un richiamo a clausole di ordine generale rispetto al rapporto tra violazione e sanzione, essendo necessaria, invece, una specificazione del tipo di omissione o violazione rispetto alla sanzione che troverà applicazione. Se l’organizzazione scopre una violazione è necessario che sia condotta, nei modi dovuti, una vera e propria indagine interna, possibilmente documentata in tutti i suoi passaggi e che sia in grado, attraverso un’approfondita analisi delle cause, di suggerire ai vertici dell’ente le azioni correttive da assumere allo scopo di evitare il ripetersi di casi della specie.

La sua efficace attuazione
Il sistema di controlli preventivi, cui si deve pervenire esaurita la realizzazione delle fasi descritte nel precedente paragrafo, deve prevedere una serie di protocolli (cioè, di regole interne) diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in senso, ovviamente, ostativo ai reati da prevenire, in modo da garantire che i rischi di commissione dei reati siano ridotti ad un livello accettabile.
Ad esempio, secondo le indicazioni operative contenute nel documento elaborato da Confindustria, le componenti (i protocolli) di un sistema di controllo preventivo, che dovranno essere attuate a livello aziendale per garantire l’efficacia del modello possono generalmente essere individuate come segue:

1-con riguardo ai reati presupposto dolosi:

-1a sistema organizzativo sufficientemente formalizzato e chiaro, con particolare riguardo all’attribuzione di responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni;
-1b procedure manuali ed informatiche (sistemi informativi) tali da regolamentare lo svolgimento delle attività, prevedendo gli opportuni punti di controllo, come, ad esempio, la “separazione di compiti” tra coloro che svolgono fasi (attività) cruciali di un processo a rischio;
-1c sistema di controllo di gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare;

2-con riguardo ai reati presupposto colposi, oltre alle indicazioni di cui sopra:

-2a struttura organizzativa con compiti e responsabilità in materia di salute e sicurezza sul lavoro definiti formalmente in coerenza con lo schema organizzativo e funzionale dell’azienda, dando particolare attenzione alle figure operative, dirigenti, preposti, lavoratori, ma anche rspp, medico competente, coordinatori di cantiere, imprese appaltatrici, subappalti, imprese affidatarie, medico competente ecc.;
-2b formazione e addestramento, da assicurare secondo fabbisogni rilevati periodicamente, finalizzati ad assicurare che tutto il personale, ad ogni livello, sia consapevole dell’importanza della conformità delle proprie azioni rispetto al modello organizzativo e delle possibili conseguenze dovute a comportamenti che si discostino dalle regole dettate dal modello;
-2c coinvolgimento degli interessati, da realizzare attraverso consultazioni preventive ovvero riunioni periodiche in merito all’individuazione e valutazione dei rischi ed alla definizione delle misure preventive;
-2d sistema di monitoraggio della sicurezza, attraverso cui verificare il mantenimento delle misure di prevenzione e protezione dei rischi adottate e valutate idonee ed efficaci.
E’ nell’interesse dell’ente prevedere che il sistema di controllo documenti (anche attraverso la redazione di verbali) l’effettuazione dei controlli, anche di supervisione.

Affinché possa dirsi “efficacemente attuato” il modello 231 dovrà essere, altresì, integrato con i protocolli che seguono, i quali consentono di caratterizzarlo in termini di “idoneità” ed “efficacia”:
a-costituzione effettiva (nomina, investitura e assegnazione effettiva di poteri adeguati) di un apposito organismo di vigilanza sul fenomeno complessivo in oggetto e redazione del regolamento operativo del suo funzionamento, che costituiscono certamente uno dei passi più visibili dell’intero processo attuativo dello “scudo” protettivo di cui l’ente può beneficiare;
b- la previsione di un sistema di aggiornamento continuo del modello: tra i compiti dell’ODV vi è quello di valutare se il modello sia strutturato in maniera tale da poter mantenere nel tempo i requisiti propri di solidità e funzionalità in nome dei quali è stato costituito.

Nell’ipotesi in cui dall’analisi condotta emerga la necessità di un adeguamento o correzione del modello, il citato ODV dovrà:
-b1 curarne l’aggiornamento, mediante la predisposizione e la presentazione di apposite note di adeguamento agli organi aziendali che si adoperano per la sua concreta attuazione nell’ambito dell’organizzazione aziendale;
-b2 assicurare il cosiddetto follow-up, che si concretizza nella verifica costante dell’effettiva attuazione ed efficacia delle soluzioni proposte;
-b3 organizzazione di un piano di:
-b3.1 formazione del personale aziendale (in particolare quello delle aree a rischio), allo scopo di illustrare le ragioni di opportunità, a fianco a quelle giuridiche, che ispirano le regole e la loro portata concreta; sulla rilevanza della formazione e dell’informazione quali elementi caratterizzanti un “idoneo” ed “efficace” modello organizzativo, G.I.P. presso il Tribunale di Napoli, ordinanza in data 26.06.2007, e G.I.P. presso il Tribunale di Milano, ordinanza in data 20.09.2004 [che ad un certo punto così recita: “In ordine alla formazione – il cui compito è quello di assicurare una adeguata conoscenza, comprensione ed applicazione del modello da parte dei dipendenti e dei dirigenti – le contenute nel modello VCM sono assolutamente generiche: non si differenzia la formazione a seconda che la stessa si rivolga ai dipendenti nella loro generalità, ai dipendenti che operino in specifiche aree di rischio, all’organo di vigilanza ed ai preposti al controllo interno; non si prevede il contenuto dei corsi, la loro frequenza, l’obbligatorietà della partecipazione ai programmi di formazione; non si prevedono controlli di frequenza e di qualità sul contenuto dei programmi di formazione”].
-b3.2 comunicazione interna sui contenuti del D.Lgs. n. 231/2001 e del modello, ritenuto necessario ai fini di un buon funzionamento dei compliance programs, in modo tale da non consentire ad alcuno di giustificare il reato-presupposto adducendo l’ignoranza delle direttive aziendali o l’errore nelle loro valutazioni. La comunicazione dovrà essere capillare, efficace ed autorevole, ossia promanante da un livello adeguato, nonché chiara, dettagliata, e periodicamente ripetuta.
Una effettiva e concreta formazione ed informazione sono assolutamente centrali rispetto all’efficace attuazione del modello organizzativo: infatti, il modello potrà esplicare concretamente la propria funzione preventiva solo nel caso in cui ogni suo destinatario sappia esattamente quale condotta tenere in presenza di una determinata situazione. Conseguentemente, assumeranno specifica rilevanza sul punto le previsioni circa il contenuto dei corsi, la loro frequenza, l’obbligatorietà della partecipazione degli interessati ai programmi di formazione, nonché l’attività di controllo sulla frequenza sulla qualità dei contenuti;
-b4 predisposizione di un formale codice etico di condotta (corpo normativo interno) per tutti gli appartenenti alla persona giuridica, che pur non costituendo un adempimento con conseguenze prestabilite, nel quadro del D. Lgs. n. 231/2001 può ben riflettere una dimostrazione tangibile e molto evidente (testimonianza positiva) della determinazione dell’ente in favore del rispetto dei valori di legalità applicata, cui è ispirata la normativa in oggetto.
La polizia giudiziaria “verificherà che il codice etico sia supportato da misure organizzative tali da facilitarne l’adozione ed il rispetto (adeguata divulgazione a soggetti interni ed esterni; attribuzione ad un organo ad hoc del potere decisionale in caso di violazioni, ecc.)” [Circolare della Guardia di Finanza n. 83607/2012].
Una definizione di codice etico di condotta è contenuta nelle Linee Guida elaborate da Confindustria (che ne riportano anche i contenuti minimi), ove si legge che trattasi di documento ufficiale dell’ente contenente “l’insieme dei diritti, dei doveri e delle responsabilità dell’ente nei confronti dei portatori di interesse (dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario, eccetera)”.

I modelli organizzativi “devono, di fatto, essere “costruiti” in modo tale da rivestire la funzione di improntare a trasparenza, correttezza, lealtà, integrità e credibilità i rapporti tra la società ed i suoi “portatori di interessi”, intesi internamente quali amministratori, soci, dipendenti e collaboratori ed esternamente come Pubblica Amministrazione, clienti, cittadini e, in generale, verso l’intero contesto civile ed economico nel quale l’ente opera” [Circolare della Guardia di Finanza n. 83607/2012].

L’attività investigativa
Le attività investigative, condotte sfruttando i poteri della polizia giudiziaria, “dovranno, pertanto, essere tra l’altro orientate ad appurare l’effettiva rispondenza dei modelli di prevenzione ai parametri sopra indicati, tenendo presente che un modello di prevenzione potrà ritenersi sostanzialmente adeguato se lo stesso non può essere eluso, se non intenzionalmente (con raggiri)” [Circolare della Guardia di Finanza n. 83607/2012].
Ciò comporta che:
1- non è possibile addurre la mera ignoranza delle direttive e delle procedure aziendali;
2- il semplice errore umano non può essere considerato una valida giustificazione;
3- la possibilità di frodi deve, comunque, trovare un serio argine nel modello di prevenzione.

Va sottolineato, come avviene in ogni giudizio penale sull’idoneità di un atto, che “la valutazione del giudice dovrà fondarsi su un giudizio ex ante (la cosiddetta prognosi postuma) che prescinde dal risultato concreto della mancata prevenzione del reato, ma che dovrà tener conto delle risultanze dell’attività investigativa in punto di verifica dei requisiti di idoneità ed efficace attuazione del modello organizzativo, come più sopra delineati” [Circolare della Guardia di Finanza n. 83607/2012].

Fonti: Puntosicuro e Rolando Dubini Avvocato di Milano