Il decreto legislativo 231/2001 disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, disponendo in particolare che tali enti sono responsabili per taluni reati commessi dagli amministratori, apicali o dipendenti.

Le società, tuttavia, possono non essere ritenute responsabili del reato commesso dai propri “dipendenti “(in senso ampio ed atecnico) se dimostrano di aver

  • adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione e di gestione (di seguito “MOG”) idoneo a prevenire i reati e
  • affidato ad un organismo dotato di autonomi poteri di iniziativa e di controllo il compito di vigilare sul funzionamento e l’osservanza del MOG, curandone l’aggiornamento (di seguito “ODV”).

Il DLGS 231/2001 è piuttosto generico e certamente non aiuta l’interprete ad individuare le modalità con il quale il MOG deve essere redatto e le formalità cui il MOG deve essere sottoposto.

Le associazioni di categoria, come ad esempio Confindustria, hanno, così, redatto delle Linee Guida, che aiutano nella comprensione del testo legislativo.

La giurisprudenza, poi, negli anni, ha fornito dei chiarimenti interpretativi del DLGS 231/2001.

Purtroppo, però, gli sforzi della dottrina, delle associazioni di categoria e della giurisprudenza non appaiono sufficienti per chiarire il DLGS 231/2001. Si pensi che una parte della dottrina e della giurisprudenza ritengono che nel momento la commissione di un reato è un chiaro segnale dell’inadeguatezza del MOG. Se tale orientamento fosse maggioritario e fosse perpetuato nel tempo, sarebbe, evidentemente, del tutto inutile adottare un MOG, atteso che esso serve non solo per evitare la commissione di reati, ma anche a proteggere le società quando il reato – nonostante il MOG – sia stato commesso.

In verità, sarebbe sufficiente per superare tale problematica, la previsione normativa di una certificazione ex ante del MOG, cosicché il MOG venga ritenuto valido sotto il profilo difensivo anche in caso di commissione di reati.

Il legislatore, però, si è ben guardato dal prevedere una forma di certificazione del MOG, ovvero una forma di benestare preventivo del MOG, lasciando all’iniziativa privata la ricerca delle modalità di volta in volta più idonee per la redazione, adozione e applicazione del MOG ed alla giurisprudenza di sbizzarrirsi nelle più diverse interpretazioni del DLGS 231/2001.

Le società si trovano, così, oggi di fronte ad un bivio: a) adottare un MOG (incorporando anche un organismo di vigilanza) affrontando le relative (ed a volte ingenti spese), con il rischio che un domani un reato venga commesso ed il MOG non offra alcuna protezione alla società oppure b) non adottare il MOG, risparmiando quelle somme che un domani potrebbero essere utili per pagare almeno una parte delle sanzioni previste dal DLGS 231/2001.

Ritengo che sia sempre opportuno per le società adottare un MOG, ma ciò solo a determinate condizioni:

  • il MOG deve essere redatto congiuntamente da avvocati civilisti e penalisti, eventualmente col supporto di esperti nelle procedure aziendali;
  • il MOG deve essere redatto solamente dopo che sia stata effettuata una seria mappatura dei rischi, attraverso l’esame di documenti, interviste, esame dei processi aziendali ecc.;
  • i redattori devono verificare le procedure aziendali in essere al momento della redazione del MOG ed eventualmente integrarle con nuove procedure che abbassino ulteriormente i rischi di commissione di reati (con l’accortezza di individuare nuove procedure che non abbiano un impatto eccessivo sul business: per tale aspetto, consulenti aziendali specifici possono essere preziosi);
  • l’ODV svolga una effettiva attività di controllo dell’applicazione del MOG e non diventi un mero organo consultivo della società (o peggio un organo consultivo su come aggirare le regole dettate dal MOG o su come raggiungere il risultato implicitamente o esplicitamente vietato dal modello);
  • i “dipendenti” della società devono effettivamente comunicare all’ODV le problematiche che insorgono, i rischi emersi ed eventuali carenze procedurali, senza dover essere periodicamente sollecitati;
  • vi sia una effettiva collaborazione tra ODV e management della società.

Recentemente, alcuni i Pubblici Ministeri chiedono MOG certificati, intendendo per certificati MOG esaminati, riletti, valutati e soppesati ed eventualmente modificati, da professionisti specializzati nel corporate compliance.

Inoltre, alcuni Organismi di Vigilanza, recentemente hanno cominciato a richiedere a professionisti terzi di esaminare il MOG adottato e di valutarne eventuali modifiche e integrazioni.

Sostanzialmente, dunque, si sta andando verso una certificazione tra privati dei MOG, effettuata da professionisti, senza alcuna autorizzazione preventiva da parte degli enti pubblici o governativi.

Per ottenere un MOG “certificato” (ossia valutato ex post da professionisti esperti, ma comunque prima della commissione di reati e di procedimenti penali) è necessario innanzitutto individuare i professionisti dotati di un’esperienza tale da poter cogliere le lacune, gli errori e le omissioni contenute nel MOG adottato dalla società richiedente. La lista di tali professionisti non è – come ben si comprenderà – molto ampia.

L’incaricato della certificazione del MOG, poi, dovrà effettuare una serie di verifiche presso la società, attraverso interviste, esame documenti, esame delle procedure dell’ODV e del suo operato. In sostanza, il professionista certificatore dovrà effettuare nuovamente la risks analysis e verificare se le procedure adottate dalla società e l’attività dell’ODV abbiano abbassato significativamente il rischio di commissione dei reati rilevanti ai sensi del DLGS 231/2001.

Se così non fosse, i professionisti certificatori dovranno suggerire le procedure e le attività da svolgersi per poter adeguatamente abbattere il rischio di commissione di reati.

Solo dopo che la società avrà adottato tutti i presidi suggeriti dai professionisti certificatori, il MOG potrà essere o dirsi “certificato”.

di Roberto Tirone