Responsabilità dell’ente 231. Il Tribunale di Milano traccia i contenuti del MOG

Di recente, il Tribunale di Milano, II sezione penale, con sentenza del 22 aprile 2024, n. 1070 si è pronunciato in tema di responsabilità dell’ente ai sensi del D.lgs. 231/2001 fornendo indicazioni sul contenuto di un MOG efficacemente strutturato. 

Della stessa autrice 

• Gli enti religiosi nel terzo settore (eBook 2024)
• Fusioni e scissioni Enti del Terzo settore (eBook 2022)

Può interessarti anche Responsabilità amministrativa enti e whistleblowing (ebook)

1) D.lgs. 231/2001 e contenuti del MOG: l'importanza dei ruoli nella gerarchia aziendale

I giudici, facendo diretto riferimento agli artt. 5, 6 e 7 d.lgs. 231/2001, sottolineano come essi non contengano alcuna indicazione sul contenuto di un modello idoneo a prevenire il rischio-reato. 

Infatti, l’art. 5 menziona il criterio di imputazione del reato in capo all’ente in presenza di illeciti commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione o direzione (apicali) nonché da persone a queste ultime sottoposte. 

Gli artt. 6 e 7 del medesimo decreto distinguono, invece, il criterio di imputazione del rischio-reato a seconda che l’illecito sia stato commesso da un soggetto apicale o piuttosto da un sottoposto. 

Del resto, va rilevato come le decisioni organizzative non possono essere descritte come un momento unico e ben individuabile, rappresentando, invece, un atto complesso, articolato all’interno di un processo, che comprende: 

a) l’individuazione del problema e la definizione degli obiettivi; 

b) la diagnosi del problema alla luce delle condizioni ambientali (esterne) e d’impresa (interne); 

c) lo sviluppo di diverse possibili alternative di soluzione; 

d) la valutazione di alternative; 

e) la selezione dell’alternativa migliore; 

f) l’attuazione della decisione e la verifica dei risultati.

I ruoli rivestiti dai singoli individui all’interno della gerarchia aziendale andranno poi a definire l’oggetto della garanzia; per tale motivo, la frammentazione delle posizioni di garanzia assume una dimensione qualitativa: chi è collocato in posizione apicale assicurerà, prima di tutto, l’adozione di un modello organizzativo che consenta un’adeguata protezione ai beni giuridici tutelati dalle norme penali e, scendendo ai livelli subordinati, la garanzia si concretizzerà in rapporto al tipo di funzione in concreto esercitata.

Della stessa autrice 

• Gli enti religiosi nel terzo settore (eBook 2024)
• Fusioni e scissioni Enti del Terzo settore (eBook 2022)

Può interessarti anche Responsabilità amministrativa enti e whistleblowing (ebook)

2) La corretta gestione delle risorse per l’attuazione concreta del MOG

Delineata la suddivisione delle posizioni dei soggetti garanti, i giudici sottolineano che occorre poi predisporre, all’interno dell’ente le risorse per assicurare il corretto funzionamento dei modelli di prevenzione del rischio-reato che costituiscono l’autentico supporto materiale del dovere organizzativo. Al riguardo potrebbe essere opportuno suddividere il MOG in due parti: 

3) MOG - Parte Generale: codice etico, sistema disciplinare e ODV

In riferimento al Codice etico, lo stesso dovrebbe essere così strutturato:

1. una introduzione che faccia riferimento alla legislazione, alle linee guida elaborate dall’associazione di categoria e ad eventuali codici deontologici; 
2. l’indicazione dei destinatari del Codice e le modalità di informazione e formazione sui contenuti dello stesso;
3. i principi etici di riferimento;
4. principi e le norme di comportamento;
5. le sanzioni disciplinari conseguenti alla violazione delle disposizioni del Codice.

Inoltre, risulta indispensabile la predisposizione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nei protocolli operativi, che preveda nei contenuti essenziali, indicazioni specifiche:

1.  sui soggetti destinatari delle sanzioni disciplinari; 
2. sull’apparato sanzionatorio diversamente articolato a seconda del ruolo dei destinatari; 
3. sui criteri di commisurazione della sanzione;
4. sulle condotte rilevanti distinguendo tra mere violazioni formali e violazioni che, invece, possono avere conseguenze pregiudizievoli per l’ente;
5. sul procedimento di irrogazione delle sanzioni con la specificazione del titolare dell’azione disciplinare, delle garanzie a tutela dell’accusato e della funzione competente ad applicare la sanzione stessa.

In aggiunta, la predisposizione di un rigoroso apparato sanzionatorio non può adeguatamente assolvere la sua funzione se non è affiancato da un adeguato sistema di rilevamento delle violazioni.

Nella Parte Generale trova poi espressa disciplina l’Organismo di Vigilanza (ODV) che esercita, come noto, attività di controllo diffuso sull’effettività e adeguatezza del Modello di prevenzione del rischio-reato.

L’ODV compie attività informative e di controllo ed ha poteri propositivi e di accertamento disciplinare; l’ODV deve predisporre report periodici sull’attività svolta e trasmettere con tempestività tutte le segnalazioni riguardanti eventuali violazioni del MOG. Inoltre, deve svolgere costante attività di monitoraggio e di accertamento delle infrazioni.

Della stessa autrice 

• Gli enti religiosi nel terzo settore (eBook 2024)
• Fusioni e scissioni Enti del Terzo settore (eBook 2022)

Può interessarti anche Responsabilità amministrativa enti e whistleblowing (ebook)

4) MOG - Parte Speciale. Mappatura dei rischi e i protocolli di comportamento

In riferimento al contenuto dei Protocolli di prevenzione del rischio-reato, la normativa risulta ugualmente scarna di contenuti: l’art. 6 co. 2 d.lgs. 231/01 specifica solo che un Modello idoneo deve “individuare le attività nel cui ambito possono essere commessi reati”, cioè le c.d. attività sensibili. 

La “mappatura del rischio” (risk assessment) in pratica si divide in:

1. individuazione delle aree potenzialmente a rischio-reato con particolare riguardo alle aree c.d. strumentali, ovvero quelle che gestiscono strumenti finanziari, destinati a supportare la commissione dei reati stessi;
2. rilevazione dei processi sensibili dai quali potrebbero derivare le ipotesi di reato persegui bili, ovvero selezionare le attività al cui espletamento è connesso il rischio di commissione di reati, indicando le direzioni ed i ruoli aziendali coinvolti;
3. rilevazione e valutazione del grado di efficacia dei sistemi operativi e di controllo già in essere, allo scopo di reperire i punti di criticità rispetto alla prevenzione del rischio-reato;
4. descrizione delle possibili modalità di commissione dei reati, allo scopo di impostare le indispensabili “cautele” preventive.

I Protocolli di comportamento hanno invece l’obiettivo della “cautela”, ossia la realizzazione misure idonee a ridurre continuativamente e ragionevolmente il rischio-reato. Fondamentale è il rispetto del principio della ‘segregazione delle funzioni’, in base al quale i soggetti che intervengono in una fase non possono svolgere alcun ruolo nelle altre fasi del processo decisionale.

Nel dettaglio, il contenuto del protocolli deve essere così strutturato:

1. l’indicazione di un responsabile del processo a rischio-reato, il cui compito principale è quello di assicurare che il sistema operativo sia adeguato ed efficace rispetto al fine che intende perseguire;
2. la regolamentazione del processo, ovvero l’individuazione dei soggetti che hanno il presidio di una specifica funzione, e ciò in osservanza del predetto principio di segregazione delle funzioni;
3. la specificità e la dinamicità del protocollo, laddove il primo requisito evoca la sua aderenza sostanziale rispetto al rischio da contenere, mentre il secondo presupposto attiene alla capacità del modello di adeguarsi ai mutamenti organizzativi che avvengono nella compagine sociale;
4. la garanzia di completezza dei flussi infornativi, che rivestono un ruolo assolutamente centrale sul versante dell’ effettività della cautela 
5. un efficace monitoraggio e controllo di linea, ovvero quelli esercitati dal personale e dal management esecutivo come parte integrante della propria attività gestionale e decisionale. Questo comporta, come già evidenziato, che sia attuata la distinzione di ruoli tra controllore e controllato, anche per evitare possibili condizionamenti impropri che possono verificarsi ogni volta che il controllo sia esercitato da soggetti che condividono con i controllati la medesima prospettiva retributiva, sia in termini di incentivazione che dì disincentivazione.

Si ricorda che la Cassazione sez. VI, n. 23401/2022, in riferimento dell’adeguatezza del modello di prevenzione del rischio-reato, ha escluso ogni forma di automatismo tra la commissione del reato e l’inidoneità del MOG ex art. 6 d.lgs. 231/2001.

La commissione del reato - specificano i giudici nella citata sentenza - non equivale a dimostrare che il modello MOG sia inidoneo. Il rischio-reato viene ritenuto accettabile quando il sistema di prevenzione non possa essere aggirato se non fraudolentemente a conferma, dunque, del fatto che il legislatore ha voluto evitare di punire l’ente secondo un criterio di responsabilità oggettiva. 

Il giudice, è chiamato ad una valutazione del modello in concreto, non solo in astratto; tale controllo, tuttavia, è sempre limitato alla verifica dell’idoneità del modello a prevenire reati della specie di quello verificatosi, sicché deve escludersi che il controllo giudiziario della compliance abbia una portata "totalizzante" dovendo essere rivolto, invece, ad escludere la reiterazione degli illeciti già commessi. Il modello organizzativo, cioè, non viene testato dal giudice nella sua globalità, bensì in relazione alle regole cautelari che risultano violate e che comportano il rischio di reiterazione di

reati della stessa specie. 

Infine, in ipotesi di elusione fraudolenta del MOG, sempre la Cassazione afferma che “non vi è dubbio che il concetto di elusione implichi necessariamente una condotta munita di connotazione decettiva, consistendo nel sottrarsi con malizia ad un obbligo ovvero nell’aggiramento di un vincolo, nello specifico rappresentato dalle prescrizioni del modello; rafforzato poi dal predicato di fraudolenza, contenuto nella norma, che, lungi dall’essere una mera ridondanza, vuole evidenziare l’insufficienza della semplice e frontale violazione delle regole del modello, pretendendo una condotta ingannevole, falsificatrice, obliqua, subdola, tale da frustrare con l’inganno il diligente rispetto delle regole da parte dell’ente”. 

L’esonero dell’ente dalla responsabilità da reato, infatti, può trovare una ragione giustificativa solamente in quanto la condotta dell’organo apicale rappresenti una dissociazione dello stesso dalla politica d’impresa; in tale evenienza, dunque, il reato costituisce il prodotto di una scelta personale ed autonoma della persona fisica, realizzata non già per effetto di inefficienze organizzative, ma piuttosto, nonostante un’organizzazione adeguata, poiché aggirabile soltanto attraverso una condotta ingannevole.

In sostanza, l’elusione fraudolenta va valutata in riferimento non al precetto penale, bensì alle prescrizioni del MOG, dovendo rappresentare una modalità esecutiva della condotta del soggetto apicale, non anche un elemento costitutivo del reato da questi commesso. Infine, anche nella pronuncia della Cass. n. 51455/2023 si ribadisce come “il verificarsi del reato non implica ex se l’inidoneità o l’inefficace attuazione del MOG”. 

Ti consigliamo anche: Finalyst  il Software di Analisi Finanziaria e Corporate Performance Management - RICHIEDI DEMO GRATUITA  Kit di revisione legale PMI La revisione Legale - Tecniche e Procedure - Libro di Carta Bilanci 2023 Guida pratica per società revisori sindaci