Tra un anno il D.Lgs. 231/2001 festeggerà dieci anni di vita; la legge, introdotta in Italia nel giugno del 2001, ha ampliato in questo periodo in modo molto significativo il proprio ambito di applicazione, diventando ormai  una norma con cui si deve confrontare la maggioranza delle imprese italiane.

Il decreto ha introdotto per la prima volta il concetto di responsabilità penale delle persone giuridiche; in sostanza, secondo l’applicazione del decreto, nei casi in cui un amministratore o un dipendente di una società compia un reato con la volontà di far ottenere alla società un iniquo vantaggio, per tale reato risponde non solo la persona fisica che ha commesso ma anche la società, a cui può essere comminata una pena di natura sia pecuniaria (fino a un massimo di 1,5 milioni di euro per ogni singolo reato commesso) che di natura interdittiva (ovvero il blocco dell’attività aziendale o dei rapporti con soggetti della Pubblica Amministrazione).

Il decreto introduce però una condizione esimente, in base alla quale la società può non essere incriminata nel caso in cui abbia predisposto un modello organizzativo gestionale, ovvero un insieme di procedure e protocolli che renda possibile la commissione del reato solo se la persona fisica decida volontariamente di eludere tale modello per garantire un vantaggio all’azienda.

Il decreto prevede inoltre che la società nomini un organismo di vigilanza, ovvero un organo monosoggettivo o plurisoggettivo incaricato di verificare periodicamente il rispetto del modello e di aggiornarne i contenuti alla luce delle novità legislative, una sorta di Collegio Sindacale con specifici compiti relativi al rispetto all’aggiornamento del Decreto.

L’impalcatura del Decreto è quindi chiara: per alcuni reati commessi da persone fisiche nell’interesse di persone giuridiche è chiamato a rispondere non solo chi ha commesso il reato, ma anche la società che ne ha tratto vantaggio, a meno che la stessa non dimostri di avere definitivo un modello organizzativo e nominato un Organismo di Vigilanza; lo schema del decreto è immutato rispetto all’iniziale predisposizione, ciò che è cambiato in modo molto importante è la numerosità dei reati che rientrano nell’ambito di applicazione del D. Lgs. 231/2001.

I reati

Il D. Lgs. 231/2001 nasce per porre dei paletti ai rapporti tra società  e Pubblica Amministrazione, di conseguenza i primi reati che nel 2001 rientrano nell’ambito di applicazione del Decreto sono proprio quelli relativi ai rapporti con la PA, ovvero truffa ai danni dello Stato, corruzione di pubblici ufficiali, concussione, malversazione: in prima battuta, quindi, le società interessate dal Decreto sono soltanto quelle che, per la tipologia di attività svolta, si trovano spesso ad entrare in contatto con membri della Pubblica Amministrazione, soprattutto per gare di appalto pubbliche o richieste di finanziamento.

Nel 2004 viene esteso il D.Lgs. 231/2001 ai reati societari, in conseguenza degli scandali finanziari che avevano caratterizzato quegli anni, Parmalat e Cirio in primis: entrano nella 231 quindi i reati di falsa comunicazione sociale (in sostanza una rappresentazione nel bilancio dell’azienda non veritiera e corretta dei risultati societari), impedito controllo (impossibilità di esercizio del controllo per gli organismi deputati ad effettuare tale attività, Collegio Sindacale e Società di Revisione), omessa comunicazione del conflitto di interessi, illecita influenza sull’assemblea, aggiotaggio, ostacolo all’esercizio della funzione delle Autorità pubbliche di vigilanza, illecite operazioni sulle azioni o quote sociali o della società controllante e operazioni in pregiudizio dei creditori.

Ai reati societari si applicano solo sanzioni di natura pecuniaria, non sono previste sanzioni di natura interdittiva. In conseguenza di tale estensione del D. Lgs. 231/2001 sale indubbiamente, rispetto all’iniziale versione, il numero di società potenzialmente interessate dal Decreto, in sostanza tutte le società che pubblicano un bilancio, anche se la presenza di un Collegio Sindacale e di una società di revisione che effettuino controlli significativi sul bilancio d’esercizio poteva rappresentare una buona limitazione dei rischi legati a tali reati.

Nel 2005 vengono inseriti nel Decreto i reati di natura finanziaria, ovvero l’abuso di informazioni privilegiate (Insider trading) e la manipolazione del mercato (aggiotaggio finanziario); anche per questa categoria di reati, come per quelli di natura societaria, sono previste unicamente sanzioni di natura pecuniaria senza interdizioni. L’introduzione dei reati finanziari nel D.Lgs. 231/2001 non estende però  l’applicazione della norma ad altri soggetti rispetto a quelli già interessati dalle precedenti categorie di reato; in sostanza sono reati che coinvolgono il mondo delle società quotate, che erano comunque già strettamente interessate dai reati di natura societaria.

Nell’agosto del 2007 c’è però la vera svolta della 231: entrano nel Decreto i reati connessi al mancato rispetto della normativa relativa alla sicurezza sul lavoro; omicidio colposo e lesioni gravi o gravissime derivanti dal mancato rispetto della normativa anti infortunistica sui luoghi di lavoro.  L’inserimento di questa tipologia di reati nel Decreto è in realtà in apparente contrasto con il dettato normativo, che prevede per l’applicazione della 231, che ci sia la volontà di commettere il reato e il vantaggio per la società derivante dalla commissione del reato stesso.

Nel caso di morte per incidente sul luogo di lavoro è naturalmente difficile identificare sia il vantaggio per la società connesso al decesso di un dipendente sia la volontà di commettere tale reato: parte della dottrina ha identificato il vantaggio dell’ente nei minori costi sostenuti per adeguare la propria struttura alle normative legate alla sicurezza: si ritiene quindi che la volontà della società di non investire in sicurezza e il conseguente vantaggio economico legato al risparmio dei costi consenta l’applicazione della 231 anche per questa tipologia di reati.

È chiaro che con l’introduzione di quest’ultima categoria di reati nel D. Lgs. 231/2001 sostanzialmente la norma riguarda tutte le società italiane; mentre fino al 2007 società non quotate, con pochi rapporti con la Pubblica Amministrazione, con Collegio Sindacale e Società di Revisione deputati al controllo organizzativo e contabile, potevano tutto sommato ritenersi al riparo dall’applicazione della 231, a meno di casi eccezionali, dall’agosto del 2007 tutte le imprese, in particolare, quelle che hanno un processo produttivo che espone i lavoratori a un pericolo mentre svolgono la loro attività, devono ritenersi strettamente interessate dal Decreto e quindi potenzialmente a rischio. Per la categoria di reati collegata al mancato rispetto della normativa legata alla sicurezza sul lavoro è prevista l’applicazione sia di sanzioni di natura interdittiva che di sanzioni di natura pecuniaria.

Negli ultimi due anni sono stati introdotti nell’ambito della 231 alcuni nuovi reati, tra i quali rivestono particolare interesse quelli di “Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento”, “Delitti contro l’industria e il commercio” e “Delitti in materia di violazione del diritto d’autore”. In sostanza la 231 si estende a tutti i reati connessi al diritto industriale e alla tutela della proprietà intellettuale; si fa quindi riferimento a reati come la vendita di prodotti industriali con segni mendaci (ad esempio, caratterizzati dal segno distintivo “made in Italy”, quando invece sono stati prodotti in un altro Paese), l’illecita concorrenza, il mancato rispetto dei diritti di autore. Per tutte questi reati sono previste sia sanzioni di natura pecuniaria che sanzioni di natura interdittiva.

Le sanzioni emesse

In questi nove anni non sono state poche le sanzioni comminate alle società collegate al D. Lgs. 231/2001; è necessario premettere che sono due le condizioni che facilitano l’erogazioni di tali sanzioni. Prima di tutto il fatto che le sanzioni possano essere erogate già in sede di indagine preliminare prima quindi che si completi il processo vero e proprio: ciò dipende dal fatto che, per evitare il perpetuarsi del reato il Legislatore abbia ritenuto opportuno sanzionare le società già in sostanza quando si apre il procedimento; l’incidenza di tale norma è molto rilevante se si pensa che in sostanza esiste la possibilità di fermare l’attività aziendale anche in assenza di una vera e propria sentenza.

L’altro aspetto penale molto importante da considerare è che la 231 prevede un’inversione dell’onere della prova, con la società chiamata a dimostrare la propria innocenza partendo dal presupposto che il reato sia stato commesso. Le più importanti sanzioni di questi anni di 231 sono relative alla truffa ai danni del sistema sanitario nazionale da parte di  alcuni enti giuridici del settore farmaceutico, a sanzioni di natura pecuniaria e interdittiva per società che operano nello smaltimento dei rifiuti.

Si ricordano poi le recentissime condanne di tre società per reati connessi al mancato rispetto della normativa relativa alla sicurezza del lavoro e gli ultimi casi balzati agli onori delle cronache, la presunta truffa ai danni dello stato di due importanti compagnie telefoniche nazionali, realizzata tramite un giro di false fatturazioni, e il caso di istituti dio credito stranieri rinviati a giudizio con l’accusa di truffa ai danni del Comune di Milano.

Realizzare un modello organizzativo

Come evidenziato in precedenza, l’estensione della 231 a molteplici tipologie di reati, l’applicazione delle sanzioni in via cautelativa già in fase preliminare e l’onere della prova a carico della società espongono le aziende a concreti rischi connessi al D. Lgs. 231/2001. La 231 prevede però una condizione esimente, rappresentata dalla realizzazione e dal rispetto di un modello organizzativo e gestionale, monitorato e aggiornato dall’Organismo di Vigilanza, che consenta possibile la commissione di un reato solo se la persona fisica decida consapevolmente e volontariamente di eludere il modello stesso.

È fondamentale che il modello organizzativo sia efficace, perché avere un modello organizzativo meramente teorico e non rispettato e conosciuto in azienda sostanzialmente equivale all’assenza del modello stesso. Il mercato della consulenza in materia 231 negli ultimi anni si è ampliato molto: Avvocati, Dottori Commercialisti, società di revisione, società di consulenza, tutti si offrono come esperti di 231 e tutti propongono alle società la realizzazione di modelli organizzativi.

Consigliamo alle aziende di diffidare da chi propone modelli organizzativi a cifre irrisorie senza attività da sviluppare presso la società stessa; Internet spopola di modelli organizzativi 231, un qualsiasi studente universitario sarebbe in grado di fare un collage dei vari modelli e di crearne uno nuovo per una società: tutti questi modelli costruiti sulla carta sono però destinati a crollare nel momento in cui, nel malaugurato caso di commissione di un reato, si aprisse un procedimento giudiziario, in cui risulterebbe facile dimostrare la totale inefficacia del modello e quindi la non applicabilità della condizione esimente.

La corretta impostazione di un mandato per la realizzazione di un modello 231 deve invece prevedere una prima fase di risk assesmmment, in cui, in conseguenza di un’analisi di statuto, organigramma, patti parasociali, deleghe e procure e una serie di interviste da realizzare in azienda, in prima battuta con i soggetti che stanno all’apice dell’organizzazione e poi con tutti coloro che, per il ruolo che ricoprono, potrebbero avere la teorica possibilità di commettere un reato; da questa prima fase di attività devono essere chiari quali siano gli ambiti aziendali e le figure più a “rischio” per la 231 e come siano attualmente gestiti in azienda tali rischi con l’evidenziazione di eventuali gap del sistema dei controlli.

Il documento riepilogativo dell’analisi di tali rischi, definito “risk assessment“, deve essere approvato dall’organo amministrativo aziendale prima di procedere alla predisposizione del modello vero e proprio; il modello deve essere calato sulla realtà aziendale e quindi definire procedure e protocolli che vadano a sanare i gap esistenti nel sistema di controllo dell’azienda. Il modello deve essere inoltre integrato di un codice etico che detti i valori che i dipendenti devono rispettare nello svolgimento della loro attività e di un regolamento dell’Organismo di Vigilanza che disciplini l’attività dell’organo di controllo.