Dashboard 231

Che cos'e il D.Lgs. 231/2001?

Il Decreto Legislativo 8 giugno 2001, n. 231, recante la "Disciplina della responsabilita amministrativa delle persone giuridiche, delle societa e delle associazioni anche prive di personalita giuridica", ha introdotto nell'ordinamento giuridico italiano un regime di responsabilita amministrativa (sostanzialmente penale) a carico degli enti per determinati reati commessi, nel loro interesse o a loro vantaggio, da soggetti che rivestono posizioni apicali o da persone sottoposte alla loro direzione o vigilanza.

Il decreto ha recepito le indicazioni contenute in numerose convenzioni internazionali e comunitarie, in particolare la Convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali, la Convenzione PIF del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunita europee, e la Convenzione del 26 maggio 1997 sulla lotta alla corruzione nella quale sono coinvolti funzionari delle Comunita europee o degli Stati membri dell'Unione europea.

Prima dell'entrata in vigore del D.Lgs. 231/2001, nell'ordinamento italiano vigeva il principio "societas delinquere non potest", secondo il quale le persone giuridiche non potevano essere ritenute responsabili per i reati commessi dalle persone fisiche che agivano in loro nome e per loro conto. Il decreto ha superato questo principio, introducendo il concetto opposto: "societas delinquere potest", ossia la societa puo commettere reati e risponderne direttamente.

A chi si applica?

Il D.Lgs. 231/2001 si applica a tutti gli enti collettivi, indipendentemente dalla loro dimensione:

• Societa di capitali (S.p.A., S.r.l., S.a.p.a.)
• Societa di persone (S.n.c., S.a.s.)
• Societa cooperative e consorzi
• Associazioni con o senza personalita giuridica
• Fondazioni
• Enti del Terzo Settore e imprese sociali
• Enti privati concessionari di pubblico servizio

Benefici dell'adozione del MOG

L'adozione e l'efficace attuazione di un Modello di Organizzazione, Gestione e Controllo (MOG) ai sensi dell'art. 6 del D.Lgs. 231/2001 rappresenta l'unico strumento che consente all'ente di beneficiare dell'esimente dalla responsabilita. In caso di reato commesso da un soggetto apicale, l'ente non risponde se dimostra che:

• L'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione e gestione idoneo a prevenire reati della specie di quello verificatosi;
• Il compito di vigilare sul funzionamento e l'osservanza del modello e di curare il suo aggiornamento e stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo (OdV);
• Le persone hanno commesso il reato eludendo fraudolentemente il modello;
• Non vi e stata omessa o insufficiente vigilanza da parte dell'OdV.

I reati presupposto sono le fattispecie criminose per le quali e prevista la responsabilita amministrativa dell'ente ai sensi del D.Lgs. 231/2001. Il catalogo dei reati e stato progressivamente ampliato dal legislatore nel corso degli anni, passando dalle originarie fattispecie di corruzione e truffa ai danni dello Stato fino a ricomprendere un ampio ventaglio di illeciti penali. Attualmente il catalogo conta oltre 180 fattispecie di reato, raggruppate nelle seguenti macro-categorie:

L'elenco dei reati presupposto e in continua evoluzione. Il legislatore interviene periodicamente per ampliare il catalogo in risposta a nuove esigenze di tutela penale. E pertanto fondamentale che il Modello Organizzativo venga costantemente aggiornato per riflettere le modifiche normative.

Il Modello di Organizzazione, Gestione e Controllo (comunemente denominato "MOG 231" o "Modello 231") e il documento cardine del sistema di compliance previsto dal D.Lgs. 231/2001. La sua adozione, pur non essendo obbligatoria, rappresenta l'unico strumento che consente all'ente di beneficiare dell'esimente dalla responsabilita amministrativa in caso di commissione di un reato presupposto.

Il MOG deve essere costruito sulla base di un'approfondita analisi della realta aziendale e deve essere specificamente calibrato sulle caratteristiche, le dimensioni, il tipo di attivita, la struttura organizzativa e il profilo di rischio dell'ente. Un modello "di facciata", meramente formale o copiato da altre realta, non soddisfa i requisiti di idoneita richiesti dalla giurisprudenza.

I 7 Pilastri del MOG 231

Secondo le indicazioni dell'art. 6, comma 2, del D.Lgs. 231/2001 e le Linee Guida di Confindustria, il Modello deve prevedere i seguenti elementi essenziali:

L'Organismo di Vigilanza (OdV) e l'organo interno all'ente cui e affidato il compito di vigilare sul funzionamento, sull'efficacia e sull'osservanza del Modello di Organizzazione, Gestione e Controllo, nonche di curarne l'aggiornamento. L'art. 6, comma 1, lettera b) del D.Lgs. 231/2001 prevede espressamente che l'ente debba affidare a un organismo dotato di autonomi poteri di iniziativa e di controllo il compito di vigilare sul MOG.

Requisiti fondamentali dell'OdV

La dottrina e la giurisprudenza hanno individuato quattro requisiti essenziali che l'OdV deve possedere per poter svolgere efficacemente la propria funzione:

• Autonomia e indipendenza: L'OdV deve essere collocato in una posizione gerarchica elevata e non deve essere sottoposto ad alcuna forma di interferenza o condizionamento da parte dell'organo dirigente o di qualsiasi altro organo dell'ente. I suoi membri non devono avere compiti operativi che li rendano partecipi delle decisioni aziendali.
• Professionalita: I componenti dell'OdV devono possedere competenze specifiche in materia giuridica, di controllo interno, di gestione dei rischi e di organizzazione aziendale. E essenziale che l'organismo disponga delle conoscenze tecniche necessarie per svolgere efficacemente l'attivita di verifica.
• Continuita d'azione: L'OdV deve operare con continuita e non limitarsi a verifiche sporadiche o occasionali. Deve predisporre un programma annuale di attivita, effettuare verifiche periodiche e mantenere un flusso costante di informazioni con le funzioni aziendali.
• Onorabilita: I componenti dell'OdV devono possedere requisiti di onorabilita e non devono trovarsi in situazioni di conflitto di interesse con l'ente.

Composizione

L'OdV puo essere composto in forma monocratica o collegiale. Le Linee Guida di Confindustria raccomandano una composizione collegiale (tipicamente tre membri), con la presenza di professionisti esterni (avvocati, commercialisti, esperti di compliance) e, eventualmente, di componenti interni (responsabile internal audit, responsabile legale). Nelle societa di minori dimensioni, le funzioni dell'OdV possono essere svolte dal collegio sindacale (art. 6, comma 4-bis).

Compiti principali

• Vigilare sull'effettivita del Modello, verificando la coerenza tra i comportamenti concreti e il Modello adottato
• Verificare l'adeguatezza del Modello, valutando la sua capacita di prevenire i reati presupposto
• Monitorare l'attuazione dei protocolli preventivi e dei flussi informativi
• Condurre verifiche e ispezioni periodiche sulle aree a rischio
• Ricevere e gestire le segnalazioni di violazioni del Modello
• Riferire periodicamente agli organi dirigenti sull'attivita svolta e sulle criticita emerse
• Proporre aggiornamenti del Modello in relazione a modifiche normative, organizzative o di business

Il Codice Etico (o Codice di Comportamento) e il documento fondamentale attraverso il quale l'ente enuncia l'insieme dei diritti, dei doveri e delle responsabilita nei confronti di tutti i portatori di interesse (stakeholder). Esso rappresenta la "carta dei valori" dell'organizzazione e costituisce parte integrante del Modello di Organizzazione, Gestione e Controllo.

Il Codice Etico si distingue dal MOG in quanto ha una portata piu ampia: mentre il Modello 231 e specificamente finalizzato alla prevenzione dei reati presupposto, il Codice Etico definisce i principi generali di comportamento che devono ispirare l'intera attivita dell'ente e dei suoi collaboratori.

Contenuto tipico del Codice Etico

• Principi generali: Legalita, onesta, trasparenza, correttezza, riservatezza, imparzialita, tutela della persona
• Rapporti con la Pubblica Amministrazione: Regole di condotta nei rapporti con enti pubblici, divieto di corruzione
• Rapporti con i dipendenti: Politiche di selezione, sviluppo professionale, salute e sicurezza, non discriminazione
• Rapporti con clienti e fornitori: Trasparenza commerciale, qualita, concorrenza leale
• Gestione delle informazioni: Riservatezza, protezione dei dati, comunicazioni sociali veritiere
• Tutela ambientale: Impegno per la sostenibilita e il rispetto delle normative ambientali
• Conflitti di interesse: Obbligo di segnalazione e gestione delle situazioni di conflitto

Diffusione e formazione

Il Codice Etico deve essere portato a conoscenza di tutti i destinatari: dipendenti, collaboratori, consulenti, fornitori e partner commerciali. La sua accettazione deve essere formalizzata attraverso clausole contrattuali specifiche. L'ente deve inoltre organizzare periodiche sessioni di formazione e aggiornamento sui contenuti del Codice.

L'art. 6, comma 2, lettera e) del D.Lgs. 231/2001 prevede espressamente che il Modello di Organizzazione debba "introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello". Il sistema disciplinare costituisce un elemento essenziale del MOG: la sua assenza o la sua inadeguatezza puo compromettere l'idoneita del Modello stesso ai fini dell'esimente.

La giurisprudenza della Corte di Cassazione ha piu volte ribadito che un Modello privo di un adeguato sistema sanzionatorio non puo considerarsi efficacemente attuato, in quanto manca della forza deterrente necessaria per prevenire la commissione dei reati (cfr. Cass. Pen., Sez. V, n. 4677/2014).

Sanzioni per categoria

• Lavoratori dipendenti (operai e impiegati): Richiamo verbale, ammonizione scritta, multa, sospensione dal servizio e dalla retribuzione, licenziamento per giusta causa o giustificato motivo soggettivo. Le sanzioni devono essere coerenti con le previsioni del CCNL applicabile e dello Statuto dei Lavoratori (L. 300/1970).
• Dirigenti: Richiamo scritto, revoca delle procure o delle deleghe, risoluzione del rapporto di lavoro. Le sanzioni nei confronti dei dirigenti devono tenere conto del maggior grado di responsabilita connesso alla posizione ricoperta.
• Collaboratori esterni, consulenti e fornitori: Contestazione della violazione, applicazione di penali contrattuali, risoluzione del contratto. Le clausole sanzionatorie devono essere espressamente previste nei contratti.
• Amministratori e organi sociali: Richiamo formale, revoca della delega, azione di responsabilita, revoca dalla carica. Le sanzioni sono di competenza dell'assemblea dei soci su proposta dell'OdV.

Principio di proporzionalita

Le sanzioni devono essere graduate in base alla gravita della violazione, al grado di colpa, alla reiterazione della condotta e alle conseguenze prodotte. Il sistema deve prevedere sanzioni proporzionate che vadano dall'ammonizione verbale per le violazioni minori fino al licenziamento e alla risoluzione contrattuale per le violazioni piu gravi.

Il D.Lgs. 10 marzo 2023, n. 24, in attuazione della Direttiva UE 2019/1937, ha profondamente riformato la disciplina del whistleblowing in Italia, sostituendo le precedenti disposizioni contenute nella L. 179/2017. La nuova normativa si applica sia al settore pubblico che al settore privato e prevede un sistema articolato di canali di segnalazione e tutele per i segnalanti.

Per gli enti che adottano un MOG ai sensi del D.Lgs. 231/2001, il sistema di whistleblowing rappresenta un elemento essenziale del Modello. L'art. 6, comma 2-bis del D.Lgs. 231/2001 (come modificato dal D.Lgs. 24/2023) impone infatti che il Modello preveda canali di segnalazione interni che garantiscano la riservatezza dell'identita del segnalante, del contenuto della segnalazione e della documentazione relativa.

Canali di segnalazione

Il D.Lgs. 24/2023 prevede tre livelli di canali di segnalazione, da utilizzare in ordine di priorita:

• Canale interno: Ogni ente con almeno 50 dipendenti (o che adotta un MOG 231, indipendentemente dal numero di dipendenti) deve predisporre un canale di segnalazione interno. La gestione del canale e affidata all'OdV o a un soggetto interno o esterno appositamente designato.
• Canale esterno (ANAC): Il segnalante puo rivolgersi all'Autorita Nazionale Anticorruzione quando il canale interno non e stato attivato, non e conforme, la segnalazione interna non ha avuto seguito, o vi e rischio di ritorsione.
• Divulgazione pubblica: In casi estremi (pericolo imminente per l'interesse pubblico, rischio di ritorsione, mancato riscontro da parte di ANAC), il segnalante puo effettuare una divulgazione pubblica.

Tutela del segnalante

Il D.Lgs. 24/2023 rafforza significativamente le tutele per il segnalante, prevedendo:

• Divieto assoluto di ritorsioni (licenziamento, demansionamento, trasferimento, sanzioni, discriminazioni)
• Inversione dell'onere della prova: spetta al datore di lavoro dimostrare che le misure adottate nei confronti del segnalante non sono conseguenza della segnalazione
• Nullita degli atti ritorsivi
• Estensione delle tutele ai facilitatori, ai colleghi e ai parenti del segnalante
• Sanzioni ANAC da 10.000 a 50.000 euro per i soggetti che ostacolano la segnalazione o che effettuano ritorsioni

Il D.Lgs. 231/2001 prevede un articolato sistema sanzionatorio a carico dell'ente ritenuto responsabile di un illecito amministrativo dipendente da reato. Le sanzioni sono disciplinate dagli articoli 9-23 del decreto e si articolano in quattro tipologie, ciascuna con finalita e caratteristiche specifiche.

1. Sanzione pecuniaria (Art. 10-12)

La sanzione pecuniaria e applicata per tutti gli illeciti ed e determinata con il sistema delle quote. Il giudice stabilisce il numero delle quote (da 100 a 1.000) tenendo conto della gravita del fatto, del grado di responsabilita dell'ente e dell'attivita svolta per eliminare o attenuare le conseguenze del fatto. L'importo di ciascuna quota va da un minimo di 258 euro a un massimo di 1.549 euro, determinato sulla base delle condizioni economiche e patrimoniali dell'ente. La sanzione pecuniaria puo quindi variare da un minimo di 25.800 euro a un massimo di 1.549.000 euro.

2. Sanzioni interdittive (Art. 13-16)

Le sanzioni interdittive sono le piu gravi e possono essere applicate, anche congiuntamente, solo in relazione ai reati per i quali sono espressamente previste. Hanno una durata da 3 mesi a 2 anni e comprendono:

• Interdizione dall'esercizio dell'attivita
• Sospensione o revoca di autorizzazioni, licenze o concessioni
• Divieto di contrattare con la Pubblica Amministrazione
• Esclusione da agevolazioni, finanziamenti, contributi o sussidi, e l'eventuale revoca di quelli gia concessi
• Divieto di pubblicizzare beni o servizi

Le sanzioni interdittive possono essere applicate in via definitiva (art. 16) quando l'ente ha tratto dal reato un profitto di rilevante entita e il reato e stato commesso da soggetti apicali, oppure in caso di reiterazione degli illeciti.

3. Confisca (Art. 19)

E sempre disposta la confisca del prezzo o del profitto del reato, anche per equivalente (cioe su beni di valore corrispondente). La confisca non puo avere ad oggetto i diritti degli aventi causa in buona fede. La confisca rappresenta una misura particolarmente incisiva, in quanto priva l'ente del vantaggio economico derivante dalla commissione del reato.

4. Pubblicazione della sentenza (Art. 18)

La pubblicazione della sentenza di condanna puo essere disposta quando viene applicata una sanzione interdittiva. La sentenza viene pubblicata per estratto, a spese dell'ente, in uno o piu giornali indicati dal giudice, nonche mediante affissione nel comune dove l'ente ha la sede principale. Questa sanzione ha finalita di deterrenza generale e produce un significativo danno reputazionale.

La giurisprudenza della Corte di Cassazione e dei tribunali di merito ha progressivamente delineato i criteri di valutazione dell'idoneita del Modello Organizzativo e dell'efficacia del sistema di compliance. Di seguito i principali orientamenti giurisprudenziali:

Idoneita del Modello

• Cass. Pen., Sez. Unite, n. 38343/2014 (c.d. sentenza "ThyssenKrupp"): La Suprema Corte ha chiarito che il Modello Organizzativo deve essere specificamente calibrato sulla realta aziendale e non puo limitarsi a una mera enunciazione di principi astratti. Il giudice deve valutare l'idoneita del Modello con un giudizio ex ante, verificando se le misure adottate erano ragionevolmente idonee a prevenire il reato verificatosi.
• Cass. Pen., Sez. V, n. 4677/2014: Un Modello privo di un adeguato sistema sanzionatorio non puo essere considerato efficacemente attuato. La mera previsione di sanzioni disciplinari non e sufficiente: occorre che il sistema sia effettivamente applicato.
• Trib. Milano, Sez. GIP, 17 novembre 2009 (c.d. sentenza "Impregilo"): Il tribunale ha riconosciuto l'esimente a favore di un ente che aveva adottato un Modello Organizzativo dettagliato e specifico, con protocolli di prevenzione efficaci e un OdV effettivamente operante.

Interesse o vantaggio dell'ente

• Cass. Pen., Sez. IV, n. 38363/2018: In materia di reati colposi (omicidio e lesioni colpose sul lavoro), il criterio dell'"interesse" va inteso come risparmio di spesa derivante dalla mancata adozione di misure preventive, mentre il "vantaggio" consiste nel beneficio economico effettivamente conseguito dall'ente.
• Cass. Pen., Sez. VI, n. 27735/2010: L'interesse e il vantaggio sono criteri alternativi e concorrenti: l'interesse si apprezza ex ante, come finalita perseguita, mentre il vantaggio si verifica ex post, come risultato effettivamente conseguito.

Ruolo dell'OdV

• Cass. Pen., Sez. II, n. 52316/2016: L'OdV deve svolgere un'attivita di vigilanza effettiva e continuativa, e non puo limitarsi a prendere atto delle informazioni fornite dall'ente. La Corte ha sottolineato che l'organismo deve avere poteri ispettivi autonomi e deve esercitarli concretamente.
• Trib. Roma, Sez. GIP, 4 aprile 2003: Il primo caso in cui un tribunale italiano ha riconosciuto l'efficacia esimente del Modello 231. Il giudice ha valorizzato il ruolo attivo dell'OdV e la specificita dei protocolli di prevenzione adottati dall'ente.

Tre adempimenti formali — spesso sottovalutati — sono essenziali per l'efficacia esimente del Modello: i flussi informativi verso l'OdV, la delibera di adozione e la comunicazione formale ai destinatari.

Flussi Informativi verso l'OdV (art. 6 c.2 lett. d)

L'art. 6 comma 2 lett. d) del D.Lgs. 231/2001 impone che il MOG preveda obblighi di informazione nei confronti dell'OdV. I flussi informativi sono il meccanismo attraverso cui le funzioni aziendali comunicano all'Organismo di Vigilanza le informazioni rilevanti ai fini del monitoraggio sull'attuazione del Modello.

• Flussi ordinari: Report periodici (mensili o trimestrali) da ciascuna area aziendale su eventi significativi, anomalie, segnalazioni ricevute.
• Flussi straordinari: Comunicazioni immediate (entro 7 giorni) in caso di eventi critici, contestazioni, avvio di procedimenti penali o ispezioni.
• Frequenze minime (D.Lgs. 24/2023): Le segnalazioni di whistleblowing devono essere riscontrate entro 7 giorni dal ricevimento e gestite entro 3 mesi.
• Forma: I flussi devono essere documentati e archiviati. La sola comunicazione verbale non e sufficiente.

Delibera di Adozione del MOG

Il MOG deve essere formalmente adottato dall'organo dirigente dell'ente attraverso un atto deliberativo. La delibera di adozione e un requisito formale indispensabile: senza di essa, il Modello non puo produrre l'effetto esimente previsto dalla legge.

• Chi delibera:
  • Societa di capitali (S.r.l., S.p.A.): Consiglio di Amministrazione (o Amministratore Unico)
  • Associazioni e fondazioni: Consiglio Direttivo
  • Cooperative: Consiglio di Amministrazione
  • Enti pubblici economici: organo di vertice equivalente
• Contenuto minimo della delibera: Approvazione del testo del MOG; nomina dell'OdV (o incarico a soggetto esterno); definizione delle risorse attribuite; impegno a mantenere il Modello aggiornato.
• Aggiornamenti: Ogni modifica sostanziale al MOG richiede una nuova delibera. Gli aggiornamenti formali devono essere deliberati e comunicati ai destinatari.
• Conservazione: La delibera deve essere conservata nel libro delle adunanze e deliberazioni del CdA per almeno 10 anni.

Destinatari del Modello

Il MOG deve essere comunicato formalmente a tutti i soggetti che devono osservarlo. La mera adozione del Modello non e sufficiente: occorre dimostrare che i destinatari ne hanno effettiva conoscenza.

• Destinatari obbligatori ex art. 6: Soggetti apicali (amministratori, direttori generali, dirigenti con poteri autonomi di spesa).
• Destinatari obbligatori ex art. 7: Soggetti subordinati (dipendenti, collaboratori, agenti, rappresentanti, fornitori strategici).
• Metodi di consegna validi: Consegna a mano con firma di ricevuta; raccomandata A/R; email con ricevuta di lettura; affissione all'albo aziendale (per il Codice Etico); formazione specifica con registro presenze.
• Prova di consegna: E indispensabile conservare la prova documentale dell'avvenuta consegna. In caso di contestazione, l'ente deve dimostrare che i destinatari conoscevano il Modello al momento del fatto.
• Aggiornamenti: Ad ogni nuova versione del MOG, il registro dei destinatari deve essere rinnovato con nuove firme di ricevuta.

La Gap Analysis procedurale e lo strumento attraverso cui l'ente verifica se le procedure e i protocolli adottati coprono effettivamente tutti i reati presupposto applicabili alla propria realta operativa.

Cos'e il Gap Procedurale

Un gap procedurale si verifica quando un reato presupposto, rilevante per il profilo di rischio dell'ente, non e coperto da una specifica procedura di prevenzione. La giurisprudenza ha chiarito che il Modello deve essere specificamente calibrato sui rischi concreti dell'ente: procedure generiche o "di facciata" non soddisfano il requisito di idoneita.

• Copertura completa (verde): Esiste una procedura specifica che presidia il rischio, e questa e effettivamente applicata e verificata dall'OdV.
• Copertura parziale (giallo): Esiste una procedura generale, ma non e specificamente calibrata sul rischio-reato. Richiede integrazione o aggiornamento.
• Gap (rosso): Non esiste alcuna procedura che presidia il reato presupposto. Richiede azione immediata: redazione di nuova procedura o protocollo specifico.

Come Eseguire la Gap Analysis

1. Identificare i reati presupposto applicabili all'ente in base al settore di attivita, alla struttura organizzativa e alle aree di rischio mappate (risk assessment).
2. Censire le procedure esistenti: raccogliere tutte le procedure operative, i protocolli di controllo, i regolamenti interni e le istruzioni operative.
3. Mappare la copertura: per ciascun reato presupposto, verificare se esiste una procedura specifica che ne presidia il rischio.
4. Identificare i gap: evidenziare i reati non coperti o parzialmente coperti.
5. Piano di rimedio: per ciascun gap, definire azioni correttive con responsabile e scadenza.

Prioritizzazione degli Interventi

Non tutti i gap hanno la stessa urgenza. La priorita deve essere assegnata in base a:

• Livello di rischio: I gap sui reati ad alto rischio (es. corruzione, frode fiscale, reati ambientali per enti del settore) devono essere colmati con priorita assoluta.
• Frequenza: I reati per i quali esistono precedenti nel settore o nell'ente meritano attenzione immediata.
• Rilevanza sanzionatoria: I reati che comportano sanzioni interdittive (interdizione dall'esercizio dell'attivita, esclusione da appalti pubblici) richiedono presidio prioritario.