Nella disciplina introdotta con il d.lgs. n. 231/2001 è centrale il rilievo attribuito all’adozione da parte dell’ente di Modelli Organizzativi idonei a prevenire i reati previsti, la cui applicazione può costituire una causa legittima di non punibilità. Il Modello Organizzativo, se efficacemente attuato prima della commissione dell’illecito può, infatti, consentire, concorrendo gli altri presupposti, di escludere la responsabilità; se adottato successivamente può comportare una diminuzione della sanzione (art. 6, d.lgs. n. 231/2001).

Il momento fondante dell’intero sistema è, dunque, costituito dalla previsione di un sistema di compliance imperniato sulla adozione di Modelli Organizzativi idonei e adeguati a prevenire la commissione dei delitti presupposto della responsabilità da reato e che, in via preventiva, possano escludere l’insorgenza dell’illecito amministrativo.

Viene in rilievo la filosofia del d.lgs. n. 231/2001 e la finalità perseguita dal legislatore di realizzare una regolamentazione dei rischi derivanti dalla gestione illecita di attività economiche, incentivando gli enti collettivi ad assumersi direttamente il compito di prevenire l’insorgenza di reati mediante l’adozione di un’adeguata ed effettiva organizzazione interna. La predisposizione di un Modello Organizzativo e delle altre cautele richieste dal decreto 231 si lega alla possibilità concessa all’ente di ottenere un beneficio concreto: l’esenzione dalla responsabilità per il fatto di reato. Si tratta cioè di una logica premiale, non punitiva.

Le ipotesi in cui l’ente può essere chiamato a rispondere del reato sono diverse a seconda che il reato sia posto in essere da parte di un soggetto in posizione apicale o che a delinquere sia un soggetto sottoposto all’altrui direzione e vigilanza (v. voce AUTORI DELL’ILLECITO). In questa seconda ipotesi, la responsabilità degli enti si fonda sul fatto che il reato sia stato commesso grazie alla «inosservanza degli obblighi di direzione e vigilanza», la quale si ritiene esclusa nel caso in cui l’ente, prima della commissione del reato presupposto, abbia «adottato ed efficacemente attuato un Modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi». Il rimprovero è dovuto al mancato rispetto degli obblighi di direzione e vigilanza che compete ai vertici aziendali, ovvero alla violazione di specifiche regole di diligenza di natura precauzionale, che non necessariamente devono essere cristallizzate in un Modello Organizzativo, fermo restando che la presenza di quest’ultimo può portare all’esclusione della responsabilità dell’ente.

Decisamente più complessa è la fattispecie prevista dall’art. 6, il quale disciplina il caso in cui il reato sia stato commesso dai cd. «soggetti apicali», ovvero coloro i quali essendo al vertice della piramide aziendale concorrono tanto alla elaborazione della politica d’impresa, quanto alla sua realizzazione. Solo per questa ipotesi la responsabilità dell’ente potrà essere esclusa qualora il reato sia frutto dell’elusione del modello organizzativo (v. voce FRAUDOLENTA ELUSIONE) non prevedibile né prevenibile da parte dell’ente con l’impiego di criteri di diligenza adeguati rispetto alle dimensioni, alla struttura organizzativa e alla natura dell’attività dell’ente stesso.

L’impresa che voglia rispettare il decreto 231 è tenuta a compiere adempimenti specifici nella predisposizione del Modello. In particolare, il Modello non può limitarsi a favorire la riduzione dei potenziali rischi di un determinato processo produttivo in termini di efficienza, ma dovrebbe costituire modello uno standard di diligenza vincolante e autosufficiente sotto il profilo della effettività, per i soggetti in posizione apicale e per i dipendenti.

I Modelli, secondo quanto previsto dalla legge, devono rispondere alle seguenti esigenze: (i) individuare le attività nel cui ambito possono essere commessi reati; (ii) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; (iii) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; (iv) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli; (v) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Il Modello deve inoltre prevedere, in relazione alla natura e alla dimensione dell’organizzazione, nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio. Il giudice penale non sarà però tenuto a compiere una valutazione delle scelte organizzative dell’impresa, ma a verificare la compatibilità di queste scelte con i criteri stabiliti dal d.lgs. n. 231/2001.

E’ stata la stessa giurisprudenza, oltre alle Linee Guida di Categoria, ad indicare almeno in parte alle imprese un contenuto minimo dei Modelli Organizzativi.

Con riguardo all’efficacia e al contenuto dei Modelli, la giurisprudenza di merito ha individuato alcuni principi tendenzialmente uniformi. Ha ritenuto, ad esempio, che il Modello debba essere efficace e dinamico, e tale da seguire i cambiamenti dell’ente cui si riferisce. L’efficacia di un Modello Organizzativo dipende dalla sua idoneità in concreto ad elaborare meccanismi di decisione e controllo idonei ad eliminare o ridurre significativamente l’area di rischio di responsabilità (Trib. Milano, sent. 28 ottobre 2004; Trib. Milano, sent. 20 settembre 2004). E’ stato altresì precisato (Trib. Roma, ord. 4 aprile 2003) che la prevenzione dei reati deve essere il risultato di una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formale. Occorre perciò valutare in quali momenti della vita e dell’operatività dell’ente possono più facilmente inserirsi fattori di rischio.

Ciò nonostante, nella maggior parte dei casi i P.M. hanno contestato l’inadeguatezza del Modello limitandosi a un generico richiamo alle disposizioni del decreto 231, senza indicare in cosa fosse carente il Modello Organizzativo e quale sarebbe dovuto essere il comportamento alternativo lecito esigibile. L’indeterminatezza della regola di responsabilità dell’ente e la conseguente possibilità di esiti imprevedibili in sede giudiziale hanno indotto le difese degli enti, di frequente, a dedurre la incostituzionalità, per contrasto con l’art. 27 Cost., della responsabilità da reato degli enti (questione ritenuta infondata).

Le Sezioni Unite della Corte di Cassazione (nella vicenda Tyssenkrupp) hanno disatteso la censura di incostituzionalità per indeterminatezza dell’art. 6, d.lgs. n. 231/2001, statuendo che il contenuto dell’obbligo organizzativo e gestionale imposto all’ente è sufficientemente delineato dalla legge che enuclea linee dettagliate che indirizzano l’ente circa il contenuto del Modello da approntare e le caratteristiche che il medesimo e l’organo di valutazione devono possedere perché il sistema prevenzionale possa dirsi efficacemente adottato (Cass. Pen., Sez. Un., 18 settembre 2014, n. 38343).

Nonostante tale pronuncia, la circostanza che nella quasi totalità dei casi giurisprudenziali il modello organizzativo sia stato ritenuto inadeguato, pone tuttavia la questione della necessità di una revisione normativa.

Il decreto 231 assume il carattere proprio del diritto penale premiale: esso, infatti, introduce una forma di corresponsabilizzazione dell’ente ai fini della prevenzione di illeciti perseguiti dallo Stato e posti in essere nell’ambito dell’attività d’impresa. A questo onere di collaborazione imposto agli enti collettivi fa da contrappeso il riconoscimento degli incentivi dell’esonero da responsabilità e della mitigazione delle sanzioni.

Requisito fondamentale del diritto penale premiale affinché lo stesso possa perseguire il suo scopo è, però, dato dalla prevedibilità e dalla concreta realizzabilità del beneficio prospettato. Questi elementi risultano entrambi carenti nel sistema di prevenzione degli illeciti fondato sulla responsabilità degli enti, data l’insufficienza delle indicazioni normative e giurisprudenziali sul contenuto dei presidi di prevenzione. Ci si può, dunque chiedere – nell’ottica di garantire una maggiore efficienza alle regole 231 – se possa essere utile introdurre un parametro certo di valutazione del modello organizzativo attraverso la previsione di un contenuto minimo dello stesso ispirato alle best practices internazionali, al fine di rendere effettivo l’esonero da responsabilità (sul punto si rinvia ad ASSONIME, Le politiche di contrasto alla corruzione: otto linee d’azione, Note e Studi 3 del 2015).

Con riguardo, poi, al versante dell’OdV, va rilevato come pochissimi giudizi abbiano avuto come oggetto principale l’idoneità dei modelli organizzativi (v. voce MODELLI ORGANIZZATIVI) e solo incidentalmente si è guardato al ruolo in concreto svolto dall’OdV, per cui permangono le incertezze sulla natura della figura e sui rapporti con gli altri attori dei controlli interni.

Il dibattito sul punto è tutt’ora acceso, specie a seguito degli interventi normativi recenti che hanno previsto la facoltà di attribuire le funzioni di OdV al Collegio sindacale, su cui ci si soffermerà oltre.

Nelle prime pronunce si sottolineava in particolare che l’OdV non dovesse avere funzioni operative e che la composizione, in caso di Odv pluricollegiale, dovesse essere mista. Circa la composizione dell’OdV, il Tribunale di Roma (ord. 4 aprile 2003) auspicava, sin dall’entrata in vigore, che i membri di tale organo non appartenessero agli organi sociali ritenendo che, al fine di garantire efficienza e funzionalità all’organismo di controllo esso non dovrebbe avere compiti operativi che, facendolo partecipe di decisioni dell’attività dell’ente, potrebbero pregiudicare la serenità di giudizio al momento delle verifiche.

Quanto ai compiti ad esso affidati vale pena di richiamare l’ordinanza del Tribunale di Napoli del 26 giugno 2007, che ha riempito di concreto contenuto la generica formulazione secondo la quale: «l’OdV accede a tutte le informazioni concernenti le attività a rischio di reato; chiede informazioni o esibizioni di documenti in merito alle attività a rischio di reato a tutto il personale dipendente della società e laddove necessario agli amministratori, al collegio sindacale e alla società di revisione; riceve periodicamente informazioni dai responsabili di funzioni interessate dalle aree a rischio; chiede informazioni agli organismi di vigilanza delle società appartenenti al gruppo; propone l’adozione delle sanzioni disciplinari; coordina la definizione dei programmi di formazione del personale; sottopone il modello a verifica periodica e ne propone l’aggiornamento quando siano intervenute violazioni o elusioni delle prescrizioni ovvero quando siano intervenuti mutamenti significativi nel quadro normativo, nell’organizzazione o nell’attività della società; redige semestralmente una relazione al consiglio di amministrazione e al collegio sindacale sulla attività svolta; informa il presidente del CdA di circostanze e fatti significativi emersi nel corso della propria attività».

La giurisprudenza recente, a differenza di prima, si sofferma maggiormente sulle inefficienze di questo organismo e, anche per questo, non consente l’esonero di responsabilità.

Particolarmente importante a questo riguardo è la giurisprudenza degli ultimi due anni e, in particolare, la recentissima sentenza Impregilo, che ha cassato con rinvio l’unico precedente in cui l’ente era stato assolto per adeguatezza del modello organizzativo.

L’attività di controllo esercitata dall’OdV, si afferma, non deve essere «cartolare» e non deve ridursi ad un mero «simulacro» (Cass. Pen., Sez. V, 2 ottobre 2009, n. 47171). Essa, piuttosto, deve consistere in «alta vigilanza» sulla correttezza della complessiva gestione del rischio (Cass. Pen. Sez. IV, 19 marzo 2012, n. 10702).

Oggi, il punto critico messo in evidenza con forza dalla giurisprudenza è l’autonomia dell’Organismo rispetto all’organo dirigente e, spesso, questo profilo si lega a un problema di composizione dell’Organismo e di individuazione dell’organo deputato al conferimento dell’incarico.

La Cassazione contesta l’operato dell’OdV perché negligente e attribuisce questa negligenza al fatto che l’OdV non fosse indipendente dal CdA. Si chiarisce che l’art. 6, comma 2, prevede obblighi di informazione nei confronti dell’organo di vigilanza evidentemente per consentire l’esercizio «autonomo» del potere (di vigilanza), nonché un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello (ovviamente per rendere «credibile» il potere di controllo) (Cass. Pen., Sez. V, 2 ottobre 2009, n. 47171).

Viene particolarmente in rilevo la configurazione dell’OdV che, nel caso specifico, era monocratico, posto alle dirette dipendenze del Presidente e svolto da un membro dell’Internal Audit. In più occasioni la giurisprudenza ha sottolineato che la maggiore criticità deriva in concreto dal fatto che spesso l’OdV è alle dipendenze degli apicali: «perché iniziativa e, principalmente, controllo, siano effettivi e non meramente ‘cartolari’, si deve presupporre la non subordinazione del controllante al controllato» (Cass. Pen. Sez. V, 30 gennaio 2014, n. 4677).

Altra giurisprudenza importante specifica: «il motivo per cui si è ritenuto che il Modello organizzativo e l’OdV non fossero mai stati efficacemente attuati non deriva da eventuali deficit dell’esercizio dell’onere probatorio che la legge affida all’ente, quanto piuttosto dall’attività istruttoria condotta dal P.M. il quale ha fatto emergere di propria iniziativa la circostanza che un componente dell’OdV fosse un dirigente incaricato di organizzare un’articolazione operativa dell’azienda, con la conseguenza di dimostrare la non autonomia dell’organo di controllo» (Corte di Assise d’Appello di Torino, sent. 28 febbraio 2013; Cass. Pen., Sez. Un., 18 settembre 2014, n. 38343). Dunque anche qui il difetto di indipendenza dipende dalla composizione dell’OdV.

In maniera molto significativa (Thyssenkrupp) si afferma: «ancora una volta nel caso in esame la Corte ha condiviso le valutazioni precedentemente operate in ordine al difetto del requisito di autonomia in capo a uno dei componenti dell’Organismo di Vigilanza il quale, investito altresì dell’incarico di responsabile dell’area ecologica, ambiente e sicurezza, compreso il settore della manutenzione degli impianti e di organizzazione del servizio di emergenza (due settori sui quali l’Organismo di Vigilanza era ed è chiamato a svolgere le sue funzioni), si è trovato a rivestire contemporaneamente il ruolo di controllore e controllato» (Cass. Pen., Sez. Un., 18 settembre 2014, n. 38343). L’accettazione di tale conflitto di interessi ha fondato nei giudici di merito e della Suprema Corte il convincimento della predisposizione da parte dell’ente di un modello dell’organo di controllo in termini burocratici e di facciata e non di effettiva prevenzione dei reati.

Dall’errata composizione dell’OdV, la Cassazione fa conseguire la mancata efficace attuazione del modello organizzativo previsto dalla lettera a) della stessa norma, con conseguente impossibilità di escludere la responsabilità dell’ente (v. voce MODELLI ORGANIZZATIVI).

Qualche anticipazione in questo senso si trova anche in Trib. Roma, sent. 4 aprile 2003, in cui si era ritenuto privo di indipendenza un ingegnere responsabile del sistema ISO 9002 e in Trib. Napoli, sent. 26 giugno 2007, in cui si nega l’indipendenza a un membro dell’OdV che era nel CdA di una società del gruppo.

Si segnala peraltro che Confindustria, nelle Linee Guida del 2014, chiarisce che i compiti dell’OdV esigono che il soggetto vigilato sia distinto dal componente dell’OdV e che i componenti non dovrebbero svolgere, nell’ambito dell’ente o di soggetti da questi controllati o che lo controllano, funzioni operative.