Introduzione a “L’Organismo di Vigilanza nel sistema 231” (a cura di Enrico Di Fiorino e Ciro Santoriello)
La responsabilità da reato dell’ente collettivo sta per concludere il suo primo ventennio di storia. Il d.lgs. n. 231/2001, che ha segnato questo grande momento di svolta nel nostro sistema penale, ha nel frattempo attratto nella sua orbita una moltitudine di nuove fattispecie di reato (da ultimo, i delitti tributari); ha coinvolto sempre più imprese – per lo più medio-grandi – nella filosofia della prevenzione sistemica del rischio-reato; ha indotto affinamenti giurisprudenziali e suscitato un vastissimo e quasi alluvionale dibattito scientifico; è finanche divenuto un modello da esportazione nella dimensione internazionale.
A catalizzare l’attenzione di legislatori e studiosi stranieri è stata, sopra tutte, l’idea di elevare a fondamento e raison d’être della responsabilità dell’ente la sua difettosa organizzazione interna. Nel sistema italiano, infatti, il soggetto collettivo risponde non per la mera realizzazione di un “reato matrice” nel suo interesse o a suo vantaggio (art. 5), ma per una lacuna organizzativa, vale a dire un deficit di programmazione e controllo tale da aver reso possibile o sensibilmente agevolato la commissione dell’illecito penale individuale.
Si staglia, dunque, un paradigma di responsabilità propria e autonoma dell’ente, in cui la corporate governance, l’organizzazione aziendale, i protocolli gestionali del rischio-reato assurgono a componente elettiva del Sanktionsrecht dell’ente, in un innovativo connubio tra penalità e premialità.
La stessa strategia sta ora allignando nei paesi anglosassoni a partire dall’UK Bribery Act 2010, che ha coniato uno schema imputativo – il failure to prevent bribery (sec. 7) – potenzialmente estensibile a qualsiasi altro reato doloso.
Nei paesi latinoamericani, invece, il centro d’irradiazione principale della nuova filosofia della compliance penale è oggi rappresentato dall’ordinamento spagnolo, che con la Ley Orgánica n. 1/2015 ha recepito, pressoché alla lettera, la disciplina italiana.
A prescindere dal nomen iuris o dall’etichetta che s’intenda assegnare alla responsabilità ‘corporativa’, credo che nessuno oggi sarebbe disposto a disconoscere che si tratti di una responsabilità modellata e giustificata su basi prevenzionali o cautelative, quindi in chiave eminentemente funzionale, avulsa da qualsiasi rimprovero eticizzante.
L’intero microsistema italiano di responsabilità punitiva dell’ente è, in effetti, orientato alla compliance ex ante o – in caso di avvenuta commissione di un reato – ex post: prevenzione e riparazione.
In primis, l’obiettivo è coinvolgere l’ente nell’azione di contrasto di reati vantaggiosi, attraverso un’accorta profilassi preventiva. Di conseguenza, è la mancata adozione o efficace attuazione di un’effettiva modellistica organizzativa il vero fondamento di una responsabilità, come quella dell’ente, schiettamente colposa e accentuatamente normativizzata.
Nella fase post-consumativa del reato, la societas è incentivata ad adottare misure reintegrative dell’offesa, risarcitorie e riorganizzative.
Se dunque esiste, allo stato, un ambito del diritto punitivo – penale o para-penale – ad orientamento squisitamente preventivo, in contrapposizione al diritto penale classico di stampo retributivo (malum passionis propter malum actionis), esso è proprio il diritto sanzionatorio degli enti.
Questa essendo la funzione della responsabilità e delle sanzioni comminate alle entità collettive, si comprende allora il ruolo cruciale della vigilanza sull’attuazione del sistema aziendale di gestione del rischio-reato. Solo un’accurata e costante sorveglianza interna può rendere effettivo e credibile il modello gestionale eventualmente adottato dall’ente, favorendo il raggiungimento dell’obiettivo preventivo e schermando la societas da possibili addebiti punitivi.
Siamo così giunti al tornante decisivo del d.lgs. n. 231/2001, in cui si sostanzia l’altra significativa “creazione” del legislatore italiano, su cui verte il corposo volume curato da Ciro Santoriello ed Enrico Di Fiorino: l’organismo di vigilanza sul modello di organizzazione, “dotato di autonomi poteri di iniziativa e di controllo” (di seguito anche “OdV”). Un nuovo presidio societario, che l’art. 6 del decreto 231 consacra a pietra angolare del sistema prevenzionale, nella sua fase attuativa, pur tratteggiandolo con veloci pennellate.
Guidando il lettore lungo un percorso assai articolato, che si snoda lungo ben 23 capitoli affidati a numerosi specialisti della materia, l’opera tratta, con completezza quasi trattatistica ma non scevra da approfondimento critico, tutti nuclei tematici più significativi, e non di rado problematici, della nuova struttura di controllo, così come affiorati nel crogiolo dell’applicazione pratica e giudiziale.
Una domanda ci sembra allora ineludibile in limine: ferma l’insopprimibile esigenza di reale attuazione del compliance program aziendale, che reclama un’adeguata sorveglianza, perché il legislatore italiano ha voluto richiedere l’istituzione – all’interno delle società o di altre entità collettive – di un (ulteriore) organismo, precipuamente votato alla vigilanza sul funzionamento e il rispetto del modello organizzativo?
Ebbene, la ratio di questo nuovo baluardo si lascia cogliere non appena si consideri che nel sistema punitivo interno – a differenza di altri contesti ordinamentali (incluso quello statunitense, che ha impresso l’impulso iniziale a tutto il trend internazionale di responsabilizzazione penale delle corporation) – la “scusante organizzativa” è astrattamente fruibile dall’ente anche nel caso di reato perpetrato da un soggetto apicale. A fronte di quest’audace, ma a nostro avviso condivisibile, scelta, diveniva allora essenziale concepire un organismo “terzo”, pienamente indipendente e quindi scevro da condizionamenti anche dell’organo amministrativo di vertice. Uno strumento che, in aggiunta, ben può estendere il proprio raggio di controllo anche ai livelli intermedi e finali della gerarchica aziendale, come difatti avvenuto nell’esperienza operativa.
Ecco acclarato perché il legislatore non si è appagato di declamare una generica necessità di monitorare l’attuazione del modello, né di prefigurare l’affidamento di siffatta attività di controllo a funzionari interni, magari culturalmente attrezzati ma difficilmente autonomi dall’organo amministrativo e dai dirigenti apicali.
L’opzione dei conditores nostrani – sia pure con i limiti di disciplina minuziosamente ricostruiti e vagliati all’interno del volume – appare senz’altro avveduta, ove si voglia tenere in cale il nesso indissolubile tra diritto e realtà socio-economica. È un’esigenza, questa, ineludibile per un sistema di responsabilità che trova il suo fulcro negli assetti organizzativi interni alla societas e che per tale ragione non può essere disancorato dal sistema produttivo di riferimento e dal modello societario vigente di corporate governance.
L’Italia si è ispirata, nel mutuare l’esperienza dei compliance programs, al sistema statunitense e in particolare alle Federal Sentencing Guidelines for Organization risalenti al 1991 e poi ripetutamente emendate. Tuttavia, il contesto produttivo-societario nordamericano, la patria del capitalismo manageriale, è notoriamente assai diverso dal nostro, come emerge dai suoi tratti identitari: a) diffusione della grande corporation e comunque soglie dimensionali di piccola, media e grande impresa ben più cospicue delle corrispondenti imprese italiane e, generalmente, europee; b) separazione tra proprietà e controllo almeno nelle società ad azionariato diffuso (profilo magistralmente tematizzato già da Berle e Means nel 1932); c) modello monistico di corporate governance, imperniato sul board of directors (consiglio di amministrazione) e sulla eventuale costituzione al suo interno di comitati di controllo; d) ridotto interventismo pubblico nell’economia.
Nella grande corporation statunitense, il board of directors è espressione dell’assemblea degli azionisti e provvede, tra l’altro, alla nomina del CEO (chief executive officer), assimilabile al nostro amministratore delegato. Al board fa capo il governo societario e al CEO la gestione operativa, esercitata secondo gli indirizzi e sotto il controllo costante dell’organo di governo. Per supervisionare l’attuazione dell’ethics and compliance program, l’organo amministrativo tende ad avvalersi dell’apporto di un compliance officer, una funzione endoaziendale ricoperta di regola da un manager interno all’azienda, preferibilmente un senior manager, e che può anche assumere una composizione collegiale, di dipartimento della compliance, con al vertice il chief compliance officer.
Sennonché, un presidio soggettivo così congegnato, assai diverso dall’organismo di vigilanza italiano, si rivelerebbe di certo poco incisivo nella realtà societaria domestica, anche se collocato a riporto del board e sganciato dall’ufficio legale, in linea con le migliori – ma non ancora invalse – prassi statunitensi.
Ciò che connota il sistema imprenditoriale italiano è una netta prevalenza di piccole e medie imprese; le imprese con meno di dieci dipendenti sono più del 90%.
Inoltre, nella maggior parte dei casi anche le grandi società appartengono al c.d. capitalismo familiare, per cui l’organo dirigente è sovente espressione della proprietà, o almeno degli azionisti di controllo.
A fronte di queste configurazioni organizzative e strutture proprietarie, un delegato, quindi un fiduciario dell’organo ammnistrativo, non potrebbe controllare in modo credibile il delegante. Tanto più che l’esperienza giudiziale italiana rivela come nella maggior parte dei reati di impresa siano a vario titolo coinvolti soggetti apicali della società.
Proprio da tale groviglio di questioni è originata – come si è anticipato – l’intuizione di prevedere l’istituzione di un organismo autonomo e specializzato, interno all’organizzazione societaria: un congegno realmente in grado di consentire alla persona giuridica di dissociarsi (anche) dal reato dell’amministratore o altro soggetto apicale che sia derivazione del socio o della coalizione dominante. Non è un caso, del resto, che la nuova struttura di vigilanza sia contemplata nella disposizione del d.lgs. n. 231 dedicata alla prevenzione dei reati commessi da soggetti in posizione apicale (art. 6).
Dal canto suo, la prassi ha opportunamente cercato di superare l’ambivalenza genetica dell’OdV, che un precetto normativo piuttosto evanescente lascia sospesa tra il paradigma istituzionale-societario dell’organo di controllo (collegio sindacale et similia) e quello funzionale del compliance officer, delineando una sorta di “terza via”. Così, le nostre imprese, specialmente quelle medio-grandi, hanno optato in prevalenza per la costituzione di un presidio ad hoc, nominato dall’organo amministrativo e dotato della professionalità e della specializzazione tipiche di un compliance officer, ma collocato in una posizione – più che di staff – pressoché parificata all’organo di governo e ai responsabili della gestione. Un organismo che opera, pertanto, con piena autonomia funzionale e indipendenza, assimilabile sotto questo aspetto all’organo di controllo societario, del quale condivide normalmente anche la composizione collegiale, estesa almeno in parte a professionisti esterni.
Questa soluzione, consolidatasi col tempo nella prassi, si è leggermente incrinata, nel nome di un’auspicata semplificazione dei controlli societari, con una novella del 2011 (l. n. 183), che ha, com’è noto, autorizzato, nelle società di capitali, l’attribuzione delle funzioni dell’OdV al collegio sindacale o a organi equiparati (nuovo comma 4-bis dell’art. 6, d.lgs. n. 231/2001).
Ciò detto, deve riconoscersi che, ad onta degli innegabili meriti, l’invenzione italiana dell’organismo di vigilanza non è immune da insidie e nodi applicativi.
In effetti, l’indeterminatezza e laconicità del dettato legislativo (art. 6, comma 1, lett. b), d.lgs. n. 231/2001), ha innescato ab origine forti incertezze rispetto a tutti gli snodi essenziali della nuova figura di sorveglianza: natura giuridica, requisiti, composizione, collocazione nell’architettura dei controlli societari, compenso, poteri, doveri e responsabilità (civili o persino penali).
Di questo nugolo di questioni, le riflessioni raccolte in questo volume collettaneo forniscono una nitidissima radiografia, corredata da valutazioni sempre meditate, che rendono tale iniziativa editoriale preziosa, sia per stimolare le riflessioni dello studioso sia per orientare le decisioni dell’operatore economico verso soluzioni ragionevoli e praticabili. Sotto questo profilo, appare sicuramente felice la scelta di declinare l’analisi dello statuto funzionale dell’OdV anche nei diversi settori speciali in cui si dipana oggi la trama del d.lgs. n. 231/2001: anticorruzione, antinfortunistica, antiriciclaggio, abusi di mercato, ambiente, reati tributari, ecc.
Il giusto spazio viene riservato anche ai profili processualpenalistici, inclusa la delicata quaestio, rimasta finora inevasa a livello tanto legislativo quanto applicativo, dello statuto giuridico delle informazioni e dei documenti raccolti o verbalizzati dall’organismo di vigilanza nel corso delle attività di vigilanza o di internal investigations. Problemi che tendono a deflagrare in occasione di qualsiasi procedimento penale od operazione investigativa dell’autorità giudiziaria.
Ciò nonostante, il paradigma italiano di controllo sul modello organizzativo sta riscuotendo un significativo credito anche a livello internazionale, in particolare nelle recenti iniziative legislative di responsabilizzazione penale delle persone giuridiche condotte in numerosi paesi ispanoparlanti (Spagna, Cile, Messico, Perù, Argentina). Il recepimento non ricalca sempre in modo pedissequo il dettato italiano: talvolta già a livello normativo (cfr., ad es., l’encargado de prevención in salsa cilena, più affine al compliance officer statunitense che all’OdV italiano); talaltra in sede di interpretazione della legge, anche quando – come accade in Spagna – essa parrebbe perfettamente sovrapponibile a quella italiana.
Ad ogni modo, anche questa circolazione di modelli è in grado di ampliare l’orizzonte cognitivo e la consapevolezza dell’interprete circa i problemi da affrontare.
Un bilancio dell’esperienza di questi primi decenni di corporate liability, a livello interno e internazionale, consente di trarre alcuni insegnamenti essenziali che si passano brevemente in rassegna:
a) l’attività di vigilanza intraziendale è una componente essenziale affinché la strategia preventiva della compliance penale possa avere successo;
b) le tecniche di controllo possono variare sensibilmente e nel disegnarle non si può non tener conto, a livello micro, delle singole realtà aziendali in cui vanno innestate e, a livello macro, del contesto produttivo e normativo-societario di riferimento;
c) tra i fattori realmente decisivi di un controllo efficace si stagliano l’indipendenza e l’assenza di conflitti di interesse in capo al vigilante, che devono coniugarsi con un’adeguata professionalità e la disponibilità di risorse sufficienti;
d) allo stato, la disamina comparatistica dei modelli di vigilanza sull’attuazione del sistema aziendale di prevenzione degli illeciti penali mostra vistosi salti di qualità più che un continuum di soluzioni, con una chiara preminenza del paradigma anglosassone del compliance officer, che si rivelerebbe però poco incisivo nella realtà italiana;
e) in futuro, la ricerca di una maggiore convergenza a livello internazionale dovrà necessariamente passare per il crinale dell’indipendenza, quindi della credibilità dell’azione dell’organismo di controllo interno. I membri dell’organismo chiamato a vigilare sulle strategie aziendali di prevenzione dei reati vanno messi in condizione di comprendere in profondità le dinamiche interne all’organizzazione, di indagare eventuali non conformità e le cause di comportamenti illeciti, infine di assumere le decisioni necessarie alla salvaguardia del sistema di compliance penale deliberato dall’organo amministrativo dell’ente.
Purtroppo, pure nella prassi italiana non è raro imbattersi in situazioni di deficitaria indipendenza del controllo. La figura dell’OdV viene talvolta sminuita a semplice collaboratore fiduciario del CdA o dell’amministratore “dominante” in seno all’organo di governo, smarrendo l’animus di supervisore attento ed imparziale nei confronti di tutte le sfere decisionali, comprese quelle apicali.
La soluzione a questo problema non mi pare possa venire dalla leva degli incentivi negativi (sanzioni penali), escogitando l’ennesima posizione di garanzia all’interno delle organizzazioni complesse, nella specie per assecondare addebiti ex art. 40, cpv., c.p. a carico dei membri dell’OdV.
La reale indipendenza di giudizio dell’OdV resta però un nodo cruciale, che deve essere portato necessariamente a soluzione, se si vuole evitare che la strategia della compliance penale crolli come un castello di carte.
Più in generale occorre un salto culturale, di qualità e di specializzazione professionale.
Anche da quest’ultima angolazione, il ponderoso volume che ha occasionato queste brevi note introduttive si lascia apprezzare come un’utile bussola orientativa per teorici e pratici della materia.