Convegno: “Organismo di Vigilanza, vertici e funzioni aziendali:
dialettica e interazioni” – Milano, 20 maggio 2009
Tavola Rotonda
Il complesso rapporto tra OdV e organi aziendali
nell’ambito della governance d’impresa”
Gianmaria Garegnani
Apriamo la seconda parte del nostro convegno con questa tavola rotonda alla quale
hanno accettato di partecipare come relatori la dott.ssa Carolyn Dittmeier (Direttore
Controllo Interno/Internal Auditing Poste Italiane S.p.A. e Presidente Associazione
Italiana Internal Auditors), il prof. Alessandro Bernasconi (Ordinario di diritto
processuale penale, Università degli Studi Brescia), il prof. Alessio Lanzi (Ordinario di
diritto penale, Università degli Studi Milano-Bicocca), il prof. Gaetano Presti (Ordinario
di diritto commerciale, Università Cattolica del Sacro Cuore Milano). Li ringraziamo per
la loro disponibilità a partecipare. Abbiamo voluto riunire esperienze e professionalità
differenti, ai massimi livelli, enfatizzando il ruolo dell’internal auditing e della dottrina
giuridica, sia da un punto di vista penale che commerciale.
Lo scopo della tavola rotonda è di mettere in discussione gli argomenti trattati nella
prima parte dei lavori di questo Convegno, commentando quanto esposto in tale sede e
introducendo altri elementi che sappiamo essere problematici e interessanti.
La prima area di interesse riguarda “compiti e composizione dell’OdV”, con particolare
riferimento all’inquadramento dell’operato dell’OdV in un ambito di un sistema
codificato, un framework di controllo interno; questa modalità di lettura della funzione
dell’OdV è corretta o esistono delle controindicazioni? La persona più adatta a
rispondere è sicuramente la dott.ssa Dittmeier, alla quale diamo la parola.
Carolyn Dittmeier
E’ certamente corretto. Bisogna fare una premessa. E’ stato precedentemente illustrato il
framework di controllo interno, il cosiddetto COSO (di cui si parla ma che non tutti
conoscono), alcuni l’hanno adottato, ma solo a livello di internal auditing o in modo
limitato. Sarebbe un gran bene se vi fosse maggiore diffusione di questi framework.
Enterprise risk framework è un ottimo modello, ad esempio, ma non deve rimanere
concettuale o filosofico.
I compiti dell’OdV nell’ambito di questo framework sono assolutamente riconoscibili,
c’è una simmetria funzionale bellissima tra i punti cardine del modello organizzativo e
gli otto componenti dell’enterprise risk framework.
Mischio i miei ruoli di direttore di internal audit e presidente di AIIA, perché ci sono
diversi modi di esprimersi su questo ambito, in ottica aziendale, ovvero in modo
concettuale in base alla esigenze della professione in generale….. Il Modello è un modo
1
per comunicare gli obiettivi dell’azienda, è un modo di esprimere che occorrono principi
etici ed il modello gestionale che vi ruota intorno. E questo fa parte del framework. Il
sistema disciplinare dell’azienda e il sistema disciplinare inerente alla 231 sono
perfettamente coerenti e fanno parte del framework.
Il sistema di deleghe è fondamentale. Tutto il sistema di poteri e di attribuzione di
responsabilità dell’azienda è parte dell’ambiente interno del framework ed è uno dei
principi cardine del Modello organizzativo 231.
Ancora bisogna sottolineare che non ci deve essere una mappatura dei rischi ai fini 231
separata dalla valutazione dei rischi dell’azienda. Molte aziende fanno una mappatura
dei rischi ai fini 231 totalmente separata da analisi dai rischi aziendali, mentre dovrebbe
essere congiunta o correlata. Le procedure aziendali di cui parlano le linee guida e il
modello organizzativo sono le risposte a come mitigare il rischio e si riconducono al
framework. Ma quante aziende hanno delle procedure ai fini 231 che invece devono
essere procedure aziendali? I processi sensibili – secondo l’azienda ovviamente – ai fini
231 devono avere procedure che mitigano i rischi, cercando la simmetria funzionale tra
il framework, il modello organizzativo e le attività di controllo.
Chiaramente l’attività di auditing è uno dei meccanismi delle attività di controllo, anche
nell’enterprise risk framework. Aprendo una parentesi, la pianificazione di questa
attività di controllo da parte dell’internal auditing deve essere tutta focalizzata ai fini
della 231 o soltanto in parte? Quanto? Deve essere un piano bilanciato, quindi bisogna
trovare un’integrazione nel sistema complessivo.
Rispondendo alla domanda se ci sono dei vantaggi o controindicazioni: la risposta viene
da sé, c’è un’enormità di svantaggi se non si assume un approccio del tutto integrato.
Faccio un altro esempio. L’implementazione del Modello organizzativo 231 è di fatto
molto interdisciplinare e coinvolge tante funzioni aziendali. Nel caso di Poste Italiane,
ad esempio, è stata costituita una "segreteria tecnica" – affari legali, affari societari,
internal auditing, risorse umane, dirigente preposto – per favorire l’integrazione delle
esigenze dell’OdV all’interno del sistema aziendale.
Ricordiamo che l’OdV non deve solo vigilare, ma anche aggiornare il modello, quindi
deve conoscere quello che succede in azienda, non deve essere un organo a parte.
Ancora, ribadisco l’importanza che le procedure 231 siano integrate con le procedure
generali dell’azienda; la definizione di responsabilità in Poste Italiane è “process
owner”, che attribuisce responsabilità alle persone che hanno la prevalenza di
responsabilità sui processi sensibili 231. Queste persone non sono organi di controllo,
ma funzioni di business responsabili anche delle procedure aziendali che hanno attinenza
alla 231.
Ho già parlato di risk assessment, che deve essere incorporato nell’attività di risk
management delle funzioni preposte. Ribadisco ora l’importanza di un piano di verifica
equilibrato per la funzione di internal auditing. L’unica risposta è un approccio
integrato: si tratta di individuare le problematiche di controllo nell’ambito dei processi
per tutte le tematiche di compliance, di normativa e di business.
2
Gianmaria Garegnani
La domanda che ci siamo posti trova pertanto una risposta univoca da parte della dott.ssa
Dittmeier. I sistemi di controllo, il mondo della compliance e della 231 sono contigui,
anzi hanno larghissime aree di sovrapposizione, non è possibile affrontare l’uno senza
tener conto dell’altro. Questa integrazione c’è, è molto forte e deve essere perseguita.
Pensare semplicemente di implementare un sistema compliance ai fini 231 prescindendo
da radici di sistema di controllo interno è molto difficile e può arrivare a risultati non
positivi.
Ma alla luce anche di questa complessità e incardinamento del modello organizzativo
della 231 nei sistemi di controllo interno aziendale, alla luce di questi compiti
sicuramente ambiziosi e impegnativi che ha l’OdV, dobbiamo chiederci se le indicazioni
che sono emerse dai lavori circa la sua composizione sono condivisibili. Sappiamo che il
discorso della composizione dell’OdV è una delle questioni calde, ma a mio avviso è
sempre stato visto in modo molto “asettico” senza rapportarlo con i suoi compiti; su
questo vorremmo chiedere il parere del prof. Lanzi.
Alessio Lanzi
Molto volentieri. Saluto tutti i presenti, mi compiaccio con gli organizzatori, anche per il
numero delle presenze a questo convegno.
Mi accingo a rispondere volentieri al quesito che mi è stato proposto in questa tavola
rotonda. Devo però fare una precisazione di partenza. Io sono un giurista, di civil law, di
preparazione culturale e applicazione professionale strettamente penalistica. Dico questo
perché è molto interessante il tema affrontato e come è stato affrontato, però io dal mio
angolo visuale vi propongo una lettura delle risultanze dei tavoli di lavoro in linea con le
necessità che ha un sistema giuridico continentale, finalizzato ad un ordinamento penale
assistito da una previsione costituzionale molto rigida, di essere applicabile in relazione
agli obiettivi che si propone.
Un caposaldo deve essere puntualizzato subito: gli OdV in che modo si inseriscono in un
sistema penale, quindi un sistema di precetti, sanzioni, illeciti, reati? Perchè di questo
stiamo parlando. La realtà aziendale, l’organizzazione aziendale è qualcosa che viene
dopo.
Prima abbiamo l’ordinamento penale e nell’ambito di questo ordinamento penale si
inserisce tutto il comparto aziendalistico indubbiamente trascinato dalla 231. In questo
punto di riferimento prima di dare risposte concrete dobbiamo chiederci “c’è, e se c’è
qual è una valenza penalistica dei comportamenti dell’OdV?”
Sgombriamo subito il campo da quanto viene talvolta paventato. A mio giudizio, e sono
assolutamente tranquillo in questo, l’OdV non deve impedire i reati presupposto della
231, non è nei compiti dell’OdV e quindi non è nei compiti dei suoi componenti, quello
di impedire la commissione dei reati. Questo per un semplice motivo sistematico, e cioè
che l’art. 6 della 231 fissa la composizione dell’OdV e ne delinea, con un grande
silenzio, i compiti e le funzioni, ma al contempo individua un organismo che serve ad
evitare che la società risponda delle sanzioni della 231, quindi non per impedire il reato,
ma per impedire la responsabilità amministrativa della società di appartenenza.
3
E questo sul piano sistematico è confermato dal fatto che in ogni caso, anche se la
società di cui fa parte l’OdV andrà esente da responsabilità sulla base del decreto
legislativo 231, comunque sia, se è stato commesso uno dei reati presupposto, la società
sarà responsabile, in quanto subirà quanto meno la confisca del profitto (e noi sappiamo
che la confisca del profitto è un problema di grandissima drammaticità che, come
giustamente ha scritto Garegnani nella sua pregevole monografia su questi temi, rischia
di far collassare il sistema; se dopo le spese dell’OdV, di tutta l’organizzazione, anche
con un modello di perfetta tenuta poi il profitto che viene confiscato è enormemente
maggiore di quello che dovrebbe essere effettivamente il profitto da reato, allora non c’è
più l’economicità di tenere in piedi tutto questo carrozzone).
Il discorso è questo: comunque sia, la presenza dell’OdV fa in modo che la società non
subisca le sanzioni – a parte la confisca – pecuniarie e tutte quelle interdittive a seguito
della commissione di quei reati da parte delle persone fisiche.
Detto questo, andando al cuore di quanto mi è stato rappresentato, direi che in termini
meta-giuridici e, se vogliamo, molto pragmatici, ma con questi ci dobbiamo confrontare,
praticamente l’OdV non deve servire ad evitare la commissione dei reati, appunto per
questo motivo, anche perché se entrasse nel piano culturale giuridico il tema che l’OdV
deve impedire la commissione dei reati, si aprirebbero degli scenari molto tetri per i
componenti degli OdV, perché si applicherebbe loro l’art. 40, 2° comma del codice
penale, che dice espressamente che non impedire un evento e quindi un reato che si ha
l’obbligo giuridico di impedire equivale a cagionarlo.
Se quindi passa questa tesi che OdV è uguale a garante della non commissione del reato,
passa necessariamente il giorno dopo la tesi che OdV è uguale a responsabile di tutti
quei reati che vengono compiuti nella gestione della società. E questo credo che vada
eliminato come principio.
Viceversa un principio pragmatico di riferimento può essere questo: l’OdV non deve
servire per fare in modo che il reato non sia commesso, deve servire per scoraggiare gli
apicali dalla commissione di reati e quindi fare in modo che si possa dire, con
quell’inversione probatoria di cui anche è stato fatto riferimento, che la società, grazie al
modello tutelato e controllato dall’OdV, ha fatto tutto quanto poteva per evitare che si
verificasse quanto purtroppo si è verificato. Quindi la responsabilità della società non c’è
in relazione alle sanzioni pecuniarie e interdittive, fatta salva la confisca. Con questa
linea di riferimento capisco il diverso approccio culturale che può essere dato a questi
temi, perché noi giuristi abbiamo una tematica di carattere dogmatico deduttivo,
l’aziendalista si regola sul modello anglosassone e tende ad avere un approccio di
carattere pragmatico, induttivo.
Ma dobbiamo trovare un punto di riferimento, perché comunque il punto di riferimento è
dato dalla legge che lapidariamente all’art. 6 - 1° comma lettera b) prevede che ci sia in
capo all’OdV un autonomo potere di iniziative di controllo e allora su questa
semplicissima terminologia dobbiamo costruire delle tematiche di controllo dei modelli,
tali da potersi dire che l’OdV ha avuto la possibilità di esercitare un autonomo potere di
iniziativa e di controllo.
Tutto il resto a mio avviso ha valenza soprattutto esemplificativa, non a livello di
codificazione di comportamenti, perché se fosse a livello di codificazione di
comportamenti ci sarebbero dei rischi notevoli (più codifico e più do regole più è facile
dire che la violazione di quella regola determina la responsabilità).
4
Quindi mi rendo conto che sia difficile trovare la sintesi fra questi concetti, però il nostro
approccio, il mio approccio, e immagino anche quello dei colleghi, è quello di dire:
questa è la norma e sulla base della norma noi ci dobbiamo misurare, e allora chiudo e
vengo rapidamente a quanto mi è stato chiesto dal prof. Garegnani, rispetto a quello che
abbiamo sentito in riferimento agli esiti del primo tavolo di lavoro.
Cosa si può dire in punto di utilità per quanto concerne l’approccio alla 231. Io credo
che siano senz’altro dei criteri validi, non da ritenere come dei dogmi assoluti, perché
altrimenti la loro variazione anche minimale determinerebbe la responsabilità. Sono
criteri base di indicazione programmatica in cui soprattutto io valuto l’approccio
sull’efficacia del controllo, il controllo che è una delle richieste precettive dell’art. 6.
Efficacia di controllo si espleta sulla prospettiva che componente dell’OdV sia anche
personale interno della società, perché il personale esterno, ancorché bravissimi
professionisti, giuristi o aziendalisti, non ha il polso della concretezza. Quindi se si
prescinde da soggetti interni della società in un giusto mix con i soggetti esterni, se
manca questa interconnessione tra soggetti interni ed esterni si perde il polso della realtà
aziendale della concretezza e quindi dell’individuazione di quelle sacche di rischio sulle
quali va esercitato il controllo.
A questo proposito, soggetti interni significa soggetti interni che abbiano una cognizione
di causa della situazione, quindi non l’amministratore indipendente; il sindaco è tutto un
capitolo a parte e senz’altro sono d’accordo che sia una sovrapposizione di piani, una
proliferazione di responsabilità quella di mettere il sindaco nell’OdV, perché
significherebbe addirittura, nel caso di una responsabilità del collegio sindacale,
rimbalzare automaticamente in qualche modo sulla responsabilità dell’OdV, quindi sono
senz’altro contrario che un sindaco entri a far parte di un OdV.
Sono favorevole che un interno o una serie di interni della società, a seconda delle regole
statutarie, entri a far parte dell’OdV, ma deve essere un osservatore interno ad hoc
attento privilegiato, rispetto alla sacca del problema e alla sacca di rischio, quindi non
l’amministratore indipendente, non il dirigente di facciata che in realtà non è operativo.
Penso che la tesi da privilegiare sia mettere nell’OdV il personale che fa l’auditing della
società, che conosce da vicino i problemi effettivi dove si può annidare il rischio di
commissione di reati, quindi di responsabilità della società.
Gianmaria Garegnani
Ringrazio il prof. Lanzi, penso che il suo intervento sia ricco di spunti di riflessione,
quello più importante è forse il richiamo ai principi. Talvolta il tentativo di dare
soluzioni pratiche porta a dare delle indicazioni che potrebbero essere valide in un caso
ma non in un altro caso. Il tentativo di dare indicazioni che comunque siano applicabili
non deve costituire un secondo livello di statuizioni che possano portare a delle
responsabilità verso chi non si adegua o non si comporta in questo modo. Quindi, un
forte richiamo ai principi e all’efficacia dei controlli. La composizione dell’OdV è
ottimale se, in relazione a quella realtà, può svolgere in modo corretto il suo compito,
quindi i controlli sul funzionamento del modello. Possiamo dare esemplificazioni, ma
diffidiamo dal dare delle prescrizioni.
5
In questo caso per noi sarà una sfida, e raccolgo la provocazione del prof. Lanzi, perché
nel momento in cui vogliamo pubblicare dei position paper, qualcosa dovremo dire, e
quindi dovremo scontrarci da un lato con l’esigenza di non scrivere due righe
rimandando semplicemente alla norma, dall’altro lato cercare di non correre il rischio di
esemplificare in modo troppo forte condotte che poi possono portare a problematiche nel
momento in cui sono vissute diversamente in altre realtà.
Passo la parola al prof. Bernasconi, al quale chiedo di agganciarsi a quanto esposto
magistralmente dal prof. Lanzi sui profili di responsabilità, per approfondire questo tema
che sappiamo essergli particolarmente caro.
Alessandro Bernasconi
Grazie al prof. Lanzi che ha arato il terreno anche in funzione deflazionista rispetto al
mio, per cui conto di riuscire a rispettare i famosi dieci minuti, che in effetti sono
capestro per un argomento come questo.
E’ già chiaro all’uditorio che non c’è, come si usa dire nel linguaggio della sicurezza sul
lavoro in ambito penalistico, posizione di garanzia del membro dell’OdV. Non ha
l’obbligo giuridico, ex art. 40, 2° comma codice penale, di impedire la commissione dei
reati previsti nel catalogo del decreto legislativo 231/2001.
Vado al punto.
Il catalogo nasce nel 2001 ed è commisurato a fattispecie strettamente dolose;
successivamente nell’ambito del cosiddetto cono d’ombra del rischio penale d’azienda
irrompono i reati colposi (sicurezza sul lavoro, agosto 2007 e poi con una bozza di testo
unico che sarà rivisto a breve, decreto legge n° 81 del 2008). In seconda battuta, di pochi
mesi prima, con un singolare bisticcio del legislatore, un altro decreto legislativo 231
(però novembre 2007), che introduce il problema della prevenzione del rischio di
riciclaggio in azienda, e da questo punto di vista le conclusioni non sono così
tranquillizzanti rispetto a quelle di cui in premessa.
Intanto, sicurezza sul lavoro, solo due battute: non cambia moltissimo perché in questa
materia dopo l’aprile del 2008 non sono sorti nuovi garanti e quindi corrispondenti
nuove posizioni di garanzia suscettibili di essere penalisticamente inquadrate da un
punto di vista rischio reato. Intendo dire, siamo sempre alla triade: datore, dirigente,
preposto. Da questo punto di vista l’OdV non entra nel prisma della responsabilità
penale dell’organismo e dei suoi componenti. Nemmeno l’art. 30 del decreto legge n° 81
del 2000, che prevede in capo all’OdV una serie di funzioni di controllo, si discosta da
questo classico, cioè di assenza di potere impeditivo dei reati, perché la classica
vigilanza ispettiva sul funzionamento del modello organizzativo rimane tale anche
nell’apparato che governa il nuovo sistema della prevenzione della sicurezza sul lavoro,
quindi da questo punto di vista, nonostante il reato sia colposo, non cambia molto.
Invece il problema potrebbe cambiare – ma questo ce lo dirà solo la giurisprudenza l’applicazione pratica, per quanto riguarda la prospettiva dell’antiriciclaggio. Andiamo
ad un'altra norma, l’art. 52 (che chiamerò legge antiriciclaggio per non richiamare
sempre 231. Parliamo comunque di 231 del 2007). Vi sono obblighi di informazione in
capo all’OdV nei confronti di autorità esterne all’azienda che fanno dell’OdV – in senso
lato – una sorta di collaboratore di giustizia. Cioè, vi sono una serie di obblighi
6
informativi e tutti sono cuciti da una sorta di filo rosso che è il concetto di operazioni
sospette. Qui siamo in ambito della gestione del rischio. L’OdV deve fornire
informazioni alle autorità di settore ai sensi dell’art. 7 della legge antiriciclaggio rispetto
alla possibilità che siano in corso o che siano state compiute operazioni sospette. Deve
fornire sempre comunicazioni all’esterno, questa volta al ministero dell’economia e della
finanza, per quanto riguarda le infrazioni in materia di limitazione all’uso dei contanti e
di titoli al portatore nonché del divieto di conti e libretti di risparmio anonimi e con
intestazioni fittizie. Deve altresì informare la neonata unità di informazione finanziaria,
che ha sostituito l’ufficio italiano cambi, di violazione degli obblighi di registrazione, in
più ha un obbligo di riporto interno rispetto ad operazioni di natura sospetta nei confronti
del titolare, dell’attività del titolare o del suo rappresentante legale o delegato.
Questo è il quadro.
Quindi l’art. 52 della legge antiriciclaggio ci dice che segnalazioni di violazioni di
disposizioni che rimandano a un parametro, quello del sospetto, quello per intenderci
indicato dall’art. 41 che cito testualmente “i soggetti devono inviare una segnalazione di
operazione sospetta quando sanno, sospettano o hanno motivi ragionevoli per
sospettare che siano in corso o che siano state compiute o tentate operazioni di
riciclaggio”. Questa norma squaderna un po’ l’impianto della 231 per quanto riguarda
l’inquadramento dell’OdV, da un triplice punto di vista.
Intanto parifica, in ordine all’introduzione di specifiche posizione di garanzia, l’OdV ad
altri organi di controllo: collegio sindacale, consiglio di sorveglianza, comitato per il
controllo di gestione. Come anticipavo, attribuisce all’OdV un ruolo di collaboratore, in
senso lato, con l’autorità pubblica. Deve segnalare fatti che in teoria potrebbero portare
alla condanna dell’ente per il reato di riciclaggio. Quindi abbiamo un ruolo anomalo per
quella che è la configurazione ex decreto legge 2001 in capo all’OdV, perché gli viene
chiesto di collaborare con un’autorità esterna.
Secondo profilo, e qui entriamo di più nel penale, viene introdotta indubbiamente
un’ipotesi di partecipazione omissiva a condotte illecite altrui. Cioè quella del concorso
nel delitto di riciclaggio ai sensi delle due classiche norme che si vedono contestate in
ambito di penale societario, 2° comma dell’art. 40 (lo richiamava prima il prof. Lanzi) e
l’art. 110 codice penale, che è il concorso di persona. Conseguente punibilità del
soggetto componente dell’OdV che coscientemente venga a violare i propri doveri di
controllo rendendo possibile la realizzazione dell’illecito da parte dell’organismo
gestorio o di qualche sua componente a livello individuale.
Terzo dato, l’art. 55 comma 5, sempre della legge antiriciclaggio, richiama l’art. 52 ed
introduce una nuova fattispecie penale, questa volta a carico del componente dell’OdV.
Queste omesse comunicazioni che ho elencato nei confronti delle autorità esterne o del
gestore o del suo rappresentante legale, sono punite con la reclusione fino a un anno e
con una multa abbastanza modesta.
Il problema è questo: vi è una responsabilità di tipo omissivo che si affaccia davvero in
termini inediti per i componenti degli OdV. Ora, noi penalisti ci muoviamo secondo un
prisma ben noto e codificato che è quello del fatto e quindi, l’omissione cosciente di
comunicazioni che la legge richiede va inquadrata nella prospettiva di quella che noi
chiamiamo il dolo, cioè coscienza e volontà, rappresentazione del fatto, di quello che il
rischio potrebbe portare. Indubbiamente, qui è punito a titolo di dolo generico, è un reato
7
istantaneo, cioè che si consuma con il compimento dell’operazione, intendo quella del
riciclaggio e di omissione nel prevenire il reato.
Ciò premesso, il punto è questo: il concorso tra condotte attive – quelle degli organi
gestori nella fattispecie – e condotte invece omissive dei componenti degli organi di
controllo, tra i quali, appunto, l’OdV. Qui bisogna capirci, e ci sono alcune osservazioni
da fare da un punto di vista strettamente penalistico. Il concorso per omissione del
componente dell’OdV o componente dell’organismo di vigilanza va attentamente
calibrato con riguardo al momento consumativo del reato di riciclaggio, che
generalmente precede la consumazione del reato che è istantaneo, precede il momento in
cui avviene il rilievo e il controllo dell’organismo di vigilanza..
Per la responsabilità penale del componente dell’OdV occorre provare il dolo del
concorso, cioè questa famosa coscienza e volontà. Quindi non solo l’effettiva
cooperazione con l’autore del delitto, ex art. 648 bis codice penale, ma altresì questa
coscienza e volontà di cooperare in tale azione, sempre dal “nostro” punto di vista, di
OdV, omissivo. In altre parole, il mancato impedimento del reato è addebitabile solo in
quanto il soggetto fosse consapevole della situazione e ciò nonostante nulla abbia fatto
per impedirla.
Allora a questo punto bisogna fare un altro passo e risalire alla rappresentazione del fatto
tipico da parte del membro dell’OdV. Questa consapevolezza può essere desunta da
segnali particolari in relazione al riciclaggio nonché dall’accertamento del grado di
anormalità di questi segnali. La prova della rappresentazione dell’evento reato, del dolo
di omissione in concorso con l’organo gestorio, richiede di tornare ancora una volta al
punto di partenza di quanto vi ho detto, cioè che siamo di fronte a fattispecie di sospetto
per quanto riguarda la segnalazione, l’obbligo di segnalazione di operazioni sospette, il
sospetto che si stia per compiere un’attività di riciclaggio.
Quindi vanno apprezzati quegli indici di allarme che i nostri maestri della dottrina
penale commercialistica - da Alberto Crespi a Cesare Pedrazzi – individuavano e che
nella fattispecie del reato di riciclaggio, però, affondano in una palude senza confini,
quella delle operazioni di sospetto delineate dall’art. 41 della legge antiriciclaggio.
Quindi, per affermare la responsabilità penale dell’OdV, questi indici dovranno essere
stati effettivamente e anche adeguatamente percepiti nella loro attitudine rappresentativa.
Ma qui, di fronte a operazioni il cui comune denominatore è l’indice di sospetto,
veramente ci troviamo in difficoltà, la giurisprudenza da questo punto di vista insegnerà
alcune cose, spero non nel solco di quelle affermazioni sul dolo eventuale che hanno
fatto scuola, negativamente, a livello di rito ambrosiano (risalgo ancora al 1986 alle
sentenze del Banco Ambrosiano per quanto riguardava il dolo eventuale o, per meglio
dire, l’eventualità del dolo dei componenti del collegio sindacale, perché in questo caso
potremmo dire: i galantuomini se ne vadano dall’OdV e lasciamo spazio a chicaneur,
scorridori, banditi di vario tipo, i galantuomini ne stiano fuori, se questo è l’orientamento
che andrà formandosi, però al momento non si può dire nulla).
Concludendo, che riflessi ha tutto quanto detto sulla strutturazione del modello? Intanto
non sulla strutturazione del modello, ma dei protocolli, che sappiamo essere il cuore del
modello. Da questo punto di vista l’OdV per ben funzionare deve essere più che mai
destinatario di quei flussi informativi obbligatori ai sensi dell’art. 6, 2° comma, lettera d)
8 del decreto legislativo 231/2001 dove si parla, appunto, di informazioni da fornire
obbligatoriamente. Sempre nel sistema dei protocolli, tali flussi informativi devono
8
essere interdipendenti, cioè tributari a loro volta delle informazioni che vengono dal
sistema GIANOS (Generatore Indici Anomalie Operazioni Sospette). Quindi verso
l’OdV deve funzionare il sistema di rilevazione di criticità di GIANOS e questo è un
punto da verificare ed approfondire.
Ultimo dato e chiudo, questi due punti, cioè i flussi informativi verso l’OdV e il fatto che
GIANOS debba essere strutturato nei suoi canali di comunicazione informativi anche nei
confronti dell’OdV e che questi adempimenti devono essere recepiti nel sistema
disciplinare, cioè nel sistema delle infrazioni per il quale il mancato rispetto delle misure
indicate nei protocolli del modello organizzativo che dicono: a) flussi informativi verso
l’OdV per la prevenzione del riciclaggio; b) questi flussi informativi devono essere
soprattutto quelli generati dagli indici che il sistema informatico GIANOS ha
implementato, questi due flussi devono essere previsti come obbligatori a pena di
infrazione disciplinare e quindi di sanzione.
Gianmaria Garegnani
Ringraziamo il prof. Bernasconi. Mi sono appuntato un paio di cose. Ho colto alcune
visioni molto preoccupate, forse anche apocalittiche del prof. Bernasconi su determinati
scenari. Parlo non da penalista, e quindi mi sia consentito di andare un po’ a ruota
libera.
Forse la sentenza Sandrelli, che riguarda gli amministratori indipendenti e quindi
tutt’altra fattispecie, potrebbe avere generato qualche buona riflessione, in termini di
dolo eventuale (comunque degli esponenti aziendali), su cui la giurisprudenza, anche in
relazione ad altre fattispecie, forse potrà diversamente pronunciarsi, quindi speriamo
tutti di non dover rivedere più certe situazioni come quelle che si sono viste in passato,
questo per quanto riguarda i profili di responsabilità; comunque sappiamo che
l’antiriciclaggio ha veramente sparigliato le carte sul discorso della responsabilità
penale, è inutile nasconderlo.
L’altro aspetto, proprio nelle ultime parole del prof. Bernasconi mi ha fatto meditare, è
come insieme al discorso della responsabilità siano emersi strutturazione del modello,
flussi informativi, sistema sanzionatorio. Quest’ultima parte dell’intervento del prof.
Bernasconi ci fa vedere come ci sia una inscindibilità di tutte le componenti del modello
stesso. Non si possono affrontare le tematiche della 231, le tematiche che ci investono
come componenti di OdV senza avere una visione complessiva.
Passo la parola al prof. Presti, al quale ci rivolgiamo come civilista, quindi per i profili di
responsabilità civile. L’argomento che avevamo suggerito per il suo approfondimento,
passando al discorso delle interazioni con gli organi sociali, è come leggere il
posizionamento organizzativo dell’OdV e i rapporti con gli altri organi sociali,
soprattutto in relazione ad alcuni aspetti particolari, quali l’autonomia e i doveri di
reporting verso gli organi sociali, l’indipendenza anche alla luce di determinati
meccanismi di nomina e revoca. In effetti sembrano aspetti della stessa medaglia e
quindi, come giustamente suggeriva il prof. Presti, questi due gruppi di argomenti
possono essere esaminati congiuntamente.
9
Gaetano Presti
Essendo l’ultimo a intervenire nel primo giro di tavolo, con il consenso del moderatore
cumulerò i due turni di intervento che mi spettano, con ciò realizzando una sinergia
temporale. Quando nel 1961 John Kennedy andò a Berlino ovest, strangolata dal muro,
si accattivò la simpatia dei locali cominciando il suo discorso con la famosa frase “sono
anch’io un berlinese”. Analogamente io potrei cominciare dicendo “sono anch’io un
giurista di civil law”, come affermava il professor Lanzi all’inizio del suo
bell’intervento, perché credo che, pur senza esserci coordinati, ci muoviamo su una
lunghezza d’onda molto simile. Sono stato presentato come civilista, e normalmente si
pensa che i civilisti siano più raffinati dei penalisti; invece sarò molto più grossolano, sia
del professor Lanzi, sia del professor Bernasconi. Del resto, più che un civilista in
senso stretto sono un cultore del diritto commerciale e un paio di settimane fa il
professor Crespi, presiedendo un convegno per il centenario della nascita di Arturo
Dalmartello, ha ricordato un vecchissimo detto che parla di “diritto civile, fatto penale,
romanzo commerciale”: il civile è diritto, il penale è fatto, il commerciale non è neanche
fatto, ma romanzo, fiction, per cui è giusto che il mio intervento sia tecnicamente meno
raffinato rispetto a quello che ha appena esposto il professor Lanzi.
Il 31 marzo scorso, ho partecipato a un convegno organizzato da Assonime sui controlli
societari. Il titolo di quel convegno era “Molte regole, nessun sistema”. Noi ci
muoviamo esattamente in questo ambito, di tantissime regole in materia di controlli
societari e d’impresa che però non riescono a raggiungere il livello di sistema, ma
restano scoordinate fra loro, con il rischio di molte duplicazioni e di altrettante zone
sguarnite. Spesso, di fronte a una situazione del genere, si solleva il problema che di
certe cose non si occupa, o non si vuole occupare, nessuno. In realtà, in una situazione
del genere, in cui vi è sovrabbondanza di soggetti controllori ma non c’è un sistema
coordinato, vi è anche il rischio della tentazione di occupare aree non proprie. E,
siccome io sono sollecitato primariamente sul tema della responsabilità civile dell’OdV,
devo dire, senza troppi complimenti, pur essendo qui come ospite, che sono rimasto
alquanto preoccupato da alcune perentorie affermazioni che ho sentito nella prima parte
di questo pomeriggio, cogliendo quasi un’aspirazione dei componenti degli OdV ad
avere un ruolo molto forte nell’organizzazione dell’impresa e della società.
Ora, stiamo attenti che una tale rivendicazione di competenza inevitabilmente si riflette
in tema di responsabilità. Maggiori sono i compiti, più si vuole contare, più si vuole
essere rilevanti all’interno dell’organizzazione, maggiori sono le responsabilità e
possono esservi responsabilità civili, anche molto rilevanti. Mi vengono in mente, a
questo proposito, le famose parole di un giudice americano, più o meno di un secolo fa,
in una delle sentenze più importanti in tema di responsabilità della società di revisione
nei confronti dei terzi investitori. Citando a braccio, il giudice Cardozo diceva: “Bisogna
stare molto attenti perché occorre evitare che ci sia una responsabilità indeterminata,
per un importo indeterminato, nei confronti di soggetti indeterminati”. Qui dobbiamo
fare la stessa cosa, prima dobbiamo capire bene qual è il compito dell’OdV; poi, sulla
base di questo, ritagliare la sua fetta di responsabilità.
Il compito è tutt’altro che facile. Tra quanto ho letto per preparare questo intervento mi
viene in mente che un autorevole penalista (Giunta) definisce l’OdV uno dei profili più
oscuri della nuova normativa ,e siccome anche il resto è tutt’altro che chiaro, siamo di
10
fronte a un vertice di incertezza: l’OdV, nominato quasi solo di sfuggita nella legge,
pone tantissimi problemi.
Voglio allora limitarmi a svolgere due osservazioni basiche che, secondo me, conducono
poi alla medesima conclusione.
La prima osservazione è che i modelli di organizzazione e gestione, di cui gli OdV sono
una parte, non sono legati a una specifica forma giuridica e neanche a una specifica
tipologia di attività. Noi parliamo sempre di società, ma non si tratta solo di società, e
neppure solo di persone giuridiche nonostante il titolo della legge, perché quest’ultima si
applica a qualsiasi soggetto diverso dalla persona fisica, che sia personificato o no,
anche associazioni non riconosciute. E non è un caso di scuola, perché un’associazione
non riconosciuta che in ipotesi non svolga neanche attività di impresa, ma riceva fondi
pubblici, ha certamente un’attività molto rilevante ai fini della 231.
Non solo: la 231 è neutra anche rispetto al tipo di attività svolta, riguardando qualsiasi
tipo di attività che possa implicare il compimento di un reato-presupposto (elenco, come
noto, improvvidamente in continuo aumento).
L’OdV e il modello organizzativo riguardano, quindi, l’organizzazione dell’attività, di
qualunque tipo essa sia, e non quella del soggetto. E se siamo fuori dalla disciplina del
soggetto giuridico, allora l’OdV non è un organo societario, anche quando il titolare di
quell’attività sia una società. Ci si può chiedere allora, visto che la disciplina attiene
all’attività, quale sia la qualificazione dell’OdV qualora l’agire sia, come normalmente
ma non necessariamente accade, di natura imprenditoriale. E’ un organo oppure un
ufficio dell’impresa? Mi pare una discussione abbastanza oziosa e, benché noi
commercialisti siamo romanzieri, non mi sembra un tema interessante. Probabilmente è
un ufficio dell’impresa, però credo che i riflessi di tale questione non siano poi così
rilevanti.
Quello che è certo è che l’OdV non è un organo societario. E, se non lo è, non si
applicano, non si possono applicare neanche per analogia, le norme sulle responsabilità
degli organi societari: né quelle sostanziali né quelle procedurali.
La seconda osservazione si basa sulla constatazione che l’OdV, come il modello di
organizzazione e gestione di cui l’organo fa parte, ha comunque una base volontaria, è
un atto di autonomia organizzativa dell’ente, autonomia organizzativa “spintanea”, se
vogliamo, ma comunque atto di autonomia organizzativa: la nomina dell’OdV e la
determinazione dei suoi compiti rientrano nell’ambito dell’autonomia contrattuale.
Possiamo discutere se rientri nell’ambito del diligente adempimento del dovere
organizzativo degli amministratori predisporre un modello di organizzazione e controllo
e nell’ambito di esso prevedere un organo di vigilanza. Presumibilmente oggi la risposta
è sì: nel loro dovere organizzativo rientra la predisposizione del modello. Resta il fatto
che il modello è volontario, non è predisposto dalla legge, non è automatico, alla sua
base c’è un atto organizzativo della società, e per essa dell’organo amministrativo
(soggetti apicali se vogliamo usare la terminologia usata nella legge).
Il rapporto tra la società e i componenti dell’OdV, è pertanto di natura schiettamente
contrattuale. L’organo di vigilanza, salvo quello che è appena stato detto da un punto di
vista penalistico sulla legge antiriciclaggio, non ha poteri e doveri derivanti dalla legge,
ma solo le funzioni, i poteri e i doveri che sono stabiliti contrattualmente; di solito per
relationem al modello di organizzazione e gestione. Lì è stabilito cosa deve fare l’OdV,
11
quali sono i suoi poteri, qual è il suo strumentario, quali sono i flussi di informazioni che
deve ricevere, quali quelli che deve inviare. Se alla base c’è un atto di autonomia
organizzativa, al massimo si potrà dire che un OdV privo di certi poteri impedisce di
qualificare quel modello di organizzazione come idoneo a prevenire i reati. Ma se nel
modello di organizzazione l’OdV certi poteri non li ha, non li può esercitare,. E se non li
può esercitare i suoi componenti non potranno essere ritenuti responsabili per il loro
mancato esercizio, perché - per giungere alla conclusione del discorso – la
responsabilità dell’OdV, o meglio dei componenti dell’OdV, è una responsabilità di
natura contrattuale esclusivamente nei confronti della società.
Sostanzialmente si tratta di una responsabilità per l’ipotesi in cui la società non possa
fruire dell’esimente nell’ipotesi in cui tutte le altre condizioni ci sarebbero, ma manca
proprio l’efficiente vigilanza sul funzionamento e l’osservanza del modello
organizzativo e sul suo aggiornamento da parte dell’OdV stesso. Certo, occorre poi
vedere cosa vuol dire in concreto vigilare sull’osservanza e il funzionamento del
modello e curarne l’aggiornamento, ma è un’altra storia di cui oggi non ci possiamo
occupare.
Non c’è, dunque, responsabilità nei confronti dei creditori, né nei confronti dei terzi. E’
una responsabilità di natura schiettamente contrattuale nei confronti della società, sulla
base del contratto e quindi in relazione ai compiti, alle obbligazioni che il componente in
sede di nomina ha assunto.
Aggiungo che i componenti possono essere diversificati quanto a rapporti con l’ente. Si
sta affermando la composizione pluripersonale e variegata di questi organismi: un
soggetto appartenente al sistema di controllo aziendale, spesso il responsabile
dell’internal audit, un amministratore indipendente o, in alternativa, un sindaco, un
esperto esterno. Credo che dal punto di vista della responsabilità, ciascuno di questi
soggetti sia sottoposto a una disciplina specifica: l’amministratore indipendente che fa
parte dell’OdV risponde in quanto amministratore perché è nell’OdV in quanto
amministratore indipendente e si porta dietro in quest’organo i suoi doveri e le sue
funzioni di amministratore; lo stesso avviene per il responsabile dell’internal audit. Una
posizione diversa sarà quella dell’eventuale esperto esterno, che non ha altri legami con
la società se non quello derivante dalla sua accettazione dell’incarico, un incarico
professionale dove sono previsti determinati obblighi nei confronti della società e
determinati strumenti per adempiere a questi obblighi, sulla cui sola base potrà esserci
una sua responsabilità.
Il modello organizzativo concreto, quello sulla cui base bisogna giudicare della
responsabilità, potrebbe andare anche oltre il minimo richiesto dalla legge per godere
dell’esimente. Maggiori sono le funzioni, maggiore potrà essere il compenso ma
maggiore potrà essere anche la responsabilità. Poniamo quindi estrema attenzione ai
modelli di organizzazione e gestione, perché quella è la fonte degli obblighi e delle
responsabilità dei membri degli OdV.
Gianmaria Garegnani
Grazie prof. Presti. Ho cercato di appuntarmi alcune cose, ma ad un certo punto ho
smesso perché gli spunti erano davvero molti e non possiamo che ringraziarla per la sua
esauriente relazione. Vorrei semplicemente fare un piccolo parallelo con un messaggio
12
che ho trovato molto vicino fra quello che ha detto il prof. Presti e quanto detto dal prof.
Lanzi, che in realtà è un monito a noi di stare attenti con i position paper, perché con più
cerchiamo di aiutare i colleghi mostrando loro delle strade, con più codifichiamo, anche
inconsciamente, delle situazioni e questo comporta certamente dei rischi. Il prof. Lanzi
ce ne ha fatti vedere alcuni, il prof. Presti ne ha identificati altri. Questo non solo in
relazione al nostro position paper, che speriamo che avrà una sua rilevanza, ma
praticamente anche all’interno dei singoli modelli organizzativi. In effetti anche da parte
di chi fa modelli organizzativi, è nato il desiderio di fare dei modelli sempre più
ipertrofici, nella convinzione che con più il modello è ampio, con più è apprezzato, con
tante discipline e tante fattispecie. Però questo si espone alle problematiche che ci hanno
evidenziato i nostri relatori. Forse è davvero il caso di tornare ai concetti forti, a quelli
che sono i pochi messaggi che ci comunica la norma ed evitare di entrare troppo in
esemplificazioni che noi pensiamo siano tali, ma che poi potrebbero diventare delle
codificazioni del nostro impegno e del nostro committment nei confronti della società.
Sempre parlando di interazione con gli organi sociali, vorrei coinvolgere la dott.ssa
Dittmeier. Quando ci troviamo come OdV ad interagire con la società abbiamo sempre
questa figura forte dell’internal audit che si trova ad essere lo snodo in una rete
veramente complessa di rapporti con gli organi sociali. Praticamente risponde un po’ a
tutti: al collegio sindacale, al comitato di controllo interno, all’OdV e quindi vorremmo
chiederle: lei che vede l’OdV e tutti gli altri suoi interlocutori, come vede dal suo
osservatorio l’interazione fra l’OdV e gli organi sociali? E’ un’interazione positiva, c’è
qualcosa che si completa oppure siamo in una situazione di eccesso di controlli di cui
abbiamo parlato durante il convegno, che invece risulta essere in un certo senso
negativa, se non addirittura distruttiva verso una positiva rete dei controlli aziendali?
Carolyn Dittmeier
Il prof. Garegnani tocca un argomento al quale sono anche appassionata, perché sono
diversi mesi che stiamo trattando l’argomento della complessità della governance, degli
organi dei controlli, delle interrelazioni. Mi sono ritrovata con il contenuto delle
presentazioni. In questi mesi, se non anni, abbiamo vissuto questa proliferazione di attori
di controllo (se rimaniamo solo a livello di organi societari di controllo ce ne sono già
diversi). Quindi il problema è molto sentito da parte dell’internal audit, che lo vive in
prima persona, perché fornisce l’assurance ai vari organi di controllo per le rispettive
competenze. La risposta se funzionano i rapporti tra gli organi di controllo e l’OdV è che
dipende molto dalle persone e questo di per sé non va bene, perché se cambiano le
persone cambia tutto il sistema. Abbiamo cercato di trattare l’argomento come
Associazione Italiana Internal Auditors attraverso un corporate governance paper, che è
attualmente in exposure draft, che si intitola “Approccio integrato al sistema di
controllo interno” con un focus sugli organi e le funzioni preposte al controllo interno
aziendale e loro relazioni. E qui trattiamo proprio l’argomento del rapporto tra l’OdV e
gli altri organi.
L’intento è di ricondurre ciascun attore all’interno di un disegno organico unitario,
perché è molto sentita l’esigenza di modello di armonizzazione tra organi di governo, di
assurance, di vigilanza, di controllo (il consiglio di amministrazione, l’amministratore
delegato, il comitato per il controllo interno). Questo io lo percepisco in un ruolo di
governance aziendale, non do una lettura legale, ma una lettura aziendale.
13
Il collegio sindacale, o altri organi a seconda del sistema prescelto dall’azienda, ha un
vero e proprio ruolo di assurance, come pure l’OdV. Ciascuno con le proprie
competenze, in alcuni momenti anche con qualche sovrapposizione. Nel caso del settore
pubblico si aggiunge anche il magistrato della corte dei conti, quindi in questo caso un
ruolo di vigilanza del tutto indipendente.
Nel paper che abbiamo sviluppato con molto dialogo con l’esterno, abbiamo
puntualizzato tre tipologie di interrelazione, che gli organi possono avere.
Primo, i flussi informativi, non tanto verso l’OdV, ma i flussi formali tra gli organi. Poi
c’è la comunicazione conoscitiva partecipativa che si traduce nel dialogare ed
incontrarsi, ed è una componente molto importante che si deve aggiungere alla
comunicazione formale. Poi ci sono anche delle interrelazioni di tipo direttivo.
Le principali interrelazioni che riguardano l’OdV sono trattate in questo paper, che ha lo
scopo di riuscire a staccarsi dal ruolo della singola persona per creare delle linee guida
strutturate.
Il collegio sindacale e il comitato per il controllo interno dovrebbero fornire all’OdV
informativa su fatti di interesse di quest’ultimo. L’OdV dovrebbe comunicare
trimestralmente o semestralmente al comitato per il controllo interno, al collegio
sindacale informazione che riguarda l'effettivo funzionamento del modello e
l’evoluzione delle verifiche che vengono svolte. Dovrebbe riferire almeno annualmente
sulle aree di rischio e sul mutamento dello scenario dei rischi come pure altri fatti
rilevanti. Quando si tratta di incontri, quindi di comunicazione conoscitiva partecipativa,
ritengo che un componente del comitato per il controllo interno, come pure del collegio
sindacale e dell’OdV, dovrebbe partecipare come uditore su invito agli incontri degli
altri organi, se non sistematicamente almeno periodicamente.
L’internal audit si trova ad essere un focal point in quanto preposto ad una funzione di
assurance interna a questi vari organi. Ha questo ruolo per cui deve trovare il modo di
comunicare a tutti in modo corretto l’andamento del sistema di controllo interno. Quindi
funge anche da facilitatore per la buona comunicazione tra i vari organi e le altre
funzioni aziendali. Se l’internal auditing è fatto bene, tratta argomenti interfunzionali,
trova problematiche interfunzionali e ha una visione a 360° e riesce ad individuare i gap
di comunicazione tra le funzioni e gli organi, con l’obiettivo di promuovere
l’ottimizzazione dei rapporti, attraverso la presentazione di un piano annuale al comitato
di controllo interno, al collegio sindacale, all’OdV.
L’internal auditing viene informato delle attività svolte da questi organi, in virtù del
lavoro che svolge, talvolta anche come segreteria tecnica, questo per dire che questo
ruolo di focal point è sempre più importante e anche delicato.
Vale la pena di ricordare che comunque il buon senso di promuovere le informazioni tra
gli organi è soprattutto in seno alle persone che sono negli organi di controllo stessi e
non solo l’internal auditing, o comunque si deve collaborare insieme.
Gianmaria Garegnani
Grazie mille, e passiamo al terzo gruppo di argomenti da trattare, relativo ai flussi di
comunicazioni.
14
Un primo punto sul quale volevo sentire l’opinione della dott.ssa Dittmeier è sui flussi di
segnalazione, che è un tema di cui si parla molto, cioè del modo in cui dall’azienda
dovrebbero arrivare all’OdV dei segnali circa la possibile commissione dei reati. Si parla
molto anche del modo in cui queste informazioni devono essere elaborate e veicolate. Le
informazioni possono arrivare in tanti modi all’azienda, bisogna vedere in che modo
vengono ricondotte al soggetto che deve effettivamente prendere le decisioni opportune
per correggere o prevenire il rischio che sta sorgendo.
Carolyn Dittmeier
Mi limito ai flussi nei confronti dell’OdV, di assoluta rilevanza. I flussi sono
estremamente diversificati tra di loro per la diversa urgenza (annuale o periodico contro
immediato). Sono ben diversi come tipologia.
Poi, c’è la diversità delle aree di rischio.
Infine, l’OdV non è una funzione full-time, ha limiti di tempo e limiti di risorse. Si deve
quindi applicare un approccio molto pragmatico.
Come dicevano i relatori nella prima parte, se l’informazione non è rilevante e non
arriva alla persona giusta è inutile; l’OdV soffre in tal caso di un’eccessiva informativa
con dispersione di energie, perché una volta ricevuta l’informazione, la stessa deve
essere trattata. Quindi anche in questo caso l’internal auditing può fungere da focal point
per filtrare o interpretare o per verificare il flusso stesso.
Ciascun area di reato richiede un flusso verso l’OdV per spiegare gli andamenti o
eventuali anomalie nel funzionamento del modello.
I flussi informativi sistematici e i flussi di segnalazione per me vengono trattati
separatamente, però entrambi vengono ricondotti in linee guida; servono delle linee
guida puntuali su “chi fa che cosa”. In Poste Italiane abbiamo attribuito nuovamente al
process owner l’obbligo della produzione di un flusso informativo ragionevole, che
tenga conto anche della necessità di non creare oneri burocratici.
Invece i flussi di segnalazione provengono da qualsiasi fonte tramite le consuete linee
dedicate, telefonica e di e-mail, continuamente oggetto di esame preliminare da parte di
internal auditing, su delega dell’OdV.
Gianmaria Garegnani
Grazie, ha colto proprio i punti più importanti, tra cui l’importanza che anche in
relazione ai flussi delle segnalazioni ci sia una linea guida aziendale, su come queste
informazioni devono essere veicolate, su come devono essere raccolte per essere poi
portate ai soggetti a cui devono effettivamente arrivare perché possano prendere le
decisioni più opportune.
Il prof. Lanzi desiderava aggiungere qualcosa.
15
Alessio Lanzi
Mi ha molto interessato quello che ha detto il collega Bernasconi, e volevo sottolineare
che volutamente non ho parlato del riciclaggio, perché da quello che mi è sembrato di
capire è rimasto fuori dai lavori dei tavoli che sono stati costituiti. Ma in effetti il
riciclaggio è il punto nevralgico, perché, sia per come è stata costruita la normativa, sia
per la facile prospettiva e previsione di interpretazione che ne potrà essere data, la
tematica del riciclaggio diventa un momento rilevante nell’ambito delle composizioni,
dei compiti e delle responsabilità penali dell’OdV. Giustamente il prof. Bernasconi
osservava che, oltre al reato proprio omissivo, la mancata segnalazione voluta dall’art.
52 determina di per se stessa un delitto seppur punito non troppo gravemente. Oltre a
questo c’è il rischio che qualora si possa dimostrare che la mancata segnalazione ha
determinato la commissione del reato, il cui indice d’allarme non è stato comunicato si
potrà anche rispondere per il reato medesimo.
Il collega faceva giustamente riferimento alla tematica soggettiva della colpevolezza,
cioè l’indice d’allarme. Però se non ci sono gli indici di allarme del riciclaggio, non ci
potrà mai essere il concorso nel riciclaggio successivo. Questo è un baluardo. Qui siamo
in una sede in cui gli astanti, gli interessati sono bene o male coinvolti nelle prospettive
delle tematiche dell’OdV; se non ci diamo e non vi date dei precisi puntelli interpretativi
e applicativi, c’è il rischio che dalla normativa del riciclaggio entrino a catena delle
situazioni assolutamente ingiuste. Il problema è un problema culturale di fondo. Perché
lo Stato che non riesce ad evitare determinati fenomeni criminali, deve sempre caricare
sul privato ogni attività di prevenzione se non riesce a gestirle? Questa è
un’esasperazione della teoria del garante, ossia uno Stato incapace di reprimere i
fenomeni criminali fa tanti garanti per scaricare la responsabilità su di essi.
Al di là del modello culturale, bisogna effettivamente fare grande attenzione;
giustamente il prof. Garegnani ricordava la sentenza Sandrelli per quanto concerne la
colpevolezza degli amministratori indipendenti; voglio aggiungere la sentenza Sandrelli
2, forse meno conosciuta, sulle tematiche della controfattualità. In ogni caso non scatta
mai l’equivalenza causale fra cagionare e non impedire quando all’atto concreto si può
dire che se anche avessi tenuto un certo comportamento, se anche avessi comunicato, il
reato si sarebbe egualmente verificato. Verifica controfattuale che fino a poco tempo fa è
stata sistematicamente disattesa, speriamo che non lo sia più in futuro, perlomeno da
tutte le giurisdizioni di merito.
Telegraficamente faccio riferimento alle tematiche dei flussi. Anche in relazione ad essi,
vale ancora una volta tutto quanto abbiamo detto. I flussi sono fondamentali, ma il
rischio di eccessiva catalogazione e codificazione presenta quegli aspetti di rischio
problematici che il prof. Garegnani ha ben colto e che vi ha ripetutamente riprodotto.
Il tema normativo di riferimento è quello della lettera d) dell’art. 6 che prevede come vi
debba essere una vigilanza che sia esistente e sufficiente. Quindi il problema è di
valutare in che termini vi possa essere una sufficienza della vigilanza e in che termini il
flusso deve consentire l’espletamento di una sufficiente vigilanza.
Da quello che c’eravamo detti il problema è anche di vedere se le attestazioni di
chiusura, se le formule tranquillanti che il consiglio di amministrazione dà nei confronti
di situazioni contingenti o di situazioni di carattere generale all’OdV, possono
determinare l’esistenza di un flusso che consenta di dire che c’è stata una vigilanza
sufficiente. Il problema è importante, perché se è vero che così facendo si tende a
16
responsabilizzare la funzione che dà questa attestazione di tranquillità, però è anche vero
che viceversa la sufficiente vigilanza è compito dell’OdV, non è della funzione. Quindi
in caso di situazioni contingenti, l’OdV dopo aver svolto le sue attività, e si possa dire
che la vigilanza sia stata sufficiente, non si può acquietare di fronte ad un’affermazione
del soggetto da controllare, che dice di non controllarlo perché va tutto bene, perché in
questo caso si trasferirebbe la funzione di sufficiente vigilanza (e questa è codificata) in
capo al soggetto che deve essere vigilato. Questo non è possibile, anche perché la
prospettiva della sufficiente vigilanza ha come limite di tenuta quello dell’elusione
fraudolenta. Una vigilanza anche sufficiente, ancorché si realizzi il reato, richiede che il
reato sia stato realizzato perché l’apicale ha fraudolentemente eluso i criteri del modello.
Fra la vigilanza sufficiente e addirittura il suo limite, che è appunto l’elusione
fraudolenta, c’è tanto. Non si può dire che abbia fraudolentemente eluso soltanto per
aver tranquillizzato l’OdV. Al limite ha eluso, quindi non ci sarebbe la tenuta del
modello e non ci sarebbe un’attività da parte dell’OdV, esimente delle responsabilità e
quindi per le sanzioni della società.
Gianmaria Garegnani
Grazie prof. Lanzi. Un’ultima pennellata da parte del prof. Bernasconi su un tema che ci
sta particolarmente a cuore. Il discorso del whistleblowing, che è fondamentale, focale
nella disciplina statunitense ed è stato oggetto di dibattito, forse da noi un po’ meno.
Qualche idea sul discorso dell’anonimato, ad esempio nel whistleblowing, la sua tenuta
anche in sedi processuali, quindi l’efficacia dell’istituto in generale.
Alessandro Bernasconi
Qui inevitabilmente ci si interseca con un problema di natura processuale che è quello
del regime del rappresentante legale dell’ente sotto processo.
Intanto dobbiamo fare una distinzione: da un punto di vista della segnalazione di un fatto
reato o di un comportamento che potrebbe essere prodromico a un fatto reato di cui al
decreto legislativo 231/2001, quindi 24, 24 bis, 25 fino a octies, la segnalazione di un
dipendente all’OdV dovrebbe avvenire attraverso canali di comunicazione che ne
garantiscano l’anonimato, e questa è una prescrizione finalizzata a garantire il
dipendente da rappresaglie relative al suo mansionamento, alla sua collocazione in
azienda. Quindi che funzioni attraverso un sistema di blackmail, che funzioni attraverso
linee dedicate di report e segnalazione nei confronti dell’OdV.
Se ci spostiamo sul terreno processuale (vale a dire: il soggetto segnala, è un fatto di
reato e il reato viene compiuto), colui che ha segnalato il reato, è dal punto di vista
processuale, se si arriva al processo, un testimone. In fase di indagine sarà una persona
informata sui fatti, nulla più.
Il problema diventa un altro. Il problema diventa questo unico fatto di corruzione che dal
2001 diventa a doppia testa dal punto di vista della responsabilità penale, non solo
l’autore persona fisica ma anche l’autore persona giuridica, al quale deve essere riportato
dal punto di vista dell’onere della prova del pubblico ministero dimostrando che: a) c’è
stato il fatto, b) che questo reato si è ripercosso in termini di interesse o vantaggio sulla
persona giuridica. Detto questo, dobbiamo fare i conti con una norma assolutamente
17
strategica nel decreto 231/2001, strategica dal punto di vista del pubblico ministero, che
è l’art. 8, il quale dice che c’è l’autonomia della responsabilità dell’ente, che significa
che se non è stato identificato l’autore del reato presupposto, la responsabilità dell’ente
rimane in piedi. Ciò significa che, nella prassi processuale, quando io accompagno un
amministratore, un imprenditore, un apicale davanti al pubblico ministero il quale gli
contesta la formazione di un fondo off-shore finalizzato a precostituire un fondo nero e
non ha prove sufficienti (e capita spesso), il pubblico ministero gli fa capire che o gli
fornisce qualche elemento “confessorio” per la ricostruzione del fatto oppure gli contesta
il reato ex 231, che significa “sfasciare” l’azienda.
Questo è il classico strumento penalistico che vantando una doppia faccia, la
responsabilità personale e la responsabilità aziendale, consente di giocare a ping-pong su
due terreni dove però la condotta è quella. Sappiamo che l’ente si può costituire nel
processo solo attraverso il rappresentante legale. Il problema è il regime dal punto di
vista processuale e penale di questo rappresentante legale, cioè è un imputato o un
testimone? Partendo dal presupposto che il testimone ha l’obbligo di dire la verità
sanzionato penalmente, mentre l’imputato può avvalersi del diritto al silenzio, qui il
quadro si complica, perché dopo il giusto processo entrato in vigore del 2001, il diritto al
silenzio dell’imputato è stato fondamentalmente eroso e quindi il soggetto indagato per
un determinato reato deve “collaborare”.
Ora il nostro rappresentante legale si trova esattamente tra l’incudine e il martello,
quindi il problema diventa quello del conflitto di interesse, perché un rappresentante
legale che è obbligato a testimoniare, non è più, dato che è parificato all’imputato, un
soggetto che può rappresentare degnamente l’azienda all’interno del processo. E
soprattutto, secondo aspetto, il problema è l’interrelazione in termini di strategia
difensiva. Quando ci si trova a difendere un ente e la persona fisica, o i due si mettono
d’accordo e dichiarano di non aver commesso il fatto, ma se uno dei due veicola
dichiarazioni accusatorie nei confronti dell’altro, noi non abbiamo ad oggi una barriera
processuale sufficientemente solida che faccia delle due persone – giuridica e fisica –
due monadi processuali e quindi le loro dichiarazioni non stanno in compartimenti
stagni, rischiano di comunicare e questo è il grosso problema che, come difensori nei
reati 231, ci troviamo a gestire nella prassi, nella difesa penale.
Gianmaria Garegnani
Non cerco di sintetizzare questo intervento del prof. Bernasconi, perché mi mancano i
“fondamentali”.
Chiuderei questi lavori ringraziando i nostri relatori perché ci hanno veramente fornito
numerosissimi spunti e tanti motivi di riflessione per i nostri lavori, per quello che
dovremo fare come OdV.
Ringraziamo anche tutti voi che avete partecipato a questo convegno di oggi.
18