Convegno: “Organismo di Vigilanza, vertici e funzioni aziendali: dialettica e interazioni” – Milano, 20 maggio 2009 Tavola Rotonda Il complesso rapporto tra OdV e organi aziendali nell’ambito della governance d’impresa” Gianmaria Garegnani Apriamo la seconda parte del nostro convegno con questa tavola rotonda alla quale hanno accettato di partecipare come relatori la dott.ssa Carolyn Dittmeier (Direttore Controllo Interno/Internal Auditing Poste Italiane S.p.A. e Presidente Associazione Italiana Internal Auditors), il prof. Alessandro Bernasconi (Ordinario di diritto processuale penale, Università degli Studi Brescia), il prof. Alessio Lanzi (Ordinario di diritto penale, Università degli Studi Milano-Bicocca), il prof. Gaetano Presti (Ordinario di diritto commerciale, Università Cattolica del Sacro Cuore Milano). Li ringraziamo per la loro disponibilità a partecipare. Abbiamo voluto riunire esperienze e professionalità differenti, ai massimi livelli, enfatizzando il ruolo dell’internal auditing e della dottrina giuridica, sia da un punto di vista penale che commerciale. Lo scopo della tavola rotonda è di mettere in discussione gli argomenti trattati nella prima parte dei lavori di questo Convegno, commentando quanto esposto in tale sede e introducendo altri elementi che sappiamo essere problematici e interessanti. La prima area di interesse riguarda “compiti e composizione dell’OdV”, con particolare riferimento all’inquadramento dell’operato dell’OdV in un ambito di un sistema codificato, un framework di controllo interno; questa modalità di lettura della funzione dell’OdV è corretta o esistono delle controindicazioni? La persona più adatta a rispondere è sicuramente la dott.ssa Dittmeier, alla quale diamo la parola. Carolyn Dittmeier E’ certamente corretto. Bisogna fare una premessa. E’ stato precedentemente illustrato il framework di controllo interno, il cosiddetto COSO (di cui si parla ma che non tutti conoscono), alcuni l’hanno adottato, ma solo a livello di internal auditing o in modo limitato. Sarebbe un gran bene se vi fosse maggiore diffusione di questi framework. Enterprise risk framework è un ottimo modello, ad esempio, ma non deve rimanere concettuale o filosofico. I compiti dell’OdV nell’ambito di questo framework sono assolutamente riconoscibili, c’è una simmetria funzionale bellissima tra i punti cardine del modello organizzativo e gli otto componenti dell’enterprise risk framework. Mischio i miei ruoli di direttore di internal audit e presidente di AIIA, perché ci sono diversi modi di esprimersi su questo ambito, in ottica aziendale, ovvero in modo concettuale in base alla esigenze della professione in generale….. Il Modello è un modo 1 per comunicare gli obiettivi dell’azienda, è un modo di esprimere che occorrono principi etici ed il modello gestionale che vi ruota intorno. E questo fa parte del framework. Il sistema disciplinare dell’azienda e il sistema disciplinare inerente alla 231 sono perfettamente coerenti e fanno parte del framework. Il sistema di deleghe è fondamentale. Tutto il sistema di poteri e di attribuzione di responsabilità dell’azienda è parte dell’ambiente interno del framework ed è uno dei principi cardine del Modello organizzativo 231. Ancora bisogna sottolineare che non ci deve essere una mappatura dei rischi ai fini 231 separata dalla valutazione dei rischi dell’azienda. Molte aziende fanno una mappatura dei rischi ai fini 231 totalmente separata da analisi dai rischi aziendali, mentre dovrebbe essere congiunta o correlata. Le procedure aziendali di cui parlano le linee guida e il modello organizzativo sono le risposte a come mitigare il rischio e si riconducono al framework. Ma quante aziende hanno delle procedure ai fini 231 che invece devono essere procedure aziendali? I processi sensibili – secondo l’azienda ovviamente – ai fini 231 devono avere procedure che mitigano i rischi, cercando la simmetria funzionale tra il framework, il modello organizzativo e le attività di controllo. Chiaramente l’attività di auditing è uno dei meccanismi delle attività di controllo, anche nell’enterprise risk framework. Aprendo una parentesi, la pianificazione di questa attività di controllo da parte dell’internal auditing deve essere tutta focalizzata ai fini della 231 o soltanto in parte? Quanto? Deve essere un piano bilanciato, quindi bisogna trovare un’integrazione nel sistema complessivo. Rispondendo alla domanda se ci sono dei vantaggi o controindicazioni: la risposta viene da sé, c’è un’enormità di svantaggi se non si assume un approccio del tutto integrato. Faccio un altro esempio. L’implementazione del Modello organizzativo 231 è di fatto molto interdisciplinare e coinvolge tante funzioni aziendali. Nel caso di Poste Italiane, ad esempio, è stata costituita una "segreteria tecnica" – affari legali, affari societari, internal auditing, risorse umane, dirigente preposto – per favorire l’integrazione delle esigenze dell’OdV all’interno del sistema aziendale. Ricordiamo che l’OdV non deve solo vigilare, ma anche aggiornare il modello, quindi deve conoscere quello che succede in azienda, non deve essere un organo a parte. Ancora, ribadisco l’importanza che le procedure 231 siano integrate con le procedure generali dell’azienda; la definizione di responsabilità in Poste Italiane è “process owner”, che attribuisce responsabilità alle persone che hanno la prevalenza di responsabilità sui processi sensibili 231. Queste persone non sono organi di controllo, ma funzioni di business responsabili anche delle procedure aziendali che hanno attinenza alla 231. Ho già parlato di risk assessment, che deve essere incorporato nell’attività di risk management delle funzioni preposte. Ribadisco ora l’importanza di un piano di verifica equilibrato per la funzione di internal auditing. L’unica risposta è un approccio integrato: si tratta di individuare le problematiche di controllo nell’ambito dei processi per tutte le tematiche di compliance, di normativa e di business. 2 Gianmaria Garegnani La domanda che ci siamo posti trova pertanto una risposta univoca da parte della dott.ssa Dittmeier. I sistemi di controllo, il mondo della compliance e della 231 sono contigui, anzi hanno larghissime aree di sovrapposizione, non è possibile affrontare l’uno senza tener conto dell’altro. Questa integrazione c’è, è molto forte e deve essere perseguita. Pensare semplicemente di implementare un sistema compliance ai fini 231 prescindendo da radici di sistema di controllo interno è molto difficile e può arrivare a risultati non positivi. Ma alla luce anche di questa complessità e incardinamento del modello organizzativo della 231 nei sistemi di controllo interno aziendale, alla luce di questi compiti sicuramente ambiziosi e impegnativi che ha l’OdV, dobbiamo chiederci se le indicazioni che sono emerse dai lavori circa la sua composizione sono condivisibili. Sappiamo che il discorso della composizione dell’OdV è una delle questioni calde, ma a mio avviso è sempre stato visto in modo molto “asettico” senza rapportarlo con i suoi compiti; su questo vorremmo chiedere il parere del prof. Lanzi. Alessio Lanzi Molto volentieri. Saluto tutti i presenti, mi compiaccio con gli organizzatori, anche per il numero delle presenze a questo convegno. Mi accingo a rispondere volentieri al quesito che mi è stato proposto in questa tavola rotonda. Devo però fare una precisazione di partenza. Io sono un giurista, di civil law, di preparazione culturale e applicazione professionale strettamente penalistica. Dico questo perché è molto interessante il tema affrontato e come è stato affrontato, però io dal mio angolo visuale vi propongo una lettura delle risultanze dei tavoli di lavoro in linea con le necessità che ha un sistema giuridico continentale, finalizzato ad un ordinamento penale assistito da una previsione costituzionale molto rigida, di essere applicabile in relazione agli obiettivi che si propone. Un caposaldo deve essere puntualizzato subito: gli OdV in che modo si inseriscono in un sistema penale, quindi un sistema di precetti, sanzioni, illeciti, reati? Perchè di questo stiamo parlando. La realtà aziendale, l’organizzazione aziendale è qualcosa che viene dopo. Prima abbiamo l’ordinamento penale e nell’ambito di questo ordinamento penale si inserisce tutto il comparto aziendalistico indubbiamente trascinato dalla 231. In questo punto di riferimento prima di dare risposte concrete dobbiamo chiederci “c’è, e se c’è qual è una valenza penalistica dei comportamenti dell’OdV?” Sgombriamo subito il campo da quanto viene talvolta paventato. A mio giudizio, e sono assolutamente tranquillo in questo, l’OdV non deve impedire i reati presupposto della 231, non è nei compiti dell’OdV e quindi non è nei compiti dei suoi componenti, quello di impedire la commissione dei reati. Questo per un semplice motivo sistematico, e cioè che l’art. 6 della 231 fissa la composizione dell’OdV e ne delinea, con un grande silenzio, i compiti e le funzioni, ma al contempo individua un organismo che serve ad evitare che la società risponda delle sanzioni della 231, quindi non per impedire il reato, ma per impedire la responsabilità amministrativa della società di appartenenza. 3 E questo sul piano sistematico è confermato dal fatto che in ogni caso, anche se la società di cui fa parte l’OdV andrà esente da responsabilità sulla base del decreto legislativo 231, comunque sia, se è stato commesso uno dei reati presupposto, la società sarà responsabile, in quanto subirà quanto meno la confisca del profitto (e noi sappiamo che la confisca del profitto è un problema di grandissima drammaticità che, come giustamente ha scritto Garegnani nella sua pregevole monografia su questi temi, rischia di far collassare il sistema; se dopo le spese dell’OdV, di tutta l’organizzazione, anche con un modello di perfetta tenuta poi il profitto che viene confiscato è enormemente maggiore di quello che dovrebbe essere effettivamente il profitto da reato, allora non c’è più l’economicità di tenere in piedi tutto questo carrozzone). Il discorso è questo: comunque sia, la presenza dell’OdV fa in modo che la società non subisca le sanzioni – a parte la confisca – pecuniarie e tutte quelle interdittive a seguito della commissione di quei reati da parte delle persone fisiche. Detto questo, andando al cuore di quanto mi è stato rappresentato, direi che in termini meta-giuridici e, se vogliamo, molto pragmatici, ma con questi ci dobbiamo confrontare, praticamente l’OdV non deve servire ad evitare la commissione dei reati, appunto per questo motivo, anche perché se entrasse nel piano culturale giuridico il tema che l’OdV deve impedire la commissione dei reati, si aprirebbero degli scenari molto tetri per i componenti degli OdV, perché si applicherebbe loro l’art. 40, 2° comma del codice penale, che dice espressamente che non impedire un evento e quindi un reato che si ha l’obbligo giuridico di impedire equivale a cagionarlo. Se quindi passa questa tesi che OdV è uguale a garante della non commissione del reato, passa necessariamente il giorno dopo la tesi che OdV è uguale a responsabile di tutti quei reati che vengono compiuti nella gestione della società. E questo credo che vada eliminato come principio. Viceversa un principio pragmatico di riferimento può essere questo: l’OdV non deve servire per fare in modo che il reato non sia commesso, deve servire per scoraggiare gli apicali dalla commissione di reati e quindi fare in modo che si possa dire, con quell’inversione probatoria di cui anche è stato fatto riferimento, che la società, grazie al modello tutelato e controllato dall’OdV, ha fatto tutto quanto poteva per evitare che si verificasse quanto purtroppo si è verificato. Quindi la responsabilità della società non c’è in relazione alle sanzioni pecuniarie e interdittive, fatta salva la confisca. Con questa linea di riferimento capisco il diverso approccio culturale che può essere dato a questi temi, perché noi giuristi abbiamo una tematica di carattere dogmatico deduttivo, l’aziendalista si regola sul modello anglosassone e tende ad avere un approccio di carattere pragmatico, induttivo. Ma dobbiamo trovare un punto di riferimento, perché comunque il punto di riferimento è dato dalla legge che lapidariamente all’art. 6 - 1° comma lettera b) prevede che ci sia in capo all’OdV un autonomo potere di iniziative di controllo e allora su questa semplicissima terminologia dobbiamo costruire delle tematiche di controllo dei modelli, tali da potersi dire che l’OdV ha avuto la possibilità di esercitare un autonomo potere di iniziativa e di controllo. Tutto il resto a mio avviso ha valenza soprattutto esemplificativa, non a livello di codificazione di comportamenti, perché se fosse a livello di codificazione di comportamenti ci sarebbero dei rischi notevoli (più codifico e più do regole più è facile dire che la violazione di quella regola determina la responsabilità). 4 Quindi mi rendo conto che sia difficile trovare la sintesi fra questi concetti, però il nostro approccio, il mio approccio, e immagino anche quello dei colleghi, è quello di dire: questa è la norma e sulla base della norma noi ci dobbiamo misurare, e allora chiudo e vengo rapidamente a quanto mi è stato chiesto dal prof. Garegnani, rispetto a quello che abbiamo sentito in riferimento agli esiti del primo tavolo di lavoro. Cosa si può dire in punto di utilità per quanto concerne l’approccio alla 231. Io credo che siano senz’altro dei criteri validi, non da ritenere come dei dogmi assoluti, perché altrimenti la loro variazione anche minimale determinerebbe la responsabilità. Sono criteri base di indicazione programmatica in cui soprattutto io valuto l’approccio sull’efficacia del controllo, il controllo che è una delle richieste precettive dell’art. 6. Efficacia di controllo si espleta sulla prospettiva che componente dell’OdV sia anche personale interno della società, perché il personale esterno, ancorché bravissimi professionisti, giuristi o aziendalisti, non ha il polso della concretezza. Quindi se si prescinde da soggetti interni della società in un giusto mix con i soggetti esterni, se manca questa interconnessione tra soggetti interni ed esterni si perde il polso della realtà aziendale della concretezza e quindi dell’individuazione di quelle sacche di rischio sulle quali va esercitato il controllo. A questo proposito, soggetti interni significa soggetti interni che abbiano una cognizione di causa della situazione, quindi non l’amministratore indipendente; il sindaco è tutto un capitolo a parte e senz’altro sono d’accordo che sia una sovrapposizione di piani, una proliferazione di responsabilità quella di mettere il sindaco nell’OdV, perché significherebbe addirittura, nel caso di una responsabilità del collegio sindacale, rimbalzare automaticamente in qualche modo sulla responsabilità dell’OdV, quindi sono senz’altro contrario che un sindaco entri a far parte di un OdV. Sono favorevole che un interno o una serie di interni della società, a seconda delle regole statutarie, entri a far parte dell’OdV, ma deve essere un osservatore interno ad hoc attento privilegiato, rispetto alla sacca del problema e alla sacca di rischio, quindi non l’amministratore indipendente, non il dirigente di facciata che in realtà non è operativo. Penso che la tesi da privilegiare sia mettere nell’OdV il personale che fa l’auditing della società, che conosce da vicino i problemi effettivi dove si può annidare il rischio di commissione di reati, quindi di responsabilità della società. Gianmaria Garegnani Ringrazio il prof. Lanzi, penso che il suo intervento sia ricco di spunti di riflessione, quello più importante è forse il richiamo ai principi. Talvolta il tentativo di dare soluzioni pratiche porta a dare delle indicazioni che potrebbero essere valide in un caso ma non in un altro caso. Il tentativo di dare indicazioni che comunque siano applicabili non deve costituire un secondo livello di statuizioni che possano portare a delle responsabilità verso chi non si adegua o non si comporta in questo modo. Quindi, un forte richiamo ai principi e all’efficacia dei controlli. La composizione dell’OdV è ottimale se, in relazione a quella realtà, può svolgere in modo corretto il suo compito, quindi i controlli sul funzionamento del modello. Possiamo dare esemplificazioni, ma diffidiamo dal dare delle prescrizioni. 5 In questo caso per noi sarà una sfida, e raccolgo la provocazione del prof. Lanzi, perché nel momento in cui vogliamo pubblicare dei position paper, qualcosa dovremo dire, e quindi dovremo scontrarci da un lato con l’esigenza di non scrivere due righe rimandando semplicemente alla norma, dall’altro lato cercare di non correre il rischio di esemplificare in modo troppo forte condotte che poi possono portare a problematiche nel momento in cui sono vissute diversamente in altre realtà. Passo la parola al prof. Bernasconi, al quale chiedo di agganciarsi a quanto esposto magistralmente dal prof. Lanzi sui profili di responsabilità, per approfondire questo tema che sappiamo essergli particolarmente caro. Alessandro Bernasconi Grazie al prof. Lanzi che ha arato il terreno anche in funzione deflazionista rispetto al mio, per cui conto di riuscire a rispettare i famosi dieci minuti, che in effetti sono capestro per un argomento come questo. E’ già chiaro all’uditorio che non c’è, come si usa dire nel linguaggio della sicurezza sul lavoro in ambito penalistico, posizione di garanzia del membro dell’OdV. Non ha l’obbligo giuridico, ex art. 40, 2° comma codice penale, di impedire la commissione dei reati previsti nel catalogo del decreto legislativo 231/2001. Vado al punto. Il catalogo nasce nel 2001 ed è commisurato a fattispecie strettamente dolose; successivamente nell’ambito del cosiddetto cono d’ombra del rischio penale d’azienda irrompono i reati colposi (sicurezza sul lavoro, agosto 2007 e poi con una bozza di testo unico che sarà rivisto a breve, decreto legge n° 81 del 2008). In seconda battuta, di pochi mesi prima, con un singolare bisticcio del legislatore, un altro decreto legislativo 231 (però novembre 2007), che introduce il problema della prevenzione del rischio di riciclaggio in azienda, e da questo punto di vista le conclusioni non sono così tranquillizzanti rispetto a quelle di cui in premessa. Intanto, sicurezza sul lavoro, solo due battute: non cambia moltissimo perché in questa materia dopo l’aprile del 2008 non sono sorti nuovi garanti e quindi corrispondenti nuove posizioni di garanzia suscettibili di essere penalisticamente inquadrate da un punto di vista rischio reato. Intendo dire, siamo sempre alla triade: datore, dirigente, preposto. Da questo punto di vista l’OdV non entra nel prisma della responsabilità penale dell’organismo e dei suoi componenti. Nemmeno l’art. 30 del decreto legge n° 81 del 2000, che prevede in capo all’OdV una serie di funzioni di controllo, si discosta da questo classico, cioè di assenza di potere impeditivo dei reati, perché la classica vigilanza ispettiva sul funzionamento del modello organizzativo rimane tale anche nell’apparato che governa il nuovo sistema della prevenzione della sicurezza sul lavoro, quindi da questo punto di vista, nonostante il reato sia colposo, non cambia molto. Invece il problema potrebbe cambiare – ma questo ce lo dirà solo la giurisprudenza l’applicazione pratica, per quanto riguarda la prospettiva dell’antiriciclaggio. Andiamo ad un'altra norma, l’art. 52 (che chiamerò legge antiriciclaggio per non richiamare sempre 231. Parliamo comunque di 231 del 2007). Vi sono obblighi di informazione in capo all’OdV nei confronti di autorità esterne all’azienda che fanno dell’OdV – in senso lato – una sorta di collaboratore di giustizia. Cioè, vi sono una serie di obblighi 6 informativi e tutti sono cuciti da una sorta di filo rosso che è il concetto di operazioni sospette. Qui siamo in ambito della gestione del rischio. L’OdV deve fornire informazioni alle autorità di settore ai sensi dell’art. 7 della legge antiriciclaggio rispetto alla possibilità che siano in corso o che siano state compiute operazioni sospette. Deve fornire sempre comunicazioni all’esterno, questa volta al ministero dell’economia e della finanza, per quanto riguarda le infrazioni in materia di limitazione all’uso dei contanti e di titoli al portatore nonché del divieto di conti e libretti di risparmio anonimi e con intestazioni fittizie. Deve altresì informare la neonata unità di informazione finanziaria, che ha sostituito l’ufficio italiano cambi, di violazione degli obblighi di registrazione, in più ha un obbligo di riporto interno rispetto ad operazioni di natura sospetta nei confronti del titolare, dell’attività del titolare o del suo rappresentante legale o delegato. Questo è il quadro. Quindi l’art. 52 della legge antiriciclaggio ci dice che segnalazioni di violazioni di disposizioni che rimandano a un parametro, quello del sospetto, quello per intenderci indicato dall’art. 41 che cito testualmente “i soggetti devono inviare una segnalazione di operazione sospetta quando sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio”. Questa norma squaderna un po’ l’impianto della 231 per quanto riguarda l’inquadramento dell’OdV, da un triplice punto di vista. Intanto parifica, in ordine all’introduzione di specifiche posizione di garanzia, l’OdV ad altri organi di controllo: collegio sindacale, consiglio di sorveglianza, comitato per il controllo di gestione. Come anticipavo, attribuisce all’OdV un ruolo di collaboratore, in senso lato, con l’autorità pubblica. Deve segnalare fatti che in teoria potrebbero portare alla condanna dell’ente per il reato di riciclaggio. Quindi abbiamo un ruolo anomalo per quella che è la configurazione ex decreto legge 2001 in capo all’OdV, perché gli viene chiesto di collaborare con un’autorità esterna. Secondo profilo, e qui entriamo di più nel penale, viene introdotta indubbiamente un’ipotesi di partecipazione omissiva a condotte illecite altrui. Cioè quella del concorso nel delitto di riciclaggio ai sensi delle due classiche norme che si vedono contestate in ambito di penale societario, 2° comma dell’art. 40 (lo richiamava prima il prof. Lanzi) e l’art. 110 codice penale, che è il concorso di persona. Conseguente punibilità del soggetto componente dell’OdV che coscientemente venga a violare i propri doveri di controllo rendendo possibile la realizzazione dell’illecito da parte dell’organismo gestorio o di qualche sua componente a livello individuale. Terzo dato, l’art. 55 comma 5, sempre della legge antiriciclaggio, richiama l’art. 52 ed introduce una nuova fattispecie penale, questa volta a carico del componente dell’OdV. Queste omesse comunicazioni che ho elencato nei confronti delle autorità esterne o del gestore o del suo rappresentante legale, sono punite con la reclusione fino a un anno e con una multa abbastanza modesta. Il problema è questo: vi è una responsabilità di tipo omissivo che si affaccia davvero in termini inediti per i componenti degli OdV. Ora, noi penalisti ci muoviamo secondo un prisma ben noto e codificato che è quello del fatto e quindi, l’omissione cosciente di comunicazioni che la legge richiede va inquadrata nella prospettiva di quella che noi chiamiamo il dolo, cioè coscienza e volontà, rappresentazione del fatto, di quello che il rischio potrebbe portare. Indubbiamente, qui è punito a titolo di dolo generico, è un reato 7 istantaneo, cioè che si consuma con il compimento dell’operazione, intendo quella del riciclaggio e di omissione nel prevenire il reato. Ciò premesso, il punto è questo: il concorso tra condotte attive – quelle degli organi gestori nella fattispecie – e condotte invece omissive dei componenti degli organi di controllo, tra i quali, appunto, l’OdV. Qui bisogna capirci, e ci sono alcune osservazioni da fare da un punto di vista strettamente penalistico. Il concorso per omissione del componente dell’OdV o componente dell’organismo di vigilanza va attentamente calibrato con riguardo al momento consumativo del reato di riciclaggio, che generalmente precede la consumazione del reato che è istantaneo, precede il momento in cui avviene il rilievo e il controllo dell’organismo di vigilanza.. Per la responsabilità penale del componente dell’OdV occorre provare il dolo del concorso, cioè questa famosa coscienza e volontà. Quindi non solo l’effettiva cooperazione con l’autore del delitto, ex art. 648 bis codice penale, ma altresì questa coscienza e volontà di cooperare in tale azione, sempre dal “nostro” punto di vista, di OdV, omissivo. In altre parole, il mancato impedimento del reato è addebitabile solo in quanto il soggetto fosse consapevole della situazione e ciò nonostante nulla abbia fatto per impedirla. Allora a questo punto bisogna fare un altro passo e risalire alla rappresentazione del fatto tipico da parte del membro dell’OdV. Questa consapevolezza può essere desunta da segnali particolari in relazione al riciclaggio nonché dall’accertamento del grado di anormalità di questi segnali. La prova della rappresentazione dell’evento reato, del dolo di omissione in concorso con l’organo gestorio, richiede di tornare ancora una volta al punto di partenza di quanto vi ho detto, cioè che siamo di fronte a fattispecie di sospetto per quanto riguarda la segnalazione, l’obbligo di segnalazione di operazioni sospette, il sospetto che si stia per compiere un’attività di riciclaggio. Quindi vanno apprezzati quegli indici di allarme che i nostri maestri della dottrina penale commercialistica - da Alberto Crespi a Cesare Pedrazzi – individuavano e che nella fattispecie del reato di riciclaggio, però, affondano in una palude senza confini, quella delle operazioni di sospetto delineate dall’art. 41 della legge antiriciclaggio. Quindi, per affermare la responsabilità penale dell’OdV, questi indici dovranno essere stati effettivamente e anche adeguatamente percepiti nella loro attitudine rappresentativa. Ma qui, di fronte a operazioni il cui comune denominatore è l’indice di sospetto, veramente ci troviamo in difficoltà, la giurisprudenza da questo punto di vista insegnerà alcune cose, spero non nel solco di quelle affermazioni sul dolo eventuale che hanno fatto scuola, negativamente, a livello di rito ambrosiano (risalgo ancora al 1986 alle sentenze del Banco Ambrosiano per quanto riguardava il dolo eventuale o, per meglio dire, l’eventualità del dolo dei componenti del collegio sindacale, perché in questo caso potremmo dire: i galantuomini se ne vadano dall’OdV e lasciamo spazio a chicaneur, scorridori, banditi di vario tipo, i galantuomini ne stiano fuori, se questo è l’orientamento che andrà formandosi, però al momento non si può dire nulla). Concludendo, che riflessi ha tutto quanto detto sulla strutturazione del modello? Intanto non sulla strutturazione del modello, ma dei protocolli, che sappiamo essere il cuore del modello. Da questo punto di vista l’OdV per ben funzionare deve essere più che mai destinatario di quei flussi informativi obbligatori ai sensi dell’art. 6, 2° comma, lettera d) 8 del decreto legislativo 231/2001 dove si parla, appunto, di informazioni da fornire obbligatoriamente. Sempre nel sistema dei protocolli, tali flussi informativi devono 8 essere interdipendenti, cioè tributari a loro volta delle informazioni che vengono dal sistema GIANOS (Generatore Indici Anomalie Operazioni Sospette). Quindi verso l’OdV deve funzionare il sistema di rilevazione di criticità di GIANOS e questo è un punto da verificare ed approfondire. Ultimo dato e chiudo, questi due punti, cioè i flussi informativi verso l’OdV e il fatto che GIANOS debba essere strutturato nei suoi canali di comunicazione informativi anche nei confronti dell’OdV e che questi adempimenti devono essere recepiti nel sistema disciplinare, cioè nel sistema delle infrazioni per il quale il mancato rispetto delle misure indicate nei protocolli del modello organizzativo che dicono: a) flussi informativi verso l’OdV per la prevenzione del riciclaggio; b) questi flussi informativi devono essere soprattutto quelli generati dagli indici che il sistema informatico GIANOS ha implementato, questi due flussi devono essere previsti come obbligatori a pena di infrazione disciplinare e quindi di sanzione. Gianmaria Garegnani Ringraziamo il prof. Bernasconi. Mi sono appuntato un paio di cose. Ho colto alcune visioni molto preoccupate, forse anche apocalittiche del prof. Bernasconi su determinati scenari. Parlo non da penalista, e quindi mi sia consentito di andare un po’ a ruota libera. Forse la sentenza Sandrelli, che riguarda gli amministratori indipendenti e quindi tutt’altra fattispecie, potrebbe avere generato qualche buona riflessione, in termini di dolo eventuale (comunque degli esponenti aziendali), su cui la giurisprudenza, anche in relazione ad altre fattispecie, forse potrà diversamente pronunciarsi, quindi speriamo tutti di non dover rivedere più certe situazioni come quelle che si sono viste in passato, questo per quanto riguarda i profili di responsabilità; comunque sappiamo che l’antiriciclaggio ha veramente sparigliato le carte sul discorso della responsabilità penale, è inutile nasconderlo. L’altro aspetto, proprio nelle ultime parole del prof. Bernasconi mi ha fatto meditare, è come insieme al discorso della responsabilità siano emersi strutturazione del modello, flussi informativi, sistema sanzionatorio. Quest’ultima parte dell’intervento del prof. Bernasconi ci fa vedere come ci sia una inscindibilità di tutte le componenti del modello stesso. Non si possono affrontare le tematiche della 231, le tematiche che ci investono come componenti di OdV senza avere una visione complessiva. Passo la parola al prof. Presti, al quale ci rivolgiamo come civilista, quindi per i profili di responsabilità civile. L’argomento che avevamo suggerito per il suo approfondimento, passando al discorso delle interazioni con gli organi sociali, è come leggere il posizionamento organizzativo dell’OdV e i rapporti con gli altri organi sociali, soprattutto in relazione ad alcuni aspetti particolari, quali l’autonomia e i doveri di reporting verso gli organi sociali, l’indipendenza anche alla luce di determinati meccanismi di nomina e revoca. In effetti sembrano aspetti della stessa medaglia e quindi, come giustamente suggeriva il prof. Presti, questi due gruppi di argomenti possono essere esaminati congiuntamente. 9 Gaetano Presti Essendo l’ultimo a intervenire nel primo giro di tavolo, con il consenso del moderatore cumulerò i due turni di intervento che mi spettano, con ciò realizzando una sinergia temporale. Quando nel 1961 John Kennedy andò a Berlino ovest, strangolata dal muro, si accattivò la simpatia dei locali cominciando il suo discorso con la famosa frase “sono anch’io un berlinese”. Analogamente io potrei cominciare dicendo “sono anch’io un giurista di civil law”, come affermava il professor Lanzi all’inizio del suo bell’intervento, perché credo che, pur senza esserci coordinati, ci muoviamo su una lunghezza d’onda molto simile. Sono stato presentato come civilista, e normalmente si pensa che i civilisti siano più raffinati dei penalisti; invece sarò molto più grossolano, sia del professor Lanzi, sia del professor Bernasconi. Del resto, più che un civilista in senso stretto sono un cultore del diritto commerciale e un paio di settimane fa il professor Crespi, presiedendo un convegno per il centenario della nascita di Arturo Dalmartello, ha ricordato un vecchissimo detto che parla di “diritto civile, fatto penale, romanzo commerciale”: il civile è diritto, il penale è fatto, il commerciale non è neanche fatto, ma romanzo, fiction, per cui è giusto che il mio intervento sia tecnicamente meno raffinato rispetto a quello che ha appena esposto il professor Lanzi. Il 31 marzo scorso, ho partecipato a un convegno organizzato da Assonime sui controlli societari. Il titolo di quel convegno era “Molte regole, nessun sistema”. Noi ci muoviamo esattamente in questo ambito, di tantissime regole in materia di controlli societari e d’impresa che però non riescono a raggiungere il livello di sistema, ma restano scoordinate fra loro, con il rischio di molte duplicazioni e di altrettante zone sguarnite. Spesso, di fronte a una situazione del genere, si solleva il problema che di certe cose non si occupa, o non si vuole occupare, nessuno. In realtà, in una situazione del genere, in cui vi è sovrabbondanza di soggetti controllori ma non c’è un sistema coordinato, vi è anche il rischio della tentazione di occupare aree non proprie. E, siccome io sono sollecitato primariamente sul tema della responsabilità civile dell’OdV, devo dire, senza troppi complimenti, pur essendo qui come ospite, che sono rimasto alquanto preoccupato da alcune perentorie affermazioni che ho sentito nella prima parte di questo pomeriggio, cogliendo quasi un’aspirazione dei componenti degli OdV ad avere un ruolo molto forte nell’organizzazione dell’impresa e della società. Ora, stiamo attenti che una tale rivendicazione di competenza inevitabilmente si riflette in tema di responsabilità. Maggiori sono i compiti, più si vuole contare, più si vuole essere rilevanti all’interno dell’organizzazione, maggiori sono le responsabilità e possono esservi responsabilità civili, anche molto rilevanti. Mi vengono in mente, a questo proposito, le famose parole di un giudice americano, più o meno di un secolo fa, in una delle sentenze più importanti in tema di responsabilità della società di revisione nei confronti dei terzi investitori. Citando a braccio, il giudice Cardozo diceva: “Bisogna stare molto attenti perché occorre evitare che ci sia una responsabilità indeterminata, per un importo indeterminato, nei confronti di soggetti indeterminati”. Qui dobbiamo fare la stessa cosa, prima dobbiamo capire bene qual è il compito dell’OdV; poi, sulla base di questo, ritagliare la sua fetta di responsabilità. Il compito è tutt’altro che facile. Tra quanto ho letto per preparare questo intervento mi viene in mente che un autorevole penalista (Giunta) definisce l’OdV uno dei profili più oscuri della nuova normativa ,e siccome anche il resto è tutt’altro che chiaro, siamo di 10 fronte a un vertice di incertezza: l’OdV, nominato quasi solo di sfuggita nella legge, pone tantissimi problemi. Voglio allora limitarmi a svolgere due osservazioni basiche che, secondo me, conducono poi alla medesima conclusione. La prima osservazione è che i modelli di organizzazione e gestione, di cui gli OdV sono una parte, non sono legati a una specifica forma giuridica e neanche a una specifica tipologia di attività. Noi parliamo sempre di società, ma non si tratta solo di società, e neppure solo di persone giuridiche nonostante il titolo della legge, perché quest’ultima si applica a qualsiasi soggetto diverso dalla persona fisica, che sia personificato o no, anche associazioni non riconosciute. E non è un caso di scuola, perché un’associazione non riconosciuta che in ipotesi non svolga neanche attività di impresa, ma riceva fondi pubblici, ha certamente un’attività molto rilevante ai fini della 231. Non solo: la 231 è neutra anche rispetto al tipo di attività svolta, riguardando qualsiasi tipo di attività che possa implicare il compimento di un reato-presupposto (elenco, come noto, improvvidamente in continuo aumento). L’OdV e il modello organizzativo riguardano, quindi, l’organizzazione dell’attività, di qualunque tipo essa sia, e non quella del soggetto. E se siamo fuori dalla disciplina del soggetto giuridico, allora l’OdV non è un organo societario, anche quando il titolare di quell’attività sia una società. Ci si può chiedere allora, visto che la disciplina attiene all’attività, quale sia la qualificazione dell’OdV qualora l’agire sia, come normalmente ma non necessariamente accade, di natura imprenditoriale. E’ un organo oppure un ufficio dell’impresa? Mi pare una discussione abbastanza oziosa e, benché noi commercialisti siamo romanzieri, non mi sembra un tema interessante. Probabilmente è un ufficio dell’impresa, però credo che i riflessi di tale questione non siano poi così rilevanti. Quello che è certo è che l’OdV non è un organo societario. E, se non lo è, non si applicano, non si possono applicare neanche per analogia, le norme sulle responsabilità degli organi societari: né quelle sostanziali né quelle procedurali. La seconda osservazione si basa sulla constatazione che l’OdV, come il modello di organizzazione e gestione di cui l’organo fa parte, ha comunque una base volontaria, è un atto di autonomia organizzativa dell’ente, autonomia organizzativa “spintanea”, se vogliamo, ma comunque atto di autonomia organizzativa: la nomina dell’OdV e la determinazione dei suoi compiti rientrano nell’ambito dell’autonomia contrattuale. Possiamo discutere se rientri nell’ambito del diligente adempimento del dovere organizzativo degli amministratori predisporre un modello di organizzazione e controllo e nell’ambito di esso prevedere un organo di vigilanza. Presumibilmente oggi la risposta è sì: nel loro dovere organizzativo rientra la predisposizione del modello. Resta il fatto che il modello è volontario, non è predisposto dalla legge, non è automatico, alla sua base c’è un atto organizzativo della società, e per essa dell’organo amministrativo (soggetti apicali se vogliamo usare la terminologia usata nella legge). Il rapporto tra la società e i componenti dell’OdV, è pertanto di natura schiettamente contrattuale. L’organo di vigilanza, salvo quello che è appena stato detto da un punto di vista penalistico sulla legge antiriciclaggio, non ha poteri e doveri derivanti dalla legge, ma solo le funzioni, i poteri e i doveri che sono stabiliti contrattualmente; di solito per relationem al modello di organizzazione e gestione. Lì è stabilito cosa deve fare l’OdV, 11 quali sono i suoi poteri, qual è il suo strumentario, quali sono i flussi di informazioni che deve ricevere, quali quelli che deve inviare. Se alla base c’è un atto di autonomia organizzativa, al massimo si potrà dire che un OdV privo di certi poteri impedisce di qualificare quel modello di organizzazione come idoneo a prevenire i reati. Ma se nel modello di organizzazione l’OdV certi poteri non li ha, non li può esercitare,. E se non li può esercitare i suoi componenti non potranno essere ritenuti responsabili per il loro mancato esercizio, perché - per giungere alla conclusione del discorso – la responsabilità dell’OdV, o meglio dei componenti dell’OdV, è una responsabilità di natura contrattuale esclusivamente nei confronti della società. Sostanzialmente si tratta di una responsabilità per l’ipotesi in cui la società non possa fruire dell’esimente nell’ipotesi in cui tutte le altre condizioni ci sarebbero, ma manca proprio l’efficiente vigilanza sul funzionamento e l’osservanza del modello organizzativo e sul suo aggiornamento da parte dell’OdV stesso. Certo, occorre poi vedere cosa vuol dire in concreto vigilare sull’osservanza e il funzionamento del modello e curarne l’aggiornamento, ma è un’altra storia di cui oggi non ci possiamo occupare. Non c’è, dunque, responsabilità nei confronti dei creditori, né nei confronti dei terzi. E’ una responsabilità di natura schiettamente contrattuale nei confronti della società, sulla base del contratto e quindi in relazione ai compiti, alle obbligazioni che il componente in sede di nomina ha assunto. Aggiungo che i componenti possono essere diversificati quanto a rapporti con l’ente. Si sta affermando la composizione pluripersonale e variegata di questi organismi: un soggetto appartenente al sistema di controllo aziendale, spesso il responsabile dell’internal audit, un amministratore indipendente o, in alternativa, un sindaco, un esperto esterno. Credo che dal punto di vista della responsabilità, ciascuno di questi soggetti sia sottoposto a una disciplina specifica: l’amministratore indipendente che fa parte dell’OdV risponde in quanto amministratore perché è nell’OdV in quanto amministratore indipendente e si porta dietro in quest’organo i suoi doveri e le sue funzioni di amministratore; lo stesso avviene per il responsabile dell’internal audit. Una posizione diversa sarà quella dell’eventuale esperto esterno, che non ha altri legami con la società se non quello derivante dalla sua accettazione dell’incarico, un incarico professionale dove sono previsti determinati obblighi nei confronti della società e determinati strumenti per adempiere a questi obblighi, sulla cui sola base potrà esserci una sua responsabilità. Il modello organizzativo concreto, quello sulla cui base bisogna giudicare della responsabilità, potrebbe andare anche oltre il minimo richiesto dalla legge per godere dell’esimente. Maggiori sono le funzioni, maggiore potrà essere il compenso ma maggiore potrà essere anche la responsabilità. Poniamo quindi estrema attenzione ai modelli di organizzazione e gestione, perché quella è la fonte degli obblighi e delle responsabilità dei membri degli OdV. Gianmaria Garegnani Grazie prof. Presti. Ho cercato di appuntarmi alcune cose, ma ad un certo punto ho smesso perché gli spunti erano davvero molti e non possiamo che ringraziarla per la sua esauriente relazione. Vorrei semplicemente fare un piccolo parallelo con un messaggio 12 che ho trovato molto vicino fra quello che ha detto il prof. Presti e quanto detto dal prof. Lanzi, che in realtà è un monito a noi di stare attenti con i position paper, perché con più cerchiamo di aiutare i colleghi mostrando loro delle strade, con più codifichiamo, anche inconsciamente, delle situazioni e questo comporta certamente dei rischi. Il prof. Lanzi ce ne ha fatti vedere alcuni, il prof. Presti ne ha identificati altri. Questo non solo in relazione al nostro position paper, che speriamo che avrà una sua rilevanza, ma praticamente anche all’interno dei singoli modelli organizzativi. In effetti anche da parte di chi fa modelli organizzativi, è nato il desiderio di fare dei modelli sempre più ipertrofici, nella convinzione che con più il modello è ampio, con più è apprezzato, con tante discipline e tante fattispecie. Però questo si espone alle problematiche che ci hanno evidenziato i nostri relatori. Forse è davvero il caso di tornare ai concetti forti, a quelli che sono i pochi messaggi che ci comunica la norma ed evitare di entrare troppo in esemplificazioni che noi pensiamo siano tali, ma che poi potrebbero diventare delle codificazioni del nostro impegno e del nostro committment nei confronti della società. Sempre parlando di interazione con gli organi sociali, vorrei coinvolgere la dott.ssa Dittmeier. Quando ci troviamo come OdV ad interagire con la società abbiamo sempre questa figura forte dell’internal audit che si trova ad essere lo snodo in una rete veramente complessa di rapporti con gli organi sociali. Praticamente risponde un po’ a tutti: al collegio sindacale, al comitato di controllo interno, all’OdV e quindi vorremmo chiederle: lei che vede l’OdV e tutti gli altri suoi interlocutori, come vede dal suo osservatorio l’interazione fra l’OdV e gli organi sociali? E’ un’interazione positiva, c’è qualcosa che si completa oppure siamo in una situazione di eccesso di controlli di cui abbiamo parlato durante il convegno, che invece risulta essere in un certo senso negativa, se non addirittura distruttiva verso una positiva rete dei controlli aziendali? Carolyn Dittmeier Il prof. Garegnani tocca un argomento al quale sono anche appassionata, perché sono diversi mesi che stiamo trattando l’argomento della complessità della governance, degli organi dei controlli, delle interrelazioni. Mi sono ritrovata con il contenuto delle presentazioni. In questi mesi, se non anni, abbiamo vissuto questa proliferazione di attori di controllo (se rimaniamo solo a livello di organi societari di controllo ce ne sono già diversi). Quindi il problema è molto sentito da parte dell’internal audit, che lo vive in prima persona, perché fornisce l’assurance ai vari organi di controllo per le rispettive competenze. La risposta se funzionano i rapporti tra gli organi di controllo e l’OdV è che dipende molto dalle persone e questo di per sé non va bene, perché se cambiano le persone cambia tutto il sistema. Abbiamo cercato di trattare l’argomento come Associazione Italiana Internal Auditors attraverso un corporate governance paper, che è attualmente in exposure draft, che si intitola “Approccio integrato al sistema di controllo interno” con un focus sugli organi e le funzioni preposte al controllo interno aziendale e loro relazioni. E qui trattiamo proprio l’argomento del rapporto tra l’OdV e gli altri organi. L’intento è di ricondurre ciascun attore all’interno di un disegno organico unitario, perché è molto sentita l’esigenza di modello di armonizzazione tra organi di governo, di assurance, di vigilanza, di controllo (il consiglio di amministrazione, l’amministratore delegato, il comitato per il controllo interno). Questo io lo percepisco in un ruolo di governance aziendale, non do una lettura legale, ma una lettura aziendale. 13 Il collegio sindacale, o altri organi a seconda del sistema prescelto dall’azienda, ha un vero e proprio ruolo di assurance, come pure l’OdV. Ciascuno con le proprie competenze, in alcuni momenti anche con qualche sovrapposizione. Nel caso del settore pubblico si aggiunge anche il magistrato della corte dei conti, quindi in questo caso un ruolo di vigilanza del tutto indipendente. Nel paper che abbiamo sviluppato con molto dialogo con l’esterno, abbiamo puntualizzato tre tipologie di interrelazione, che gli organi possono avere. Primo, i flussi informativi, non tanto verso l’OdV, ma i flussi formali tra gli organi. Poi c’è la comunicazione conoscitiva partecipativa che si traduce nel dialogare ed incontrarsi, ed è una componente molto importante che si deve aggiungere alla comunicazione formale. Poi ci sono anche delle interrelazioni di tipo direttivo. Le principali interrelazioni che riguardano l’OdV sono trattate in questo paper, che ha lo scopo di riuscire a staccarsi dal ruolo della singola persona per creare delle linee guida strutturate. Il collegio sindacale e il comitato per il controllo interno dovrebbero fornire all’OdV informativa su fatti di interesse di quest’ultimo. L’OdV dovrebbe comunicare trimestralmente o semestralmente al comitato per il controllo interno, al collegio sindacale informazione che riguarda l'effettivo funzionamento del modello e l’evoluzione delle verifiche che vengono svolte. Dovrebbe riferire almeno annualmente sulle aree di rischio e sul mutamento dello scenario dei rischi come pure altri fatti rilevanti. Quando si tratta di incontri, quindi di comunicazione conoscitiva partecipativa, ritengo che un componente del comitato per il controllo interno, come pure del collegio sindacale e dell’OdV, dovrebbe partecipare come uditore su invito agli incontri degli altri organi, se non sistematicamente almeno periodicamente. L’internal audit si trova ad essere un focal point in quanto preposto ad una funzione di assurance interna a questi vari organi. Ha questo ruolo per cui deve trovare il modo di comunicare a tutti in modo corretto l’andamento del sistema di controllo interno. Quindi funge anche da facilitatore per la buona comunicazione tra i vari organi e le altre funzioni aziendali. Se l’internal auditing è fatto bene, tratta argomenti interfunzionali, trova problematiche interfunzionali e ha una visione a 360° e riesce ad individuare i gap di comunicazione tra le funzioni e gli organi, con l’obiettivo di promuovere l’ottimizzazione dei rapporti, attraverso la presentazione di un piano annuale al comitato di controllo interno, al collegio sindacale, all’OdV. L’internal auditing viene informato delle attività svolte da questi organi, in virtù del lavoro che svolge, talvolta anche come segreteria tecnica, questo per dire che questo ruolo di focal point è sempre più importante e anche delicato. Vale la pena di ricordare che comunque il buon senso di promuovere le informazioni tra gli organi è soprattutto in seno alle persone che sono negli organi di controllo stessi e non solo l’internal auditing, o comunque si deve collaborare insieme. Gianmaria Garegnani Grazie mille, e passiamo al terzo gruppo di argomenti da trattare, relativo ai flussi di comunicazioni. 14 Un primo punto sul quale volevo sentire l’opinione della dott.ssa Dittmeier è sui flussi di segnalazione, che è un tema di cui si parla molto, cioè del modo in cui dall’azienda dovrebbero arrivare all’OdV dei segnali circa la possibile commissione dei reati. Si parla molto anche del modo in cui queste informazioni devono essere elaborate e veicolate. Le informazioni possono arrivare in tanti modi all’azienda, bisogna vedere in che modo vengono ricondotte al soggetto che deve effettivamente prendere le decisioni opportune per correggere o prevenire il rischio che sta sorgendo. Carolyn Dittmeier Mi limito ai flussi nei confronti dell’OdV, di assoluta rilevanza. I flussi sono estremamente diversificati tra di loro per la diversa urgenza (annuale o periodico contro immediato). Sono ben diversi come tipologia. Poi, c’è la diversità delle aree di rischio. Infine, l’OdV non è una funzione full-time, ha limiti di tempo e limiti di risorse. Si deve quindi applicare un approccio molto pragmatico. Come dicevano i relatori nella prima parte, se l’informazione non è rilevante e non arriva alla persona giusta è inutile; l’OdV soffre in tal caso di un’eccessiva informativa con dispersione di energie, perché una volta ricevuta l’informazione, la stessa deve essere trattata. Quindi anche in questo caso l’internal auditing può fungere da focal point per filtrare o interpretare o per verificare il flusso stesso. Ciascun area di reato richiede un flusso verso l’OdV per spiegare gli andamenti o eventuali anomalie nel funzionamento del modello. I flussi informativi sistematici e i flussi di segnalazione per me vengono trattati separatamente, però entrambi vengono ricondotti in linee guida; servono delle linee guida puntuali su “chi fa che cosa”. In Poste Italiane abbiamo attribuito nuovamente al process owner l’obbligo della produzione di un flusso informativo ragionevole, che tenga conto anche della necessità di non creare oneri burocratici. Invece i flussi di segnalazione provengono da qualsiasi fonte tramite le consuete linee dedicate, telefonica e di e-mail, continuamente oggetto di esame preliminare da parte di internal auditing, su delega dell’OdV. Gianmaria Garegnani Grazie, ha colto proprio i punti più importanti, tra cui l’importanza che anche in relazione ai flussi delle segnalazioni ci sia una linea guida aziendale, su come queste informazioni devono essere veicolate, su come devono essere raccolte per essere poi portate ai soggetti a cui devono effettivamente arrivare perché possano prendere le decisioni più opportune. Il prof. Lanzi desiderava aggiungere qualcosa. 15 Alessio Lanzi Mi ha molto interessato quello che ha detto il collega Bernasconi, e volevo sottolineare che volutamente non ho parlato del riciclaggio, perché da quello che mi è sembrato di capire è rimasto fuori dai lavori dei tavoli che sono stati costituiti. Ma in effetti il riciclaggio è il punto nevralgico, perché, sia per come è stata costruita la normativa, sia per la facile prospettiva e previsione di interpretazione che ne potrà essere data, la tematica del riciclaggio diventa un momento rilevante nell’ambito delle composizioni, dei compiti e delle responsabilità penali dell’OdV. Giustamente il prof. Bernasconi osservava che, oltre al reato proprio omissivo, la mancata segnalazione voluta dall’art. 52 determina di per se stessa un delitto seppur punito non troppo gravemente. Oltre a questo c’è il rischio che qualora si possa dimostrare che la mancata segnalazione ha determinato la commissione del reato, il cui indice d’allarme non è stato comunicato si potrà anche rispondere per il reato medesimo. Il collega faceva giustamente riferimento alla tematica soggettiva della colpevolezza, cioè l’indice d’allarme. Però se non ci sono gli indici di allarme del riciclaggio, non ci potrà mai essere il concorso nel riciclaggio successivo. Questo è un baluardo. Qui siamo in una sede in cui gli astanti, gli interessati sono bene o male coinvolti nelle prospettive delle tematiche dell’OdV; se non ci diamo e non vi date dei precisi puntelli interpretativi e applicativi, c’è il rischio che dalla normativa del riciclaggio entrino a catena delle situazioni assolutamente ingiuste. Il problema è un problema culturale di fondo. Perché lo Stato che non riesce ad evitare determinati fenomeni criminali, deve sempre caricare sul privato ogni attività di prevenzione se non riesce a gestirle? Questa è un’esasperazione della teoria del garante, ossia uno Stato incapace di reprimere i fenomeni criminali fa tanti garanti per scaricare la responsabilità su di essi. Al di là del modello culturale, bisogna effettivamente fare grande attenzione; giustamente il prof. Garegnani ricordava la sentenza Sandrelli per quanto concerne la colpevolezza degli amministratori indipendenti; voglio aggiungere la sentenza Sandrelli 2, forse meno conosciuta, sulle tematiche della controfattualità. In ogni caso non scatta mai l’equivalenza causale fra cagionare e non impedire quando all’atto concreto si può dire che se anche avessi tenuto un certo comportamento, se anche avessi comunicato, il reato si sarebbe egualmente verificato. Verifica controfattuale che fino a poco tempo fa è stata sistematicamente disattesa, speriamo che non lo sia più in futuro, perlomeno da tutte le giurisdizioni di merito. Telegraficamente faccio riferimento alle tematiche dei flussi. Anche in relazione ad essi, vale ancora una volta tutto quanto abbiamo detto. I flussi sono fondamentali, ma il rischio di eccessiva catalogazione e codificazione presenta quegli aspetti di rischio problematici che il prof. Garegnani ha ben colto e che vi ha ripetutamente riprodotto. Il tema normativo di riferimento è quello della lettera d) dell’art. 6 che prevede come vi debba essere una vigilanza che sia esistente e sufficiente. Quindi il problema è di valutare in che termini vi possa essere una sufficienza della vigilanza e in che termini il flusso deve consentire l’espletamento di una sufficiente vigilanza. Da quello che c’eravamo detti il problema è anche di vedere se le attestazioni di chiusura, se le formule tranquillanti che il consiglio di amministrazione dà nei confronti di situazioni contingenti o di situazioni di carattere generale all’OdV, possono determinare l’esistenza di un flusso che consenta di dire che c’è stata una vigilanza sufficiente. Il problema è importante, perché se è vero che così facendo si tende a 16 responsabilizzare la funzione che dà questa attestazione di tranquillità, però è anche vero che viceversa la sufficiente vigilanza è compito dell’OdV, non è della funzione. Quindi in caso di situazioni contingenti, l’OdV dopo aver svolto le sue attività, e si possa dire che la vigilanza sia stata sufficiente, non si può acquietare di fronte ad un’affermazione del soggetto da controllare, che dice di non controllarlo perché va tutto bene, perché in questo caso si trasferirebbe la funzione di sufficiente vigilanza (e questa è codificata) in capo al soggetto che deve essere vigilato. Questo non è possibile, anche perché la prospettiva della sufficiente vigilanza ha come limite di tenuta quello dell’elusione fraudolenta. Una vigilanza anche sufficiente, ancorché si realizzi il reato, richiede che il reato sia stato realizzato perché l’apicale ha fraudolentemente eluso i criteri del modello. Fra la vigilanza sufficiente e addirittura il suo limite, che è appunto l’elusione fraudolenta, c’è tanto. Non si può dire che abbia fraudolentemente eluso soltanto per aver tranquillizzato l’OdV. Al limite ha eluso, quindi non ci sarebbe la tenuta del modello e non ci sarebbe un’attività da parte dell’OdV, esimente delle responsabilità e quindi per le sanzioni della società. Gianmaria Garegnani Grazie prof. Lanzi. Un’ultima pennellata da parte del prof. Bernasconi su un tema che ci sta particolarmente a cuore. Il discorso del whistleblowing, che è fondamentale, focale nella disciplina statunitense ed è stato oggetto di dibattito, forse da noi un po’ meno. Qualche idea sul discorso dell’anonimato, ad esempio nel whistleblowing, la sua tenuta anche in sedi processuali, quindi l’efficacia dell’istituto in generale. Alessandro Bernasconi Qui inevitabilmente ci si interseca con un problema di natura processuale che è quello del regime del rappresentante legale dell’ente sotto processo. Intanto dobbiamo fare una distinzione: da un punto di vista della segnalazione di un fatto reato o di un comportamento che potrebbe essere prodromico a un fatto reato di cui al decreto legislativo 231/2001, quindi 24, 24 bis, 25 fino a octies, la segnalazione di un dipendente all’OdV dovrebbe avvenire attraverso canali di comunicazione che ne garantiscano l’anonimato, e questa è una prescrizione finalizzata a garantire il dipendente da rappresaglie relative al suo mansionamento, alla sua collocazione in azienda. Quindi che funzioni attraverso un sistema di blackmail, che funzioni attraverso linee dedicate di report e segnalazione nei confronti dell’OdV. Se ci spostiamo sul terreno processuale (vale a dire: il soggetto segnala, è un fatto di reato e il reato viene compiuto), colui che ha segnalato il reato, è dal punto di vista processuale, se si arriva al processo, un testimone. In fase di indagine sarà una persona informata sui fatti, nulla più. Il problema diventa un altro. Il problema diventa questo unico fatto di corruzione che dal 2001 diventa a doppia testa dal punto di vista della responsabilità penale, non solo l’autore persona fisica ma anche l’autore persona giuridica, al quale deve essere riportato dal punto di vista dell’onere della prova del pubblico ministero dimostrando che: a) c’è stato il fatto, b) che questo reato si è ripercosso in termini di interesse o vantaggio sulla persona giuridica. Detto questo, dobbiamo fare i conti con una norma assolutamente 17 strategica nel decreto 231/2001, strategica dal punto di vista del pubblico ministero, che è l’art. 8, il quale dice che c’è l’autonomia della responsabilità dell’ente, che significa che se non è stato identificato l’autore del reato presupposto, la responsabilità dell’ente rimane in piedi. Ciò significa che, nella prassi processuale, quando io accompagno un amministratore, un imprenditore, un apicale davanti al pubblico ministero il quale gli contesta la formazione di un fondo off-shore finalizzato a precostituire un fondo nero e non ha prove sufficienti (e capita spesso), il pubblico ministero gli fa capire che o gli fornisce qualche elemento “confessorio” per la ricostruzione del fatto oppure gli contesta il reato ex 231, che significa “sfasciare” l’azienda. Questo è il classico strumento penalistico che vantando una doppia faccia, la responsabilità personale e la responsabilità aziendale, consente di giocare a ping-pong su due terreni dove però la condotta è quella. Sappiamo che l’ente si può costituire nel processo solo attraverso il rappresentante legale. Il problema è il regime dal punto di vista processuale e penale di questo rappresentante legale, cioè è un imputato o un testimone? Partendo dal presupposto che il testimone ha l’obbligo di dire la verità sanzionato penalmente, mentre l’imputato può avvalersi del diritto al silenzio, qui il quadro si complica, perché dopo il giusto processo entrato in vigore del 2001, il diritto al silenzio dell’imputato è stato fondamentalmente eroso e quindi il soggetto indagato per un determinato reato deve “collaborare”. Ora il nostro rappresentante legale si trova esattamente tra l’incudine e il martello, quindi il problema diventa quello del conflitto di interesse, perché un rappresentante legale che è obbligato a testimoniare, non è più, dato che è parificato all’imputato, un soggetto che può rappresentare degnamente l’azienda all’interno del processo. E soprattutto, secondo aspetto, il problema è l’interrelazione in termini di strategia difensiva. Quando ci si trova a difendere un ente e la persona fisica, o i due si mettono d’accordo e dichiarano di non aver commesso il fatto, ma se uno dei due veicola dichiarazioni accusatorie nei confronti dell’altro, noi non abbiamo ad oggi una barriera processuale sufficientemente solida che faccia delle due persone – giuridica e fisica – due monadi processuali e quindi le loro dichiarazioni non stanno in compartimenti stagni, rischiano di comunicare e questo è il grosso problema che, come difensori nei reati 231, ci troviamo a gestire nella prassi, nella difesa penale. Gianmaria Garegnani Non cerco di sintetizzare questo intervento del prof. Bernasconi, perché mi mancano i “fondamentali”. Chiuderei questi lavori ringraziando i nostri relatori perché ci hanno veramente fornito numerosissimi spunti e tanti motivi di riflessione per i nostri lavori, per quello che dovremo fare come OdV. Ringraziamo anche tutti voi che avete partecipato a questo convegno di oggi. 18